Software-Methusalem im Konverter

„Der russische Angriffskrieg in der Ukraine führte bei
vielen KRITIS-Betreibern zu operativen Herausforderungen“, heißt es im IT-Sicherheitsbericht 2022 des Bundesamts für Sicherheit in der Informationstechnik (BSI). Von gut 450 Pflichtmeldungen, die Betreiber kritischer Infrastrukturen in den zwölf Monaten bis Mai 2022 abgegeben hatten, stammten 82 aus der Energiebranche, mehr als aus jedem anderen Kritis-Sektor.
In der deutschen Windkraft ist ein Cyberangriff bisher nur onshore ruchbar geworden: Mit dem Ausbruch des Ukraine-Krieges waren in der Spitze knapp 5.800 Windräder vom ostfriesischen Hersteller Enercon mit zusammen 10.000 MW durch den Hack auf einen Kommunikationssatelliten von der Fernsteuerung abgeschnitten gewesen, zwei Monate lang.
 
Bei Offshore-Windparks dürfte der Risikofaktor noch höher sein, da mit einem einzigen erfolgreichen physischen oder informationstechnischen Sabotageangriff auf eine Anbindungsleitung künftig 2.000 MW, in anderen Ländern teilweise noch mehr, von jetzt auf gleich auf unbestimmte Zeit fehlen, und das in einem Energiesystem, das nur noch auf Wind und Sonne beruhen soll − Anlass genug für ein Expertenforum zu Cybersicherheit, physischer Sicherheit und Notfallmanagement auf der Windforce Conference in Bremerhaven.

Die Windräder auf See verfügen aber auch über einen Infrastrukturvorteil, der sich zur Entdeckung von Vorbereitungen solcher Angriffe eignet, meinte Steinar Björnstad, Research and Competence Manager bei dem auf Offshore spezialisierten norwegischen Kommunikationsdienstleister Tampnet, der zunehmend Kunden aus der Offshore-Branche gewinnt: Es ist neben der Übersichtlichkeit der Umgebung die vermaschte Innerparkverkabelung. Davon gleich.

Offshore-Windparks und deren Anbindungsleitungen gehören per se zur kritischen Infrastruktur und müssen daher für ein bestimmtes Managementsystem für Informationssicherheit (ISMS) gemäß ISO 27001, dem IT-Grundschutz des BSI, zertifiziert werden, daran erinnerte Thom Kemmerich vom Deutschen Forschungszentrum für Künstliche Intelligenz (DKFI). Jenes ISMS gibt es übrigens schon seit 30 Jahren.

Es werde innerhalb der nächsten zwei Jahre Hacks und physische Angriffe auf die Offshore-Infrastruktur − Windkraft, Pipelines, Strom- und Datenkabel − geben, das wird laut einer Umfrage, die Kemmerich zitierte, von 40 bis 50 Prozent ihrer Betreiber befürchtet. Die Befragten nannten den Terrorismus als gefährlichstes Bedrohungsszenario. Einzukalkulieren sind aber auch Akte aggressiver Staaten wie Russland oder Nordkorea. Sabotageakte aus der eigenen Organisation heraus sind ebenfalls mitzudenken.

In der norwegischen Nordsee, berichtete Kemmerich, sei vor einiger Zeit plötzlich ein Telekommunikationskabel verschwunden. Morten Wilfred Persen von dem maritimen norwegischen Navigationsdienstleister Kongsberg erzählte E&M von mehreren Vorkommnissen im Meer vor Norwegen, in denen Schiffe russischer Herkunft über Unterseeleitungen aller Art plötzlich langsamer wurden, stoppten oder Runden drehten.

Solche verdächtigen Aktivitäten von Schiffen und U-Booten lassen sich in ein bis zwei Kilometern Umkreis der maritimen Infrastruktur dadurch entdecken, dass sich die Schallwellen verändern, die von den Meeresfahrzeugen ausgehen und indirekt in den Lichtwellenleitern (LWL) in den Glasfaserkabelkanälen der Windparks, in Stromkabeln, Pipelines und Datenleitungen andere Reflexionen auslösen.

Die Sensorikhardware lässt sich am Unterwasserkabel oder an einem Drohnenboot (Unmanned Surface Vessel, USV) anbringen. Das berichtete Tampnet-Forscher Björnstad. Die Technologie kürzt sich DAS ab, von „Distributed Acoustic Sensing“. Sie lässt sich ebenfalls verwenden für die Überwachung von Co-Nutzungen im Meer sowie meeresbiologische Untersuchungen oder Erdbebendetektion. Kameras und Sonar sowie Satellitenaufnahmen, etwa zur Ölpestaufklärung, sind weitere Analysemedien.

Zudem bricht bei Schiffen mit verdächtigen Tempo- und Kursänderungen mitunter gleichzeitig der Kontakt über das maritime UKW-basierte Automatic Identification System (AIS) ab, wohl weil die Besatzungen es einfach für die Dauer ihrer illegalen Operation ausschalten. Tampnet entwickelt gerade laut Björnstad ein Tool, das DAS und AIS in eine Zusammenschau bringt.

Wie rutscht Uralt-Software so einfach durch?

Das ist die Bedrohungslage auf See. Sie trifft auf im Einzelfall hanebüchene Arglosigkeit selbst im Kritis-Bereich: „Manche Betreiber von Kritis mustern jetzt erst Windows XP aus“, will Thom Kemmerich vom DKFI erlebt haben. Dieses Betriebssystem wird seit 2014 nicht mehr von Microsoft supportet, erhält also seither auch keine Sicherheitsupdates mehr.

Kemmerich darf seit Langem den IT-Grundschutz des BSI abnehmen. 2013, plauderte er aus dem Nähkästchen, sollte er eine Konverterstation für einen Zeitraum von 2014 an zertifizieren. Und stellte, als er sich ans Werk machte, entsetzt fest, dass auf der Station auch Windows-2000-Server eingesetzt werden sollten. Das war ein damals schon 13 Jahre altes Betriebssystem, dessen Support bereits 2010 ausgelaufen war, nachdem es fast fünf Jahre lang keine Aktualisierung mehr gegeben hatte. „Und das hätte noch 20 Jahre lang laufen sollen!“, verdeutlichte Kemmerich.

Wie kann so etwas passieren, dass bereits veraltete Software in der Kritis eingebaut wird? Dafür hat Achim Fischer-Erdsiek eine Erklärung. Er ist geschäftsführender Gesellschafter der NW Assekuranzmakler, nach seinem Anspruch dem einzigen Unternehmen, das Cybersicherheit-Versicherungen für Offshore-Projekte vermittelt, denn die meisten Maschinenversicherungen für die See hätten einen ausdrücklichen Cyberausschluss für physische Folgeschäden.
 
Nicht nur Fischer-Erdsiek zufolge müsse man zwischen IT und OT unterscheiden, wobei man OT in diesem Zusammenhang Maschinensteuerung bedeutet. Oft sei nur die OT veraltet und die IT auf Stand. Das liege wiederum in der Regel daran, dass die IT-Abteilungen von Unternehmen für die OT gar nicht zuständig sind. Die alten Systeme rutschen ihnen also quasi durch. 

Das Gefährliche daran: Schadprogramme wie der Wurm Stuxnet, der 2010 das iranische Atomprogramm empfindlich gestört hat, aber weit verbreitet war, gehen (auch) auf (Scada-)Maschinensteuerungen. Also OT.

Thom Kemmerich vom DKFI empfahl, IT- und OT-Informationstechnik getrennt zu halten, und riet zu „Security by Design“. Das bedeutet, auf die spezifischen Cybersecurity-Anforderungen möglichst bereits bei der IT-Entwicklung zu dringen und nicht erst bei der fertigen Software. Selbstverständlich bestehe für die Kritis-Betreiber ohnehin eine ISO-27001-Pflicht, aber sie sollten ein solches IT-Sicherheitsmanagementsystem „so früh wie möglich“ (re)zertifizieren.

Wer Zugang zu allen Systemen hat

Versicherungsexperte Fischer-Erdsiek fragte die Zuhörer rhetorisch, welche Beschäftigten als einzige Zugang zu allen Systemen in einem Unternehmen haben − mit der einhelligen Antwort: Praktikanten und Azubis, die in ihrer Zeit oft alle Abteilungen durchlaufen.

Unausgesprochen wollte Fischer-Erdsiek mit der Frage auf eine gern übersehene personelle Schwachstelle in der IT-Sicherheit hinweisen, denn möglicherweise sind die Nachwuchskräfte dafür noch nicht ausreichend sensibilisiert − oder sie sind käuflich. Er betonte, haftbar für Vorfälle sei nie die IT-Abteilung, sondern immer die obere Geschäftsleitung. Der Versicherungsvermittler kennt auch einige Fälle, in denen Geschäftsführer-Haftungsversicherungen (D&O) bei Pflichtverletzungen im IT-Bereich an die Chefs keine Entschädigung zahlten.