Blackout-Schutz

Hacker-Angriffe auf das deutsche Stromnetz

| Autor / Redakteur: Gianluca De Lorenzis* / Ulrike Ostler

Hacker-Angriffe auf das deutsche Stromnetz: Gerade regionale Anbieter sind häufig nur unzureichend gegen Cyber-Angriffe geschützt.
Hacker-Angriffe auf das deutsche Stromnetz: Gerade regionale Anbieter sind häufig nur unzureichend gegen Cyber-Angriffe geschützt. (Bild: Pixabay / CC0)

Digitalisierte Energienetze werden schnell zum Einfallstor für Cyber-Attacken. Gerade regionale Anbieter sind häufig nicht vor Hackern geschützt. Damit solche Szenarien nicht in Deutschland eintreten, müssen Netzbetreiber dringend ihre Konzepte zur IT-Sicherheit überarbeiten.

Kurz vor Weihnachten 2015 in der westukrainischen Provinz Iwano-Frankiwsk: Eine Viertelemillion Haushalte sind plötzlich von der Stromversorgung abgeschnitten. Privatwohnungen, Unternehmen und öffentliche Einrichtungen bleiben teilweise tagelang ohne Elektrizität.

Vorausgegangen war laut US-Sicherheitsbehörden ein gezielter und orchestrierter Hacker-Angriff auf drei regionale Energieversorger. Der genaue Verlauf der Attacken konnte zwar bis heute nicht exakt rekonstruiert werden, Experten gehen allerdings davon aus, dass die Angreifer einen Schadcode eingeschleust und bösartige Befehle über einen direkten Fernzugriff ausgeführt haben.

Stromausfall wurde von Hackern verursacht

Sollte die Einschätzung zutreffen, handelt es sich bei dem Vorfall um den weltweit ersten bekanntgewordenen Stromausfall, der von Hackern verursacht wurde. Dass dieser Vorfall im Zeitalter staatlich gelenkter Cyber-Angriffe kein Einzelfall bleiben könnte, zeigt ein Bericht des US-Energieministeriums aus diesem Jahr (Transforming the Nation's Electricity System-The Second Installment of the Quadrennial Energy Review – Bericht des US-Energieministeriums, 2017), in dem explizit vor Angriffen auf kritische öffentliche Infrastrukturen wie Stromversorger oder Gaspipelines gewarnt wird.

Auch eine Studie des Weltenergierats in Zusammenarbeit mit den Rückversicherern Swiss Re und Marsh & McLennan (The road to resilience: Managing cyber risks – Studie des Weltenergierats in Kooperation mit Swiss Re und Marsh & McLennan, 2016) zählt Cyber-Angriffe zu den wichtigsten Herausforderungen für die Energiewirtschaft und setzen diese auf eine Stufe mit Naturkatastrophen oder Bränden. Auch hierzulande verzeichnete die Europäische Agentur für Netz- und Informationssicherheit bereits 2014 (Annual Incident Reports 2014 – Bericht der Europäische Agentur für Netz- und Informationssicherheit (enisa), 2015) einen deutlichen Anstieg von Trojaner-, Botnet- und Distributed Denial of Service- (DDoS-)Attacken auf Betreiber kritischer Infrastrukturen.

Gründe für den Anstieg

Ein wesentlicher Grund für diese Entwicklung ist die zunehmende Vernetzung sämtlicher Akteure auf dem Strommarkt. In modernen Netzen werden Stromerzeugung, -speicherung, -verteilung und -verbraucher in ein Gesamtsystem integriert und eine Daten-Kommunikation innerhalb dieses Netzwerks ermöglicht.

Deutlich wird dies am Beispiel der Photovoltaikanlage auf dem Dach eines Wohnhauses. Um den dort erzeugten Strom in das Netz einzuspeisen und an der Strombörse verkaufen zu können, werden mehrere dezentrale Erzeugungseinheiten in einem „virtuellen Kraftwerk“ zusammengeschlossen und von einer zentralen Netzleitwarte aus gesteuert. Zur Anpassung der Verkaufspreise und der Einspeiseleistung an Bedarf und Nachfrage, sind an den Schnittstellen zum Energienetz smarte Komponenten im Einsatz.

Moderne Energienetze, so genannte Smart Grids, bestehen deshalb heute aus einer Vielzahl IT-basierter Komponenten, von der klassischen Informationstechnologie, wie PCs und Servern über Kommunikations- und Netzwerktechnik bis hin zu intelligenten Zählern oder mobilen Anwendungen. Die klare Abgrenzung zwischen Versorgungs- und IT-Netz löst sich dadurch immer weiter auf. Das ermöglicht zwar einerseits eine bessere Steuerung von Verbrauch und Kapazitäten, vergrößert jedoch andererseits die Angriffsfläche für Cyber-Attacken, insbesondere auf Geräte-Ebene.

Neue Einfallstore für Cyber-Angriffe auf das Energienetz

Dieser radikale Umbruch in der Systemlandschaft wird in den kommenden Jahren noch weiter voranschreiten. Denn durch die Anbindung weiterer Elemente, etwa aus Smart City- oder Smart Home- Umgebungen, wächst das Smart-Grid-Ökosystem immer weiter an und schafft neue Einfallstore für Cyber-Angriffe auf das Energienetz. Die Situation ist vergleichbar mit den Anfangszeiten des WLANs, als Millionen von PCs plötzlich ungeschützt am Netz hingen.

Heute sind es Industrie-Anlagen, wie Umspannwerke, Pipelines oder Biogasanlagen, die, etwa über ungesicherte Industriesteuerungssysteme (ICS), Zugang zum Netz haben (siehe: Wie wir Wasserwerke im Internet entdeckten – Beitrag der Aktivistengruppe internetwache.org, 2016). Auch im Fall des durch Hacker herbeigeführten Stromausfalls in der Ukraine könnten die Angreifer über das Industriesteuerungssystem (ICS) per VPN-Verbindung bösartige Befehle ausgeführt haben.

Dass Vorfälle, wie die Attacke auf den ukrainischen Netzbetreiber auch in Deutschland möglich sind, zeigt das Beispiel der Stadtwerke Ettlingen. Im Jahr 2014 drang ein Hacker-Team im Rahmen eines Penetrationstests in die Leitstelle des Unternehmens ein und übernahm sicherheitsrelevante Kontroll- und Steuerfunktionen.

Das IT-Sicherheitsgesetz

Die Bundesregierung hat mittlerweile auf das gestiegene Sicherheitsrisiko reagiert: So enthält das im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz eine Pflicht zur Einführung von technischen und organisatorischen Mindestmaßnahmen sowie Meldepflichten im Fall von Cyberangriffen auf kritische Infrastrukturen.

Zum Nachweis darüber, dass die Anforderungen des IT-Sicherheitskataloges korrekt umgesetzt wurden, haben die Betreiber von Energieversorgungsnetzen bis zum 31. Januar 2018 Zeit, ein Informationssicherheits-Management-System (ISMS) gemäß DIN/IEC 27001 einzuführen und zu zertifizieren. Ein knappes Jahr vor Ablauf der Frist fällt die Bilanz durchwachsen aus. Gerade kleinere Energieversorger, wie etwa Stadtwerke haben teilweise große Schwierigkeiten bei der Umsetzung der gesetzlichen Anforderungen im Rahmen des ISMS, wie etwa eine Studie aus dem Jahr 2016 belegt (siehe: Informationssicherheit: Sind die Energieversorger schon ISMS-ready? – Studie der Unternehmensberatung Axxcom, 2016). Vor allem personelle und finanzielle Engpässe gefährden dort oftmals die frist- und fachgerechte Umsetzung.

Dabei wird oft übersehen, dass die Einführung des ISMS alleine noch keinen adäquaten Schutz von Cyber-Angriffen gewährleistet. Richtig implementiert, kann es zwar dazu beitragen, Sicherheitsrisiken besser zu erkennen und diese durch entsprechende Prozesse zu managen.

Jedoch erst die konkrete Umsetzung von technischen Schutzmaßnahmen erhöht tatsächlich die IT-Sicherheit im Unternehmen. Beim Aufsetzen und Betreiben der dafür notwendigen Soft- und Hardware-Lösungen bietet das ISMS leider keine konkrete Anleitung oder Unterstützung. Betreiber von kritischen Infrastrukturen sind daher weitgehend auf sich gestellt.

5 Punkte, ein Smart Grid abzusichern

Um dennoch eine wirksame Sicherheitsinfrastruktur aufzubauen, sollte man bei der Planung der Sicherheitskonzepte fünf zentrale Punkte beachten:

  • 1. Zukunftssicher planen: Die Grundlage eines effektiven Sicherheitskonzepts bildet zunächst eine umfassende Situationsanalyse, welche den individuellen Schutzbedarf der unterschiedlichen Geschäftsbereiche sowie potenzielle Schwachstellen in der Netzwerkinfrastruktur identifiziert. Dazu sollten sämtliche Anwendungen, Systeme und deren Verbindungen, die von Angriffen betroffen sein könnten und die Versorgung gefährden, in einem Netzstrukturplan zusammengefasst werden.
    Wichtig dabei: Ein solcher Plan sollte auch zukünftige Anforderungen berücksichtigen und im Einklang mit der Unternehmensstrategie stehen – etwa im Hinblick auf eine geplante Öffnung des Netzes für Smart Home Anwendungen. Neben technischen Aspekten umfasst die Situationsanalyse allerdings auch die Sichtung und Überprüfung der personellen und finanziellen Ressourcen sowie der Rollenbeschreibungen und Verantwortlichkeiten im Unternehmen. Auf dieser Basis können im nächsten Schritt konkrete Schutz- und Abwehrmaßnahmen definiert und ein belastbarer Investitionsrahmen festgelegt werden.
  • 2. Szenarien durchspielen: Der ermittelte Schutzbedarf in den einzelnen Bereichen bildet die Basis für eine konkrete Sicherheitsstrategie für das Gesamtunternehmen. Hierbei sollte man sich allerdings nicht nur auf den technologischen Aufbau der Sicherheitsinfrastruktur konzentrieren. Genauso wichtig ist es, Cyberangriffe als Szenario oder Simulation durchzuspielen und darüber festzulegen, welche Prozesse im Rahmen eines Notfall-Maßnahmenplans greifen müssen.
    Dies beginnt mit dem Aufbau eines funktionierenden Monitoring-Systems, durch das Anomalien im Netz möglichst früh erkannt und entsprechende Schutzmaßnahmen rechtzeitig eingeleitet werden können. Vor allem der enge Austausch mit den Behörden, wie etwa der Bundesnetzagentur, ist hierbei ein entscheidendes Erfolgskriterium. Darüber hinaus legt der Maßnahmenplan Eskalationsstufen sowie konkrete Handlungsanweisungen und Rollenzuteilungen für den Fall eines tatsächlichen Cyber-Angriffs fest.
    Dies umfasst die Einleitung von Schutzmaßnahmen – etwa die Abkopplung einzelner Bereiche vom Unternehmensnetz – ebenso wie Meldepflichten in- und außerhalb des Unternehmens, bis hin zur PR-Strategie, also dem kommunikativen Umgang mit einem solchen Vorfall in der Öffentlichkeit; das gilt insbesondere dann, wenn die Bevölkerung direkt von einem Vorfall betroffen ist, etwa bei einem flächendeckenden Stromausfall. Ziel ist die Entwicklung eines Gefahrenabwehrplans nach dem Vorbild von Militär und Katastrophenschutz, der im Ernstfall effiziente und effektive Handlungsabläufe sicherstellt.
  • 3. Netzwerksicherheit nach außen erweitern: Eine besondere Herausforderung bei der Absicherung von modernen Energienetzen ist die Erosion der klassischen, zentral gesteuerten IT-Infrastruktur hin zu heterogenen Systemen. Durch die zunehmende Zahl dezentraler, vernetzter Energieerzeugungseinheiten, die an das zentrale Strom- oder Gasnetz angebunden sind, erweitert sich das Handlungsfeld der Schutzmaßnahmen hin zur Geräte-Peripherie. Energieversorgungsunternehmen müssen dieser Entwicklung Rechnung tragen, indem sie die Sicherheit der von ihnen eingesetzten Komponenten erhöhen und die Zugänge zu ihrem Zentralnetz besser kontrollieren.
    Unter dem Stichwort Edge-Security sollten IT-Verantwortliche die gesamte Sicherheitsarchitektur sowie die dazugehörigen Maßnahmen anpassen, weg von „Schützen und Verteidigen“ hin zu „Eindämmen und Kontrollieren“. Wie das konkret aussehen kann, zeigen beispielsweise die Empfehlungen des ICS-Cert, einer Einheit des US-Heimatschutzministeriums für Cyber-Sicherheit bei ICS-Systemen als Reaktion auf den Hackerangriff in der Ukraine (siehe: Cyber-Attack Against Ukrainian Critical Infrastructure – Bericht des US-Heimatschutzministeriums zum Vorfall in der Ukraine).
    Demnach wird empfohlen Steuerungsnetzwerke von unsicheren Netzen isolieren, vor allem vom Internet. Zudem sollten Betreiber solcher Anlagen alle nicht benötigten Ports schließen und alle nicht benötigten Dienste abschalten. Zudem sollte der Fernzugriff auf die Systeme, wo immer möglich, begrenzt werden. Durch die Einrichtung einer Datendiode (One-way-Gateway) kann verhindert werden, dass beispielsweise Steuerbefehle von einem Netz mit niedrigem Schutzbedarf (Office-Netz) in ein Netzwerk mit hohem Schutzbedarf (ICS-Netz) übertragen werden. Auf der anderen Seite kann bei umgekehrter Positionierung der Abfluss von vertraulichen Informationen aus einem Netzwerk mit hohem Schutzbedarf verhindert werden.
  • 4. Professionelle Hilfe annehmen: Gerade kleinere Netzbetreiber, wie etwa Stadtwerke oder andere regionale Anbieter, verfügen oft nicht über ausreichende personelle oder finanzielle Ressourcen, um den Auf- und Ausbau ihrer Sicherheitsinfrastruktur komplett in Eigenregie zu stemmen. Alleine bei der verpflichtenden Einführung des ISMS müssen Unternehmen mit einer Dauer von zwölf bis 18 Monaten und einem Investitionsvolumen von weit über 100.000 Euro rechnen. Zudem fehlt in zahlreichen Betrieben das nötige Fachwissen im Bereich IT-Sicherheit, um entsprechende Sicherheitskonzepte tatsächlich umzusetzen und langfristig zu unterhalten.
    Ein entsprechender Know-how-Transfer kostet viel Zeit, die Unternehmen angesichts der drohenden Gefahr nicht haben. Der Aufbau eines Sicherheitskonzepts ohne fremde Hilfe ist daher etwa so, als würde man versuchen sich selbst das Schwimmen beizubringen, während man bereits im Wasser treibt. Noch bevor Unternehmen teure Investitionen zum Aufbau von Teams und Techniken tätigen, sollten sie daher genau prüfen, welche Elemente in der Sicherheitsinfrastruktur an externe Dienstleister ausgelagert werden können.
    Ein Beispiel ist der Cloud-basierte Notfallwiederherstellungsdienst „Azure Site Recovery“ von Microsoft. Statt des Aufbaus eines zweiten, physischen Datencenter, können Workloads darüber in der Cloud gespiegelt und bei Ausfällen automatische wiederhergestellt werden. Zudem werden sämtliche Daten verlässlich verschlüsselt. Der Aufwand, um einen gleichwertigen Schutz ausschließlich mit eigenen Mitteln zu realisieren wäre extrem hoch.
  • 5. Faktor Mensch berücksichtigen: Neben den technischen Voraussetzungen für den Schutz ihrer Systeme, müssen Unternehmen im Energiesektor auch auf Ebene der eigenen Mitarbeiter ansetzen. Denn, nach wie vor sind Social Engineering Methoden der beliebteste und meist auch der effektivste Weg, um in ein abgesichertes Netzwerk einzudringen. So auch im Fall der ukrainischen Stromnetzbetreiber: Dort setzten die Hacker laut US-Heimatschutzministerium Spear Phishing E-Mails ein, um die Systeme mit einem Malware-Toolkit zu infizieren und sich Zugangsberichtigungen zu den Steuerungseinheiten zu beschaffen.
    Das Programm war in einem manipulierten Word-Dokument enthalten, das als E-Mail des ukrainischen Parlaments getarnt war. Das Beispiel macht deutlich, wie wichtig es ist, auch Mitarbeiter außerhalb der IT-Abteilungen durch regelmäßige Schulungen und verbindliche unternehmensweite Vorgaben für den Umgang mit nicht vertrauenswürdigen Quellen zu sensibilisieren.
    Anhaltspunkte für den richtigen Umgang mit sicherheitsrelevanten Unternehmensdaten liefern dabei existierende Regelwerke, wie das BDSG oder der IT-Grundschutzkatalog des BSI. Um sowohl den technischen Entwicklungen, als auch den neuen gesetzlichen Vorgaben Rechnung zu tragen, sollten solche Mitarbeitertrainings und -schulungen laufend angeboten und regelmäßig aktualisiert werden.

Fazit: Der flächendeckende Stromausfall in der Ukraine zeigt exemplarisch das Risiko und die fatalen Folgen von Cyber-Angriffen auf das Energienetz. Um einen ähnlichen Fall in Deutschland zu verhindern, müssen Unternehmen ihre Sicherheitskonzepte sowohl prozessual, als auch technologisch an die Anforderungen moderner, intelligenter Stromnetze anpassen.

Die Umsetzung des ISMS alleine reicht hierfür nicht aus. Vielmehr müssen Unternehmen technische Maßnahmen ergreifen und entsprechendes Know-how aufbauen oder zukaufen, um auch zukünftig vor Angriffen auf das Smart Grid geschützt zu sein. Hierbei ist auch der Staat gefordert, Unternehmen beim Aufbau einer entsprechenden Sicherheitsinfrastruktur noch stärker zu unterstützen – sei es durch Expertenwissen oder finanzielle Subventionen.

Hinweis: Der Text wurde im Original zunächst in derElektronik Praxisveröffentlicht.

* Gianluca De Lorenzis ist Gründer und CEO der FGND Group und arbeitet seit mehr als 20 Jahren als Management Consultant, Projektmanager, Entwickler und Infrastruktur-Spezialist in der IT-Branche.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44667373 / Software)