28.10.2022
IT-Sicherheit, Energie, IT-SA: Hacker lieben Infrastruktur
Ein Messe-Bericht von Heinz Wraneschitz
Spätestens seit Ende Februar 2022 sollte eigentlich auch allen Betreiber:innen von Erneuerbare-Energien-Anlagen klar sein: Sie müssen ihre IT besser schützen. Kurz nach Putins Befehl an seine Armee, die Ukraine völkerrechtswidrig zu überfallen, fiel auch die Kommunikation zu Tausenden von Enercon-Windrädern aus.
Heute ist bekannt, warum: die Satelliten, über die die Windräder gesteuert und überwacht wurden, wurden auch von ukrainischen Sicherheitsbehörden benutzt. Und offenbar waren diese im All stationierten Sendeempfänger von interessierter – also wohl russischer - Seite gehackt und abgeschaltet worden.
„Kollateralschaden“ bei Windparks
Die Netzpolitikseite www.Futurezone.at spricht von „Kollateralschaden. Denn betroffen sind europaweit rund 30.000 Satellitenterminals, die von unterschiedlichen Branchen genutzt werden.“ Darunter war eben auch der Windkrafthersteller Enercon. Erst einen Monat später hieß es: Dessen Wartungsdienst habe immerhin 1.101 Windparks wieder im Griff – zu 193 Parks war damals die Kommunikation immer noch gestört.
War Enercon etwa nicht vorbereitet auf die Möglichkeit, dass Hacker IT-Netzwerke angreifen könnten? Und hat Elon Musk aus Angst, Russland könnte die von ihm betriebenen Satelliten weiterhin unter IT-Beschuss nehmen, im Oktober der Ukraine die Unterstützung durch die Mitnutzung jener Satelliten entzogen? Denn die gehören zum Imperium von Tesla-Eigner Musk.
IT-SA für Energieleute – aber ohne sie?
Aber womöglich erinnert sich in der Erneuerbaren-Branche inzwischen kaum mehr jemand daran. Denn sonst müsste es ja auf der größten IT-Sicherheitsmesse Europas, die IT-SA in Nürnberg, nur so wimmeln von Datenmanagern, die für Wind-, Wasser-, Biogasanlagen zuständig sind; von Datensicherheitschefs lokaler, regionaler, internationaler Energienetzbetreiber. Doch zumindest nach außen erkennbar waren sie nicht.
Gut, offene IT-Sicherheitsflanken sind etwas, das Firmen nicht gerne preisgeben. Vielleicht waren die Firmenvertreter:innen deshalb ja undercover auf der IT-SA unterwegs. Ganz leicht auf der Messe zu finden war dagegen der Stand des Bundesnachrichtendienstes BND. Auch wenn die staatlichen Schlapphüte keine solchen aufhatten: sie waren nicht da, um Hilfe anzubieten, sondern „um Personal zu akquirieren“.
Und da waren sie natürlich auf der IT-SA richtig. Hier waren wieder zig Firmen zu finden, die sich quasi als „Weiße Ritter“ sehen in der Hackerszene. Penetrationtests hatten viele im Angebot, also den bewussten Angriff auf ein Firmennetz, um die Lücken herauszufinden, über die sich die „bösen Hacker“ einschleichen könnten. Ein „Guter“ ist die in Flensburg ansässige „Deutsche Gesellschaft für Cybersicherheit“, kurz DGC. Die will „das Bewusstsein für Cyber Security schaffen“, unter anderem durch das kostenlose Online-Angebot, auf die Schnelle einen Überblick über die IT-Sicherheit der eigenen Webseite zu bekommen.
Während dieser Scanner bei www.dgs.de keine einzige kritisch oder hoch bewertete Schwachstelle findet, wird die Anzeige bei www.enercon.de gleich puterrot – wegen „drei kritisch, zwei hoch bewerteter Schwachstellen“. Hat also Enercon seit Februar nichts für die IT-Sicherheit getan? Leider bekamen wir bis Redaktionsschluss trotz unserer Bitte keinen Rückruf vom Windhersteller.
Bei DGC bietet übrigens ab 399 Euro monatlich an, die offenen Flanken von Firmen laufend zu überwachen „mit externen und internen Scans“, wie es am Stand heißt. Das Angebot werde auch von kleineren Energieunternehmen gut angenommen. Immerhin könnten die sie dann die eigene IT-Sicherheitsfachkraft einsparen, lautet die Begründung.
Weil die größere Energiewirtschaft sich bei Sicherheitsfragen ohnehin oft an die TÜVs dieser Republik wendet, hat der TÜV Rheinland mit i-sec einen eigenen Bereich für die Cybersicherheit gegründet. Und das schon vor 20 Jahren, wie es heißt. Ganzheitlich sei das Angebot, sagt Wolfgang Strobel, „weil wir nicht bei der Beratung aufhören, sondern auch Lösungen einschließlich der Hard- und Software anbieten“. Schon „diversen Stadtwerken und Netzbetreibern“ habe man „auf dem Weg zur KRITIS-Zertifizierungsreife geholfen“. Die Zertifizierung wiederum macht beispielsweise der TÜV Nord, der auch auf der IT-SA vertreten war.
KRITISche Energie-Infrastruktur
Zertifizieren lassen müssen sich nach dem hiesigen IT-Sicherheitsgesetz 2.0 Firmen, die zu den „kritischen Infrastrukturen“ (KRITIS) zählen. Es soll nämlich nicht zum Ausfall eines KRITIS-Unternehmens und dadurch nachhaltigen Versorgungsengpässen kommen und so die öffentliche Sicherheit in Gefahr geraten, lautet die Begründung für das Gesetz. Deshalb ist eigentlich nicht erwähnenswert, dass der Sektor Energie zu KRITIS zählt.
Gesetzliche KRITIS-Vorgaben im Energiesektor zu erfüllen, dabei hilft aber auch gerne genua. Deren „cognitix Threat Defender“ erkennt Analogien im Datenverkehr, Künstliche Intelligenz vom Feinsten also. Im Übrigen stimmt bei dieser Firma aus Kirchheim bei München der Anspruch „Security Made in Germany“ 100-prozentig. Denn die genua GmbH ist – wer hätte das gedacht – eine Tochter der Bundesdruckerei.
Vielleicht sind aber zuerst Schulungen notwendig, um bei Mitarbeitenden das Bewusstsein um IT-Sicherheitslücken in der Energieversorgung zu bekommen. Zum Beispiel im „Lernlabor Cybersicherheit für die Energie- und Wasserversorgung“ des Fraunhofer-Institutsteils AST in Ilmenau.
Das Team um Steffen Nikolai hat aber zudem einen „Cyber-Resilienz-Monitor“, kurz CyReM im Angebot. Auch wenn die Standausrüstung ausschaut wie Spielzeug: „An solchen Demonstratoren können wir zeigen, wo das Netz oder die Anlage angreifbar ist“, erklärt er. Daraus können Abwehrstrategien entwickelt und CyReM in die Systeme integriert werden.
Der Name hört sich staatstragend an: Deutsche Cyber-Sicherheitsorganisation. Tatsächlich aber ist DCSO eine GmbH, 2015 gegründet von Allianz, BASF, Bayer und VW, um „gemeinsam gegen organisierte Cyberkriminalität und Wirtschaftsspionage“ vorzugehen. Und weil die Vier große Marktmacht haben, können sie auch von ihren Lieferanten fordern, die eigenen IT-Sicherheitsstandards denen der DCSO anzupassen. Kosten: Nicht bekannt.
Kostenfreie Angebote – aber nicht alle für alle
Kostenfrei dagegen arbeitet enisa. Doch diese Agentur der EU für Cybersicherheit „unterstützt nur die Mitgliedsstaaten bei der Implementierung der Sicherheitsregularien und bei der Aufarbeitung erfolgter Angriffe“. Um Behördennetze und -infrastrukturen sicherer zu machen, dabei helfen die Landesämter für Sicherheit in der Informationstechnik wie das LSI Bayern.
Aber selbst für kleine und mittlere Unternehmen (KMU) gibt es kostenfreie Hilfe, um höhere Cybersicherheit zur erlangen. Natürlich auch, wenn es um IT-Systeme im kleineren Energiebereich geht. Denn Hacker lieben Infrastruktur – vom Atomkraftwerk bis zur kleinen PV-Anlage mit Datenübertragung per W-LAN. Fabian Nißing vom Bundesamt für Sicherheit in der Informationstechnik BSI begründet: „Wenn etwas passiert ist, ist es zu spät.“ Das BSI hat deshalb die Allianz für Cybersicherheit ins Leben gerufen
Die Anmeldung ist kostenfrei und recht einfach möglich für Firmen, aber auch Freiberufler:innen mit Sitz in Deutschland. Neben dem internen Austausch im Kreise ähnlich strukturierter Mitglieder der Allianz biete die zum Beispiel Vorträge zu kritischer Infrastruktur oder den jährlichen Cybersicherheitstag an – alles ohne Verpflichtung, wie Nißing betont.
Und wenn es schon zu spät ist, also die IT durch Hacker oder Viren außer Gefecht? Dann gibt es für Verbraucher wie Unternehmen beispielsweise „die Hotline Digitale Rettungskette des Cyber-Sicherheitsnetzwerks“, laut Dustin Kernke ebenfalls ein kostenfreies Angebot des BSI. Aber die Kontaktaufnahme muss dann zwangsläufig per Telefon geschehen (0800-274 1000).
Um das zu vermeiden, empfiehlt sich, was als Motto der IT-SA 2022 überall zu lesen war: „Hit Hackers Hard“ – möglichst vorsorglich.
PS: Wie die Zeitung für Kommunale Wirtschaft am 27.10.22 berichtet, haben „Hacker den Regionalversorger Enercity www.enercity.de angegriffen. Die Sicherheitssysteme haben jedoch reagiert und größeren Schaden abgewendet. Dennoch ist der Kundenservice beeinträchtigt. Zuvor waren bereits mehrere IT-Dienstleister und Stadtwerke-Töchter attackiert worden.“