Erneuerbare Energiesysteme unzureichend gesichert

Erneuerbare Energiesysteme unzureichend gesichert

Beitrag teilen

Im April 2022, wenige Monate nach Beginn des russischen Angriffs auf die Ukraine, wurden drei Windenergieunternehmen in Deutschland von Cyberkriminellen heimgesucht. Die Angriffe legten Tausende digital gesteuerter Windenergieanlagen lahm.

Schätzungen zufolge werden die weltweiten Stromversorgungssysteme bis zum Jahr 2050 zu 70 Prozent von erneuerbaren Energien abhängen, die hauptsächlich aus Sonnen-, Wind-, Gezeiten-, Regen- und geothermischen Quellen stammen. Diese Energiequellen sind in der Regel dezentral, geografisch abgelegen und relativ klein. Sie werden häufig mit nicht ausreichend gesicherten digitalen Technologien verwaltet und betrieben, die direkt an die veraltete Infrastruktur der nationalen Stromnetze angeschlossen sind. Eine Situation, die Cyberangriffen Tür und Tor öffnet.

Anzeige

Vom Risiko zur Resilienz

Um eine robuste Cyber-Resilienz in digitale erneuerbare Energiesysteme zu implementieren, gilt es zunächst, die Risikobereiche zu verstehen. Die 10 wichtigsten sind folgende:

1. Code-Schwachstellen und Fehlkonfigurationen in eingebetteter Software. Die Nachfrage nach erneuerbaren Energien bedeutet, dass die unterstützenden Technologien und Anwendungen oft schnell entwickelt und implementiert werden, so dass nur wenig Zeit bleibt, um Sicherheitskontrollen einzubeziehen oder zu testen. Die Anbieter und ihre Entwickler sind Experten für Elektrotechnik und verfügen möglicherweise nicht über die entsprechenden Sicherheitskenntnisse, um dies zu tun. Das Risiko wird noch erhöht, wenn die Software nach Fehlermeldungen nicht regelmäßig gepatcht und aktualisiert wird.

2. Ungesicherte APIs. Ein weiteres softwarebezogenes Risiko besteht darin, dass API-basierende Anwendungen mit anderen Anwendungen, einschließlich Anwendungen von Drittanbietern, kommunizieren und Daten und Funktionen gemeinsam nutzen können. Sie sind ein gängiges Merkmal von vernetzten oder öffentlich zugänglichen Systemen. Webanwendungssicherheit und Firewalls sind unerlässlich, um Angreifer daran zu hindern, APIs zu nutzen, um Daten zu stehlen, Geräte zu infizieren und Botnets aufzubauen.

3. Verwaltungs-, Kontroll-, Berichts- und Analysesysteme. Management- und Steuerungssoftware wie SCADA-Systeme (Supervisory Control and Data Acquisition) und andere Systeme, die Daten aus Energiequellen importieren, analysieren und visualisieren, sind Top-Ziele für Cyberangriffe, da sie Kriminellen den Zugriff auf das gesamte System, die Manipulation von Daten, das Senden von Anweisungen und mehr ermöglichen. Systeme, die Daten aus Drittquellen, etwa von Wettertürmen, integrieren, bieten eine weitere Möglichkeit zur Kompromittierung. Robuste Authentifizierungsmaßnahmen, mindestens mehrstufig, aber idealerweise auf der Grundlage von Zero-Trust, in Verbindung mit eingeschränkten Zugriffsrechten sind von entscheidender Bedeutung, um sicherzustellen, dass nur diejenigen, die über eine Berechtigung verfügen, Zugang zum System erhalten.

4. Automatisierung. Verteilte und dezentrale Systeme für erneuerbare Energien, insbesondere in großem Maßstab, müssen rund um die Uhr überwacht und verwaltet werden, was zunehmend automatisch erfolgt. Das Risiko besteht darin, dass diese Systeme nicht sorgfältig genug auf anomalen oder verdächtigen Datenverkehr überwacht werden, der auf die Anwesenheit eines Eindringlings hindeuten könnte. Sicherheitslösungen, die eine erweiterte Erkennung und Reaktion sowie spezielle IoT-Sicherheitsfunktionen bieten, können hier helfen.

5. Fernzugriffsdienste. Erneuerbare Energiequellen sind weit verstreut und befinden sich oft an isolierten Standorten. Das bedeutet, dass sie eine Form des Fernzugriffs benötigen, um Daten auszutauschen und Anweisungen und Berichte zu erhalten, beispielsweise über Cloud-Dienste oder VPNs. Fernzugriffsdienste sind notorisch anfällig für Cyberangriffe und robuste Authentifizierungs- und Zugangsmaßnahmen sind unerlässlich.

6. Physischer Standort. Ein weiteres geografisches Risiko besteht darin, dass der Standort die Reaktions- und Wiederherstellungszeit nach einem Vorfall verlangsamen kann. Die Logistik für die An- und Abreise zu einem Offshore-Windpark, etwa um Sensoren zu reparieren oder neu abzubilden, kann komplex, zeitaufwändig und teuer sein. Die Personen, die zu den abgelegenen Standorten reisen, sind in der Regel keine IT-Fachleute, so dass eine Sicherheitslösung, die von einem Nicht-Sicherheitsexperten leicht zu installieren und zu ersetzen ist, unerlässlich ist. Ein Elektriker muss in der Lage sein, ein defektes Gerät an einem Sonntagabend zu ersetzen.

7. Netzwerkverkehr. Alle Daten, die über das Netzwerk laufen, sollten überwacht und verschlüsselt werden. In angeschlossenen Stromversorgungssystemen ist der Datenverkehr zwischen einem Gerät und der zentralen Anwendung oft unverschlüsselt und anfällig für Manipulationen. Angreifer können Daten im Ruhezustand und in Bewegung abfangen. Oder DoS-Angriffe überlasten die Verkehrssysteme.

8. Internetanbindung. Herkömmliche Kraftwerke, beispielsweise Gaskraftwerke, sind in der Regel nicht mit dem Internet verbunden und verfügen über eine so genannte „Air-Gapped“-Infrastruktur, die das Risiko eines Cyberangriffs verringert. Da erneuerbare Energiequellen jedoch mit dem Internet verbunden sind, verfügen sie im Allgemeinen nicht über diesen Schutz. Alle mit dem Internet verbundenen Anlagen müssen abgesichert sein.

9. Veraltete Infrastruktur der Stromnetze. In den meisten Ländern wird ein erheblicher Teil des Stromnetzes veraltet sein und daher keine Sicherheitsaktualisierungen erhalten können. Der beste Weg, diese Systeme zu schützen, besteht darin, sie in sichere Authentifizierungs- und Zugangsmaßnahmen einzubinden.

10. Fehlende Regulierung und Sicherheitskoordinierung. Für eine langfristige Sicherheit müssen Gesetze und Vorschriften – wie NIS 2.0 in Europa – gewährleisten, dass es strenge Standards für Anlagen zur Nutzung erneuerbarer Energien gibt, egal wie klein sie sind. Außerdem entwickelt sich die Technologie für erneuerbare Energien schnell und die Lieferketten sind komplex – dies kann zu Unklarheiten darüber führen, wer für die Sicherheit verantwortlich ist. Das Modell der „geteilten Verantwortung“, das für Cloud-Anbieter zutrifft, könnte auch hier helfen.

Nachhaltige Sicherheit

In mancher Hinsicht unterscheiden sich Systeme für erneuerbare Energien nicht so sehr von anderen IoT-Systemen. Angreifer können nach anfälligen Komponenten, ungepatchter Software, unsicheren Standardeinstellungen und ungeschützten Verbindungen suchen und diese angreifen. Eine nachhaltige, vernetzte Branche für erneuerbare Energien muss von Anfang an mit Sicherheit und Cyber-Resilienz ausgestattet sein – und dann kontinuierlich aufrechterhalten werden, Schritt für Schritt.

Die Absicherung einer komplexen Umgebung muss nicht kompliziert sein. Es lohnt sich, SASE (Secure Access Service Edge) in Betracht zu ziehen, eine integrierte Lösung, die Menschen, Geräte und Dinge sicher mit ihren Anwendungen verbindet, egal wo sie sich befinden. Werden dann noch Netzwerksegmentierung und Benutzerschulung hinzugefügt, verfügen Unternehmen über eine solide cyber-resiliente Basis – nicht nur, um einen Angriff zu verhindern, sondern auch, um die Auswirkungen im Fall des (Vor)falls einzudämmen.
Kommentar von Stefan Schachinger, Senior Product Manager, Network Security bei Barracuda Networks

Mehr bei Barracuda.com

 


Über Barracuda Networks

Barracuda ist bestrebt, die Welt zu einem sichereren Ort zu machen und überzeugt davon, dass jedes Unternehmen Zugang zu Cloud-fähigen, unternehmensweiten Sicherheitslösungen haben sollte, die einfach zu erwerben, zu implementieren und zu nutzen sind. Barracuda schützt E-Mails, Netzwerke, Daten und Anwendungen mit innovativen Lösungen, die im Zuge der Customer Journey wachsen und sich anpassen. Mehr als 150.000 Unternehmen weltweit vertrauen Barracuda, damit diese sich auf ein Wachstum ihres Geschäfts konzentrieren können. Für weitere Informationen besuchen Sie www.barracuda.com.


Passende Artikel zum Thema

Cloud-Datenschutzstrategien für Gesundheitsdienstleister

Die Digitalisierung im Gesundheitswesen nimmt stetig zu. Im gleichen Ausmaß nimmt die Gefahr von Cyberattacken zu. Der Schutz sensibler Daten ➡ Weiterlesen

API-Angriffe: Diese Bereiche sind gefährdet

In vielen Unternehmen fehlt ein Monitoring über schadhafte Strukturen oder Dritt-Anbieter-APIs. Das macht APIs besonders vulnerabel und zum Ziel für ➡ Weiterlesen

CPS: Angriffe auf vernetzte Geräte sind teuer und zeitintensiv 

Jeder dritte Angriff auf cyber-physische Systeme in Deutschland verursacht Kosten von mehr als 1 Million US-Dollar, das zeigt der Report ➡ Weiterlesen

Katz-und-Maus-Spiel mit nationalstaatlichen Gegnern in China

Sophos hat den Report „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten ➡ Weiterlesen

Angriffe auf die Lieferkette nehmen zu

Angriffe auf die Lieferkette (Supply Chain) sind besonders gefährlich, weil sie darauf ausgelegt sind, Sicherheitsmechanismen auf Seiten der Verteidiger zu ➡ Weiterlesen

Cyberangriffe: Russland hat es auf deutsche KRITIS abgesehen

Russland setzt gezielt destruktive Schadsoftware ein und bedroht mit seiner digitalen Kriegsführung kritische Infrastrukturen in Deutschland. Durch die zunehmende Aggressivität, ➡ Weiterlesen

DORA: Stärkere Cybersecurity für Finanzunternehmen

Der Digital Operational Resilience Act (DORA) soll die IT-Sicherheit und das Risikomanagement in der Finanzbranche stärken, indem er strenge Anforderungen ➡ Weiterlesen

Identitätssicherheit: Viele Unternehmen sind noch am Anfang

Ein Anbieter von Identity Security für Unternehmen, hat seine aktuelle Studie „Horizons of Identity Security“ vorgestellt. Unternehmen mit fortschrittlicher Identitätssicherheit stehen ➡ Weiterlesen