Schließen

    Wünschen Sie nähere Informationen?

    Digitalhappen

    Cyberbedrohungen für Energieversorger: Wie steht es um die OT- & IT-Sicherheit deutscher EVUs?

    Home Blog Energie

    Die spektakulären Cyberangriffe auf das ukrainische Stromnetz in 2015 und 2016 schockierten viele hiesige Betreiber. Dass Hacker die speziell gesicherten Steuerungssysteme von EVUs kapern und ganzen Regionen den Saft abschalten konnten, war bis dahin schlicht undenkbar. Und täglich werden neue Angriffsmethoden und Vorfälle bekannt. Wankt das Bollwerk?

    OT-Netzwerke noch gut geschützt

    Angesichts der komplexen ukrainischen Angriffe mit Malware, die industrielle Steuerungssysteme angreifen kann („BlackEnergy 3“ und „Industroyer“), machten sich nicht nur Energieversorger, sondern auch staatliche Stellen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder das Nationale Cyber-Abwehrzentrum Sorgen um die Sicherheit der Stromnetze. Aber seit den Vorfällen in Kiew und Umgebung wurde interessanterweise kein neuer, ähnlich gravierender Fall bekannt, in dem Hacker sich Zugriff auf Stromnetztechnik (Operational Technology, OT) verschaffen konnten. Die IT-Security-Bollwerke hielten bis heute: Angriffe drangen immer nur bis in die IT und eben nicht in die OT durch. Entwarnung für EVUs? 

    Diese Frage stellten wir einem OT-Experten und Cybercrime-Insider eines großen Stadtwerkes in NRW. Er glaubt, dass Netzbetreiber und Einspeiser nicht die prädestiniertesten Ziele für Hacker oder Cyberkriminelle seien: „Wir sind – sehr – gut –geschützt!“ Energieversorger haben sich nie (nur) auf öffentliche TK-Netze verlassen, sondern sind mit eigenen TK-Netzen unterwegs, die auch im Schwarzfall funktionieren.

    Hauptbedrohung Ransomware

    Aber auch Angriffe auf die IT schmerzen. Diese haben laut Analysen des Branchenverbands Bitkom vom August 2021 bei der gesamten deutschen Wirtschaft im vergangenen Jahr insgesamt Schäden in Höhe von satten 223 Milliarden Euro verursacht. Die Hauptbedrohung sind Erpressungsversuche durch Verschlüsselungssoftware (Ransomware): Bis 2019 waren bereits ca. 60 Prozent der deutschen Unternehmen schon einmal von Ransomware-Angriffen oder Angriffsversuchen betroffen, wie eine Studie auf Statista zeigt.

    Das BSI veröffentlichte kürzlich ein Dokument mit Informationen zu „Bedrohungslage, Prävention & Reaktion 2021“ in Bezug auf Ransomware-Angriffe. Ransomware bedroht alle Branchen, auch die Energiewirtschaft. Hochentwickelte Varianten werden inzwischen als mietbare „Ransomware as a Service“ angeboten. Beispielsweise „Darkside“, mit dem im Mai 2021 die IT-Infrastruktur von Colonial Pipeline angegriffen wurde, Betreiber des größten Pipeline-Systems für raffinierte Produkte in den USA. Auch wenn nur das Verwaltungsnetz betroffen war, musste Colonial vorsorglich den Pipeline-Betrieb einstellen. Oder auch „NetWalker“, mit dem Hacker im September 2020 Pakistans größtes privates Energieunternehmen K-Electric um 3,85 Millionen US-Dollar Lösegeld erpressten. Als K-Electric nicht zahlte, wurden sensible Daten des Unternehmens im Internet veröffentlicht. Ähnliches passierte den Technischen Werken Ludwigshafen im Mai 2020 – Daten von knapp 150.000 Kunden der Stadtwerke landeten im Netz. Ein Hauptproblem in diesem Zusammenhang ist noch immer Unwissenheit bei Mitarbeitern, die unvorsichtig Mailanhänge öffnen oder auf Social-Engineering-Tricks hereinfallen.

    Auch Operational Technology ist anfällig

    Aber auch die OT von Energieversorgern hat durchaus Schwachpunkte. Der Stadtwerke-Fachmann aus NRW erinnert an das in der EVU-Szene bekannte „Österreich-Phänomen“: Hier hatten vor einigen Jahren die Geräte der OT-Netze so intensiv untereinander digitalen Nonsense ausgetauscht, dass keinerlei Nutzdaten mehr übertragen wurden. Es war ein neues Leitsystem aufgespielt worden, das dummerweise einen Bug enthielt. 

    Vernetzte OT ist daher auch anfällig für Angriffe, etwa per DDoS. Hier verweist der Experte auf die DDoS-Attacke auf den „Fahrplan-Server“ eines europäischen Übertragungsnetzbetreibers vor einigen Jahren. Rund 50 Kraftwerke melden diesem täglich ihre Fahrpläne, d. h. welche Strommengen sie am nächsten Tag einspeisen. Daraus berechnet der Übertragungsnetzbetreiber eine optimale Lastverteilung, damit das Netz stabil bleibt. Ein Angreifer versuchte das zu sabotieren, indem er per DDoS-Attacke keine 50, sondern 500.000 Fahrpläne aufschaufelte. Das machte es den Last-Managern unmöglich, die 50 wichtigen Pläne zu filtern. Gut zwei Wochen mussten sie, allein auf Erfahrungswerte setzend, blind fahren. Und schafften das.

    Immer mehr Steuerungssysteme aus dem Internet erreichbar

    Auch wenn es bisher noch meist glimpflich ausging: Das wird vermutlich nicht so bleiben. Neben der IT-Sicherheit von Energieversorgern ist auch in der Operational Technology zunehmend Vorsicht angesagt. Industrielle Steuerungssysteme (ICS) werden mit immer mehr Komponenten verbunden, die aus dem Internet erreichbar sind. Veraltete PCs und mittlerweile auch schlecht gesicherte IoT-Geräte gehören zu den populärsten OT-Angriffsvektoren. Erst im Februar 2021 wurde bekannt, dass es Hackern gelungen war, in eine Wasseraufbereitungsanlage in Oldsmar im US-Bundesstaat Florida einzudringen. Der betroffene Steuerungscomputer lief noch mit Windows 7 und die Computer der Anlage konnten per Teamviewer ferngewartet werden – alle mit dem gleichen Passwort (Quelle)! Der Versuch der Hacker, den Anteil der potenziell gefährlichen Chemikalie Natriumhydroxid im Wasser zu verhundertfachen, schlug glücklicherweise fehl.

    Auch Ransomware ist längst ICS-fähig geworden, warnt beispielsweise die „Cybersecurity and Infrastructure Security Agency“ (CISA) der USA in einem Factsheet. Problematisch sind zudem sogenannte Supply-Chain-Attacken wie zum Beispiel die SolarWinds-Attacke: Ein Update für SolarWinds‘ IT-Management-Plattform Orion war mit dem Trojaner Sunburst infiziert, der so auf Tausenden von Systemen in Unternehmen und Behörden landete – darunter Hunderte US-Stromversorger. Dort hatten die Angreifer weitreichende Rechte und konnten vertrauliche Daten kopieren oder weitere Schädlinge installieren.

    EVU fremdeln mit IoT

    Laut Informationen der Unternehmensberatung Lünendonk & Hossenfelder führt die zunehmende Digitalisierung der OT und des Product Lifecycles auch im Energiesektor zu einem erhöhten Absicherungsbedarf der Unternehmensnetzwerke. Auch der steigende Anteil von Embedded-Software erhöhe die potenziellen Angriffsflächen. Insgesamt erfährt Cyber Security nach Auskunft von L&H einen enormen Bedeutungszuwachs: Während 2021 noch 47 Prozent der CIOs im deutschsprachigen Raum ihre Ausgaben für Cyber Security erhöht haben, planen für 2022 nun 86 Prozent eine Steigerung derartiger Ausgaben.

    Viele EVU sehen aber noch keinen Grund für Panik: Auch angesichts IoT und Smart Metering bleibt der oben zitierte Stadtwerke-Spezialist noch gelassen. Die Absicherung der Smart Meter werde erst dann relevant, wenn diese tatsächlich in der Fläche im Einsatz und die notwendigen Steuerboxen angebunden seien. Das sei erst in 5-10 Jahren der Fall. Bis dahin hätten sich die Bedrohungslage und die Abwehrmöglichkeiten sowieso längst wieder geändert. Ähnlich verhalte es sich mit dem IoT. Hier gebe es bei den EVU und ihrer OT noch deutliche Vorbehalte – IoT-Geräte würden nur zögerlich in die Fläche ausgerollt.

    Noch kein „Security by Design“ bei Komponenten

    Im Gegensatz zur IT, die für gewöhnlich am öffentlichen Internet hängt, ist die OT mitsamt ihrer Sensorik ein geschlossenes Netzwerk; Datenflüsse sollten nur über definierte Gateways ins Netz der IT übergehen.

    Sollte. Wie ein Mitarbeiter eines EVU aus Niedersachsen uns erzählt, würden häufig durch Gerätehersteller Wartungszugänge eingebaut, die Zugriffe auf die OT an diesen definierten Gateways vorbei ermöglichten – womöglich mit schwachem Standardpasswort und ohne Wechselzwang bei der Inbetriebnahme. Auch Fernwartungsprotokolle können bei schlechter Absicherung missbraucht werden, wie das Beispiel aus Florida zeigt. Der Ansatz „Security by Design“ ist bei vielen Herstellern von Komponenten im Bereich OT noch nicht angekommen. Zwar ist Security by Design durch das erste IT-Sicherheitsgesetz seit 2015 vorgeschrieben. Aber bei den Herstellern der klassischen Fernwirktechnik habe kaum einer das Prinzip komplett verinnerlicht, beklagt der EVU-Experte. Da kommen Basics wie das Patch-Management oder die zentrale Benutzerverwaltung viel zu kurz. Hinzu komme, dass in der OT die Produkt-Lebenszyklen mit 10 bis 20 Jahren für IT-Verhältnisse extrem lang seien.

    Darüber hinaus würden entfernte Anlagen oftmals doch über öffentliche Netze angebunden, um wirtschaftlich zu bleiben. Auch diese Umstände würden die Absicherung der Übergänge komplexer gestalten.

    Ein weiteres Problem stellt sich mit dem Thema der dezentralen Erzeugung, fügt der EVU-Mitarbeiter hinzu. „Die Welt war in Ordnung, als nur das EVU den Strom erzeugt hat.“ Heute aber gibt es immer mehr kleine Erzeugeranlagen, die alle mit Systemen im OT-Netzwerk kommunizieren müssen. Da sei es in der Praxis oftmals der Fall, dass neue Technologien und Konzepte „erstmal funktionieren sollen“; Sicherheit habe dann keine Priorität. Und wenn es dann funktioniert, fehle die Zeit. „Man kennt es ja: nichts hält länger als ein Provisorium.“

    Kein falsches Sicherheitsgefühl

    So unangreifbar wie lange angenommen ist auch die sicher geglaubte OT nicht. Und: Dass bei einem Unternehmen noch kein Angriff verzeichnet wurde, heißt nicht, dass keiner stattgefunden hat. Professionelle Hacker tun alles dafür, damit ihr Angriff lange unbemerkt bleibt, damit sie sich in Ruhe umsehen und im Stillen Daten abziehen, Hintertüren einbauen und weitere Systeme infizieren können.

    IT-Sicherheit ist auch bei Energieversorgern ein flüchtiges Gut. Sie dauerhaft zu garantieren, ist in der schnelllebigen IT-Szene schlicht unmöglich, und spektakuläre Hacks wie die SolarWinds-Attacke beflügeln noch die cyberkriminelle Energie. EVUs sollten deshalb das Thema keinesfalls auf die leichte Schulter nehmen: Überprüfen Sie bitte regelmäßig Ihre IT-Sicherheitstrategie, passen Sie Ihre Maßnahmen an aktuelle Bedrohungen an und lassen Sie Ihre IT- & OT-Sicherheit regelmäßig von Externen prüfen und verbessern. Wir beraten Sie gern.

    Jetzt beraten lassen »

     

    Mergers & Acquisitions: Die IT, Stiefkind der Unternehmensfusionen

    Oct 4, 2017 12:00:00 PM Unternehmensaufkäufe und Fusionen sind schmerzhaft. Denn die Zusammenführung mehrerer Unternehmensstrukturen und -kulturen auf allen Ebenen ist ein Wandlungsprozess für alle Seiten. Insbesondere der ...

    Cybercrime as a service: Auf der dunklen Seite der Macht

    Sep 27, 2017 11:00:00 AM Big Data und maschinelles Lernen könnten digitale Verbrechen auf eine neue Stufe heben. Ein Artikel über die Schattenseiten der digitalen Macht. 

    System-Sanierung durch Data Access Layer: Dolmetscher zwischen den IT-Generationen

    Apr 5, 2019 9:48:00 AM IT-Infrastruktur steht vielerorts durch neue Kundenanforderungen vor einem kompletten Generationswechsel. Alte Systeme halten den heutigen Anforderungen nicht mehr Stand. Die Lösung liegt in einer ...

    Urban Data: Warum Smart City ein Regelwerk für Daten braucht

    Oct 21, 2019 11:34:24 AM Ein offener Austausch von Daten ist der erste Schritt, um Smart City-Anwendungen überhaupt zu ermöglichen. Dann aber braucht es auch Regeln für die Nutzung der Daten.

    Informationssicherheits-Managementsysteme: So gelingt die Einführung & ISO-Zertifizierung

    Jun 11, 2021 2:30:00 PM Das IT-Sicherheitsgesetz ist novelliert – damit rückt das Thema ISO 27001-zertifizierte Informationssicherheits-Managementsysteme (ISMS) näher an viele Unternehmen heran. Wir zeigen, wie der Weg ...

    DevOps Definition & Bedeutung - warum auch systemrelevante Branchen profitieren

    Sep 29, 2021 2:44:00 PM Was sind DevOps? Tool oder Kultur? DevOps ist die zusammengesetzte Abkürzung von Development und Operations – also Entwicklung und IT-Betrieb. DevOps bezeichnet damit einen Ansatz, nach dem ...

    Regulierung als Chance: So treiben Energieversorger erfolgreich ihre Digitalisierung voran

    Nov 24, 2021 1:35:51 PM Marktregulierung, KRITIS, Energiewende – die Energiebranche ächzt unter umfangreichen regulatorischen Vorgaben. Diese können sich aber auch als segensreich erweisen, und das für alle Beteiligten. ...

    IT-Sicherheit für kritische Infrastrukturen: Das müssen KRITIS-Betreiber beachten

    Jan 11, 2022 5:12:52 PM Wer kritische Infrastrukturen betreibt, muss angemessene organisatorische und technische Vorkehrungen treffen, um ihre Sicherheit und Funktionsfähigkeit zu gewährleisten. Aber was genau heißt das?

    IT-Sicherheit für Energieversorger: Umsetzung in der Praxis

    Apr 21, 2022 9:45:00 AM Bestmögliche IT-Sicherheit liegt für Energieversorger nicht nur im eigenen Interesse. Wir geben Tipps, wie EVUs die Security-Vorgaben für KRITIS-Betreiber praktisch umsetzen können.

    Innovationen katapultieren Unternehmen und Branchen in neue Dimensionen. Wir wissen, wie.

    Zur Sache: Rein formell ist ein Projekt mit der Abnahme und Entlastung beendet. Das dachten auch die Verantwortlichen des