13.10.2023
Das Böse ist immer und überall – auch in Energienetzen
Ein Bericht von Heinz Wraneschitz
„Ach was muss man oft von bösen Menschen hören oder lesen! Wie zum Beispiel hier von diesen, welche Datendiebe hießen.“ Nein, das stammt nicht 100%ig von Wilhelm Busch, sondern ist nur angepasst. Doch weiß auch die „EAV“ aus Österreich heutzutage: „Das Böse ist immer und überall.“ Und das nicht mehr nur beim Banküberfall, sondern seit internetten Zeiten auch und immer mehr im weltweiten Netz. Und dagegen hat auch Falcos „Kommissar“ keine Waffen parat. Denn dieser Kommissar geht bekanntlich nur um, aber eben nicht hinein ins dunkle Datennetz.
Zudem: All diese Dichter hatten und haben wohl keine Ahnung, wie Hacker und Hackerinnen heutzutage auf der Lauer liegen. Diese „Bösen Buben“ (und Mädchen?) wollen entweder an kritische Daten kommen, oder kritische Infrastrukturen – inzwischen KRITIS genannt - bei Bedarf stilllegen.
Auf der Nürnberger Sicherheitsmesse IT-SA aber, da findet man jede Menge Firmen, die über diese „Bösen“ (fast) alles wissen. Und die eben genau die Sicherheit versprechen, die zum Beispiel in der Energiewirtschaft unbedingt benötigt wird, um Menschen und Firmen ohne Unterbrechung 365 Tage lang je 24 Stunden mit Strom versorgen zu können.
Energie-Infrastrukturen stark im Blick
Immerhin bei 80 der heuer rund 600 Aussteller aus 31 Ländern werden zum Suchbegriff „Energie“ im Messekatalog gelistet. Denn die Energieversorgung ist eine der kritischen Infrastrukturen, kurz KRITIS, die durch §2 Abs. 10 des BSIG, das „Gesetz für das Bundesamt für Sicherheit (BSI) in der Informationstechnik“, reguliert sind.
Am 1. Mai dieses Jahres wurde eine ganze Reihe neuer Pflichten scharfgestellt, die das 2021 in Kraft getretene „IT-Sicherheitsgesetz 2.0“ auflistet. Eine davon: Unternehmen des KRITIS-Sektors müssen Systeme zur Angriffserkennung installiert haben. Auch wenn das nicht nur für die Energiewirtschaft gilt: Hier hat diese Vorschrift besonders hohe Auswirkungen. Denn für die Versorgung spielen gleich drei Netze wichtige Rollen: das für Kommunikation, jenes für die Stromübertragung, und außerdem das firmeninterne zur Abrechnung.
Auch wenn auf Nachfrage sowohl Gunnar Braun vom Verband Kommunaler Unternehmen VKU Bayern wie auch Detlef Fischer vom Bayerischen Verband der Elektrizitäts- und Wasserwirtschaft VBEW übereinstimmend erklären, ihre Mitgliedsunternehmen „sind seit Jahren sehr intensiv in diesen Prozessen engagiert“: Alles ist offensichtlich noch nicht „safe“. Aber – so Fischer: „Alle nehmen das Thema sehr, sehr ernst.“ Doch weder er noch Braun haben konkrete Zahlen parat, wie viele ihrer Mitglieder bei der Angriffserkennung aktuell noch nachschärfen müssen.
Sicherheit kostet und spart Geld
„Schludrige Abwehr von Cyberrisiken kann auch kleine Anlagenbetreiber ihre Existenz kosten, inklusive des Privatvermögens“, hat kürzlich das Fachmagazin E+M auf dem Anwenderforum Kleinwasserkraft erfahren.
Und auf der IT-SA wird unisono das bestätigt, was Patric Birr vom Stuttgarter Unternehmen ICS – Motto: „Think safe“ – erklärt: „Es kommen immer mehr Anfragen aus dem Energiesektor.“
Klar, dass sich die IT-Dienstleister freuen, wenn die gesetzlichen Vorschriften in Bezug auf Sicherheit steigen. Doch es scheint, als stünde nicht nur die Aussicht auf eigene höhere Einnahmen hinter dem mehrfach gehörten Wunsch nach noch mehr staatlicher Sicherheitsregulierung. „Die von betroffenen KRITIS-Firmen müssten sich eigentlich selbst fragen: Was kostet es uns, wenn die Produktion tot ist, was kosten neue Geräte?“ Max Gilg, in Rosenheim ansässiger „Sales Director KRITIS“ vom weltweit tätigen US-Dienstleister Claroty, erkennt in der Undurchschaubarkeit der Systeme bei allen gefährdeten Bereichen das größte Problem.
Gerade aber in der Energiewirtschaft brauche es „Visibilität, damit man überhaupt weiß, welche Geräte wo existieren – und welche Risiken dadurch entstehen“. So spricht Gilg von dort immer noch weit verbreiteten „alten Steuerungen, für die es nicht einmal mehr Ersatzteile gibt“. Oder von Druckern wie Rechnern, die noch mit Windows XP arbeiten: „Hier gilt auf jeden Fall: Die alten und neuen Systeme trennen. Sonst öffnet man den Zugang zu den modernen, sicheren Netzen.“
Fakt ist laut Gilg aber auch: Laut IT-Sicherheitsgesetz 2.0 müsse seit Mai 2023 für alle anfallenden Probleme Personal bereitgehalten werden, „um sofort zu reagieren, damit der Angriff abgewehrt wird“. Dafür aber brauchen viele Unternehmen der Energiewirtschaft externe IT-Sicherheits-Dienstleister. Denn, so Gilgs Meinung: IT-Personal sei knapp. Und auch wegen der tariflich fixierten Bezahlung im Öffentlichen Dienst gingen viele Fachleute offenbar lieber zu Privatunternehmen, die in der Bezahlung freier sind.
Steffen Nicolai vom „Lernlabor Cybersicherheit für die Energie- und Wasserversorgung“ am Fraunhofer-Institut IOSB in Ilmenau erkennt gerade bei kleineren Versorgern einen solchen Fach-Personalmangel. Und deshalb seien „Große sind meist zertifiziert, je kleiner, desto weniger ist umgesetzt“ vom IT-Sicherheitsgesetz 2.0. Auch aus diesem Grund forsche das IOSB intensiv daran, „wie die Prozesse mit weniger Personal umgesetzt werden können“. Per Software sollen dabei „Anomalien schneller erkannt werden“, was Personal sparen würde.
Dezentralität schwächt Sicherheit
Doch während bisher die Energiewirtschaft weitgehend zentral organisiert war, kommt es durch die Regenerative Stromerzeugung zu einer immer weiter gehenden Dezentralisierung. So sollen zum Beispiel Balkonsolaranlagen über längere Zeit betrieben werden – man geht hier wie in der Energiewirtschaft allgemein von bis zu 30 Jahren aus. Werde deren Kommunikationssoftware nicht laufend aktualisiert, könne die Gefahr der Infiltrierung von Schadsoftware bis hinein in andere Netze entstehen, ist auf der Messe mehrfach zu hören.
Gefahr könnte auch die künftige Ladeinfrastruktur für Elektroautos bringen: Es sollen ja die E-Mobil-Akkus sowohl ge- wie auch ins Netz entladen werden können. Dabei sind drei miteinander kommunizierende Netze gleichzeitig notwendig: Daten, Abrechnung, Strom.
Gut, dass sich wenigstens die Sicherheitsanforderungen fast überall auf der Welt gleichen. Max Gilg von der international agierenden Firma Claroty: „Die Strukturen sind ähnlich, die technischen Herausforderungen sind eigentlich identisch. Nur die Behörden reagieren in jedem Land unterschiedlich.“