Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke
Energie

Der Feind in meinem Netz So wappnen sich deutsche Stromversorger gegen Cyberangriffe

Es ist ein Horrorszenario: Hacker legen das Stromnetz lahm. Die Energiekonzerne nehmen die Gefahr sehr ernst und trainieren ihre Mitarbeiter.
Kommentieren
Ein Blackout durch eine Cyberattacke ist für eine Industrienation wie Deutschland ein Horrorszenario. Quelle: dpa
Stromnetz

Ein Blackout durch eine Cyberattacke ist für eine Industrienation wie Deutschland ein Horrorszenario.

(Foto: dpa)

Essen Die Angriffe werden in einem kleinen, abgedunkelten Raum geplant. Von einer LED-Leiste, die sich quer über die Rückwand nach oben zur Decke zieht, wird das kleine Zimmer rötlich beleuchtet. Drei Männer und eine Frau sitzen konzentriert an ihren Schreibtischen, jeder hat eine Tastatur und zwei Bildschirme vor sich. Auf einem der Bildschirm laufen permanent grüne Zahlenkolonnen von oben nach unten – es ist ein Programm zum Entschlüsseln von Passwörtern.

Alle vier im Zimmer sind IT-Experten und vor allem sind sie versierte Hacker. Ihr Ziel ist einer der sensibelsten Bereiche der deutschen Wirtschaft. Sie suchen nach Schwachstellen im Stromnetz – Angriffspunkte für einen Blackout. „Unser Ziel ist nicht der schnelle Angriff“, sagt Christoph Hagenbuch: „Am besten bleiben wir lange unentdeckt, um möglichst viele Daten zu sammeln – und dann zielgerichtet zuzuschlagen.“

Der 37-jährige ist glücklicherweise kein Terrorist. Er ist auch kein schnöder Erpresser. Der Wirtschaftsinformatiker ist Mitarbeiter des Energieversorgers Innogy. Hagenbuch arbeitet seit zwei Jahren in der Sicherheitsabteilung des Unternehmens, das in Deutschland das größte Stromnetz mit einer Länge von 360.000 Kilometern betreibt. Seit wenigen Wochen liegt Hagenbuchs Arbeitsplatz etwa einen Kilometer von der Essener Konzernzentrale entfernt in einer frisch angemieteten Bürofläche. „Cyberrange-e“ prangt am Eingang.

Am ersten Juli eröffnet Innogy hier das erste Trainingszentrum zur Abwehr von Cyberangriffen auf das Stromnetz im deutschsprachigen Raum. Jeweils eine Woche lang werden sich hier Netztechniker, IT-Mitarbeiter und Manager eines Netzbetreibers schulen lassen, um Angriffe auf ihr Netz zu erkennen und abzuwehren.

Zuerst werden Mitarbeiter von Innogys Töchter durchgeschleust. Die Cyberrange-e steht aber auch externen Kunden, von großen Netzbetreibern und kleinen Stadtwerken, offen. Auf dem jüngsten Jahreskongress des Bundesverbands der Energie- und Wasserwirtschaft (BDEW) hat Innogy das Trainingszentrum beworben – und ist auf viel Interesse gestoßen. Pro Teilnehmer kostet die Woche 5000 Euro, im Schnitt werden 60.000 Euro fällig.

„Stromnetze sind ein kritisches Ziel. Ein Blackout wäre fatal“, sagt Florian Haacke, der die Konzernsicherheit bei Innogy leitet. Cyberangriffe auf die Stromversorgung sind für eine Industrienation wie Deutschland in der Tat ein Horrorszenario. Ein großflächiger Stromausfall würde nicht nur Millionen Verbraucher treffen, Kühlschränke, Beleuchtung oder Computer lahmlegen. Industrieunternehmen müssten die Produktion einstellen, im Verkehr könnte es zum Chaos kommen, sogar die Gesundheitsversorgung könnte eingeschränkt werden.

Spätestens seit Weihnachten 2015 ist klar, dass die Bedrohung real ist. Damals attackierten Hacker mit Erfolg die ukrainische Stromversorgung. Fast 30 Umspannwerke waren betroffen. Hunderttausende Haushalte waren für Stunden ohne Strom. Krankenhäuser mussten auf Notstromaggregate zurückgreifen. Die Ukraine beschuldigten Hacker aus Russland der gezielten Sabotage.

Täglich 100 bis 200 Angriffe

Noch ist in Deutschland keine vergleichbare Attacke bekannt, aber die Branche und das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) sind alarmiert. Gleich mehrfach hatte das BSI in den vergangenen zwei Jahren die Branche in vertraulichen Schreiben vor „Angriffskampagnen gegen Energiefirmen“ gewarnt. Schon vor einem Jahr berichtete das Nationale Cyber-Abwehrzentrum, an der der neben dem BSI auch Verteidigungsministerium, Verfassungsschutz und anderen Behörden beteiligt sind, über „Aufklärungsaktivitäten“ von Hackern in der Energiebranche. BSI-Präsident Arne Schönbohm wird am Montag auch zur offiziellen Eröffnung der Cyberrange kommen.

„Wir registrieren jeden Tag 100 bis 200 Attacken. die meisten sind harmlos, aber es gibt schon auch ernste Versuche“, sagt Chris Peeters, Chef des belgischen Netzbetreibers Elia, der mit der Tochter 50Hertz für das Höchstspannungsnetz in Ostdeutschland verantwortlich ist: Bei Stromnetzen sei die Situation natürlich besonders kritisch. „Wir müssen gewährleisten, dass die Lichter nicht ausgehen“, sagt Peeters, „wir müssen deshalb bereit sein.“ Sein Unternehmen überprüfe ständig die Sicherheitsstandards, lasse sich durch Probeangriffe testen und halte für den Notfall Back-up-Systeme parat.

Lange Zeit war ein potenzieller Blackout durch Hackerangriffe in der Branche ein Tabuthema. Die Angriffsversuche sollten auch schon im frühen Stadium abgeblockt werden. Inzwischen nehmen die Netzbetreiber die Gefahr so ernst, dass sie das Szenario eines erfolgreichen Hackerangriffs bewusst einkalkulieren. Erkennen, eindämmen und bekämpfen lautet die Devise.

Die Teilnehmer mussten immer trickreichere Hackerattacken abwehren – und verloren am Ende die Kontrolle. Quelle: Innogy SE  / Andre Zelck
Innogy-Trainingszentrum gegen Cyberkriminalität

Die Teilnehmer mussten immer trickreichere Hackerattacken abwehren – und verloren am Ende die Kontrolle.

(Foto: Innogy SE / Andre Zelck)

„Eine absolute Sicherheit wird es nie geben“, sagt Innogys Sicherheitschef Haacke: „Deshalb wird es immer wichtiger, Angriffe frühzeitig zu erkennen und richtig reagieren zu können.“ Auch Innogy registriert nach seinen Worten „millionenfach Anklopfversuche“ – in der Regel sind sie harmlos. „Wir müssen aber für den einen ernsten Angriff gewappnet sein“, sagt Haacke. Es sei „nicht mehr die Frage ‚ob‘, sondern ‚wann‘ ein Unternehmen von Cyberangriffen betroffen sein wird“ – und es sei entscheidend, „wie gut es darauf vorbereitet ist“.

Die Motive und Akteure sind nach Haackes Worten unterschiedlich. Es gebe „die klassischen Kriminellen und Erpresser“. Dann gebe es die sogenannten „Hacktivisten“ – Hacker, die Unternehmen aus ideologischen Gründen angreifen. „Aber auch die Gefahr, dass Attacken auf das Stromnetz von ausländischen Geheimdiensten oder staatlich finanzierten Gruppierungen im Ausland initiiert werden, müssen wir ernst nehmen“, warnt Haacke.

In der Cyberrange-e spielt es erst einmal keine Rolle, wer der potenzielle Angreifer ist. Hier stehen die praktischen Übungen im Vordergrund. Die Schulungsteilnehmer, etwa ein Dutzend Mitarbeiter aus der Technik, der IT und dem Management, bilden das Blue Team, an ihren blauen Poloshirts zu erkennen. Fast zwei Tage lang werden sie mit Attacken auf ihr Stromnetz konfrontiert.

Die kommen aus dem kleinen, abgedunkelten Raum von Hagenbuch und seinem Red Team, ihrerseits in roten Polohemden. In einem separaten Raum überwacht das White Team die Übungen. Vier Trainer beobachten das War-Game an einem großen Bildschirm auf dem 15 Livevideos aus den einzelnen Räumen eingespielt werden. Sie bewerten die Abwehrversuche, loben und kritisieren ¬- und sie ordnen auch immer wieder neue Aufgaben an. Sie können sogar die Heizung hochdrehen, um den Stress für die Teilnehmer zu erhöhen. Eingebettet ist das War-Game in eine theoretische Schulung und eine umfangreiche Nachbesprechung.

Hacker machen sich Komplexität zu Nutze

Bevor die Teilnehmer kommen, haben die Mitarbeiter der Cyberrange sich schon wochenlang mit dem jeweiligen Stromnetz beschäftigt. Aufbau und Schwachstellen analysiert. Jedes Training ist individuell abgestimmt. Im Erdgeschoss eines unscheinbaren Bürogebäudes wird versucht, wichtige Teile des jeweiligen Netzes nachzubilden – eben jene Teile, die angreifbar sind.

Neben dem Raum, in dem die Attacken gefahren werden, befindet sich die IT, der Server, der angegriffen wird. Über den Flur steht ein Raum unter Hochspannung. „Elektrische Betriebsstätte – Zutritt nur Befugten gestattet“, warnt ein gelbes Schild an der Glastür. Dahinter befindet sich auf mehreren Stellwänden ein großes Gewirr an Kabeln und Schaltanlagen.

Für die Schulungsteilnehmer ist der Sinn der Konstruktion aber schnell zu erkennen. Es wird die Steuerung in einem Umspannwerk simuliert – die jeweils den realen Bedingungen beim zu schulenden Netzbetreiber entspricht. In einem Raum daneben ist ebenfalls eine „elektrische Betriebsstätte“. Dort wird auch ein Umspannwerk simuliert. Es ist aber viel übersichtlicher.

Hier ist ein altes, noch weitgehend analog gesteuertes Umspannwerk nachgebaut. In einem weiteren Raum stehen Stehtische mit Computern – die simulierte Leitzentrale des fiktiven Netzbetreibers. Die meisten Schulungsteilnehmer werden sich aber im Blue Room aufhalten – mit sechs Schreibtischen, Computern und vielen Bildschirmen. Hier werden die IT-Fachkräfte und die Vertreter des Managements auf die Angriffe des Red Teams reagieren.

„Der Aufbau ist sehr komplex“, sagt Projektleiter Alexander Harsch: „Wir müssen aber das so auch nachbilden. Die Hacker machen sich ja gerade die Komplexität zu Nutze.“ Es sei zwar nicht leicht ein Netz lahm zu legen. Jedes Umspannwerk sei redundant ausgelegt. Fällt ein System aus, wird das aufgefangen.

Problematisch werde es aber, wenn dem Angreifer der Zugriff auf mehrere Umspannwerke gelinge oder zentrale Steuerungseinheiten „kompromittiert“ würden. „Die Hacker haben Expertise aufgebaut“, sagt der 43-Jährige. Es gebe in der Szene inzwischen Industrieexperten, die nicht nur wüssten, wie man Anlagen attackiert. „Die wissen auch, wie und was sie bewegen können.“

Natürlich steigt die Gefahr auch mit der Digitalisierung. Lange Zeit waren Stromnetze penibel vom Internet getrennt. Es gab teilweise eigene Datenleitungen, um die Netze zu steuern. Jetzt wachsen Stromleitungen und Internet aber zunehmend zusammen. Die Netze werden bewusst zu Smart Grids umgebaut, um den Stromfluss intelligent zu steuern.

In der grünen und dezentralen Energiewelt wird es schließlich immer schwieriger, Angebot und Nachfrage im Gleichklang zu halten. Wind- und Solarstrom werden vom Wetter abhängig unregelmäßig und sogar von privaten Hausbesitzern eingespeist. Smart Grids sollen den Netzbetreibern permanent Informationen geben, wo und wie viel Strom ins Netz kommt und wo und wie viel Strom entnommen wird.

Attacken werden immer ausgefeilter

Mit der intelligenten Netzsteuerung wird das System aber auch komplexer und anfälliger. Es werden mehr Komponenten benötigt – und die könnten schon infiltriert sein. Hacker versuchen auch in die Produktion und die Lieferketten zu kommen.

Eine Übung in der Cyberrange-e simuliert die Attacke per Hardwarekomponente. Das sogenannte Rogue Device ist unscheinbar. Der kleine graue Kasten, etwa zehn mal zehn Zentimeter groß, sieht aus wie viele der Steuereinheiten, die in einem Umspannwerk verbaut sind. Er könnte von einem Einbrecher oder auch von einem falschen Servicetechniker installiert worden sein.

Der Kasten beinhaltet einen ausgefeilten Minicomputer, der aus der Ferne, per Internet, per Funk oder auch per Bluetooth angesteuert werden kann. Gelingt es einem Hacker in ein Umspannwerk einzubrechen und das Device zu installieren, hat er ein Einfallstor. Der Hacker kann von jedem beliebigem Ort und zu jeder beliebigen Zeit zugreifen.

Axel Schäfer hat erfahren, wie schwierig so eine Attacke abzuwehren ist. Der 40-Jährige arbeitet bei der Innogy-Tochter Westnetz. In der zentralen Leittechnik in Osnabrück ist er für die Systemführung zuständig, kümmert sich um Planung und Betrieb des regionalen Stromnetzes. Vor einem Monat hat er an der ersten Probewoche in der Cyberrange teilgenommen, als Innogy den Betrieb mit einer ersten Gruppe von 15 Mitarbeitern, zusammengewürfelt aus mehreren Tochtergesellschaften, testete.

Und Schäfer sieht inzwischen anders auf die Gefahr von Hackerangriffen. Zunächst fing das War-Game mit harmlosen Phishing-Mails an. Das habe sein Blue Team noch leicht erkannt, erinnert sich Schäfer. Vom White Team habe es „noch viel Lob“ gegeben. „Als die Hacker versuchten, über ein im Umspannwerk eingebautes Gerät die Kontrolle zu übernehmen, wurde es schon schwieriger“, räumt Schäfer ein. Und die Attacken seien immer ausgefeilter geworden.

„Am Ende haben wir die Kontrolle verloren“, sagt der Netzmanager. Die Hacker hätten schließlich seine Session am Computer übernommen, sein Passwort geändert, und er war machtlos. „Zum Schluss erschien ein roter Kopf auf meinem Bildschirm“, berichtet Schäfer: „Da hatten die Hacker gezeigt, wer hier Chef ist.“

Das alles war glücklicherweise ein Spiel, aber der Praktiker ist überzeugt. „Das wäre in der Realität schon gefährlich“, sagt er: „Die Hacker hätten sich zu den Datenbanken vorarbeiten und die Steuerung übernehmen können.“

Langeweile sei jedenfalls in der einen Woche in der Cyberrange nicht aufgekommen, stellt Schäfer fest.

Das ist ganz im Sinne von Christoph Hagenbuch und seinem Red Team: „Hoffentlich bereiten wir möglichst viel Stress“, sagt er: „Das ist ein klassisches Katz-und-Maus-Spiel.“
Wie in der Realität.

Mehr: Industrie 4.0: IT-Sicherheit für vernetzte Fabriken wird zu m großen Geschäft.

Handelsblatt Energie Briefing
Startseite

Mehr zu: Der Feind in meinem Netz - So wappnen sich deutsche Stromversorger gegen Cyberangriffe

0 Kommentare zu "Der Feind in meinem Netz: So wappnen sich deutsche Stromversorger gegen Cyberangriffe"

Das Kommentieren dieses Artikels wurde deaktiviert.

Serviceangebote