Windparks als Cyber-Risiko?

BWE: Sicher genug

Am 14.06.2018 berichtete Solarify (“IT-Risiken klug begegnen”) über unbekannte Hacker, die in die Computernetzwerke deutscher EVU einzudringen versucht hätten. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) seien sie dabei zum Teil erfolgreich gewesen. “Diese Angriffe zeigen, dass Deutschland mehr denn je im Fokus von Cyber-Angriffen steht”, sagte BSI-Präsident Arne Schönbohm damals. Dennoch sei die “IT-Sicherheit deutscher Betreiber auf gutem Niveau”. Dessenungeachtet wird einer viel nachgedruckten Meldung der deutschen Presseagentur vom 28.10.2018 zufolge das Anfälligkeitsrisiko von Windparks gegen Cyber-Attacken laut Christian Garske vom IT-Berater Lufthansa Industry Solutions in Norderstedt unterschätzt.

Wolfram Axthelm, Geschäftsführer des Bundesverbandes Windenergie (BWE), ist anderer Meinung – er sieht kein Sicherheitsproblem in den Anlagen: “Da braucht sich keiner Sorgen zu machen”. Anlagen der Energieerzeugung gehörten zur kritischen Infrastruktur (KRITIS). Es gebe keinen Nachholbedarf, aber einen ständigen Bedarf, die technischen Herausforderungen immer besser zu bewältigen. Das sieht auch Christoph Mayer vom Beratungsunternehmen offis so: Bei einer Konferenz des Akademienprojekts „Energiesysteme der Zukunft im April 2018 stellte er die Frage: “Wie schaffen wir robuste digitale Energieinfrastrukturen?” Für Mayer zeigt die Digitalisierung eine Janusköpfigkeit – sie erscheine als Entwicklung, die das Energiesystem effizienter, aber auch anfälliger mache: für (Hacker-)Angriffe genauso wie für andere neue Störungsquellen wie Datenfehler.

Mayer nannte zwei Kriterien: „Robustheit“ und „Resilienz“. “Robust” sei ein technisches System dann, wenn es erwartbare Störereignisse ohne wesentliche Beeinträchtigung seiner Funktionsfähigkeit bewältige. “Resilienz” gehe über Robustheit hinaus – es sei die beste Versicherung bei überraschend eintreffenden Belastungen mit potenziell großem Schaden, die sich schlecht quantifizieren und kaum prognostizieren ließen. Ein resilientes System werde bei Störungen nur wenig beeinträchtigt, erleide keinen größeren Schaden und stehe schnell wieder zur Verfügung. Die beiden Eigenschaften habe das deutsche Stromsystem immer wieder bewiesen.

“In einem Pioniermarkt wie der Windenergie haben Sicherheitsfragen zunächst keine hohe Priorität”, sagt Garske. Kleinere und ältere Windparks seien nicht den gleichen strengen Sicherheitsanforderungen unterworfen wie größere und neuere Windparks. Durch Manipulationen der Computersysteme könnten nicht nur millionenschwere Schäden für die Betreiber von Windparks entstehen, auch die Sicherheit der Stromversorgung könne in Gefahr geraten. Die Angreifer wenden vielfältige Angriffsmethoden an, darunter aber auch ganz simple Tricks, etwa indem sie gezielt Mails verschicken, um mit Hilfe von gefährlichen Anhängen Zugangsdaten zum Netzwerk zu finden und an Dritte zu übertragen. Vor allem einige Windkraftanlagen und Windparks seien nicht ausreichend geschützt, wenn sie ins Visier von Hackern gerieten. Axthelm stimmt dem nur insofern zu, als es er einen ständigen Bedarf sieht, die technischen Herausforderungen immer besser zu bewältigen.

Garske wiederum sieht Windkraftanlagen als gefährdete Ausnahme von KRITIS. Sie seien nicht in dem Maße geschützt, wie der Energiesektor im Allgemeinen, die Wasserversorgung oder Verkehrsknotenpunkte wie Bahnhöfe und Flughäfen. Hier seien durchaus besondere Vorkehrungen gegen Attacken auf ihre IT-Technik getroffen worden. Windkraftanlagen – besonders kleinere und ältere Windparks – bildeten aber die Achillesferse. Sie seien auch deshalb anfällig für Cyber-Attacken, weil sie aus vielen gleichartigen Anlagen bestehen. “Das ist wie bei einer landwirtschaftlichen Monokultur”, so Garske. Bei einem Angriff falle dann nicht eine einzige Anlage aus, sondern viele. Durch die enge Vernetzung der Anlagen und Parks steige die Durchschlagskraft der Angriffe. Insgesamt stehen in Deutschland fast 30.000 Windräder, davon rund 1.200 in Nord- und Ostsee.

->Quellen und mehr: