Die Tendenz, die Stromnetze immer weiter untereinander zu vernetzen, ist zwar unter Gesichtspunkten der Effizienz nachvollziehbar, steigert aber auch die Gefahr von Cyberangriffen. Die Risiken werden derzeit noch von zahlreichen Marktteilnehmern unterschätzt.
Von der Science-Fiction zur Wirklichkeit
Ein totaler Blackout Fünfzehn Jahr nach dem Verschwinden jeglichen elektrischen Stroms sind die Vereinigten Staaten verschwunden und durch eine Ansammlung unabhängiger Staaten ersetzt. Die Bevölkerung ist wieder dazu zurückgekehrt, von der Landwirtschaft zu leben und wird von Milizen drangsaliert. Bei dem Drehbuch der von 2012-2014 auf NBC ausgestrahlten Serie handelt es sich ohne den geringsten Zweifel um Science-Fiction. Allerdings zeugt es von einer sehr realen Gefahr.
„Stellen Sie sich die Konsequenzen eines Angriffs auf die Energieversorgungsnetze eines Landes vor. Wir sollten uns nichts vormachen, genau dieses Ziel verfolgt eine Anzahl von Gruppierungen, Staaten, Armeen, um sich auf die Konflikte von morgen vorzubereiten. Dies ist keine Science-Fiction mehr.“ Eine Rede, nicht aus einer Science-Fiction Serie, sondern aus dem Mund von Guillaume Poupard, dem Chef der Nationalen Agentur für die Sicherheit von Informationssystemen (ANSSI). Er hielt diese Rede am 3 Oktober 2018 vor der Französischen Kommission für Auswärtiges, Verteidigung und Streitkräfte, wobei er die Gelegenheit zu einem Appell für mehr Koordination und mehr Regulierung nutzte.
Diese Risiken für die Energienetze nehmen heute in der Tat zu. Nicht nur, weil die Hacker über immer mehr Know-how verfügen, sondern auch und vor allem, wegen der immer stärkeren Vernetzung. „Wir sind von der Technik eingeholt worden“, konstatiert Robert Wakim, Offer Manager Industry bei Stormshield. „Die Smart Grids nutzen im Verlauf des Stromtransports von der Erzeugung bis zum Verbraucher sehr leistungsfähige Kommunikationsknoten, um das Produkt noch effizienter zu verteilen.“ Das bedeutet laut Guillaume Poupard, der diesen Aspekt einige Monate zuvor vor derselben Kommission betont hatte, dass der Schutz der gesamten Kette, vom Kraftwerk bis zum intelligenten Stromzähler ein kritischer Faktor wird.
Dieser technologische Wettbewerb ist auf beiden Seiten zu verzeichnen: bei den Akteuren der Branche genauso wie bei den Akteuren mit unlauteren Absichten. So am Beispiel der Malware Industroyer, die in der Lage ist, diese Vernetzung zwischen den Stromnetzen auszunutzen. „Diese Malware ist in der Lage, über vier verschiedene Stromkommunikationsprotokolle zu kommunizieren“, erläutert Robert Wakim. „Sie ist anpassungsfähig. Es ist eine Art Übersetzerwunder. Praktisch die einzige auf den Energiesektor spezialisierte Malware.“ Industroyer kann man sich im Darknet verschaffen und dann damit auf jede beliebige Einrichtung abzielen. „Wir wissen, dass dies die Malware ist, die Ende 2016 bei der zweiten Serie von Angriffen gegen die Stromnetze der Ukraine benutzt wurde“, fügt er hinzu.
Immer wieder Angriffe... bereits seit 2010
Shamoon, Stuxnet, BlackEnergy... Neben Industroyer haben auch andere Malwares im Energiesektor zugeschlagen und sind dadurch vielen Hackern und Analysten im Gedächtnis geblieben. Im Unterschied zu Industroyer sind diese Malwares darauf angewiesen, die Infrastruktur genau zu kennen, bevor sie den Angriff ausführen und geben sich daher mit weniger stark vernetzten Netzen zufrieden. Insbesondere Stuxnet hat nach den Worten von Gabrielle Desarnaud, Wissenschaftlerin am Französischen Institut für Internationale Beziehungen, IFRI, in ihrer im Januar 2017 publizierten Studie Cyberangriffe und Energiesysteme „einen Bewusstseinswandel herbeigeführt“. Auch wenn Stuxnet bereits seit 2010 bekannt ist, beschrieb die Forscherin den Virus 2017 als „den raffiniertesten Angriff, dem eine Nukleareinrichtung ausgesetzt war“. Die Malware hat jahrelang Pannen in den Zentrifugen zur Urananreicherung in der iranischen Anlage in Natanz verursacht.
In Saudi Arabien befiel Shamoon 2012 30 000 Rechner und blockierte die LKW des saudischen Ölunternehmens Aramco. „Der Angriff begann mit einer Phishing-E-Mail“, erinnert sich Robert Wakim. „Eine Sekretärin hat die E-Mail geöffnet. Aber ihr infizierter PC verhielt sich ganz normal. Dann hat sich der Angreifer völlig unbemerkt die Kontrolle über den Nachbarrechner verschafft und ist dann immer tiefer in die Server eingedrungen. “
In gleicher Weise war auch der Virus BlackEnergy, der der ersten Angriffsserie gegen das ukrainische Elektrizitätsnetz im Dezember 2015 zugrunde lag, mithilfe einer Phishing-Kampagne verbreitet worden. Das ist gleichzeitig eine gute und eine schlechte Nachricht: wie auch an anderen Orten nutzen Cyberangriffe gegen Energienetze häufig menschliche Schwächen aus.
Ein Gefühl der Unverwundbarkeit?
Aber diese menschliche Schwachstelle rührt auch von einem mangelnden Problembewusstsein in den Chefetagen der Unternehmen. Robert Wakim erklärt: „Wenn Unternehmen an uns herantreten, ist dies eher aufgrund regulatorischer Bestimmungen als der Furcht vor einem Angriff.“ Wie kommt es zu diesem mangelnden Problembewusstsein? Er fährt fort: „Das Problem besteht darin, dass die Betreiber die Wirkung eines Angriffs unterschätzen. Sie gehen davon aus, dass die Bedeutung ihrer Anlage gemessen an der Größe des Netzes vernachlässigbar ist, und dass aus diesem Grund kein Interesse besteht, sie anzugreifen. “
Ein anderer Grund für dieses Gefühl der Unverwundbarkeit rührt da her, dass viele Einrichtungen, wie etwa Kernkraftwerke, nicht mit dem Internet verbunden sind. „Aber das ist ein Trugschluss,“ betont Robert Wakim. „Eine Verbindung ist zunächst einmal eine Kommunikation, das heißt ein Datenaustausch, selbst wenn er nur ein einziges Mal im Jahr für kurze Dauer aktiviert wird. Ein Risiko besteht, sobald ich mich mit einem Objekt verbinde, das seinerseits verbunden ist, oder mit ihm einen USB-Stick nutze. “
Hinter Cyberangriffen stecken heute vor allem zwei Gründe, und zwar einerseits der Dominoeffekt und andererseits Konkurrenzbestrebungen. Im ersten Fall kann es sich um einen auf ein Land abzielenden Angriff handeln, der gehörig das Netz stört. „Und aufgrund der besonderen Charakteristiken des Angriffs ist es möglich, einen Dominofeffekt zu erzeugen, bei dem man mit minimalem Aufwand einen maximalen Effekt erzielen kann“, erklärt Robert Wakim. „Das beste Beispiel für diesen Effekt ist die Auswirkung eines Ausfalls der Stromproduktion im Kosovo auf die Uhren von französischen Backöfen.“ Im zweiten Fall kann es sich beispielsweise um den Angriff eines kleineren Konkurrenten auf dem Markt handeln. Wenn es ihm gelingt, die Stromproduktion oder die Stromleitung zu stören, einzuschränken oder gar zu unterbrechen, kann ihm das einen beträchtlichen Wettbewerbsvorteil verschaffen, und das unabhängig davon, welchen Marktanteil das betroffene Unternehmen hat.
Eine immer stärker vernetzte Zukunft
Und welche Zukunft steht diesen Stromnetzen bevor? Neben den Anlagen von einem oder mehreren Megawatt wird es in Zukunft kleinere Stromproduktionen aus erneuerbaren Energien geben: Windparks, Solarkraftwerke oder auch vereinzelte Photovoltaikanlagen auf Dächern von privaten Hausbesitzern... Die einzelnen Produzenten werden durch Sammler verbunden und organisiert werden, „virtuelle Kraftwerke“, wie sie Gabrielle Desarnaud nennt.
Die Zukunft der Energie liegt also in einer Vervielfachung der Produzenten und der Verbindungen untereinander. Durch diese Entwicklung wird auch die Angriffsfläche weiter vergrößert, ebenso wie die Risiken für alle Beteiligten. Dieser Vermehrung der Beteiligten wird von gesetzgeberischer Seite bislang in keiner Weise Rechnung getragen, aber es ist von entscheidender Bedeutung, im gesamten System für mehr Sicherheit zu sorgen. Die Einrichtung dieser virtuellen Kraftwerke ist sicherlich eine gute Idee in Hinblick auf die Belastbarkeit der Stromproduktion für den Markt insgesamt. Dabei ist es aber zwingend erforderlich, sich vorher der Gefahren durch Hackerangriffe auf diese neuen Akteure bewusst zu werden. Und dadurch eine sichere energetische Zukunft vorzubereiten.
