Alle Erzeugungs- und Verteilungsanlagen sind potentiell gefährdet
Wie in keiner anderen Branche zeichnet sich die Energieversorgung durch eine Vielfalt der Akteure aus, die die gesamte Gesellschaft durchdringen. Die Energieversorgung ist die Lebensader unserer modernen Gesellschaft. Es gibt rund 746 Millionen private und gewerbliche Stakeholder in Europa allein.
Da gibt es den privaten Erzeuger auf seinem eigenen Dach. Darüber hinaus gibt es auch staatliche Institutionen als Investoren und Betreiber von Anlagen, sogenannte „Renewable Energy Plants“ (REPs).
Für alle ist die OT-Cybersicherheit eine Investition in den bestmöglichen Return on Investment.
ROSI als Bewertungsmaßstab
Denn trotz zunehmender Vorfälle bei kritischen Anlagen werden Investitionen in Cybersicherheit oft kritisch gesehen, der „ROSI (Return on Security Investment“) hat seine Tücken. Denn Cybersicherheit schafft keinen Wert für sich, aber sie erhält Werte! Die Rendite auf Sicherheitsinvestitionen ist daher nicht direkt messbar.
Der entsprechende Indikator für die Wirksamkeit von Cybersicherheitsmaßnahmen ist der Wert von „verhinderten Verlusten“. Dies ist jedoch ebenso schwer zu berechnen, denn erst wenn der Schaden eingetreten ist, kann er genau beziffert werden. Daher sind Benchmark-Werte hilfreicher.
So ergab eine groß angelegte Studie, dass Unternehmen mit einem soliden, ganzheitlichen Cybersicherheitsansatz die durch Cybervorfälle verursachten Schäden jährlich um 26 % senken konnten. In einer früheren Studie gaben Unternehmen mit starker Cybersicherheit an, dass sie in der Lage sind, 83 % aller Sicherheitsvorfälle zu erkennen und die Auswirkungen für etwa der Hälfte der Vorfälle auf weniger als 24 Stunden limitieren zu können. Im Vergleich dazu waren Unternehmen mit schlechterer Sicherheitslage nur in der Lage, bis zu 54% der Vorfälle zu erkennen. Und der Anteil der Betriebe, die länger als 24 Stunden lang Auswirkungen im Betrieb hatte, stieg deutlich auf 97 %.
Die teilweise negativ wahrgenommenen Auswirkungen von Investitionen in Cybersicherheit auf den ROI von REPs ist daher ggf. eine zu sehr vereinfachte Berechnung, wenn nur die Ausgaben für die Maßnahmen berücksichtigt werden. Im Rahmen des Risikomanagements sind die möglichen Verluste, die im Falle einer Schädigung eintreten würden, auch auf das Jahr bezogen zu sehen, das Alter der Anlagen und deren Laufzeit bzw. Laufzeit der Maßnahmen sollte ebenso berücksichtigt werden wie der Zeitpunkt des Schadens. Es gibt nun ausreichende Vergleichswerte aus gut dokumentierten Vorfällen, wie die „WannaCry“-Ransomware, die Kompromittierung der Lieferkette bei „SolarWinds“ oder der Angriff auf den ukrainischen Energieversorger „Ukrenergo“ im Jahr 2015 und 2016. In allen Fällen sahen sich die betroffenen Unternehmen mit zusätzlichen Kosten im mehrstelligen Millionenbereich konfrontiert. Darüber hinaus gibt es mögliche Bußgelder bei Nichteinhaltung der Cybersicherheitsgesetze.
Die Cybersicherheit von Erneuerbare-Energien-Anlagen – und insbesondere die Sicherheit der Operational Technology Networks (OT) – ist daher entscheidend für den Schutz der Kapitalrendite, der Anlagenverfügbarkeit und der Netzstabilität.
Wer sind nun die Stakeholder und was sind die Ziele?
Stakeholder | Ziel | Relevanz in der OT-Security |
Staat | Innere Sicherheit, Sozialer Frieden und Stabilität
| Verteidigung gegen feindliche staatliche Akteure, Vermeidung von großflächigen Blackouts |
Private Endkunden | „Ruhig schlafen“ | Störungsfreier Alltag und Gefühl der Geborgenheit |
Gewerbliche Endverbraucher | Erfolgreiches Geschäft | Gewährleistung der Versorgungssicherheit für Geschäftstätigkeit |
Private und kommerzielle Erzeuger | Rentabilität eigener REPs | Verfügbarkeit eigener REPs
|
Investoren | Schneller, positiver ROI | Schutz der Investition vor Scheitern, Schäden und Bußgelder
|
Anlagenbetreiber und Aggregatoren | Vermeidung von Mehrkosten | Verfügbarkeit von REPs, Integrität der Anlagendaten, Schutz vor Geldstrafen und Freiheitsstrafen |
Netzwerkbetreiber | Netzstabilität, Sicherheit Versorgung | Vermeidung von großflächigen Blackouts
|
Entsprechend vielfältig wie die Interessengruppen ist die Risikolandschaft von Erneuerbare-Energien-Anlagen (REPs). Sie reicht von geographisch bis hin zu technologisch oder geopolitischen Aspekten. Einige der Risiken können nicht gelöst werden. Sie bleiben als Restrisiko bestehen und können nur unter Kontrolle gebracht werden, indem wir sie überwachen.
Risikolandschaft von REPs
REP, insbesondere in großem Maßstab, werden an Standorten betrieben, die manchmal weit weg sind von jeder Zivilisation. Aber auch private Anlagen in Wohngebieten, die als virtuelle Kraftwerke betrieben werden, sind für die Betreiber aufgrund von Privateigentum nicht jederzeit zugänglich, das hat Grenzen. Dies macht es unmöglich, wasserdichte physikalische Sicherheit oder Cybersicherheit für diese Art der REPs zu schaffen. Angreifer haben genug Zeit, um einen REP auszukundschaften, in ihn einzubrechen und ihn zu manipulieren oder zu beschädigen.
Komplexität und Vereinfachung
REPs werden häufig mit bestehenden zentralen Energieanlagen und IT/OT-Systemen verbunden, die in der Regel wenig oder gar keine Cybersicherheitsmaßnahmen bieten. Diese historisch gewachsene Systemkomplexität würde eine strikte Segmentierung erfordern, um die unsicheren Systeme zu isolieren. Lokale OT-Netzwerke in REPs sind jedoch häufig so konzipiert, dass sie flach strukturiert sind, um die Komplexität zu reduzieren und eine stabilere Kommunikationsinfrastruktur zu haben.
Die flache Hierarchie führt zu einer geringen Möglichkeit der Segmentierung, dies erhöht damit das Risiko, dass Angreifer sich leichter durch das Netz bewegen (sowohl in seitlicher als auch vertikaler Bewegung).
Standortbedingungen
Diese sind zu beachten, denn schließlich wird ein großer Teil der digitalen Steuergeräte vor Ort betrieben, damit haben Eindringlinge in einer Windkraftanlage Zugang zu den lokalen speicherprogrammierbaren Steuerungen (SPS) und programmierbaren Automatisierungssteuerungen (PLCs) für die Energieerzeugung sowie auf SCADA-Systeme, meteorologische Datenerfassung und Maschinensteuerung. In Photovoltaikparks kann man auf die Wechselrichter, lokalen Steuergeräte und Netzwerkkabel zugreifen, wenn diese sich nicht in einer sorgfältig verschlossenen Station befinden.
Bei Feldanlagen spielen auch die individuellen Umstände eine Rolle bei der Sicherheit des Systems vor unbefugtem Zugriff, in Photovoltaikanlagen ist es nicht ungewöhnlich, dass Arbeitskabel frei auf dem Feld verlegt werden. Dort können sich Angreifer sich unbemerkt Zugang über Netzwerkabgriffe verschaffen. Und auch Offshore-Windkraftanlagen sind vor den Küsten schwer zu erreichen, aber nicht unerreichbar.
Internetverbindungen
Darüber hinaus wird die Schnittstelle zwischen dem REP und der zentralen Leitwarte zum Risiko, wenn die Kommunikation nicht über eine dedizierte Kabelverbindung erfolgt und stattdessen über das Internet. So gibt es immer noch Millionen von industriellen Edge-Geräten an abgelegenen Orten, die über das Internet über „Shodan“ und „Censys“ erreichbar sind.
„Shodan“ ist eine Computer-Suchmaschine, sie durchsucht das Internet nach öffentlich zugänglichen Geräten, die über mindestens einen offenen Port verfügen. Sie ermöglicht Benutzern, bestimmte Arten von Computern und Diensten (Webcams, Router, Server usw.), die mit dem Internet verbunden sind, über eine Reihe von Filtern zu finden. Sie kann dafür eingesetzt werden, um Systeme mit niedrigen Sicherheits-Vorkehrungen zu finden, einschließlich Steuerungssystemen für kritische Infrastruktur wie Wasseranlagen, Stromnetzen und Kraftwerken. Denn viele dieser Geräte verwenden triviale Authentifizierungskriterien, wie den Benutzernamen „admin“ und Passwörter wie „1234“. In vielen Fällen ist die einzige Software, die benötigt wird, um eine Verbindung zu diesen Systemen herzustellen, ein beliebiger Webbrowser. Das Tool hilft den Betreibern, Systeme zu finden, aber auch Kriminellen. Die Kritikalität, die sich daraus ergeben kann, liegt auf der Hand.
Auch „Censys“ ist hilfreich, das ist eine Internet Intelligence Plattform für Bedrohungsabwehr und Attack Surface Management. Censys gibt Sicherheitsteams eine umfassende und genaue sowie aktuelle Karte des Internets an die Hand, um Angriffsflächen zu verteidigen und Bedrohungen aufzuspüren.
Nicht zuletzt können private REPs auf Wohnungen oder Häusern Schnittstellen bieten, über die nicht nur die Besitzer, sondern auch Angreifer auf die Systemsteuerung zugreifen können. Das bedeutet, dass Angreifer unabhängig von ihrem Standort in die Systeme eindringen können, die nicht eine zentralen Sicherheitsarchitektur unterliegen.
Spezielle Anbieter
Daher haben sich zu diesen Themen der Energiebranche Unternehmen auf OT- Sicherheit spezialisiert und bieten passende Lösungen, um Risiken zu erkennen, ein Monitoring aufzubauen und mit der nötigen Leistung an Managed Detection und Response zu helfen. Ein passendes Angebot für die REP hat zum Beispiel die zu Landis & Gyr gehörende Rhebo ( https://rhebo.com/en/).
Fazit
Die ganze REP-Industrie ist schwerer schützbar als bisherige „Klassische Erzeugungsbetriebe“, wo Kraftwerke im Verhältnis in kleiner Anzahl und in gesicherten Standorten betrieben werden. Die Informationssicherheit der Anlagen ist daher mit erhöhtem Anspruch versehen, es ist von mehr Aufwand auszugehen auf der Seite aller Beteiligten. Die Erfassung der Komplexität, der Daten und die nötige Steuerung der Systeme ist – auch ohne Informationssicherheitsaspekte - anspruchsvoll. Jeder Beteiligte sollte sich daher Gedanken machen, was er beitragen sollte.
Der Aufbau eines Informationssicherheitsmanagementsystems (ISMS) auf Basis der ISO 27001 wäre eine empfehlenswerte Maßnahme für jeden Beteiligten, was mit Blick auf die involvierten Privatpersonen oder kleinen Erzeuger eine Herausforderung sein wird. Die bisher unter „KRITIS“ fallenden Unternehmen haben hierzu heute schon ihre Hausaufgaben gemacht, da sie ihren Betrieb sichern wollen oder gesetzlich (siehe EnWG etc.) verpflichtet sind, aber tausende weitere kommen hinzu und werden – auch im Licht von NIS2 – nachziehen müssen.
Ein ISMS wird entscheidend dabei helfen können, eine sichere Basis schaffen für unsere Energieversorgung.
Quellen:
Comments