Gefährdungspotential für kritische Infrastrukturen Wenig Sicherheit für Smart Grids in Deutschland

Autor / Redakteur: Robert Weber / Peter Schmitz

Sicher, intelligent und nachhaltig soll die Stromversorgung in Deutschland sein. Doch wer schützt die Unternehmen, Verbraucher und die Infrastruktur vor Cyberangriffen auf die Energieversorgung? Smart Meter Gateways können Eindringlinge fern halten. Doch noch laufen sie nur im Probebetrieb.

Firmen zum Thema

Unter http://map.ipviking.com/ wird das Ausmaß der Angriffe auf Kommunikationsnetze deutlich. In Echtzeit dokumentiert Norse die Attacken aus der ganzen Welt.
Unter http://map.ipviking.com/ wird das Ausmaß der Angriffe auf Kommunikationsnetze deutlich. In Echtzeit dokumentiert Norse die Attacken aus der ganzen Welt.
(Bild: Norse)

Franz Krieger* ist Unternehmer und ein guter Rechner. Seine Solaranlage auf dem Dach hat er nicht aus ökologischem Bewusstsein installiert, sondern weil er Strom ins Netz einspeist und diesen vergütet bekommt – die Energiewende als Kassenschlager für den Mittelstand. Krieger bekam einen digitalen Stromzähler und der Versorger zog sich die Daten direkt über die Leitung zur Abrechnung des Verbrauchs und der Einspeisung.

Krieger sah sich lange Zeit auch als Profiteur der Pläne in Berlin. Bis Prof. Dr. Hartmut Pohl, Geschäftsführer der Softcheck GmbH und Sprecher des Arbeitskreises Datenschutz und IT-Sicherheit der Gesellschaft für Informatik, vor der Tür des Unternehmens stand und warnte. Der IT-Security-Experte sprach von intelligenten Netzen, Smart Grid, digitalen Zählern und Gefahren durch Cyberangriffe.

Krieger war überrascht. Er, der seine E-Mails von seiner Frau abrufen lässt, sollte im Fokus von Angreifern stehen, sein Familienbetrieb ein Ziel für Hacker? Ja, denn als Zulieferer der OEMs ist der Bayer ein wichtiges Rad im Getriebe der Wertschöpfungskette. Steht bei ihm die Produktion, kommt auch der 1st Tier ins Schwitzen. Das ist die industrielle Logik des Just-In-Time-Prinzips.

Zehn Tage im August

Der Unternehmer wollte es wissen. Der Professor sollte einen virtuellen Angriff fahren. Zehn Tage im August, so der Plan, sollte die Aktion dauern, doch Pohls Mannschaft und Krieger wurden ausgebremst. Der Energieversorger, als Eigentümer des digitalen Stromzählers, schaltete sich ein und der Plan verzögerte sich vorerst. Die Sicherheitsprüfung war erst einmal gestorben.

Die Gefahr von Angriffen ist real. Vor wenigen Wochen veröffentlichte das Security-Unternehmen Symantec eine Studie (siehe Anhang an diesem Artikel) zu Attacken auf die Branche. Das Ergebnis: Hacker führen gezielt Angriffe über Lösungen von Drittanbietern oder Zulieferern aus. Ähnlich wie bei Stuxnet aus 2010 und dem jüngsten Nachfolger Havex konzentrierten sich die Angreifer darauf, Software von Herstellern industrieller Steuerungssysteme (Industrial Control System), die im Energiesektor häufig zum Einsatz kommen, mit einem aus dem Internet ladbaren Angriffsprogramm (Advanced Persistent Threat APT) unerkennbar zu infiltrieren. Die Hacker erhielten Zugriff auf die Netzwerke. Die Attacken liefen meist über einen längeren Zeitraum, um möglichst viele Informationen auszuspionieren, heißt es in Branchenkreisen. So waren unter anderem Stromerzeuger, Pipeline-Betreiber sowie spezielle Ausrüster für den Energiebereich aus Deutschland, Spanien, den USA, Frankreich, Italien, Türkei, Polen, Griechenland, Serbien und Rumänien Ziele der kriminellen Gruppe, die mutmaßlich aus Osteuropa stammt und im Auftrag einer Regierung handelte. Dafür sprachen wohl auch die geregelten Arbeits- und Angriffszeiten zwischen 9:00 und 17:00 Uhr. „Spionage war wohl die Triebfeder der Angriffe, unter Umständen wurden aber auch Informationen über Energievorkommen gestohlen“, erklärt Thomas Hemker, Security Strategist bei Symantec. Im Fokus, so vermutet der Fachmann, standen Informationen über Anlagen, Schaltpläne oder Betriebshandbücher.

Das Bundeskriminalamt (BKA) ist alarmiert. Gegenüber elektrotechnik INDUSTRIAL ENERGY heißt es: „Mit zunehmender digitaler Vernetzung wird das Gefährdungspotential für kritische Infrastrukturen weiter steigen.“ Der ständige Austausch zwischen Wirtschaft, Politik, Sicherheitsbehörden und Gesellschaft fördere ein angemessenes Risikobewusstsein, sind die Analysten in Wiesbaden überzeugt.

Gegenwärtig scheint dieser Diskurs aber wohl ins Stocken geraten zu sein. Momentan schützt sich jeder selbst, der so ein intelligentes System installiert. Zu der existierenden Richtlinie soll bis zum Jahresende eine Prüfrichtlinie erarbeitet werden, wie die von der Industrie entwickelten Smart Meter Gateways auf Konformität zu überprüfen sind. Bis dahin liegen die Investitionen der Industrie jedenfalls brach“, erläutert Pohl.

Nachfrage beim Bundesamt für Sicherheit in der Informationstechnik (BSI): „Zu Verhaltensweisen der Industrie äußert sich das BSI nicht, ebenso wenig, wie wir uns an Spekulationen zu möglichen Schäden beteiligen.“

Energiewende nur mit Smart Grids

Das Risiko, Opfer eines Angriffs zu werden, lauere voll beim Endkunden, so Pohl. „Der Kunde sendet Verbrauchsdaten ins Netz und in Zukunft sollen sogar Maschinen durch die Intelligenz im Stromnetz gesteuert werden. Dadurch öffnet der Kunde seine Produktion und ermöglicht ein Eindringen in seine Systeme“, legt der Bonner nach. International gibt es eine ganze Reihe schwerer Angriffe auf die nicht so hoch abgesicherten Smart Meter und die Stromnetze, wie vom BSI gefordert, behauptet der Rheinländer.

„Doch ohne Smart Grids keine Energiewende“, mahnt Stephan Kohler, Chef der Deutschen Energieagentur (Dena) auf einem Energieeffizienz-Kongress in Stuttgart. Die prominenten Firmenlenker lauschten den Ausführungen des Dena-Chefs, sprachen sich für Energieeffizienz in der Produktion aus, wollen Industrie 4.0-Ansätze implementieren und sind in der Mehrheit wohl unwissend, welche Risiken in den intelligenten Netzen lauern, die auch den Traum von der „smart factory“ bedrohen könnten. Doch Pohl beruhigt: „Es existieren Lösungen am Markt, die Schutz bieten. Fünf Anbieter arbeiten an Smart Meter Gateways auf der Basis der BSI-Richtlinie. Zertifizierte Smart Meter Gateways könnten eine starke, verbesserte Firewall sein, die das Netz schützen.“

Ergänzendes zum Thema
Kommentar
Eine Netzaffäre?

Als das Nachrichtenmagazin „Der Spiegel“ im Herbst 1962 seine Titelgeschichte zum Zustand der Bundeswehr mit „bedingt abwehrbereit“ überschrieb, da witterten einige Politiker schnell Landesverrat – die Spiegelaffäre nahm ihren Anfang und Redakteure feierten Weihnachten im Gefängnis. Heute titeln wir unbekümmert wieder „bedingt abwehrbereit“ beziehen die Aussage aber auf die intelligenten Stromnetze der Gegenwart und Zukunft. 1962 standen sich zwei hochgerüstete Militärblöcke gegenüber – ein bipolares, geordnetes System mit weitgehend berechenbaren Akteuren. Bomben, Panzer und Soldaten bestimmten den Kalten Krieg. Heute sprechen wir von Cyberwar, verdeckten Angriffen auf die kritischen Infrastrukturen eines Staates. Die Angreifer kommen nicht mehr ausschließlich aus dem Osten, sind teilweise politisch-ideologisch verblendet und auch Kriminelle verschaffen sich Zugang zu unseren Netzen. Und die Reaktion? Bis 2016 bleiben deutsche Netze weitgehend ungesichert, auch wenn intelligente Elemente bereits implementiert werden. Dazu kommt: Das Schutzniveau in anderen EU-Staaten ist nicht einmal ansatzweise vergleichbar mit Anforderungen, die in Deutschland angestrebt werden. Sind wir Deutsche zu ängstlich, wie es manche Gesprächspartner immer wieder behaupten? Nein! Die Energiewende braucht flexible Netze, aber bitte sicher, denn die Stromversorgung ist elementar für die Volkswirtschaft – dafür auch gerne ein hohes Sicherheitsniveau, ohne politische Verzögerungstaktiken durch mächtige Lobbygruppen. Doch auch die europäischen Nachbarn müssen mitziehen, denn viele Mittelständler produzieren in Spanien, England oder Tschechien. Wir können uns in Europa keine Blackouts, auch kleinerer Dimension, leisten. Doch in der Industrie und bei den Privathaushalten ist die Gefahrenlage nicht präsent. Deutschland und Europa sind weder physisch noch psychisch abwehrbereit. Robert Weber

Andere Meinungen bitte an robert.weber@vogel.de

Aber es hapert noch an der Zertifizierung der Lösungen. Zwei Firmen befinden sich laut BSI zurzeit in dem Prüfungsprozess des Amts. Die Antragssteller sind die Landis + Gyr AG sowie die Openlimit Sign Cubes AG mit der Power Plus Communications AG. Der Behörde BSI den schwarzen Peter zuzuschieben ist allerdings nicht zielführend, denn im Energiewirtschaftsgesetz (EnWG) findet sich schon heute die Aufforderung, wenn Smart Meter Gateways verfügbar seien, diese dann auch einzusetzen. Das Problem, so Experten: Die Bundesregierung habe die Sicherheitsrichtlinie TR-03109 nicht zügig freigegeben und deshalb arbeite man erst seit kurzem an der Prüfrichtlinie. Bei der Power Plus Communications AG planen die Entwickler 2015 erste Proberollouts. Ein Jahr später fällt dann der Startschuss für den flächendeckenden Einbau.

Die Anforderungen an die Systeme: Der Gateway der Geräte muss drei Netzwerk-Domänen sicher miteinander verbinden können. Dafür muss am Gateway ein zusätzliches Sicherheitsmodul installiert sein, das sämtliche Messwerte signiert und kryptografisch verschlüsselt.

„Wir befinden uns in der Erprobungsphase. Gegenwärtig testen wir mit Energieversorgern den Einsatz der Smart Meter Gateways. Ziel ist es, anstehende Prozessveränderungen durch den Einsatz der neuen Technik früh zu erkennen“, erklärt Thomas Wolski, Produktmanager bei Power Plus Communications AG. Denn auf die Versorger kommen mit den Gateways neue Rollen, Prozesse und Systemlandschaften und Kosten zu. „Der Preis pro Stück liegt wohl bei unter 100 Euro“, meint Pohl. Annegret-Cl. Agricola, Bereichsleiterin Energiesysteme und Energiedienstleistungen bei der Dena rechnet bei einer Ausstattung von einer Million Messpunkten mit Investitionssummen zwischen 467 bis 837 Mio. Euro. „Die Kosten umfassen neben der Anschaffung der Endgeräte auch den Aufbau der notwendigen Infrastruktur, also auch die Anschaffung von Gateway-Technik. Inwieweit diese Kosten auf die Verbraucher umgelegt werden, ist aktuell noch in der Diskussion und hängt unter anderem auch davon ab, ob sich günstige Marktlösungen durchsetzen und den Verbrauchern durch den Einsatz von intelligenter Steuerung zukünftig auch ein Nutzen erwächst“, erklärt die Expertin. Große Energieunternehmen werden die Systeme zügig installieren, kleinere Stadtwerke wohl kaum. Die warten ab, lassen sich verklagen und handeln dann erst, vermutet ein Fachexperte, der ungenannt bleiben will.

Hinkt Europa hinterher?

Darüber hinaus will die Bundesregierung neue Standards mit dem IT-Sicherheitsgesetz einfordern. Mindeststandards bei der Sicherheit der Computersysteme sollen Hacker ausbremsen, hofft man im Bundesinnenministerium. Die Diskussion um Smart Meter Gateways hält Thomas Hemker von Symantec für richtig, aber verfrüht. Zunächst müsse man bestehende Lücken schließen, empfiehlt der IT-Experte.

Für Stefan Palm von Moxa, taiwanesischer Anbieter von Schutzlösungen vergleichbar zu Smart Meter Gateways, ist die Zertifizierung durch das BSI eine Einstiegshürde für die Industrie. Das Unternehmen entwickelt zurzeit für andere Märkte eine Cloud-Lösung, die eine Daten- und Kommunikationssicherheit garantieren soll. Aus seiner Sicht hinken die europäischen Staaten bei dem Thema intelligenter Netze und deren einfache und sichere Abschirmung hinterher. „Die Europäer sind sensibler“, erklärt Palm und macht dafür auch die NSA-Debatte mitverantwortlich. Der Plan von Moxa: Im Rest der Welt Rollout-Referenz zu etablieren und dann den europäischen Kunden ihre Lösung anzubieten.

Und die Industrie und vor allem die kleinen und mittelständischen Zulieferer? Versichern gehen Stromausfälle? Die HDI-Gerling Industrie Versicherung AG bietet Unternehmen Versicherungsschutz gegen den Ausfall öffentlicher Stromversorgung an. Den Umfang und die Bedingungen unserer Versicherungslösungen legt das Unternehmen in der Regel im Einzelfall und im Gespräch mit dem Kunden fest – ein Zukunftsprodukt? Pohl setzt eher auf Prävention: „Unternehmen sollten sich zeitnah gegen Angriffe aus dem Grid schützen und nicht warten, bis die Politik Sicherheitsmaßnahmen qua Gesetz erzwingt und Behörden Richtlinien veröffentlichen.“ Er fordert Security Tests. Allerdings: Die Überprüfungen kosten Geld und Zeit.

Franz Krieger wollte sich schützen, wollte den Test machen und stieß an die Grenzen der Energiewende und steht bei der Security erst einmal alleine. Die Verhandlungen mit dem Energieversorger für einen Test laufen wieder. Doch fest steht: Der Unternehmer wartet auf die Sicherung der Netze durch den Energieversorger – vielleicht sogar bis erst 2016. Bis dahin hofft er, dass seine Fräsmaschine läuft und er von Hackern nur aus der Tagesschau erfährt.

*Name von der Redaktion geändert.

Dieser Beitrag erschien zuerst auf unserem Schwesterportal elektrotechnik.

Artikelfiles und Artikellinks

(ID:42856889)