Erneuerbare Energiesysteme unzureichend gesichert

Erneuerbare Energiesysteme unzureichend gesichert

Beitrag teilen

Im April 2022, wenige Monate nach Beginn des russischen Angriffs auf die Ukraine, wurden drei Windenergieunternehmen in Deutschland von Cyberkriminellen heimgesucht. Die Angriffe legten Tausende digital gesteuerter Windenergieanlagen lahm.

Schätzungen zufolge werden die weltweiten Stromversorgungssysteme bis zum Jahr 2050 zu 70 Prozent von erneuerbaren Energien abhängen, die hauptsächlich aus Sonnen-, Wind-, Gezeiten-, Regen- und geothermischen Quellen stammen. Diese Energiequellen sind in der Regel dezentral, geografisch abgelegen und relativ klein. Sie werden häufig mit nicht ausreichend gesicherten digitalen Technologien verwaltet und betrieben, die direkt an die veraltete Infrastruktur der nationalen Stromnetze angeschlossen sind. Eine Situation, die Cyberangriffen Tür und Tor öffnet.

Vom Risiko zur Resilienz

Um eine robuste Cyber-Resilienz in digitale erneuerbare Energiesysteme zu implementieren, gilt es zunächst, die Risikobereiche zu verstehen. Die 10 wichtigsten sind folgende:

1. Code-Schwachstellen und Fehlkonfigurationen in eingebetteter Software. Die Nachfrage nach erneuerbaren Energien bedeutet, dass die unterstützenden Technologien und Anwendungen oft schnell entwickelt und implementiert werden, so dass nur wenig Zeit bleibt, um Sicherheitskontrollen einzubeziehen oder zu testen. Die Anbieter und ihre Entwickler sind Experten für Elektrotechnik und verfügen möglicherweise nicht über die entsprechenden Sicherheitskenntnisse, um dies zu tun. Das Risiko wird noch erhöht, wenn die Software nach Fehlermeldungen nicht regelmäßig gepatcht und aktualisiert wird.

2. Ungesicherte APIs. Ein weiteres softwarebezogenes Risiko besteht darin, dass API-basierende Anwendungen mit anderen Anwendungen, einschließlich Anwendungen von Drittanbietern, kommunizieren und Daten und Funktionen gemeinsam nutzen können. Sie sind ein gängiges Merkmal von vernetzten oder öffentlich zugänglichen Systemen. Webanwendungssicherheit und Firewalls sind unerlässlich, um Angreifer daran zu hindern, APIs zu nutzen, um Daten zu stehlen, Geräte zu infizieren und Botnets aufzubauen.

3. Verwaltungs-, Kontroll-, Berichts- und Analysesysteme. Management- und Steuerungssoftware wie SCADA-Systeme (Supervisory Control and Data Acquisition) und andere Systeme, die Daten aus Energiequellen importieren, analysieren und visualisieren, sind Top-Ziele für Cyberangriffe, da sie Kriminellen den Zugriff auf das gesamte System, die Manipulation von Daten, das Senden von Anweisungen und mehr ermöglichen. Systeme, die Daten aus Drittquellen, etwa von Wettertürmen, integrieren, bieten eine weitere Möglichkeit zur Kompromittierung. Robuste Authentifizierungsmaßnahmen, mindestens mehrstufig, aber idealerweise auf der Grundlage von Zero-Trust, in Verbindung mit eingeschränkten Zugriffsrechten sind von entscheidender Bedeutung, um sicherzustellen, dass nur diejenigen, die über eine Berechtigung verfügen, Zugang zum System erhalten.

4. Automatisierung. Verteilte und dezentrale Systeme für erneuerbare Energien, insbesondere in großem Maßstab, müssen rund um die Uhr überwacht und verwaltet werden, was zunehmend automatisch erfolgt. Das Risiko besteht darin, dass diese Systeme nicht sorgfältig genug auf anomalen oder verdächtigen Datenverkehr überwacht werden, der auf die Anwesenheit eines Eindringlings hindeuten könnte. Sicherheitslösungen, die eine erweiterte Erkennung und Reaktion sowie spezielle IoT-Sicherheitsfunktionen bieten, können hier helfen.

5. Fernzugriffsdienste. Erneuerbare Energiequellen sind weit verstreut und befinden sich oft an isolierten Standorten. Das bedeutet, dass sie eine Form des Fernzugriffs benötigen, um Daten auszutauschen und Anweisungen und Berichte zu erhalten, beispielsweise über Cloud-Dienste oder VPNs. Fernzugriffsdienste sind notorisch anfällig für Cyberangriffe und robuste Authentifizierungs- und Zugangsmaßnahmen sind unerlässlich.

6. Physischer Standort. Ein weiteres geografisches Risiko besteht darin, dass der Standort die Reaktions- und Wiederherstellungszeit nach einem Vorfall verlangsamen kann. Die Logistik für die An- und Abreise zu einem Offshore-Windpark, etwa um Sensoren zu reparieren oder neu abzubilden, kann komplex, zeitaufwändig und teuer sein. Die Personen, die zu den abgelegenen Standorten reisen, sind in der Regel keine IT-Fachleute, so dass eine Sicherheitslösung, die von einem Nicht-Sicherheitsexperten leicht zu installieren und zu ersetzen ist, unerlässlich ist. Ein Elektriker muss in der Lage sein, ein defektes Gerät an einem Sonntagabend zu ersetzen.

7. Netzwerkverkehr. Alle Daten, die über das Netzwerk laufen, sollten überwacht und verschlüsselt werden. In angeschlossenen Stromversorgungssystemen ist der Datenverkehr zwischen einem Gerät und der zentralen Anwendung oft unverschlüsselt und anfällig für Manipulationen. Angreifer können Daten im Ruhezustand und in Bewegung abfangen. Oder DoS-Angriffe überlasten die Verkehrssysteme.

8. Internetanbindung. Herkömmliche Kraftwerke, beispielsweise Gaskraftwerke, sind in der Regel nicht mit dem Internet verbunden und verfügen über eine so genannte „Air-Gapped“-Infrastruktur, die das Risiko eines Cyberangriffs verringert. Da erneuerbare Energiequellen jedoch mit dem Internet verbunden sind, verfügen sie im Allgemeinen nicht über diesen Schutz. Alle mit dem Internet verbundenen Anlagen müssen abgesichert sein.

9. Veraltete Infrastruktur der Stromnetze. In den meisten Ländern wird ein erheblicher Teil des Stromnetzes veraltet sein und daher keine Sicherheitsaktualisierungen erhalten können. Der beste Weg, diese Systeme zu schützen, besteht darin, sie in sichere Authentifizierungs- und Zugangsmaßnahmen einzubinden.

10. Fehlende Regulierung und Sicherheitskoordinierung. Für eine langfristige Sicherheit müssen Gesetze und Vorschriften – wie NIS 2.0 in Europa – gewährleisten, dass es strenge Standards für Anlagen zur Nutzung erneuerbarer Energien gibt, egal wie klein sie sind. Außerdem entwickelt sich die Technologie für erneuerbare Energien schnell und die Lieferketten sind komplex – dies kann zu Unklarheiten darüber führen, wer für die Sicherheit verantwortlich ist. Das Modell der „geteilten Verantwortung“, das für Cloud-Anbieter zutrifft, könnte auch hier helfen.

Nachhaltige Sicherheit

In mancher Hinsicht unterscheiden sich Systeme für erneuerbare Energien nicht so sehr von anderen IoT-Systemen. Angreifer können nach anfälligen Komponenten, ungepatchter Software, unsicheren Standardeinstellungen und ungeschützten Verbindungen suchen und diese angreifen. Eine nachhaltige, vernetzte Branche für erneuerbare Energien muss von Anfang an mit Sicherheit und Cyber-Resilienz ausgestattet sein – und dann kontinuierlich aufrechterhalten werden, Schritt für Schritt.

Die Absicherung einer komplexen Umgebung muss nicht kompliziert sein. Es lohnt sich, SASE (Secure Access Service Edge) in Betracht zu ziehen, eine integrierte Lösung, die Menschen, Geräte und Dinge sicher mit ihren Anwendungen verbindet, egal wo sie sich befinden. Werden dann noch Netzwerksegmentierung und Benutzerschulung hinzugefügt, verfügen Unternehmen über eine solide cyber-resiliente Basis – nicht nur, um einen Angriff zu verhindern, sondern auch, um die Auswirkungen im Fall des (Vor)falls einzudämmen.
Kommentar von Stefan Schachinger, Senior Product Manager, Network Security bei Barracuda Networks

Mehr bei Barracuda.com

 


Über Barracuda Networks

Barracuda ist bestrebt, die Welt zu einem sichereren Ort zu machen und überzeugt davon, dass jedes Unternehmen Zugang zu Cloud-fähigen, unternehmensweiten Sicherheitslösungen haben sollte, die einfach zu erwerben, zu implementieren und zu nutzen sind. Barracuda schützt E-Mails, Netzwerke, Daten und Anwendungen mit innovativen Lösungen, die im Zuge der Customer Journey wachsen und sich anpassen. Mehr als 150.000 Unternehmen weltweit vertrauen Barracuda, damit diese sich auf ein Wachstum ihres Geschäfts konzentrieren können. Für weitere Informationen besuchen Sie www.barracuda.com.


Passende Artikel zum Thema

Cyber Resilience Act verbietet Geräte mit bekannten Schwachstellen

Der Cyber Resilience Act (CRA) soll in der zweiten Hälfte 2024 in Kraft treten. Es verbietet Herstellern in der EU, ➡ Weiterlesen

GAP-Analyse: Sicherheitslücken erkennen und schließen

Für immer mehr Unternehmen wird die GAP-Analyse zu einem unverzichtbaren Instrument, um potenzielle Sicherheitsrisiken zu identifizieren und gezielt zu beheben. ➡ Weiterlesen

Daten aus verschlüsselten, virtuellen Festplatten extrahieren

Experten zeigen 6 Methoden, die Security-Profis kennen sollten: Mit ihnen lassen sich Daten aus verschlüsselten, virtuellen Festplatten extrahieren. Das sind ➡ Weiterlesen

NIS 2: Zu wenig Unterstützung durch das Management

Die NIS 2-Richtlinie zielt darauf ab, in der Europäischen Union ein hohes gemeinsames Niveau an Cybersicherheit zu erreichen. Die Mitgliedsstaaten ➡ Weiterlesen

KI in der Cybersicherheit: Waffe und Heilmittel zugleich

Viele IT-Sicherheitsexperten sind sich einig, dass generative KI DIE Lösung gegen immer komplexere Cyberattacken ist. KI könnte die Lücke schließen, ➡ Weiterlesen

Report: 86 Prozent der CISOs setzen auf KI-basierte Cybersecurity

72 Prozent deutscher Chief Information Security Officers (CISOs) sehen im Versagen von Mitarbeitern das größte Cyberrisiko. 62 Prozent von ihnen ➡ Weiterlesen

E-Mail-Sicherheit: Effektiverer Schutz durch KI

Ein Anbieter von Sicherheitslösungen hat seine Plattform für E-Mail-Sicherheit weiterentwickelt. Die KI-gestützte Lösung ergänzt Microsoft 365 und verbessert den Datenschutz. ➡ Weiterlesen

Impersonationsangriffe: Strategien zur Verteidigung

Bedrohungsakteure nutzen Vertrauensbeziehungen aus, um an Zugangsinformationen autorisierter Benutzer zu kommen. Diese Bedrohung durch Impersonationsangriffe wird immer raffinierter. Bewusstsein ist ➡ Weiterlesen