Moderne Stromnetze sind verwundbar

Die Entwicklungen der vergangenen Wochen in der Ukraine haben unter Cybersecurity-Experten weltweit Sorgen geschürt, dass die konventionellen Kampfhandlungen durch Russland mit einer Form der hybriden Kriegsführung flankiert werden könnten. Zwar haben sich diese Befürchtungen bislang noch nicht in großem Stil bewahrheitet, jedoch steht zum Zeitpunkt der Erstellung dieses Artikels nicht fest, ob der Konflikt langfristig nicht doch noch in weitaus größerem Umfang als bisher den Cyberspace erfassen wird.

Käme es zu einer Ausweitung des Konflikts, stünden laut Ansicht von Experten besonders kritische Infrastrukturen (KRITIS) im Fokus der Angreifer. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte bereits zu Beginn der Kampfhandlungen neben der Bundesverwaltung sowie weiteren Organisationen und Unternehmen insbesondere Betreiber von kritischen Infrastrukturen in Deutschland dazu angehalten, wachsam und reaktionsbereit zu sein.

Zu den kritischen Infrastrukturen werden unter anderem Unternehmen und Einrichtungen aus den Bereichen Gesundheitswesen, Telekommunikation sowie der Wasser- und Energieversorgung gezählt. Vor allem der Energiesektor hat in puncto Versorgungssicherheit eine herausragende Stellung inne. Nicht zuletzt, da dessen Funktionsfähigkeit den Betrieb fast aller anderen kritischen Infrastrukturbereiche erst möglich macht.

Energiesektor weist hohes Gefährdungspotenzial auf

Ein besonderes Augenmerk gilt in diesem Zusammenhang speziell dem Schutz der Netzinfrastruktur, die sich seit Jahren in einem Transformationsprozess befindet. War diese einst dazu gedacht, lediglich eine überschaubare Anzahl von Kraftwerken mit den Verbrauchern zu verbinden, hat die Energiewende ein vollkommen neues, heterogenes Netz entstehen lassen, bei dem unzählige neue Erzeuger hinzugekommen sind. Eine solche Netzinfrastruktur effizient zu verwalten und so Erzeugung und Verbrauch von Energie in Einklang zu bringen, erfordert in hohem Maße den Einsatz moderner IT- und OT-Systeme.

Um eine zuverlässige und sichere Strominfrastruktur aufrechtzuerhalten, die mit dem aktuellen und zukünftigen Nachfragewachstum Schritt halten kann, bedarf es sogenannter Smart Grids. Dabei handelt es sich um „intelligente Stromnetze“, bei denen die Akteure des Energiesystems von der Erzeugung über den Transport, der Speicherung und der Verteilung bis hin zum Verbrauch an das Energieversorgungsnetz kommunikativ angebunden sind. Hierzu werden verschiedene Ebenen des Stromnetzes um entsprechende IT-, sowie vor allem im Bereich der Energieerzeugung um OT-Systeme, ergänzt.

Transformationsprozess birgt Risiken für die Cybersicherheit

Um also diese smarten Infrastrukturen erfolgreich aufbauen zu können, müssen die Stromversorger und weitere relevante Unternehmen in drei Bereichen Neuerungen einführen. Allerdings ergeben sich dabei auch Risiken in puncto Cybersicherheit, die es zu berücksichtigen gilt. Zu diesen Neuerungen gehören:

• Verbesserung der bestehenden Infrastruktur, da es wirtschaftlich unmöglich ist, ein komplett neues Stromnetz zu entwerfen: Es besteht jedoch die Gefahr, dass bereits zuvor existierende Schwachstellen übernommen werden.
• Ergänzung einer digitalen Schicht, die das Wesen eines intelligenten Netzes ausmacht: Hier besteht das Risiko, dass diese Schicht in der Folge dieselben Schwachstellen aufweist, wie sie auch in anderen vernetzten Systemen zu finden sind. Dies würde Hackern entsprechende Attacken mindestens vereinfachen.
• Eine Transformation der Geschäftsprozesse, die notwendig ist, um von den Investitionen in diese intelligenten Technologien zu profitieren: Dabei entsteht das Risiko, dass es nicht gelingt, für eine ausreichende Governance zu sorgen. Denn diese muss flexibel genug sein, um die Risiken der Sicherheitsbedrohungen in einem Managementsystem zu berücksichtigen. Allerdings läuft ein solches System Gefahr, zu schwerfällig zu sein, um auf einen Angriff adäquat reagieren zu können.

Schwachstellen in OT und IT

Generell weisen IT- und OT-Technologien nach wie vor eine Vielzahl von Cybersecurity-Schwachstellen auf, sodass die Gesamtarchitektur der Smart Grids selbst aus Elementen besteht, die zum Teil nicht ausreichend zuverlässig gegen versierte Angreifer geschützt sind. Durch die Implementierung von immer mehr IT- und operativen Komponenten –beispielsweise PLC/SCADA – kommen dabei neue Risiken hinzu. Das gleiche lässt sich auch im Bereich der Industrie 4.0 beobachten, bei der die Produktion auf moderne und intelligente Weise gesteuert wird.

Netzbetreiber haben eine riesige Angriffsfläche

Bei den potenziellen Angriffen, auf die sich Stromnetzbetreiber vorbereiten sollten, muss zwischen zwei Kategorien unterschieden werden: Zum einen besteht hier das Risiko, dass gezielt Schlüsselkomponenten bzw. -Systeme attackiert werden, um den Betrieb der Netzinfrastruktur zu stören oder gar zu verhindern. Hinter solchen Angriffen stecken im Regelfall staatlich geförderte Hackergruppen oder finanziell motivierte Akteure, die beispielsweise mittels Ransomware große Lösegeldsummen erbeuten möchten. Zum anderen könnten auch großangelegte, dezentrale Attacken erfolgen, bei denen eine Vielzahl einzelner, kleinerer Geräte angegriffen wird, um das Stromnetz zu destabilisieren. Sollten Angreifer zum Beispiel eine weitverbreitete Sicherheitslücke in E-Autos entdecken, wären sie in der Lage, den Lade- und Entladevorgang von hunderttausenden von Fahrzeugen über Nacht gleichzeitig zu beeinflussen. Dies könnte beträchtliche Schwankungen im Stromnetz nach sich ziehen, sodass eventuell ein (Teil-)Ausfall der Infrastruktur drohen würde, sofern keine entsprechenden Vorkehrungen getroffen wurden.

Zudem müssen die Verantwortlichen in ihre Überlegungen mit einbeziehen, dass eine Vielzahl von Angriffspunkten existiert: Von Schwachstellen in IT- und OT-Systemen, über angreifbare Mobilgeräten, bis hin zu USB-Sticks, die als Angriffswerkzeug genutzt werden können. All diese Systeme und Geräte können von Cyberkriminellen als Einfallstor genutzt werden, um Netzbetreiber zu attackieren. Doch um den reibungslosen Betrieb sicherzustellen, gilt es, genau diese heterogenen Risikofaktoren abzusichern.

Cyberattacken sind weltweit schon Realität geworden

Und Angriffe auf Energieunternehmen und Netzbetreiber sind dabei keineswegs nur abstrakte Theorie. Weltweit gab es hier schon verschieden Beispiele, die die Verwundbarkeit von Organisationen aus diesem Bereich belegen. So konnte eine Hackergruppe 2016 in die Systeme eines Stromnetzes in der Ukraine eindringen, um in aller Ruhe Informationen über das Versorgungsunternehmen zu sammeln. Schließlich waren sie in der Lage, das Netzmanagement zu manipulieren und einen Stromausfall zu provozieren, gefolgt von Sabotage, um eine Wiederinbetriebnahme zu erschweren. Die Täter nutzten bei ihrem Angriff in der Ukraine eine Malware namens Crashoverride (zuweilen auch Industroyer genannt). Diese ist speziell für Attacken auf industrielle Kontrollsysteme konzipiert worden.

Ein weiteres Beispiel war der Angriff auf das indische Kernkraftwerk Kudankulam (KKNPP) im Jahr 2019. Bei dieser zielgerichteten Attacke ging es den Hacker nicht um Sabotage, sondern um reine Informationsbeschaffung. Dennoch zeigt auch dieser Vorfall eindrucksvoll, welchen Risiken sich Unternehmen aus dem Energiebereich in Sachen Cybersicherheit ausgesetzt sehen.

Schutz aller Angriffsflächen nötig

Cybersicherheit ist zweifelsohne für jedes Unternehmen, unabhängig von seiner Branche, von großer Bedeutung, um finanzielle Verluste und einer mit einem erfolgreichen Angriff einhergehenden Rufschädigung vorzubeugen. Im Falle von Energieerzeugern und insbesondere für Betreiber von Stromnetzen ist ein Schutz vor Cyberbedrohungen jedoch umso wichtiger. Nicht zuletzt, da von einem Ausfall der Netzinfrastruktur zahllose weitere Unternehmen und Institutionen des Gemeinwesens in Mitleidenschaft gezogen würden.

Um jedoch die heterogenen Angriffsflächen bestmöglich abzusichern, bedarf es eines ganzheitlichen Security-Ansatzes, der sich nicht nur auf Teilaspekte der Cybersicherheit konzentriert. Stattdessen gilt es Cyberattacken frühzeitig zu erkennen und stoppen zu können, unabhängig davon, welches System oder Gerät davon betroffen ist.

Realisiert wird solch ein ganzheitlicher Ansatz mittels moderner XDR-Technologie (Extended Detection and Response). Dabei handelt es sich um Security-Lösungen der nächsten Generation, mit denen jede Attacke in Echtzeit identifiziert und neutralisiert werden kann, selbst wenn die Vorgehensweise der Angreifer noch nie zuvor beobachtet werden konnte. Das Prinzip besteht darin, das Verhalten des Angriffs zu analysieren, um seinen Gefährlichkeitsgrad durch verschiedene Mechanismen einzuschätzen, von denen einige durch künstliche Intelligenz unterstützt werden. Bei Überschreiten eines bestimmten Schwellenwerts kann der Angriff in Echtzeit neutralisiert werden.

Für ein ganzheitliches XDR-System werden einzelne Module wie Endpoint Detection & Response, Endpoint Protection, SIEM, Mobile Security, Honeypots und Werkzeuge zur Netzwerkanalyse mittels einer SOAR-Plattform (Security Orchestration, Automation and Response) orchestriert. Im Ergebnis steht den Security-Teams ein umfassendes System zur Verfügung, mit dessen Hilfe alle Arten von Angriffen schnell erkannt und verhindert werden können.

Resümee

Durch die zunehmende Vernetzung von Energieerzeugung und dem Netzbetrieb werden Smart Grids auch anfälliger für Cyberattacken. Um dieser Zunahme an potenziellen Sicherheitslücken zu begegnen, bedarf es einer nachhaltigen Cybersecurity-Strategie, die auch noch unbekannte Angriffsformen abdeckt. Moderne XDR-Lösungen helfen dabei, potenzielle Angriffe frühzeitig zu identifizieren und aufzuhalten, noch bevor diese Schäden nach sich ziehen können. Denn die Folgen eines Ausfalls der Energieinfrastruktur könnten verheerend sein.