Ende Februar war die Kommunikation zwischen Satelliten und mehreren Tausend Windparks von interessierter – wohl russischer – Seite gehackt und abgeschaltet worden. Aber womöglich erinnert sich in der Energiebranche inzwischen kaum mehr jemand daran. Denn sonst hätte es auf der größten IT-Sicherheitsmesse Europas, der IT-SA in Nürnberg, nur so wimmeln müssen von Datenmanagern aus der Energiebranche.

Kurz nach Putins Befehl an seine Armee, die Ukraine völkerrechtswidrig zu überfallen, fiel auch die Kommunikation zu Tausenden von Enercon-Windrädern aus. Heute ist bekannt, warum: Die Satelliten, über die die Windräder gesteuert und überwacht wurden, wurden auch von ukrainischen Sicherheitsbehörden benutzt. Spätestens seit Ende Februar 2022 also sollte eigentlich allen Betreiber*innen von Energiesystemen klar sein: Sie müssen ihre IT sicherer machen.

Die Netzpolitikseite futurezone.at sprach damals von „Kollateralschaden. Denn betroffen sind europaweit rund 30.000 Satellitenterminals, die von unterschiedlichen Branchen genutzt werden.“ Darunter war eben auch der Windkrafthersteller. Erst einen Monat später hatte der Enercon-Wartungsdienst immerhin 1101 Windparks wieder im Griff – zu 193 Parks war damals die Kommunikation immer noch gestört. War Enercon etwa nicht vorbereitet auf die Möglichkeit, dass Hacker IT-Netzwerke angreifen könnten? Und hat Elon Musk aus Angst, Russland könnte die von ihm betriebenen Satelliten weiterhin unter IT-Beschuss nehmen, im Oktober der Ukraine die Unterstützung durch die Mitnutzung jener Satelliten entzogen? Denn die gehören zum Imperium von Tesla-Eigner Musk.

Offene IT-Sicherheitsflanken

Gut, offene IT-Sicherheitsflanken sind etwas, das Firmen nicht gerne preisgeben. Vielleicht waren die Firmenvertreter*innen deshalb ja undercover auf der IT-SA unterwegs. Ganz leicht zu finden waren aber zig Firmen, die sich quasi als „Weiße Ritter“ sehen in der Hackerszene. Penetrationtests hatten viele im Angebot, also den bewussten Angriff auf ein Firmennetz, um die Lücken herauszufinden, über die sich die „bösen Hacker“ einschleichen könnten. Ein „Guter“ ist die in Flensburg ansässige Deutsche Gesellschaft für Cybersicherheit, kurz DGC. Die will „das Bewusstsein für Cyber Security schaffen“, unter anderem durch das kostenlose Online-Angebot, auf die Schnelle einen Überblick über die IT-Sicherheit der eigenen Webseite zu bekommen.

Während dieser Scanner bei bsz.de keine einzige kritisch oder hoch bewertete Schwachstelle findet, wird die Anzeige bei enercon.de gleich puterrot – wegen „drei kritisch, zwei hoch bewerteter Schwachstellen“. Hat also Enercon seit Februar nichts für die IT-Sicherheit getan? Leider bekam die Staatszeitung bis Redaktionsschluss keinen Rückruf vom Windhersteller.

DGC bietet übrigens ab 399 Euro monatlich an, die offenen Flanken von Firmen laufend zu überwachen „mit externen und internen Scans“, wie es am Stand heißt. Das Angebot werde auch von kleineren Energieunternehmen gut angenommen. Immerhin könnten die dann die eigene IT-Sicherheitsfachkraft einsparen, lautet die Begründung. Passend dazu empfiehlt Detlef Fischer, Hauptgeschäftsführer des Verbands der Bayerischen Energie- und Wasserwirtschaft: „Sofern noch nicht erfolgt, sollten sie sich mit einem externen Experten zusammensetzen und die Systeme gemeinsam auf IT-Sicherheit abklopfen.“

TÜV Rheinland für Energiewirtschaft zuständig

Weil die größere Energiewirtschaft sich bei Sicherheitsfragen ohnehin oft an die TÜVs dieser Republik wendet, hat der TÜV Rheinland mit i-sec einen eigenen Bereich für die Cybersicherheit gegründet. Und das schon vor 20 Jahren, wie es heißt. Ganzheitlich sei das Angebot, sagt Wolfgang Strobel, „weil wir nicht bei der Beratung aufhören, sondern auch Lösungen einschließlich der Hard- und Software anbieten“. Schon diversen Stadtwerken und Netzbetreibern habe man „auf dem Weg zur KRITIS-Zertifizierungsreife geholfen. Die Zertifizierung wiederum macht beispielsweise der TÜV Nord, der auch auf der IT-SA vertreten war.

Zertifizieren lassen müssen sich nach dem hiesigen IT-Sicherheitsgesetz 2.0 Firmen, die zu den „kritischen Infrastrukturen“ (KRITIS) zählen. Es soll nämlich nicht zum Ausfall eines KRITIS-Unternehmens und dadurch nachhaltigen Versorgungsengpässen kommen und so die öffentliche Sicherheit in Gefahr geraten, lautet die Begründung für das Gesetz. Deshalb ist eigentlich nicht erwähnenswert, dass der Sektor Energie zu KRITIS zählt.

Gesetzliche KRITIS-Vorgaben im Energiesektor zu erfüllen, dabei hilft aber auch gerne genua. Deren „cognitix Threat Defender“ erkennt Analogien im Datenverkehr, künstliche Intelligenz vom Feinsten also. Im Übrigen stimmt bei dieser Firma aus Kirchheim bei München der Anspruch „Security Made in Germany“ 100-prozentig. Denn die genua GmbH ist – wer hätte das gedacht – eine Tochter der Bundesdruckerei.

Schulungen sind notwendig

Vielleicht sind aber zuerst Schulungen notwendig, um bei Mitarbeitenden das Bewusstsein um IT-Sicherheitslücken in der Energieversorgung zu bekommen. Zum Beispiel im „Lernlabor Cybersicherheit für die Energie- und Wasserversorgung“ des Fraunhofer-Institutsteils AST in Ilmenau. Das Team um Steffen Nikolai hat aber zudem einen „Cyber-Resilienz-Monitor“, kurz CyReM im Angebot. Auch wenn die Standausrüstung ausschaut wie Spielzeug: „An solchen Demonstratoren können wir zeigen, wo das Netz oder die Anlage angreifbar ist“, erklärt er. Daraus können Abwehrstrategien entwickelt und CyReM in die Systeme integriert werden.

Der Name hört sich staatstragend an: Deutsche Cyber-Sicherheitsorganisation. Tatsächlich aber ist DCSO eine GmbH, 2015 gegründet von Allianz, BASF, Bayer und VW, um gemeinsam gegen organisierte Cyberkriminalität und Wirtschaftsspionage vorzugehen. Und weil die vier große Marktmacht haben, können sie auch von ihren Lieferanten fordern, die eigenen IT-Sicherheitsstandards denen der DCSO anzupassen. Kosten: nicht bekannt.

Kostenfrei dagegen arbeitet enisa. Doch diese Agentur der EU für Cybersicherheit „unterstützt nur die Mitgliedstaaten bei der Implementierung der Sicherheitsregularien und bei der Aufarbeitung erfolgter Angriffe“. Um Behördennetze und -infrastrukturen sicherer zu machen, dabei helfen die Landesämter für Sicherheit in der Informationstechnik wie das LSI Bayern. Aber selbst für kleine und mittlere Unternehmen (KMU) gibt es kostenfreie Hilfe, um höhere Cybersicherheit zur erlangen. Natürlich auch, wenn es um IT-Systeme im kleineren Energiebereich geht. Denn Hacker lieben Infrastruktur – vom Atomkraftwerk bis zur kleinen PV-Anlage mit Datenübertragung per WLAN. Fabian Nißing vom Bundesamt für Sicherheit in der Informationstechnik BSI begründet: „Wenn etwas passiert ist, ist es zu spät.“ Das BSI hat deshalb die Allianz für Cybersicherheit ins Leben gerufen. Die Anmeldung ist kostenfrei und recht einfach möglich für Firmen, aber auch Freiberufler*innen mit Sitz in Deutschland. Neben dem internen Austausch im Kreise ähnlich strukturierter Mitglieder der Allianz biete die zum Beispiel Vorträge zu kritischer Infrastruktur oder den jährlichen Cybersicherheitstag an – alles ohne Verpflichtung, wie Nißing betont.

Und wenn es schon zu spät ist, also die IT durch Hacker oder Viren außer Gefecht sind? Dann gibt es für Verbraucher wie Unternehmen beispielsweise die „Hotline Digitale Rettungskette des Cyber-Sicherheitsnetzwerks“, laut Dustin Kernke ebenfalls ein kostenfreies Angebot des BSI. Aber die Kontaktaufnahme muss dann zwangsläufig per Telefon geschehen (0800-274 1000).
Um das zu vermeiden, empfiehlt sich, was als Motto der IT-SA 2022 überall zu lesen war: „Hit Hackers Hard“ – möglichst vorsorglich.
(Heinz Wraneschitz)