Durch die Digitalisierung hat der Energiesektor unbestreitbare Vorteile in Bezug auf die Flexibilität und die Optimierung von Netzwerken gewonnen. Allerdings hat die Transformation auch signifikante Schwachstellen mit sich gebracht, die zusätzliche Eintrittspunkte in den physisch bereits stark ausgedehnten Bereich zwischen Energieerzeugung, -transport und -verteilung darstellen. In Folge dessen ist die Energieinfrastruktur, die lebenswichtig und von entscheidender Bedeutung für unsere Wirtschaft ist, einem erhöhten Risiko von Cyberangriffen ausgesetzt.
Wie lassen sich die verschiedenen Einfallstore in solche kritischen Infrastrukturen schließen? Wie kann der Schaden, der von Betriebsstörungen bis hin zur physischen Zerstörung von Geräten reicht, minimiert werden? Ein besseres Verständnis der unterschiedlichen Vorgehensweisen von Cyberkriminellen, der häufigsten Angriffstypen und der verfügbaren Lösungen unterstützt Unternehmen dabei, sich besser auf Angriffe vorzubereiten und sie abzuwehren.
Eine große Angriffsfläche
Energieinfrastrukturen waren bereits vor der digitalen Transformation durch eine besondere geographische Verteilung gekennzeichnet, die auf mehreren Produktionszentren und einem zersplitterten Netzwerk basierte. Dies bot eine große Angriffsfläche, die sich mit der Einführung von unzähligen Sensoren, Automaten und vernetzten Objekten, der Verknüpfung von Netzwerken und dem Zugang zu Cloud-Umgebungen noch weiter ausdehnen wird.
Workstations, verschiedene angeschlossene Geräte und sogar der Kommunikationsfluss sind potenzielle Einfallstore für Cyberkriminelle. Viele Energieinfrastrukturen sind bereits Jahrzehnte alt, und dies trifft auch auf einen Teil ihrer Geräte zu. In der Regel wurden diese für einen Betrieb von über 50 Jahren konzipiert, allerdings hat nur der IT-Bereich mit neuen Entwicklungen Schritt gehalten und seine Geräte modernisiert. Der operative Bereich (OT) verharrte in der Regel in seinem ursprünglichen Zustand... Dies führt dazu, dass (zu) viele Maschinen heute noch mit obsoleten, veralteten Softwareversionen betrieben werden, die vor allem nicht gegen die neuesten Schwachstellen gepatcht wurden. Das Risiko wurde durch separate Systeme und/oder private Netzwerke innerhalb von Fabriken und Kraftwerken minimiert. Aber die (vielgerühmte) IT/OT-Konvergenz hat diese Isolierung, die an sich bereits eine Schwachstelle ist, in Frage gestellt. Gleichzeitig wurden die unterschiedlichen Geräte in Kraftwerken, Wasserkraftwerken oder Wärmekraftwerken nicht nach dem Cybersecurity-by-Design-Ansatz konzipiert. All die Sensoren, ob IEDs (Intelligent Electronic Devices), RTUs (Remote Terminal Units) oder sonstige, verwandeln sich in leicht zugängliche Eintrittspunkte für Cyberkriminelle, sobald sie miteinander verbunden sind. Zu allem Überfluss werden in solchen Umgebungen häufig schlüsselfertige Systeme verwendet, für die keine Sicherheits-Patches vorgesehen sind.
Über diese ersten Ansatzpunkte hinaus sind die im Energiesektor verwendeten Kommunikationsprotokolle ein weiterer wichtiger Aspekt für die Cybersicherheit. Viele Kommunikationsprotokolle wurden in einer Zeit entwickelt, in der Sicherheit keine Priorität hatte. Das IEC-104-Protokoll kommt beispielsweise häufig in der Telemetrie im Energiebereich zum Einsatz. Allerdings verfügt es weder über einen Authentifizierungs- noch einen Verschlüsselungsmechanismus, was es extrem anfällig für Cyberangriffe macht. Dasselbe gilt für das GOOSE-Protokoll (Generic Object Oriented Substation Events, eine Funktion des IEC 61850-Standards). Es wurde ursprünglich entwickelt, um (zeitraubende) Überprüfungen zu begrenzen und die Ausfallsicherheit eines Systems zu erhöhen, kann aber heute leicht dazu missbraucht werden, um bösartige Pakete einzuschleusen. Dieses Problem betrifft auch Fernverbindungen, wie z.B. im Rahmen der Fernwartung. Da diese Verbindungen unerlässlich für die Betriebseffizienz von Umspannwerken sind, können sie auch für einen unbefugten (und böswilligen) Zugriff auf das Netzwerk ausgenutzt werden.
Cyberkriminelle können auf verschiedene Angriffsvektoren zurückgreifen: Netzwerke, Software, Hardware und Menschen. Im Energiesektor ist der menschliche Vektor aufgrund der großen Anzahl von Subunternehmern besonders sensibel.
Polymorphe Cyberangriffe
Cyberkriminelle nutzen verschiedene Arten von Angriffen, um den Energiesektor anzugreifen. Da hier die Aufrechterhaltung der Geschäftstätigkeit von entscheidender Bedeutung ist, sind Denial-of-Service-Angriffe (DDoS) und Ransomware Teil des klassischen Angriffsarsenals.
Aber die Spionage und Sabotage der Energieinfrastruktur kann auch andere Formen annehmen – oder sogar auf anderen Wegen erfolgen, wie z.B. über die Zulieferkette. Supply Chain Attacks zielen auf die Lieferanten und Geschäftspartner des Energiesektors ab. Da diese weniger sicher und somit anfälliger sind, können Cyberkriminelle sich auf diese Weise indirekt Zugang zu den Netzwerken von Unternehmen der Energiebranche verschaffen. Es handelt sich dabei um besonders heimtückische Angriffe, da sie das Vertrauensverhältnis zwischen den Unternehmen des Energiesektors und ihren Lieferanten zu ihrem Vorteil nutzen.
Zusätzlich zu diesem bereits umfangreichen Arsenal müssen Unternehmen im Energiesektor mit einem weiteren Risiko rechnen, denn durch seinen hochsensiblen Charakter rückt dieser Wirtschaftszweig im Rahmen von geopolitischen Konflikten auch ins Fadenkreuz staatlicher Akteure. Dies geht so weit, dass sie in spezialisierte Malware investieren, die auf bestimmte Geräte oder Betriebsabläufe abzielt. Prominente Beispiele hierfür sind Stuxnet im Jahr 2010, BlackEnergy im Jahr 2015 oder Industroyer im Jahr 2016. Die Malware Industroyer, um nur ein Beispiel anzuführen, ist zum Beispiel in der Lage, die in einem industriellen Netzwerk verwendeten Kommunikationsprotokolle zu erkennen und anzugreifen, so dass sie effektiv auf Energiesysteme abzielen kann.
Und wo andere Cyberangriffe sich auf die IT-Branche konzentrieren, haben die Malware-Programme Industroyer.V2 und Cosmicenergy sich in jüngster Zeit wieder dem OT-Schutz zugewandt. Die im 2023 von Mandiant-Teams entdeckte Malware Cosmicenergy fängt Befehle ab, die über das IEC-104-Protokoll erteilt werden, um mit RTUs und dem OT-Netzwerk zu interagieren. „Ein Angreifer kann über diesen Zugang Fernbefehle senden, um die Betätigung von Schaltern und Unterbrechern in Stromleitungen zu beeinflussen und so eine Unterbrechung der Stromversorgung zu verursachen“, heißt es in dem Forschungsartikel. Entdeckt wurde diese Malware nicht durch einen Angriff, sondern weil sie in einen öffentlichen Malware-Scanner heruntergeladen wurde. Ob Zufallstreffer oder nicht, in jedem Fall zeigt diese Episode, dass Cyberkriminelle verstärkt Malware suchen, die auf Protokolle im Energiesektor abzielt.
Schutzmaßnahmen für den Energiesektor
Wie lässt sich der Energiesektor angesichts dieser Tatsachen und Bedrohungen schützen? Bereits 2018 warnte der damalige Generaldirektor der ANSSI, Guillaume Poupard, den französischen Ausschuss für Auswärtige Angelegenheiten, Verteidigung und Streitkräfte vor den Folgen eines Angriffs auf die Energieversorgungsnetze eines Landes.
Für den effektiven Schutz dieser komplexen und voneinander abhängigen Systeme ist ein umfassender und vielschichtiger Ansatz von entscheidender Bedeutung. Mit Blick auf die verschiedenen Einfallstore für Cyberbedrohungen ist es unabdingbar, eine angemessene Verteidigungsstrategie zu entwickeln, die von der Einführung geeigneter Cyber-Tools bis hin zur kontinuierlichen Schulung von Mitarbeitenden und Lieferanten reicht. Jede Art von Angriff hat ihre eigenen Herausforderungen in Bezug auf Erkennung, Prävention und vor allem Reaktion. Traffic-Verringerung und -Filterung, eine granuläre Netzwerksegmentierung, der Einsatz von Intrusion-Detection-Systemen sowie periodische Backups sind nur einige Beispiele für die unerschöpfliche Liste der Elemente, die für die industrielle Cybersicherheit unerlässlich sind. „In der Praxis sehen wir, dass der Energiesektor in Frankreich bereits eine Reihe von Sicherheitsmechanismen implementiert hat, die auf ihre Prozesse zugeschnitten sind“, erläutert Khobeib Ben Boubaker, Head of Industrial Security Business Line bei Stormshield. „Dieser Ansatz beginnt, sich in der Cybersicherheit auszuzahlen.“
Fachleute im Energiesektor müssen sich hier auf das Konzept der Verteidigung in der Tiefe stützen, das der ANSSI so sehr am Herzen liegt. Dieses Konzept ist in der Norm IEC 62443 ausgeführt und fördert als übergreifendes Referenzsystem die Sicherheit jeder Untergruppe eines Systems. Der regulatorische Teil bietet eine weitere Hilfestellung für den Energiesektor, da er in diesem Bereich so umfassend ist. Zu den relevanten Normen zählen IEC 62645, eine Zusammenstellung von Maßnahmen zur Verhinderung, Erkennung und Reaktion auf böswillige Handlungen durch Cyberangriffe auf die Computersysteme von Kernkraftwerken, IEC 62859, die den Rahmen für das Management der Interaktionen zwischen physischer Sicherheit und Cybersicherheit bildet; ISO 27019, die Sicherheitsempfehlungen für Prozesskontrollsysteme enthält, die von der Betreiberindustrie im Energiesektor eingesetzt werden; und schließlich IEC 61850, die bereits an anderer Stelle in diesem Whitepaper erwähnt wurde und die als Kommunikationsstandard für Schutzsysteme von Umspannwerken fungiert. Die amerikanische Norm NERC-CIP legt beispielsweise verschiedene Regeln für den Schutz von Vermögenswerten fest, die für den Betrieb der Infrastruktur von Stromnetzen in Nordamerika erforderlich sind, vergleichbar mit dem Militärprogrammgesetz (LPM) in Frankreich. Die zweite Version der NIS-Richtlinie, NIS2, betrifft die Akteure in der Zulieferkette (Subunternehmer und Lieferanten), die Zugang zu kritischen Infrastrukturen haben. Diese müssen Sicherheitsmaßnahmen erfüllen, die sich auf den Schutz der Netzwerke von Betreibern wesentlicher Dienste (OSE) beziehen.
Die Fälle BHI Energy (USA), Energy One (Australien) und HSE (Slowenien) zeigen, dass Cyberangriffe im Energiesektor aktueller denn je sind. Da Cyberbedrohungen immer häufiger auftreten und komplexer werden, stellt die Cybersicherheit für 2024 und die kommenden Jahre eine absolute Priorität für den Energiesektor dar. Dieser Schutz verlangt kontinuierliche Wachsamkeit und eine enge Zusammenarbeit zwischen den betroffenen Unternehmen, Regierungen sowie Fachleuten für Cybersicherheit.