Cyberangriffe können jeden treffen. Unternehmen in der Stromwirtschaft versuchen dem zu entgehen (Bildquelle: pixabay - geralt)
Am 16. Juni 2019 startete US-Präsident Donald Trump wieder einmal eine seiner gefürchteten Twitter-Attacken gegen die New York Times: Die Nachrichten, die die Zeitung verbreite, seien Fake-News, die Zeitung sei ein »Feind des Volkes«. Was ihn so in Rage brachte, war ein fundierter Bericht unter Berufung auf mehrere Mitglieder der Regierung, dass die USA Schadsoftware ins russische Stromnetz eingeschleust hätten. Wenn nötig, könne diese eingesetzt werden, um das Netz lahmzulegen.
Ohne die Inhalte konkret bewerten zu wollen – unbestritten ist, dass die Gefahr für die globale Energiewirtschaft, zum Spielball eines Cyberkriegs zu werden, stetig wächst. Inzwischen gibt es eine ganze Reihe erfolgreicher Angriffe, beginnend mit dem Computerwurm »Stuxnet«, der für das Scada-System Simatic S7 von Siemens entwickelt wurde und Schäden vor allem im Iran, aber auch in China und der westlichen Welt anrichtete. Auch allgemeine Ransomware wie »WannaCry« oder »Notpetya« macht vor dem Energiesektor nicht Halt.
Angreifer mit hoher krimineller Energie
F-Secure hat in dem Report »The State of the Station« erst vor Kurzem untersucht, welche Angreifer die Stromwirtschaft attackieren. Neben »gewöhnlichen« Cyberkriminellen sind hier auch staatlich finanzierte Spionage- und Sabotage-Gruppen unterwegs – sog. APT-Gruppen (Advanced Persistent Threat). Die nationale Herkunft dieser Gruppen kann meist nicht sicher belegt, aber plausibel vermutet werden.
Nun mag es sein, dass die deutsche Stromwirtschaft auf einem anderen Sicherheitsniveau steht als die russische. Dennoch gibt es strukturelle Parallelen, die deutlich machen, dass die Bedrohungsszenarien realistisch sind und unsere kritische nationale Infrastruktur dringend optimal geschützt werden muss. Doch wie kann ein einzelnes Unternehmen, eingebunden in ein nationales Versorgungsnetz, Eindringlinge abwehren, die über nahezu unbegrenzt Zeit und Ressourcen verfügen, um maßgeschneiderte Angriffspläne zu schmieden?
Besonderheiten der Energiewirtschaft
Die großen industriellen Kontrollsysteme für die Betriebstechnologien der Energiewirtschaft haben nur einen langsamen Innovationszyklus – viele von ihnen stammen aus einer Zeit, als es noch kein Internet gab und demnach Sicherungsmechanismen unnötig waren. Und Systemerneuerungen und Sicherheits-Patches sind schwierig durchzuführen, wenn die Anlage versorgungsrelevant ist und auf höchst-
mögliche Verfügbarkeit getrimmt wird.
Die häufig proprietären, geschlossenen Systeme können zwar nur mit hohem Aufwand manipuliert werden – schließlich verfügen sie ja über integrierte Redundanz, um katastrophale Pannen im Betrieb auszuschließen. Manche Systeme laufen auch schon so lange, dass nicht einmal der Betreiber selbst weiß, wie er noch in besondere Aspekte des Systems eingreifen kann. Wenn sie dann doch einmal ausfallen, müssen sie so kurzfristig ersetzt werden, dass moderne Sicherheitsvorkehrungen nicht mitgedacht werden – die höhere Priorität liegt dann auf der Aufrechterhaltung des geregelten Betriebs. Ausfallzeiten kosten schließlich viel Geld.
Typische Einfallstore für Angreifer
Viele Angreifer schreckt der hohe Aufwand nicht mehr ab. Sie fokussieren sich auf die unzähligen speicherprogrammierbaren Steuerungsmodule (SPS), die über das Einschleusen von spezifischen Geräten geknackt werden, deren Befehle dann von den Kontrollsystemen ausgeführt werden. Zunächst muss also der physische Zugang zu den Controllern verhindert werden, indem die Anlagen entsprechend gesichert werden.