Die spektakulären Cyberangriffe auf das ukrainische Stromnetz in 2015 und 2016 schockierten viele hiesige Betreiber. Dass Hacker die speziell gesicherten Steuerungssysteme von EVUs kapern und ganzen Regionen den Saft abschalten konnten, war bis dahin schlicht undenkbar. Und täglich werden neue Angriffsmethoden und Vorfälle bekannt. Wankt das Bollwerk?
OT-Netzwerke noch gut geschützt
Angesichts der komplexen ukrainischen Angriffe mit Malware, die industrielle Steuerungssysteme angreifen kann („BlackEnergy 3“ und „Industroyer“), machten sich nicht nur Energieversorger, sondern auch staatliche Stellen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder das Nationale Cyber-Abwehrzentrum Sorgen um die Sicherheit der Stromnetze. Aber seit den Vorfällen in Kiew und Umgebung wurde interessanterweise kein neuer, ähnlich gravierender Fall bekannt, in dem Hacker sich Zugriff auf Stromnetztechnik (Operational Technology, OT) verschaffen konnten. Die IT-Security-Bollwerke hielten bis heute: Angriffe drangen immer nur bis in die IT und eben nicht in die OT durch. Entwarnung für EVUs?
Diese Frage stellten wir einem OT-Experten und Cybercrime-Insider eines großen Stadtwerkes in NRW. Er glaubt, dass Netzbetreiber und Einspeiser nicht die prädestiniertesten Ziele für Hacker oder Cyberkriminelle seien: „Wir sind – sehr – gut –geschützt!“ Energieversorger haben sich nie (nur) auf öffentliche TK-Netze verlassen, sondern sind mit eigenen TK-Netzen unterwegs, die auch im Schwarzfall funktionieren.
Hauptbedrohung Ransomware
Aber auch Angriffe auf die IT schmerzen. Diese haben laut Analysen des Branchenverbands Bitkom vom August 2021 bei der gesamten deutschen Wirtschaft im vergangenen Jahr insgesamt Schäden in Höhe von satten 223 Milliarden Euro verursacht. Die Hauptbedrohung sind Erpressungsversuche durch Verschlüsselungssoftware (Ransomware): Bis 2019 waren bereits ca. 60 Prozent der deutschen Unternehmen schon einmal von Ransomware-Angriffen oder Angriffsversuchen betroffen, wie eine Studie auf Statista zeigt.
Das BSI veröffentlichte kürzlich ein Dokument mit Informationen zu „Bedrohungslage, Prävention & Reaktion 2021“ in Bezug auf Ransomware-Angriffe. Ransomware bedroht alle Branchen, auch die Energiewirtschaft. Hochentwickelte Varianten werden inzwischen als mietbare „Ransomware as a Service“ angeboten. Beispielsweise „Darkside“, mit dem im Mai 2021 die IT-Infrastruktur von Colonial Pipeline angegriffen wurde, Betreiber des größten Pipeline-Systems für raffinierte Produkte in den USA. Auch wenn nur das Verwaltungsnetz betroffen war, musste Colonial vorsorglich den Pipeline-Betrieb einstellen. Oder auch „NetWalker“, mit dem Hacker im September 2020 Pakistans größtes privates Energieunternehmen K-Electric um 3,85 Millionen US-Dollar Lösegeld erpressten. Als K-Electric nicht zahlte, wurden sensible Daten des Unternehmens im Internet veröffentlicht. Ähnliches passierte den Technischen Werken Ludwigshafen im Mai 2020 – Daten von knapp 150.000 Kunden der Stadtwerke landeten im Netz. Ein Hauptproblem in diesem Zusammenhang ist noch immer Unwissenheit bei Mitarbeitern, die unvorsichtig Mailanhänge öffnen oder auf Social-Engineering-Tricks hereinfallen.
Auch Operational Technology ist anfällig
Aber auch die OT von Energieversorgern hat durchaus Schwachpunkte. Der Stadtwerke-Fachmann aus NRW erinnert an das in der EVU-Szene bekannte „Österreich-Phänomen“: Hier hatten vor einigen Jahren die Geräte der OT-Netze so intensiv untereinander digitalen Nonsense ausgetauscht, dass keinerlei Nutzdaten mehr übertragen wurden. Es war ein neues Leitsystem aufgespielt worden, das dummerweise einen Bug enthielt.
Vernetzte OT ist daher auch anfällig für Angriffe, etwa per DDoS. Hier verweist der Experte auf die DDoS-Attacke auf den „Fahrplan-Server“ eines europäischen Übertragungsnetzbetreibers vor einigen Jahren. Rund 50 Kraftwerke melden diesem täglich ihre Fahrpläne, d. h. welche Strommengen sie am nächsten Tag einspeisen. Daraus berechnet der Übertragungsnetzbetreiber eine optimale Lastverteilung, damit das Netz stabil bleibt. Ein Angreifer versuchte das zu sabotieren, indem er per DDoS-Attacke keine 50, sondern 500.000 Fahrpläne aufschaufelte. Das machte es den Last-Managern unmöglich, die 50 wichtigen Pläne zu filtern. Gut zwei Wochen mussten sie, allein auf Erfahrungswerte setzend, blind fahren. Und schafften das.
Immer mehr Steuerungssysteme aus dem Internet erreichbar
Auch wenn es bisher noch meist glimpflich ausging: Das wird vermutlich nicht so bleiben. Neben der IT-Sicherheit von Energieversorgern ist auch in der Operational Technology zunehmend Vorsicht angesagt. Industrielle Steuerungssysteme (ICS) werden mit immer mehr Komponenten verbunden, die aus dem Internet erreichbar sind. Veraltete PCs und mittlerweile auch schlecht gesicherte IoT-Geräte gehören zu den populärsten OT-Angriffsvektoren. Erst im Februar 2021 wurde bekannt, dass es Hackern gelungen war, in eine Wasseraufbereitungsanlage in Oldsmar im US-Bundesstaat Florida einzudringen. Der betroffene Steuerungscomputer lief noch mit Windows 7 und die Computer der Anlage konnten per Teamviewer ferngewartet werden – alle mit dem gleichen Passwort (Quelle)! Der Versuch der Hacker, den Anteil der potenziell gefährlichen Chemikalie Natriumhydroxid im Wasser zu verhundertfachen, schlug glücklicherweise fehl.
Auch Ransomware ist längst ICS-fähig geworden, warnt beispielsweise die „Cybersecurity and Infrastructure Security Agency“ (CISA) der USA in einem Factsheet. Problematisch sind zudem sogenannte Supply-Chain-Attacken wie zum Beispiel die SolarWinds-Attacke: Ein Update für SolarWinds‘ IT-Management-Plattform Orion war mit dem Trojaner Sunburst infiziert, der so auf Tausenden von Systemen in Unternehmen und Behörden landete – darunter Hunderte US-Stromversorger. Dort hatten die Angreifer weitreichende Rechte und konnten vertrauliche Daten kopieren oder weitere Schädlinge installieren.
EVU fremdeln mit IoT
Laut Informationen der Unternehmensberatung Lünendonk & Hossenfelder führt die zunehmende Digitalisierung der OT und des Product Lifecycles auch im Energiesektor zu einem erhöhten Absicherungsbedarf der Unternehmensnetzwerke. Auch der steigende Anteil von Embedded-Software erhöhe die potenziellen Angriffsflächen. Insgesamt erfährt Cyber Security nach Auskunft von L&H einen enormen Bedeutungszuwachs: Während 2021 noch 47 Prozent der CIOs im deutschsprachigen Raum ihre Ausgaben für Cyber Security erhöht haben, planen für 2022 nun 86 Prozent eine Steigerung derartiger Ausgaben.
Viele EVU sehen aber noch keinen Grund für Panik: Auch angesichts IoT und Smart Metering bleibt der oben zitierte Stadtwerke-Spezialist noch gelassen. Die Absicherung der Smart Meter werde erst dann relevant, wenn diese tatsächlich in der Fläche im Einsatz und die notwendigen Steuerboxen angebunden seien. Das sei erst in 5-10 Jahren der Fall. Bis dahin hätten sich die Bedrohungslage und die Abwehrmöglichkeiten sowieso längst wieder geändert. Ähnlich verhalte es sich mit dem IoT. Hier gebe es bei den EVU und ihrer OT noch deutliche Vorbehalte – IoT-Geräte würden nur zögerlich in die Fläche ausgerollt.
Noch kein „Security by Design“ bei Komponenten
Im Gegensatz zur IT, die für gewöhnlich am öffentlichen Internet hängt, ist die OT mitsamt ihrer Sensorik ein geschlossenes Netzwerk; Datenflüsse sollten nur über definierte Gateways ins Netz der IT übergehen.
Sollte. Wie ein Mitarbeiter eines EVU aus Niedersachsen uns erzählt, würden häufig durch Gerätehersteller Wartungszugänge eingebaut, die Zugriffe auf die OT an diesen definierten Gateways vorbei ermöglichten – womöglich mit schwachem Standardpasswort und ohne Wechselzwang bei der Inbetriebnahme. Auch Fernwartungsprotokolle können bei schlechter Absicherung missbraucht werden, wie das Beispiel aus Florida zeigt. Der Ansatz „Security by Design“ ist bei vielen Herstellern von Komponenten im Bereich OT noch nicht angekommen. Zwar ist Security by Design durch das erste IT-Sicherheitsgesetz seit 2015 vorgeschrieben. Aber bei den Herstellern der klassischen Fernwirktechnik habe kaum einer das Prinzip komplett verinnerlicht, beklagt der EVU-Experte. Da kommen Basics wie das Patch-Management oder die zentrale Benutzerverwaltung viel zu kurz. Hinzu komme, dass in der OT die Produkt-Lebenszyklen mit 10 bis 20 Jahren für IT-Verhältnisse extrem lang seien.
Darüber hinaus würden entfernte Anlagen oftmals doch über öffentliche Netze angebunden, um wirtschaftlich zu bleiben. Auch diese Umstände würden die Absicherung der Übergänge komplexer gestalten.
Ein weiteres Problem stellt sich mit dem Thema der dezentralen Erzeugung, fügt der EVU-Mitarbeiter hinzu. „Die Welt war in Ordnung, als nur das EVU den Strom erzeugt hat.“ Heute aber gibt es immer mehr kleine Erzeugeranlagen, die alle mit Systemen im OT-Netzwerk kommunizieren müssen. Da sei es in der Praxis oftmals der Fall, dass neue Technologien und Konzepte „erstmal funktionieren sollen“; Sicherheit habe dann keine Priorität. Und wenn es dann funktioniert, fehle die Zeit. „Man kennt es ja: nichts hält länger als ein Provisorium.“
Kein falsches Sicherheitsgefühl
So unangreifbar wie lange angenommen ist auch die sicher geglaubte OT nicht. Und: Dass bei einem Unternehmen noch kein Angriff verzeichnet wurde, heißt nicht, dass keiner stattgefunden hat. Professionelle Hacker tun alles dafür, damit ihr Angriff lange unbemerkt bleibt, damit sie sich in Ruhe umsehen und im Stillen Daten abziehen, Hintertüren einbauen und weitere Systeme infizieren können.
IT-Sicherheit ist auch bei Energieversorgern ein flüchtiges Gut. Sie dauerhaft zu garantieren, ist in der schnelllebigen IT-Szene schlicht unmöglich, und spektakuläre Hacks wie die SolarWinds-Attacke beflügeln noch die cyberkriminelle Energie. EVUs sollten deshalb das Thema keinesfalls auf die leichte Schulter nehmen: Überprüfen Sie bitte regelmäßig Ihre IT-Sicherheitstrategie, passen Sie Ihre Maßnahmen an aktuelle Bedrohungen an und lassen Sie Ihre IT- & OT-Sicherheit regelmäßig von Externen prüfen und verbessern. Wir beraten Sie gern.
