Droht ein Blackout? Tipps zur Absicherung

Kurz vor Weihnachten in der westukrainischen Provinz Iwano-Frankiwsk: Eine Viertelmillion Haushalte sind plötzlich von der Stromversorgung abgeschnitten. Privatwohnungen, Unternehmen und öffentliche Einrichtungen bleiben teilweise tagelang ohne Elektrizität. Vorausgegangen war laut US-Sicherheitsbehörden ein gezielter und orchestrierter Hacker-Angriff auf drei regionale Energieversorger. Der genaue Verlauf der Attacken konnte zwar bis heute nicht exakt rekonstruiert werden, Experten gehen allerdings davon aus, dass die Angreifer einen Schadcode eingeschleust und bösartige Befehle über einen direkten Fernzugriff ausgeführt haben. Sollte die Einschätzung zutreffen, handelt es sich bei dem Vorfall um den weltweit ersten bekanntgewordenen Stromausfall, der von Hackern verursacht wurde. Dass dieser Vorfall im Zeitalter staatlich gelenkter Cyberangriffe kein Einzelfall bleiben könnte, zeigt ein Bericht des US-Energieministeriums aus diesem Jahr, in dem explizit vor Angriffen auf kritische öffentliche Infrastrukturen wie zum Beispiel Stromversorger oder Gaspipelines gewarnt wird. Auch eine Studie des Weltenergierats in Zusammenarbeit mit den Rückversicherern Swiss Re und Marsh & McLennan zählt Cyberangriffe zu den wichtigsten Herausforderungen für die Energiewirtschaft und setzen diese auf eine Stufe mit Naturkatastrophen oder Bränden. Auch in Deutschland verzeichnete die Europäische Agentur für Netz- und Informationssicherheit bereits 2014 einen deutlichen Anstieg von Trojaner-, Botnet- und Distributed Denial of Service- (DDoS-)Attacken auf Betreiber kritischer Infrastrukturen. 

Wie zu den Anfangszeiten des W-LANS
Ein wesentlicher Grund für diese Entwicklung ist die zunehmende Vernetzung sämtlicher Akteure auf dem Strommarkt. In modernen Netzen werden Stromerzeugung, -speicherung, -verteilung und -verbraucher in ein Gesamtsystem integriert und eine Daten-Kommunikation innerhalb dieses Netzwerks ermöglicht. Deutlich wird dies am Beispiel der Photovoltaikanlage auf dem Dach eines Wohnhauses. Um den dort erzeugten Strom in das Netz einzuspeisen und an der Strombörse verkaufen zu können, werden mehrere dezentrale Erzeugungseinheiten in einem „virtuellen Kraftwerk“ zusammengeschlossen und von einer zentralen Netzleitwarte aus gesteuert. Zur Anpassung der Verkaufspreise und der Einspeiseleistung an Bedarf und Nachfrage, sind an den Schnittstellen zum Energienetz „smarte“ Komponenten im Einsatz. Moderne Energienetze, sog. Smart Grids, bestehen deshalb heute aus einer Vielzahl IT-basierter Komponenten, von der klassischen Informationstechnologie, wie PCs und Servern über Kommunikations- und Netzwerktechnik bis hin zu intelligenten Zählern oder mobilen Anwendungen. Die klare Abgrenzung zwischen Versorgungs- und IT-Netz löst sich dadurch immer weiter auf. Das ermöglicht zwar einerseits eine bessere Steuerung von Verbrauch und Kapazitäten, vergrößert jedoch andererseits die Angriffsfläche für Cyberattacken, insbesondere auf Geräteebene.

Dieser radikale Umbruch in der Systemlandschaft wird in den kommenden Jahren noch weiter voranschreiten. Denn durch die Anbindung weiterer Elemente, etwa aus Smart City- oder Smart Home- Umgebungen, wächst das Smart Grid-Ökosystem immer weiter an und schafft neue Einfallstore für Cyberangriffe auf das Energienetz. Die Situation ist vergleichbar mit den Anfangszeiten des WLANs, als Millionen von PCs plötzlich ungeschützt am Netz hingen. Heute sind es Industrieanlagen, wie Umspannwerke, Pipelines oder Biogasanlagen, die, etwa über ungesicherte Industriesteuerungssysteme (ICS), Zugang zum Netz haben. Auch im Fall des durch Hacker herbeigeführten Stromausfalls in der Ukraine könnten die Angreifer über das Industriesteuerungssystem (ICS) per VPN-Verbindung bösartige Befehle ausgeführt haben.

ISMS alleine reicht nicht
Dass Vorfälle, wie die Attacke auf den ukrainischen Netzbetreiber auch in Deutschland möglich sind, zeigt das Beispiel der Stadtwerke Ettlingen. 2014 drang ein Hacker-Team im Rahmen eines Penetrationstests in die Leitstelle des Unternehmens ein und übernahm sicherheitsrelevante Kontroll- und Steuerfunktionen. Die Bundesregierung hat mittlerweile auf das gestiegene Sicherheitsrisiko reagiert: So enthält das im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz eine Pflicht zur Einführung von technischen und organisatorischen Mindestmaßnahmen sowie Meldepflichten im Fall von Cyberangriffen auf kritische Infrastrukturen. Zum Nachweis darüber, dass die Anforderungen des IT-Sicherheitskataloges korrekt umgesetzt wurden, haben die Betreiber von Energieversorgungsnetzen bis zum 31. Januar 2018 Zeit, ein Informationssicherheitsmanagementsystem (ISMS) gemäß DIN/IEC 27001 einzuführen und zu zertifizieren. Ein knappes Jahr vor Ablauf der Frist fällt die Bilanz durchwachsen aus. Gerade kleinere Energieversorger, wie etwa Stadtwerke haben teilweise große Schwierigkeiten bei der Umsetzung der gesetzlichen Anforderungen im Rahmen des ISMS, wie etwa eine Studie aus dem Jahr 2016 belegt. Vor allem personelle und finanzielle Engpässe gefährden dort oftmals die frist- und fachgerechte Umsetzung. Dabei wird oft übersehen, dass die Einführung des ISMS alleine noch keinen adäquaten Schutz von Cyberangriffen gewährleistet. Richtig implementiert, kann es zwar dazu beitragen, Sicherheitsrisiken besser zu erkennen und diese durch entsprechende Prozesse zu managen. Jedoch erst die konkrete Umsetzung von technischen Schutzmaßnahmen erhöht tatsächlich die IT-Sicherheit im Unternehmen.

Beim Aufsetzen und Betreiben der dafür notwendigen Soft- und Hardware-Lösungen bietet das ISMS leider keine konkrete Anleitung oder Unterstützung. Betreiber von kritischen Infrastrukturen sind daher weitgehend auf sich gestellt. Um dennoch eine wirksame Sicherheitsinfrastruktur aufzubauen, sollten sie bei der Planung ihrer Sicherheitskonzepte fünf zentrale Punkte beachten:

Fünf Experten-Tipps zur Absicherung von Smart Grids

1. Zukunftssicher planen

Die Grundlage eines effektiven Sicherheitskonzepts bildet dabei zunächst eine umfassende Situationsanalyse, welche den individuellen Schutzbedarf der unterschiedlichen Geschäftsbereiche sowie potenzielle Schwachstellen in der Netzwerkinfrastruktur identifiziert. Dazu sollten sämtliche Anwendungen, Systeme und deren Verbindungen, die von Angriffen betroffen sein könnten und die Versorgung gefährden, in einem Netzstrukturplan zusammengefasst werden. Wichtig dabei: Ein solcher Plan sollte auch zukünftige Anforderungen berücksichtigen und im Einklang mit der Unternehmensstrategie stehen – etwa im Hinblick auf eine geplante Öffnung des Netzes für Smart Home Anwendungen. Neben technischen Aspekten umfasst die Situationsanalyse allerdings auch die Sichtung und Überprüfung der personellen und finanziellen Ressourcen sowie der Rollenbeschreibungen und Verantwortlichkeiten im Unternehmen. Auf dieser Basis können im nächsten Schritt konkrete Schutz- bzw. Abwehrmaßnahmen definiert und ein belastbarer Investitionsrahmen festgelegt werden. 

2. Szenarios durchspielen

Der ermittelte Schutzbedarf in den einzelnen Bereichen bildet die Basis für eine konkrete Sicherheitsstrategie für das Gesamtunternehmen. Hierbei sollte man sich allerdings nicht nur auf den technologischen Aufbau der Sicherheitsinfrastruktur konzentrieren. Genauso wichtig ist es, Cyberangriffe als Szenario oder Simulation durchzuspielen und darüber festzulegen, welche Prozesse im Rahmen eines Notfall-Maßnahmenplans greifen müssen. Dies beginnt mit dem Aufbau eines funktionierenden Monitoring-Systems, durch das Anomalien im Netz möglichst früh erkannt und entsprechende Schutzmaßnahmen rechtzeitig eingeleitet werden können. Vor allem der enge Austausch mit den Behörden, wie etwa der Bundesnetzagentur, ist hierbei ein entscheidendes Erfolgskriterium. Darüber hinaus legt der Maßnahmenplan Eskalationsstufen sowie konkrete Handlungsanweisungen und Rollenzuteilungen für den Fall eines tatsächlichen Cyberangriffs fest. Dies umfasst die Einleitung von Schutzmaßnahmen – etwa die Abkopplung einzelner Bereiche vom Unternehmensnetz – ebenso wie Meldepflichten in- und außerhalb des Unternehmens, bis hin zur PR-Strategie, also dem kommunikativen Umgang mit einem solchen Vorfall in der Öffentlichkeit; das gilt insbesondere dann, wenn die Bevölkerung direkt von einem Vorfall betroffen ist, etwa bei einem flächendeckenden Stromausfall. Ziel ist die Entwicklung eines Gefahrenabwehrplans nach dem Vorbild von Militär und Katastrophenschutz, der im Ernstfall effiziente und effektive Handlungsabläufe sicherstellt. 

3. Netzwerksicherheit nach außen erweitern

Eine besondere Herausforderung bei der Absicherung von modernen Energienetzen ist die Erosion der klassischen, zentral gesteuerten IT-Infrastruktur hin zu heterogenen Systemen. Durch die zunehmende Zahl dezentraler, vernetzter Energieerzeugungseinheiten, die an das zentrale Strom- oder Gasnetz angebunden sind, erweitert sich das Handlungsfeld der Schutzmaßnahmen hin zur Geräte-Peripherie. Energieversorgungsunternehmen müssen dieser Entwicklung Rechnung tragen, indem sie die Sicherheit der von ihnen eingesetzten Komponenten erhöhen und die Zugänge zu ihrem Zentralnetz besser kontrollieren. Unter dem Stichwort Edge-Security sollten IT-Verantwortliche die gesamte Sicherheitsarchitektur sowie die dazugehörigen Maßnahmen anpassen, weg von "Schützen und Verteidigen" hin zu "Eindämmen und Kontrollieren". Wie das konkret aussehen kann, zeigen beispielsweise die Empfehlungen des ICS-Cert, einer Einheit des US-Heimatschutzministeriums für Cybersicherheit bei ICS-Systemen als Reaktion auf den Hackerangriff in der Ukraine. [6] Demnach wird empfohlen Steuerungsnetzwerke von unsicheren Netzen isolieren, vor allem vom Internet. Zudem sollten Betreiber solcher Anlagen alle nicht benötigten Ports schließen und alle nicht benötigten Dienste abschalten. Zudem sollte der Fernzugriff auf die Systeme, wo immer möglich, begrenzt werden. Durch die Einrichtung einer Datendiode (One-way-Gateway) kann verhindert werden, dass beispielsweise Steuerbefehle von einem Netz mit niedrigem Schutzbedarf (z. B. Office-Netz) in ein Netzwerk mit hohem Schutzbedarf (z. B. ICS-Netz) übertragen werden. Auf der anderen Seite kann bei umgekehrter Positionierung der Abfluss von vertraulichen Informationen aus einem Netzwerk mit hohem Schutzbedarf verhindert werden.

4. Professionelle Hilfe annehmen

Gerade kleinere Netzbetreiber, wie etwa Stadtwerke oder andere regionale Anbieter verfügen oft nicht über ausreichende personelle oder finanzielle Ressourcen, um den Auf- und Ausbau ihrer Sicherheitsinfrastruktur komplett in Eigenregie zu stemmen. Alleine bei der verpflichtenden Einführung des ISMS müssen Unternehmen mit einer Dauer von 12-18 Monaten und einem Investitionsvolumen von weit über 100.000 Euro rechnen. Zudem fehlt in zahlreichen Betrieben das nötige Fachwissen im Bereich IT-Sicherheit, um entsprechende Sicherheitskonzepte tatsächlich umzusetzen und langfristig zu unterhalten. Ein entsprechender Know-how-Transfer kostet viel Zeit, die Unternehmen angesichts der drohenden Gefahr nicht haben. Der Aufbau eines Sicherheitskonzepts ohne fremde Hilfe ist daher etwa so, als würde man versuchen sich selbst das Schwimmen beizubringen, während man bereits im Wasser treibt. Noch bevor Unternehmen teure Investitionen zum Aufbau von Teams und Technologien tätigen, sollten sie daher genau prüfen, welche Elemente in der Sicherheitsinfrastruktur an externe Dienstleister ausgelagert werden können. Ein Beispiel hierfür ist der cloubasierte Notfallwiederherstellungsdienst Azure Site Recovery von Microsoft. Statt des Aufbaus eines zweiten, physischen Datencenters, können Workloads darüber in der Cloud gespiegelt und bei Ausfällen automatische wiederhergestellt werden. Zudem werden sämtliche Daten verlässlich verschlüsselt. Der Aufwand, um einen gleichwertigen Schutz ausschließlich mit eigenen Mitteln zu realisieren wäre extrem hoch. 

5. Faktor Mensch berücksichtigen

Neben den technischen Voraussetzungen für den Schutz ihrer Systeme, müssen Unternehmen im Energiesektor auch auf Ebene der eigenen Mitarbeiter ansetzen. Denn, nach wie vor sind Social Engineering Methoden der beliebteste und meist auch der effektivste Weg, um in ein abgesichertes Netzwerk einzudringen. So auch im Fall der ukrainischen Stromnetzbetreiber: Dort setzten die Hacker laut US-Heimatschutzministerium Spear Phishing E-Mails ein, um die Systeme mit einem Malware-Toolkit zu infizieren und sich Zugangsberechtigungen zu den Steuerungseinheiten zu beschaffen. Das Programm war in einem manipulierten Word-Dokument enthalten, das als E-Mail des ukrainischen Parlaments getarnt war. Das Beispiel macht deutlich, wie wichtig es ist, auch Mitarbeiter außerhalb der IT-Abteilungen durch regelmäßige Schulungen und verbindliche unternehmensweite Vorgaben für den Umgang mit nicht vertrauenswürdigen Quellen zu sensibilisieren. Anhaltspunkte für den richtigen Umgang mit sicherheitsrelevanten Unternehmensdaten liefern dabei existierende Regelwerke, wie z.B. das BDSG oder der IT-Grundschutzkatalog des BSI. Um sowohl den technischen Entwicklungen, als auch den neuen gesetzlichen Vorgaben Rechnung zu tragen, sollten solche Mitarbeitertrainings und -schulungen laufend angeboten und regelmäßig aktualisiert werden.

Fazit
Der flächendeckende Stromausfall in der Ukraine zeigt exemplarisch das Risiko und die fatalen Folgen von Cyberangriffen auf das Energienetz. Um einen ähnlichen Fall zu verhindern, müssen Unternehmen ihre Sicherheitskonzepte sowohl prozessual, als auch technologisch an die Anforderungen moderner, intelligenter Stromnetze anpassen. Die Umsetzung des ISMS alleine reicht hierfür nicht aus. Vielmehr müssen Unternehmen technische Maßnahmen ergreifen und entsprechendes Know-how aufbauen bzw. zukaufen, um auch zukünftig vor Angriffen auf das Smart Grid geschützt zu sein. Hierbei ist auch der Staat gefordert, Unternehmen beim Aufbau einer entsprechenden Sicherheitsinfrastruktur noch stärker zu unterstützen – sei es durch Expertenwissen oder finanzielle Subventionen.

Zum Autor
Gianluca De Lorenzis ist Gründer und CEO der FGND Group und arbeitet seit mehr als 20 Jahren als Management Consultant, Projektmanager, Entwickler und Infrastruktur-Spezialist in der IT-Branche. Er unterstützt Entscheider in Konzernen und großen mittelständischen Unternehmen unterschiedlicher Branchen vor allem in kritischen Phasen – dann, wenn Prozesse und Technologien verändert werden müssen, um die Wettbewerbsfähigkeit, Effizienz und Innovationskraft des Unternehmens zu erhalten. Ein besonderer Schwerpunkt seiner Arbeit liegt in der Planung, Konzeption und Umsetzung digitaler Transformationsprozesse. www.fgnd.com