Kürzlich war die Schlagzeile zu lesen, Windkraftanlagen seien schlechter gesichert als E-Mail- Konten: Was bedeutet das für Windparkbetreiber? Welche Gefahr droht ihnen?
Michael Tenten: Ältere Windparks werden heute zum Beispiel aufgrund entsprechender Vorgaben kurzfristig internetfähig gemacht, während die dort verbaute Technik oft noch einen veralteten Stand hat und damit sehr anfällig für Hackerangriffe ist. Digitalisierungsprozesse führen zudem in der Regel zu einer Zentralisierung von Zugriffswegen und Betriebsdaten. Ein schlecht geschützter Windpark kann sich so zu einem Sicherheitsproblem für die interne IT-Infrastruktur des Betreibers entwickeln. Hacker nutzen in der Regel den Weg des geringsten Wiederstandes. Eine unzureichend geschützte Windkraftanlage ist ein entsprechend gutes Angriffsziel. Die Worst-Case-Szenarien: Stillstand der Anlage, Stillstand der eigenen operativen IT-Infrastruktur.
Welche Motive haben Hacker für ihre Angriffe auf Windkraftanlagen?
Tätergruppen kommen oft aus dem Bereich der organisierten Kriminalität. Den Angreifern ist meist gar nicht klar, dass es sich bei dem grade anvisierten Ziel um einen Windpark handelt. Speziell entwickelte Programme durchkämmen das Internet ununterbrochen nach möglichen Systemen mit Schwachstellen, die im nächsten Schritt angegriffen werden.
Je nach Angriffsmethode verspricht man sich Möglichkeiten der finanziellen Bereicherung. Auch Angreifer aus dem Bereich der Wirtschaftskriminalität sind denkbar. Hier kann es etwa um Bereicherung durch Veräußerung von gewonnenen Informationen gehen. Größere zusammenhängende Bereichen wie beispielsweise Transportnetze können dabei kritische Einrichtungen eines ganzen Landes durch Sabotage schädigen - Stichwort Blackout.
Hier sind die Angreifer eher im Umfeld regierungsnaher Einrichtungen oder dem Militär zu suchen. Entsprechend werden dort Angriffe zur modernen Kriegsführung genutzt. Auch wenn einzelne Windparks nicht die Versorgungssicherheit des Landes beeinflussen, muss man hier doch eindringlich davor warnen, sich deshalb in Sicherheit zu glauben. Schließlich ist jeder Windpark am Ende mit dem Versorgungsnetz verbunden.
Sie sagen, ein Bereich sei Bereicherung durch Betrug, Erpressung…: Wie soll man sich das bei einem Hackerangriff auf einen Windpark vorstellen?
Gefundene Schwachstellen, meist verursacht durch fehlende Updates oder veraltete Systeme werden gezielt angegriffen. Dabei sorgt beispielsweise eine Schadsoftware für eine Verschlüsselung des Systems mit einhergehender Zahlungsaufforderung.
Zahlt man, gibt es dennoch keine Garantie wieder Zugriff auf das System zu erhalten. Für den Windparkbetreiber besteht dann die Aufgabe darin, das geschädigte System möglichst schnell wiederherzustellen. Wenn es ein System getroffen hat, dessen Hersteller seit Jahren nicht mehr am Markt ist, kann das zu einer unlösbaren Aufgabe werden. Wir fingieren allerdings anfällige Systeme, um potentielle Täter anzulocken und ihr Vorgehen kennenzulernen.
Betrugsversuche zielen derweil auf kaufmännische Prozesse beim Betreiber selber ab. Über Methoden des sogenannten Social Engineering werden Mitarbeiter bewusst getäuscht und im Rahmen einer fingierten Geschichte zur Überweisung von mittleren bis hohen Geldbeträgen an kriminelle Organisationen aufgefordert. Solche Angriffe waren in den vergangenen zwei Jahren äußerst erfolgreich und laufen unter dem Begriff CEO Fraud.
Mit was muss ein Windparkbetreiber bei Schädigungen rechnen? Haben Sie da schon selbst Erfahrungen gesammelt?
Wenn beispielsweise die Kommunikation des Parks dauerhaft gestört ist, also keine Fernüberwachung durch den Betreiber möglich ist, dann muss der Windpark vom Netz genommen werden, mit entsprechender Auswirkung auf die Erträge. Im echten Arbeitsalltag konnten wir solche Schädigungen bislang abwenden.
Wir fingieren allerdings anfällige Systeme, um potentielle Täter anzulocken und ihr Vorgehen kennenzulernen. In dieser Laborumgebung, den sogenannten Honeypots, konnten wir allerdings schon viele Angriffe beobachten und unsere Abwehrmaßnahmen dahingehend anpassen. Das Bundesamt für Sicherheit in der Informationstechnik BSI hat in seinem IT-Grundschutzkatalog alleine 1.500 Maßnahmen zur Reduzierungen von Sicherheitsrisiken beschrieben.
Welche Maßnahmen sollten Windparkbetreiber ergreifen, um sich zu schützen?
Zunächst sollte man als Betreiber verinnerlichen, dass ein Schutz auf rein technischer Ebene nicht ausreichend ist. IT-Sicherheit muss man ganzheitlich betrachten. Neben technischen Fragen sind auch Aspekte der physikalischen Sicherheit wichtig.
Was hilft die beste Firewall im Windpark, wenn ich mir mit überschaubarem Aufwand direkten Zugang zur Anlage verschaffen kann? Am meisten unterschätzt wird allerdings das Thema organisatorische Sicherheit. Welche Risiken bestehen, mit welchen Auswirkungen ist zu rechnen? Was tun, wenn der Schadensfall eintritt? Das sind typische Fragen, auf die jeder Betreiber Antworten finden muss.
Allumfassenden Schutz gibt es leider nicht schlüsselfertig, auch wenn das von manchen Lösungsanbietern am Markt gerne so suggeriert wird. Um Ihnen hier ein Gefühl zu geben: Das Bundesamt für Sicherheit in der Informationstechnik BSI hat in seinem IT-Grundschutzkatalog alleine 1.500 Maßnahmen zur Reduzierungen von Sicherheitsrisiken beschrieben. Auch wenn nicht alle für einen Betreiber Anwendung finden, so bekommt man doch einen ganz guten Überblick über die Dimension des Themas.
Das ist ganz schön viel, was man beachten muss. Wo fängt man an?
Kleinere Schritte helfen den Anfang zu machen. Ich empfehle immer über ein konkretes Projekt den richtigen Einstieg zu finden, beispielsweise über die Erstellung eines IT-Notfallhandbuches, das dabei hilft, bei einem sicherheitsrelevanten Notfall richtig zu reagieren. Auch hier gibt das BSI gute Hilfestellung und methodische Ansätze. Ansonsten kann ich nur empfehlen: Windparkbetreiber sollten sich mit Gleichgesinnten vernetzen. Herausforderungen im Bereich der IT-Sicherheit wird man künftig nicht mehr selber bewältigen können.
-----
Dieses Interview wurde geführt von Nicole Weinhold, Chefredakteurin von Erneuerbare Energien.