Auf der Homepage der Wilken Software Group war Mitte November zu lesen: „Inzwischen sind wir wieder auf den gewohnten Kanälen für Sie erreichbar, unsere Ticketsysteme in allen Produktfamilien sind online und das Downloadportal steht wieder zur Verfügung.“ Für die meisten Produktfamilien könnten wieder Softwareversionen, Patches und Hotfixes sicher ausgeliefert werden. In der internen IT-Infrastruktur seien jedoch „noch einige Aufgaben zu erledigen“. Am 12.
Oktober war das Unternehmen Opfer einer Cyberattacke geworden.
Mit der Kisters AG gibt es neben Wilken einen weiteren IT-Dienstleister im Umfeld der Energiewirtschaft, der von Hackern erfolgreich angegriffen wurde. Die Folgen der Attacke vom 10.
November 2021 waren auch nach Monaten noch zu spüren. Bis Weihnachten 2021 hatte die Kisters-Gruppe die vollständige Kommunikationsfähigkeit wiederhergestellt und im März 2022 schließlich die Softwareproduktion wieder aufnehmen können. Bis dahin wurden alle Systeme neu aufgesetzt und mehr als 300 Entwickler hatten ihren Quellcode der letzten Monate in einem Vier-Augen-Verfahren geprüft, um das Risiko einer Supply-Chain-Attacke möglichst auszuschließen.
Einfallstore nicht immer zweifelsfrei identifizierbar Wie sich die Kriminellen Zugang zu den Systemen der beiden Firmen verschafft haben, ist nicht öffentlich bekannt. In vielen Fällen können laut Forensikern die tatsächlichen Einfallstore auch gar nicht zweifelsfrei identifiziert werden. Denn so mancher Angreifer wirft erst einmal eine Nebelkerze, um von der eigentlichen Attacke abzulenken oder sie zu verschleiern.
Dem aktuellen Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) vom Oktober zufolge schlagen die Hacker in den meisten Fällen mit präparierten E-Mails zu, die sogenannte Ransomware − also Erpressungssoftware, die bestimmte Daten oder ganze Dateninfrastrukturen verschlüsselt − in das Netzwerk des Opfers schleusen. Lausige, leicht erkennbare Anschreiben mit auffälligen Formulierungen werden seltener. Stattdessen kommt die Malware immer häufiger auf sehr subtilen Wegen, etwa mit einer Bewerbung auf eine tatsächlich ausgeschriebene Stelle.
Eine Übersicht des BSI beziffert den täglichen Zuwachs neuer Malware-Varianten im April und Mai dieses Jahres mit knapp 300.000. Der höchste Wert im Berichtszeitraum, der von Juni 2021 bis Mai 2022 reicht, lag mit durchschnittlich knapp 450.000 neuen Varianten pro Tag im Oktober des vergangenen Jahres. Insgesamt hat nach Angaben des BSI die Anzahl der Schadprogramme in den betrachteten zwölf Monaten um 116,6 Millionen zugenommen.
 |
Wichtige Zahlen im BSI-Lagebericht zur Cybersicherheit
Quelle: BSI |
Der Grundtenor des BSI-Berichts lässt sich auf einen einfachen Nenner bringen: Die Gefährdungslage für die kritischen Infrastrukturen hat sich weiter verschärft. Eine besondere Erwähnung sind den Beamten dabei die Angriffe auf die Software-Lieferketten von IT-Dienstleistern zu ihren Kunden wert. Als „besonders beunruhigend“ stuft die Behörde diese Bedrohung ein.
Mehr Informationen aus dem Netz notwendig Das Ausbalancieren von Erzeugung und Verbrauch, die Nutzung intelligenter Netzbetriebsführungskonzepte, die Nutzung von Flexibilitätspotenzialen, der steigende Dezentralisierungsgrad der Energielandschaft − alle diese Herausforderungen bringen eine zunehmende Durchdringung der Energielandschaft mit Informations- und Kommunikationstechnik mit sich. Sowohl die Übertragungs- als auch die Verteilnetzbetreiber benötigen zur Aufrechterhaltung der Systemstabilität immer mehr Informationen aus den Netzen und dem Markt und immer mehr Kapazitäten, um diese Informationen zu verarbeiten.
Im intelligenten Messwesen, Cloud- und Edge-Computing sowie im Einsatz künstlicher Intelligenz sehen Versorger und Netzbetreiber ein großes Potenzial für die erfolgreiche Umsetzung der Energiewende und den Aufbau neuer Geschäftsmodelle. Damit rückt gleichzeitig das Thema Cybersicherheit immer stärker in den Mittelpunkt. Zumal neue Anwendungsfälle wie Redispatch 2.0, die Mako 2022 oder variable Tarife im Vertrieb zum Teil sehr spezifische Sicherheitsanforderungen mit sich bringen.
Vor diesem Hintergrund veröffentlichte die Deutsche Energie-Agentur (Dena) im März ein Gutachten mit dem Titel „EnerCrypt − Cyberinnovationen für das sichere Energiesystem der Zukunft“, das deutlich machen soll, wie sehr der Erfolg der Energiewende auf „Cyberinnovationen“ angewiesen ist. Gleichzeitig geht es den Autoren auch darum, die IT-Sicherheit als Gestaltungsfaktor der Energiewende in der fachlichen und politischen Diskussion zu etablieren.
Sie weisen darauf hin, dass vor diesem Hintergrund die verschlüsselte Kommunikation und Informationsverarbeitung essenzielle Faktoren für die Sicherung heutiger und künftiger Energiesysteme sind. Sie stellen Zukunftstechnologien für Cybersicherheit in Energienetzen vor und erläutern dabei die Einsatzmöglichkeiten kryptografischer Verfahren. „Neben dem Schließen von Sicherheitslücken im System selbst sollten auch verwendete Algorithmen, insbesondere im Bereich der Kryptografie, austauschbar beziehungsweise aktualisierbar sein“, schreiben die Autoren.
Die Möglichkeit, Funktions- und Sicherheitsupdates softwareseitig einzuspielen, ist nach ihrer Überzeugung die Kernvoraussetzung für langfristige Cybersicherheit. Gleichzeitig räumen sie aber auch ein, dass sich die Anwendungsszenarien, Bedrohungen und Sicherheitsmechanismen während der meist langen Nutzungsdauer der Betriebsmittel mehrfach ändern. Die bei der Inbetriebnahme geltenden Annahmen über die technische Entwicklung und die Entwicklung der Bedrohungslage hätten in der Regel nur kurze Zeit Bestand.
Mehrheit hält Angriff für nicht sehr wahrscheinlich Im Spätsommer legte die Dena dann eine Umfrage unter den Versorgern und Verteilnetzbetreibern nach, um deren eigene Einschätzung zu erfahren, wie es um die Cybersicherheit im deutschen Stromnetz steht. Die teilnehmenden Unternehmen stellen laut Energie-Agentur „einen einigermaßen repräsentativen Querschnitt durch die deutsche Stromversorgungslandschaft“ dar. Kleine Stadt- und Gemeindewerke mit weniger als 20.000 Zählpunkten seien ebenso zu Wort gekommen, wie überregionale Netzbetreiber mit mehr als 1 Million Zählpunkten.
Insgesamt 58
Prozent gaben an, einen erfolgreichen Angriff für unwahrscheinlich beziehungsweise für nicht sehr wahrscheinlich zu halten. Entsprechend schätzen 42
Prozent das Risiko als hoch ein. Als besonders gefährdete Einfallstore sehen die Unternehmen die Mitarbeiterarbeitsplätze an, gefolgt von der eigenen Website beziehungsweise dem Kundenportal. Über die Gefährdung der Leitsysteme gibt es dagegen unterschiedliche Auffassungen. Von „sehr hoch“ bis „sehr niedrig“ reichten hier die Antworten. Auch bei der Einschätzung der Smart-Meter-Infrastruktur gingen die Meinungen auseinander. Rundsteueranlagen und das Asset Management wurden dagegen als wenig gefährdet eingestuft.
Dabei hat das BSI in seinem Lagebericht beim Asset Management im Energiesektor durchaus Versäumnisse festgestellt. Nur in den Kategorien „Managementsystem für Informationssicherheit“ und „bauliche und physische Sicherheit“ fielen der Behörde mehr Mängel auf.
Gemäß dem „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik“ (BSI-Gesetz) sind die Betreiber kritischer Infrastrukturen verpflichtet, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen (…) zu treffen (…)“. Dementsprechend müssen die Unternehmen alle zwei Jahre gegenüber dem BSI den Nachweis erbringen, dass ihre IT-Sicherheit dem Stand der Technik entspricht. Allerdings stellt die Behörde immer wieder Mängel fest.
nsgesamt 2.941 Sicherheitsmängel habe sie zwischen dem 1. April 2020 und 31. März 2022 in den Sektoren Energie, Ernährung, Finanz- und Versicherungswesen, Gesundheit (nur medizinische Versorgung), Informationstechnik und Telekommunikation sowie Wasser registriert, heißt es im aktuellen Report.
Meldepflicht gegenüber dem BSI Rund zwei Drittel der von der Dena befragten Unternehmen gaben an, noch keinen Vorfall an das BSI berichtet zu haben, während 16
Prozent ein einzelnes Ereignis haben melden müssen. Hier ist allerdings zu beachten, dass es eine Meldepflicht für Betreiber kritischer Infrastruktur gibt, die davon abhängt, wie groß das Unternehmen ist und wie gravierend der Vorfall war. Mehr als zehn Meldungen hat jedoch noch keiner der Befragten abgeben müssen.
Das BSI verzeichnet in seinem Lagebericht 452 solcher Meldungen im Betrachtungszeitraum. Auf den Energiesektor entfielen 82 davon. Stärker in Mitleidenschaft gezogen war nur noch der Gesundheitssektor mit 138 Meldungen.
Am 26. Oktober wurde Enercity aus Hannover Opfer einer Cyberattacke. Die Sicherheitssysteme hätten umgehend reagiert und größeren Schaden abgewendet. Mitte November konnte der kommunale Versorger laut seiner Website noch nicht alle IT-Systeme für den Kundenservice und die Bearbeitung von Marktanfragen nutzen. Die kritische Infrastruktur für Strom, Gas, Wasser und Fernwärme sei jedoch nicht betroffen.
Energienetzbetreiber haben nach dem Energiewirtschaftsgesetz die Pflicht, bestimmte Mindeststandards in der IT-Sicherheit einzuhalten. Ob sie dies auch tun, kann von der Bundesnetzagentur überprüft werden. Außerdem haben Netzbetreiber, deren Anlagen zur kritischen Infrastruktur gehören, besondere Meldepflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Was als kritische Infrastruktur gilt, definiert unter anderem § 2 der BSI-Kritisverordnung. Anhang 1 der Verordnung enthält die entsprechenden Schwellenwerte für die Energiewirtschaft. Bei Stromübertragungs- und -verteilnetzen sind dies beispielsweise 3.700 Millionen kWh/Jahr an Energie, die von Letztverbrauchern oder Weiterverteilern entnommen werden.
Dienstag, 13.12.2022, 09:30 Uhr
© 2024 Energie & Management GmbH
