Braucht die Energiewende ein Sicherheitsnetz?

Die Energiewende, ein Begriff, der bereits 1980 durch das Öko-Institut geprägt wurde, beinhaltet schon damals das heute hochaktuelle Thema „Wachstum und Wohlstand ohne Erdöl und Uran“. Dieser ist geprägt durch den Gedanken, von diesen damals omnipräsenten Energieträgern, bis zum Jahr 2050 unabhängig zu werden.

Was damals noch die Vision und Idee von Forschenden war, ist heute hochaktuell. Kontinuierlich steigende Energiepreise für fossile Brennstoffe, der 2011 beschlossene Atomausstieg der Bundesregierung als Reaktion auf die Reaktorkatastrophe im japanischen Fukushima und der daraus resultierende Ausbau regenerativer Energien führten letztendlich zum Status Quo der Energiewende, wie wir ihn heute kennen.

Dabei sind die meisten Entwicklungen als positiv zu beurteilen. Die Energiewende führte und führt zu einem klaren Umdenken in vielen Hinsichten, wirft jedoch weiterhin eine Vielzahl wichtiger Fragestellungen auf: Wie wird sich der Umgang mit endlichen Ressourcen verändern oder wie kann unser Klima und unser Planet durch neue Ideen und Technologien nachhaltig geschützt werden?

Die Energiewende brachte jedoch auch Themen in den Fokus, die bislang als selbstverständlich oder nicht relevant eingeschätzt wurden. Der Auf- und Ausbau regenerativer Energien, gewonnen durch Solar- oder Windenergie, führte zu einer Dezentralisierung der Erzeugung und damit zum Bedarf dezentralisierte Erzeugungsanlagen zentral steuern zu können. Netze müssen kontinuierlich ausgebaut werden, um z. B. aus den Erzeugungsregionen der Offshorewindparks, den dort gewonnenen Strom, automatisiert und effizient in die nachgefragten Regionen Deutschlands zu lenken.

Digitalisierung von Erzeugungspunkten, Netzen, Zwischenverteilern sowie Endverbrauchsstellen mit vielen und variantenreichen digitalen Mess- und Übergabepunkten sind die Grundvoraussetzungen, um die Energiewende voranzubringen und dafür zu sorgen, dass mithilfe von Innovation der bereits erzielte Fortschritt weiterhin vorangetrieben werden kann.

Doch wo Licht ist, ist auch Schatten. Digitalisierung bedeutet Vereinfachung durch bessere Erreichbarkeit. Die intelligente Vernetzung bedeutet ein erweiterter Zugang zu Daten. Die Sammlung und Verdichtung von Daten führen schlussendlich zu besseren Informationen und damit zu einer optimierten Kontrolle und Steuerung.

Herausforderung für Unternehmen

Diese Kontrolle und Steuerung von Anlagen erfolgt heutzutage nicht mehr analog, sondern digital und zentral. Wird im IT oder OT Bereich von digital gesprochen, ist letztendlich eine Vernetzung gemeint, die nach den Regeln eines Standards aufgebaut ist, der bereits in den frühen 1970ern etabliert wurde (TCP/IP).

Moderne Technik und Steuerungselektronik trifft hier auf ein industrielles, traditionelles und analoges Umfeld mit Standards, die über 40 Jahre alt sind.

Eine weitere Herausforderung dieser technologischen Evolution ist, dass über die letzten Jahrzehnte hinweg Industrietechnik entwickelt, vermarktet und verbaut wurde, die das Ziel hatte, möglichst autark und zuverlässig zu arbeiten. Vernetzung, Digitalisierung und vor allem Sicherheit waren keine Maxime, um die es bei der Verbreitung und Implementierung ging.

Kritische Infrastrukturen, d. h. Stromerzeuger wie Windräder, kleinere Wasserkraftwerke, Umspannwerke, Wasserspeicher und Pumpstationen ebenso wie Gas- und Erdölpipelines werden heute mit Steuerungstechnik betrieben. Diese ist dezentral installiert und muss bestmöglich ohne Wartung funktionieren. “Ohne Wartung” bedeutet für die digitalen Komponenten, dass keine Updates möglich sind und damit keine Möglichkeit besteht, kritische Sicherheitslücken zu schließen.

Welche Gefahren können durch Sicherheitslücken entstehen?

Kriege und Konflikte werden zunehmend im Cyberraum geführt. Angriffe auf die kritischen Infrastrukturen eines Landes kann man von tausenden Kilometer entfernten Computern ausführen, ohne sich selbst in Gefahr bringen zu müssen und trotzdem die betroffene Infrastruktur und deren Nutzer stark zu beeinträchtigen.

Schaut man sich nun die Protagonisten in diesen asymmetrisch geführten Konflikten an, sind diese in drei Kategorien von Angreifern unterteilbar:

Typ1: Die Erpresser

a) Datendiebstahl

Diese Art der Angreifer versucht sich entweder durch Schwachstellen im Netzwerkperimeter oder durch gezieltes Verteilen von Schadsoftware an Rechnern des internen Netzwerks Zugriff auf weitere Rechner, Server oder Datenbanken zu verschaffen. Hier stehlen sie entweder Daten, um dann die betroffenen Firmen zu erpressen, oder sie bieten die Daten im Darknet zum Kauf an, insofern es sich um Material handelt, das die Konkurrenz interessieren könnte.

b) Verschlüsselung

Bei diesem Angriff, der letztendlich auf Erpressung (Ransomeware) abzielt, werden über einen kompromittierten Rechner innerhalb des Netzwerkes möglichst viele erreichbare Rechner, Server und Fileserver verschlüsselt und lassen sich meist nur gegen die Zahlung einer hohen Summe und nach Eingabe des richtigen Codes wieder entschlüsseln.

Typ 2: Die Idealisten

Dieser Typus von Angreifer hat keinen finanziellen Anreiz im Fokus. Der Beweggrund seines Angriffs ist eine möglichst hohe Aufmerksamkeit zu erzielen – entweder für sich selbst oder für ein von ihm idealisiertes Ziel, wie zum Beispiel politische Missstände oder Umweltverbrechen. Idealisten sind meist Einzeltäter, selten Gruppen oder Kollektive und somit sehr schwer berechenbar. Die Vergangenheit hat gezeigt, dass diese Täter oftmals mit einem erheblichen Maß an krimineller Energie, aber auch sehr profundem Wissen, unterwegs sind. Dies macht sie sehr flexibel bei Angriffen auf jegliche Art von Infrastruktur.

Typ 3: Staatliche Akteure

Die gefährlichste Gruppe ist die der staatlichen Akteure. Oftmals ausgestattet mit umfangreichen Ressourcen, Technologien und Zugang zu geheimem Wissen handeln diese Akteure in einem staatlichen Auftrag. Dabei muss es nicht um direkte Angriffe oder sichtbaren Schaden gehen, sondern der Angriff wird oftmals gezielt dazu genutzt, um Devisen durch Erpressung zu beschaffen (siehe Typ1), zur Manipulation und des Datenmissbrauchs.

Staatliche Akteure verfolgen langfristige Ziele. Sie möchten möglichst viele Systeme des Gegners kompromittieren, um entweder Informationen zu beschaffen oder im richtigen Moment angreifen zu können und so den gewünschten Schaden anzurichten.

Betreiber kritischer Infrastrukturen müssen wachsam sein

Betreiber kritischer Infrastrukturen sind im Jahr 2022 vermehrt in den Fokus von Angreifern geraten. Das liegt zum einen an der Tatsache,  dass veraltete Industrietechnik mit modernen Systemen kombiniert wird. Zum anderen geht es um die Unterbrechung der Handlungsfähigkeit im Betrieb. Sei es durch die Störung von kaufmännischen Prozessen, wie die Vermarktung von Energiedienstleistungen oder den Bezug und die Messung dessen.

Aktuell konzentriert sich dabei der größte Teil der Angriffe auf Typ-1 oder Typ-2 Angriffe, der Erpressung von Geld oder der Erzeugung von Aufmerksamkeit. Staatliche Akteure sind hier weniger präsent. Zum einen haben sie effektivere Möglichkeiten ihre Taten zu verschleiern, zum anderen agieren sie eher defensiv, um auf den richtigen Moment in der Zukunft zu warten.

Was aber hat dies nun mit der Energiewende zu tun?

Die Energiewende setzt zunehmend auf Dezentralität. Dort wo noch vor 10 Jahren 100 Großkraftwerke in Deutschland für die Stromversorgung zuständig waren und diese autark operierten, sind es heute viele tausend Erzeugungsanlagen, von Windkraftwerken, über PV-Anlagen bis hin zu Wasserkraftwerken, welche zwar dezentral Energie erzeugen, meist aber zentral gesteuert werden.

Ein weiterer und oft unterschätzter Faktor ist das synchronisierte europäische Stromnetz, welches Strom im Hochspannungsnetz quer durch alle Euroländer und abhängig von einzelnen Koppelstellen leitet. Eine Überlastung an einer solchen neuralgischen Stelle oder nicht verfügbare Netzkapazitäten, beispielsweise durch den Ausfall von Umspannwerken, kann bei einem Angriff eine Kettenreaktion auslösen. Ein solches Szenario bringt das gesamte System ins Schwanken und kann zu einem weiten, massiven Blackout führen.

Ist die Sicherheitsfrage damit beantwortet?

Der Schutz und die Gewährleistung der Sicherheit liegt damit nicht in den Händen von wenigen zentralen Verantwortlichen, sondern bei jedem Akteur selbst, der an diesem Energieerzeugungs- und Transportverbund beteiligt ist.

Die Erfahrung der letzten Jahre hat gezeigt, dass die Unternehmen sensibler im Hinblick auf das Thema Sicherheit werden und auch bereit sind, mehr Geld in Sicherheitsinfrastruktur und Sicherheitsprozesse zu investieren. Dennoch bleiben immer noch viele Faktoren unberücksichtigt.

Was nützt das beste System, wenn die Mitarbeitenden nicht ausreichend sensibilisiert sind und der Faktor Mensch im Unternehmen das größte Risiko darstellt? Was nützt eine gute Automatisierung und durch künstliche Intelligenz (AI) gestützte Angriffserkennung, wenn keine Prozesse definiert sind, wie mit einem Angriff umzugehen ist?

Unseren Lösungsansatz erfahren Sie im nächsten Blogartikel dieser Reihe.