Energiewende in Deutschland: Hacker zielen auf Solar- und Windkraftanlagen

Foto: lovelyday12 – shutterstock.com

Bis zum Jahr 2030 soll der Strombedarf in der Bundesrepublik zu 80 Prozent über Erneuerbare Energien gedeckt werden. Dazu zählen vor allem Windkraft- und Photovoltaik-Anlagen (PV). In diesen Bereichen gibt es jedoch Nachholbedarf in Sachen Cybersicherheit. Erst im vergangenen Jahr wurden binnen weniger Wochen mehrere große Windkraft-Unternehmen Opfer von Cyberangriffen.

Zuerst kam es bei rund 6.000 Windkraft-Anlagen von Enercon zu einem Internetausfall. In diesem Fall handelte es sich zwar um einen Kollateral-Schaden, da russische Hacker einen Satelliten lahmgelegt hatten, der auch die Windräder von Enercon steuert. Trotzdem entstand dadurch ein Schaden in Millionenhöhe. Kurz darauf wurde der Windenergie-Konzern Nordex attackiert und einige Wochen später dann die Deutsche Windtechnik AG.

Generelle Verfügbarkeit im Netz gefährdet die IT-Sicherheit

Vor diesem Hintergrund kritisieren Experten wie Stephan Gerling, Sicherheitsforscher im ICS CERT bei Kaspersky, dass solche Anlagen im offenen Internet erreichbar sind. “Das ist nicht notwendig. Um Monitoring-Daten zu sammeln und Statistiken auszuwerten, kann man auch ein entsprechend konfiguriertes VPN nutzen”, sagt Gerling. Mit Hilfe von speziellen Suchmaschinen ließen IP-Adressen von verwundbaren Steuerungsportalen recht einfach aufspüren. Informationen zu den Orten und Leistungsdaten der Anlagen seien einsehbar, warnt der Security-Spezialist. “Diese Informationen können sich Cyberkriminelle für Angriffe zunutze machen.”

Laut Carsten Körnig, Hauptgeschäftsführer des Bundesverband Solarwirtschaft (BSW), mangelt es oft an Erfahrung bei den Technikern. “Das ist eine Situation, die leider im IT-Bereich häufiger zu beobachten ist, nicht nur im Zusammenhang mit Erneuerbaren Energien. Einfache Konfigurationsänderungen im Internetzugangs-Router entscheiden oft schon zwischen einer gut und einer schlecht gesicherten PV-Anlage”. Der Verbandschef empfiehlt ausschließlich die Verwendung von verschlüsselten VPN-Verbindungen, um auf Solaranlagen zuzugreifen.

Nach Meinung von Manuel Atug, Gründer und Sprecher der AG KRITIS, bietet auch die technische Seite der PV- und Windkraftanlagen eine Angriffsfläche. “Solche Anlagen werden oftmals in den Default-Einstellungen betrieben, statt Security by Design und Privacy by Design zu realisieren. Hersteller und Betreiber sollten endlich Verantwortung für die Sicherheit ihrer Anlagen übernehmen”, mahnt der KRITIS-Experte.

Gesetzliche Vorgaben reichen nicht aus

Sicherheitsforscher Gerling ist auch der Ansicht, dass die Energiebranche mit dem Patchen der Schwachstellen nicht ausreichend nachkommt. Ebenso fehle es aber an einer Gesetzgebung, die Betreiber zu mehr Sicherheit verpflichten würde. “Selbst wenn Sicherheitslücken gefunden und gemeldet werden und der Hersteller einen Patch bereitstellt, bleiben die Sicherheitslücken oftmals im System bestehen.”

Für den Kaspersky-Manager kommt erschwerend hinzu, dass viele Windparkbetreiber schlicht zu klein sind, um die KRITIS-Schwelle von 104 MW elektrischer Leistung zu erreichen. “Damit greifen die gesetzlichen Vorgaben für KRITIS nicht, und Sicherheitsmaßnahmen werden aufgrund fehlender Regulierung meist eher lasch gehandhabt”, beklagt Gerling. Er fordert deshalb, dass die KRITIS-Schwelle im Energiesektor weiter gesenkt wird. Dabei war diese bereits in der KRITIS-Verordnung 2021 von 420 MW auf 104 MW nach unten korrigiert worden.

Wolfram Axthelm, Geschäftsführer des Bundesverbands Windenergie (BWE) stimmt dem zu. “Der aktuelle Schwellenwert führt dazu, dass lediglich einige große Windparks unter die KRITIS-Systeme fallen, aber die breite Masse eben nicht.” Durch die Angriffe im vergangenen Jahr sei das Bewusstsein für IT-Sicherheit in der Windenergiebranche zwar gestärkt worden, so Axthelm. Doch häufig fehle den Betreibern noch die Einsicht, dass mehr in Personal für die IT-Sicherheit investiert werden muss.

Lesetipp: Interview zum Thema Cybersicherheit in Deutschland mit Michael Wiesner, Sprecher der Arbeitsgruppe AG KRITIS

Fernsteuerungstechnik lädt zum Missbrauch ein

Gerling sieht noch ein weiteres IT-Sicherheitsproblem der Anlagen, und zwar in der Rundsteuertechnik. Diese kommt zum Einsatz, wenn zu viel Wind- oder Sonnenenergie ins Netz eingespeist wird oder ein “Lastabwurf”, also das selektive Abschalten von Großverbrauchern bei Energieknappheit, initiiert werden muss. Mit Hilfe der Technik lassen sich die Windräder oder PV-Anlagen aus der Ferne steuern, um beispielsweise die Einspeiseleistung von 100 Prozent auf 60, 30 oder null Prozent zu reduzieren.

“Dabei wird das Funksignal unverschlüsselt übertragen”, bemängelt der Security-Experte. “Mit einem leistungsstarken Empfänger können Cyberkriminelle dieses abhören. Ein passender Sender könnte zumindest auf Stadtebene auch in die Kommunikation eingreifen.” Der Security-Forscher schätzt, dass sich noch etwa 700 unverschlüsselte größere Solaranlagen in Europa befinden.

Gerling weist darauf hin, dass der Energiesektor auch ein attraktives Ziel für APT-Gruppen (Advanced Persistent Threat) sei. Der Kaspersky-Mann verweist auf eine Cyberspionage-Kampagne im vergangenen Jahr. Auf der Opferliste standen namhafte Unternehmen aus dem Elektronik- und Energiebereich. Gerling geht davon aus, dass die Angreifer es vor allem auf die Branche der Erneuerbaren Energien abgesehen haben.

BWE-Geschäftsführer Axthelm hält dagegen, dass die Gefahr von gezielten Cyberangriffen in einer Landschaft mit vielen kleineren Stromerzeugern viel geringer sei als früher. “Eine dezentrale Energieerzeugung ist weniger anfällig als eine zentralisierte Infrastruktur mit wenigen großen Kraftwerken. Bei 30.000 Windkraftanlagen in Deutschland wäre es ein erheblicher Aufwand, diese einzeln anzusteuern.” Der Verbandschef stimmt dennoch zu, dass die IT-Systeme der kleineren Versorger besser vor äußeren Angriffen geschützt werden müssen.