von Ryan Brichant, Vice President und Chief Technology Officer of Global Critical Infrastructure Cyber Security bei ForeScout Technologies
Strom kommt aus der Steckdose – so weit so gut. Zudem haben sich viele Nutzer bereits mit dem Thema Smart Home beschäftigt, allerdings denkt man noch zu wenig über die komplizierte Infrastruktur hinter Smart Grid nach. Denn sowohl Netzbetreiber, Energieproduzenten und Stromlieferanten nutzen bereits intelligente Bauteile, haben aber deren Absicherung nicht ausreichend bedacht.
Zu den entscheidenden Herausforderungen dieser Zeit gehört es, die vernetzten Strom-, Öl- und Gasnetze vor physischen und digitalen Störungen zu schützen. Dazu sind Maßnahmen notwendig, die nicht nur der Natur und Komplexität der Energieinfrastrukturen gerecht werden, sondern auch dem schnellen Wandel und den Anfälligkeiten des Internets sowie den vielschichtigen Aufsichtsmechanismen, die sich im Lauf der Zeit herausgebildet haben.
Für die politischen Entscheidungsträger, die Versorger und andere Interessengruppen wird die Energiesicherheit immer eine grundsätzlich „physische“ Angelegenheit bleiben, die mehr mit Rohstoffen zu tun hat als mit Computern. Es gibt strategische Reserven, die im Krisenfall zur Versorgung genutzt werden können. Die Verteilung von Öl, Gas, Kohle und andere Ressourcen kann in Notzeiten durch den Staat verteilt werden.
Dass Kohle-, Atom-, Wind-, Öl-, Solar- und andere Kraftwerke in der Lage sein müssen, unter allen Umständen zu arbeiten, ist eine legitime und kritische Frage der nationalen Sicherheit. Doch sollte man bei Debatten über die Zukunft des Energieportfolios stets unterstreichen, dass auch die Absicherung der vernetzten Systeme, die für die Energieversorgung unverzichtbar sind, strategische Priorität hat.
Die miteinander verwobenen rohstofflichen und internetbasierten Risiken für die Energiesicherheit rückten erst kürzlich wieder in den Fokus, als in den USA die Trump-Regierung einen Vorstoß unternahm, um die Netzbetreiber zu zwingen, stärker auf Kernkraft und Kohlekraftwerke zu setzen. Nach Ansicht des US Departments of Energy arbeiten diese Anlagen zentralisierter – da Kohlemeiler und Reaktoren vor Ort Energie erzeugen – und sind deshalb weniger anfällig für Störungen durch Cyberangriffe als beispielsweise die Erdgasinfrastruktur mit ihren enorm langen Rohrleitungen.
Die Reaktionen waren gemischt und kommen zu einer Zeit, in der das amerikanische Energieministerium und Innenministerium neue nationale Cybersicherheitsstrategien veröffentlicht haben. Beide fordern staatliche Stellen und die private Energiewirtschaft zu einer engen Zusammenarbeit auf, um unsere vernetzten Energiesysteme besser abzusichern.
Ein wesentlicher Grund dafür ist, dass der Aufstieg des IoT und industriellen IoT sowie die Risiken, die diese Geräte im Zusammenhang mit Energieressourcen darstellen können, den Betrieb von Stromnetzen und Pipelines gefährden. Dieses Argument trifft auch auf Deutschland und Europa zu, denn hierzulande erstrecken sich die Netze über gleich mehrere Länder über den EU-Raum hinaus.
Im Vergleich zur klassischen IT sind smarte Netzwerke ungleich schwieriger zu schützen. Im Unterschied zum Industriebereich gibt es zwar ebenfalls viele Endpunkte aus dem Bereich Operation Technoloy (OT), allerdings stehen diese dort nicht unter Hochspannung. Zumal sind im Smart Grid-Bereich Netzwerke deutlich größer. Das Thema digitale Sicherheit wird nicht ausreichend bedacht.
Neuer Schwerpunkt: Stromnetze richtig schützen
Da die Cybersicherheit in der schnelllebigen Welt von IoT und Energieversorgung große Probleme aufwirft, muss sich der Fokus verlagern. Es klingt eigentlich ganz simpel: Die Eigentümer und Betreiber unserer Stromversorgungssysteme müssen besser erkennen können, welche Assets (IT und sonstige) sich in ihren Produktionsumgebungen befinden, und welche mit dem Internet verbunden sind.
Dies bringt jedoch Herausforderungen mit sich. Stromnetzbetreiber können zur Verwaltung vernetzter Anlagenausrüstung nicht die gleichen Tools verwenden wie Unternehmen, die beispielsweise Computer-Workstations überwachen. Die Umgebungen von Energiesystemen sind komplex: Sie umfassen „Dinge“ wie Ventile, die von angeschlossenen Sensoren überwacht werden, SCADA-Controller oder robuste Feldsysteme. Wenn diese vernetzten Assets im Rahmen einer breit angelegten Initiative für Energiesicherheit geschützt werden sollen, lässt sich das nicht mit Anti-Malware- oder Verschlüsselungstools bewerkstelligen wie bei einer Flotte von PCs. Herkömmliche Cybersicherheitsscans können die Leistung von Schaltelementen und anderen wichtigen Geräten beeinträchtigen, was zu Ausfällen oder noch Schlimmerem führen könnte.
Selbst wenn diese Systeme oder Knoten nur zeitweilig mit dem Internet verbunden sind, bleiben sie anfällig für Angriffe (beispielsweise durch Ausnutzung von Schwachstellen oder bewusst eingeschleuste Malware). Ein Angreifer braucht sich in der Regel nur an einer einzigen Stelle Zugang zu verschaffen, um sich dann seitwärts auf andere Systeme bewegen zu können, oftmals völlig ungehindert.
So verlockend es also auch sein mag, darüber zu spekulieren, welche Sammel-, Verbrennungs- oder Erzeugungsanlage den Gefahren aus dem Internet am stärksten ausgesetzt ist: Betreiber sollten sich auf Lösungen konzentrieren, um den tatsächlichen – und laufend veränderlichen – Bestand an vernetzten Geräten zu ermitteln und zu verwalten. Sicherheitsstrategien sollten den Schwerpunkt vorrangig auf die passive Erkennung aller angeschlossenen Systeme und die Überwachung ihrer Aktivitäten legen. Ein „Do no Harm“-Ansatz gibt den Betreibern die beruhigende Gewissheit, dass die Security nicht auf Kosten der Zuverlässigkeit geht, und hilft dabei, weit verbreitete „Hygieneprobleme“ zu ermitteln und zu korrigieren.
Fazit
Stromnetze können keine Energie speichern und stehen daher immer unter Spannung. Smarte Technologie bringt große Vorteile mit sich und erleichtert Erzeugung, Speicherung, Netzmanagement und Verbrauch von Energiesystemen. Allerdings kommen intelligente Netze nicht ohne Risiko, da neue Angriffsvektoren entstehen.
Der Aufruf zur Kooperation ist wichtig. Behörden, Regierungen, private Unternehmen aber auch Endverbraucher müssen Zusammenarbeiten. Zudem helfen die Erfahrungen aus anderen IT-Bereichen, wenn auch die Erkenntnisse und Tools nicht genau so übernommen werden können.
Die Energieversorger sollten ihre Sicherheitsmechanismen erweitern und ihre Schutzniveau erhöhen. Eine wichtige Grundlage ist die Übersicht über alle Endpunkte im Netzwerk und deren Status. Blinde Flecken und mangelnde Transparenz sind eine Gefahr für Verbraucher und können zu flächendeckenden Blackouts führen.