Herr Dr. Häger, wie viele Angriffe gab es schon auf das deutsche Stromnetz?
Mir ist kein Angriff bekannt, bei dem Hacker in die Steuerung von Energienetzen vorgedrungen wären. Es gibt allerdings seit 2017 Ermittlungen zu Angriffen auf Energieversorger, die immer noch nicht abgeschlossen sind. Bisher haben wir jedoch nur Betroffenheiten in den Bürokommunikationsnetzen gefunden, nicht in der Produktion.
Welche Gefahren bedrohen die Unternehmen?
Grundsätzlich sind Energieversorger den gleichen Risiken ausgesetzt wie andere Unternehmen auch. Aktuell haben wir es insbesondere mit Angriffen mit Ransomware zu tun. Dabei gibt es mehrere mögliche Infektionswege – der Klassiker: Ein Mitarbeiter erhält eine E-Mail mit Anhang, den er öffnet. Diese Datei, getarnt als PDF, ist eine bösartige Ausführungsdatei, die die Daten auf dem lokalen Rechner verschlüsselt. Inzwischen können Angreifer sogar nicht nur Daten auf lokalen Rechnern, sondern auch auf den Netzlaufwerken verschlüsseln, auf denen der Anwender Schreibrechte hat. Zusätzlich erweitert wurde die Methode, indem sich die Schadsoftware im Netz der Firma auf weitere Rechner ausbreitete.
Wie könnten sich solche Gefahren konkret auf die Stromversorgung auswirken?
Im Zuge der Digitalisierung werden Bürokommunikationsnetze immer öfter mit den Produktionsnetzen verbunden – und wir haben durchaus Sorge, dass die Schadprogramme auch Windows-Rechner in der Produktion befallen könnten. Dann wären Produktionsausfälle unter Umständen die Folge. Deshalb wäre die Energiewirtschaft gut beraten, sich gegen Cybercrime zu schützen und entsprechende Maßnahmen umzusetzen. Das BSI steht dabei gern mit Rat und Tat zur Seite.
Aktuell haben wir es insbesondere mit Angriffen mit Ransomware zu tun
Phishing-Mails sind die bekannteste Methode. Neben der Gefahr des Öffnens schadhafter Mails durch Mitarbeiter gibt es auch die, dass Angreifer von vornherein aktiv versuchen, ins Netz einzudringen. Auch das ist immer wieder erfolgreich und gelingt, wenn Fehler in der Sicherheitsarchitektur bestehen. Ein weiteres Risiko ist, eine bösartige Website zu besuchen: Ich bin der Meinung, dass ohne einen entsprechenden Filter heute niemand mehr sicher im Internet surfen kann. Ebenso liegt es in der Hand eines Administrators, dass ein vermeintliches PDF mit der Endung .exe nicht ausgeführt werden kann.
Wie unterscheidet sich die Gefahrenlage der großen von der kleinerer Energieversorger?
Angesichts von Gefährdungen wie Ransomware und dem professionellen, stufenweisen Vorgehen der Angreifer ist es unerheblich, ob ein Versorger klein oder groß ist. Die größeren sind über das IT-Sicherheitsgesetz schon ein wenig länger verpflichtet, geeignete Maßnahmen nach dem Stand der Technik umzusetzen. Sie mussten im Frühjahr 2018 erstmals Nachweise über IT-Sicherheitsanforderungen vorlegen. Für kleinere EVU wurden erst später Anforderungen von der Bundesnetzagentur erhoben. Durch Übungen für den Ernstfall sind die Großen meist besser vorbereitet als die Kleinen. Sie haben das notwendige Personal, haben Prozesse etabliert und können auch mit Redundanz punkten.
Wie wird die Umsetzung von Sicherheitsmaßnahmen überprüft?
Die Unternehmen sind dazu verpflichtet, alle zwei Jahre eine Prüfung durchführen zu lassen, sei es durch den TÜV oder eine Wirtschaftsprüfungsgesellschaft. Das BSI erhält die Nachweise über die erfolgte Prüfung. So können wir uns ein Bild von der Sicherheitslage machen. Zudem ist das BSI auch befugt, selbst zu prüfen.
Sie sehen die deutschen Energieversorger also ausreichend gerüstet?
Hierzu ein vergleichender Seitenblick auf die Bankenwelt: Die IT-Sicherheit bei Banken ist in der Regel besser als bei anderen Kritischen Infrastrukturen (KRITIS). Aus gutem Grund, denn es gibt für Cyberkriminelle dort direkt viel Geld zu holen – anders als zum Beispiel in der Energiewirtschaft. Vor dem Hintergrund der bestehenden Gefährdungslage bewerte ich die IT-Sicherheit in der Energiewirtschaft aber als angemessen.
Herr Häger, vielen Dank für das Gespräch.
Mehr erfahren zu Datensicherheit
Cybersicherheit in der smarten Energiewelt - wie Smart Meter datensicher betrieben werden. ZUM ARTIKEL