Uli Blumenthal: Vor einem "großangelegten Angriff" auf die Energieversorgung warnen das Bundesamt für Sicherheit in der Informationstechnik und der Verfassungsschutz. Die Warnmeldung ist öffentlich geworden. Und es gab auch einen Lagebericht der Sicherheitsbehörden für die Mitglieder des Parlamentarischen Kontrollgremiums des Deutschen Bundestages. Peter Welchering - Fachautor für digitale Themen und Fragen aller Art - mit dem ich in Stuttgart verbunden bin: Müssen wir jetzt mit flächendeckenden Stromausfällen rechnen?
Peter Welchering: Nein, denn solche Angriffe auf Unternehmen der Energiebranche gibt es ja schon seit vielen Jahren. Nur nehmen Politik und Sicherheitsbehörden sie jetzt ernster als in früheren Zeiten. Der Stromausfall in der Ukraine im Dezember 2015 und die Warnmeldungen des Koordinators der EU für die Terrorismusbekämpfung haben die Politik aufgeschreckt. Und da muss man klar vor einer Überreaktion warnen. Denn die helfen hier auch nicht weiter.
Uli Blumenthal: Dann lassen Sie und doch erst mal die Sicherheitslage realistisch beurteilen. Welche digitalen Angriffe auf die Stromversorgung sind denn jetzt nachgewiesen worden?
Peter Welchering: In den Büronetzwerken von gleich mehreren Energieversorgungsunternehmen ist Schadsoftware gefunden worden. Viele davon weisen Ähnlichkeiten zu einer bekannten Schadsoftwarefamilie namens "CrashOverride" auf. Diese Schadsoftware setzt genau an den Übergängen von den reinen Verwaltungsnetzen der Stromversorger zu den Computersystemen der Netzwarten an. Und deshalb sind die Sicherheitsbehörden alarmiert. Denn genau diese Übergänge vom Büronetzwerk zu den Netzwerken, an denen auch die Lastverteilungsrechner hängen, die sind in einigen Fällen eben nicht so abgesichert, wie das eigentlich erforderlich wäre. Bisher ist kein aktueller Fall bekannt, bei dem Schadsoftware in Lastverteilungsrechnern gefunden worden wäre. Aber die unzureichend abgesicherten Schnittstellen und Übergänge von den Büronetzwerken in die Produktivsysteme, die machen den Sicherheitsexperten gerade Kopfzerbrechen. Denn auch beim Stromausfall in der Ukraine im Dezember 2015 ist die Angriffssoftware über die Büronetzwerke in die Steuerungsrechner für die Lastverteilung gekommen.
Virenverseuchte Mail-Anhänge, hinterlegte Schadsoftware
Uli Blumenthal: Wie haben die Angreifer die Schadsoftware auf die Bürorechner der Energieversorger gebracht?
Peter Welchering: Das verlief auch ganz ähnlich wie beim Angriff in der Ukraine. Sachbearbeiter der Energieversorgungsunternehmen haben Mail bekommen. Und die Anhänge dieser Mail waren virenverseucht. Die zweite Angriffsmethode: Die Schadsoftware war auf Web-Servern hinterlegt, auf denen auch die Angebote von Branchendienstleistern gehostet worden. Ruft ein Sachbearbeiter solch eine Webseite eines Brancheninformationsdienstes auf, dann lädt er die Schadsoftware unbeabsichtigt auf seinen PC herunter.
Uli Blumenthal: Nun gibt es Firewall, Virenscanner und weitere Sicherheitssysteme. Werden die bei den Stromversorgungsunternehmen denn nicht richtig eingesetzt?
Peter Welchering: Schon, aber die helfen da nicht viel. Denn die konkrete Angriffssoftware kann mit den Werkzeugen der "CrashOverroide"-Familie sehr individuell zusammengebaut werden. Für die gibt es dann keine hinterlegten Virensignaturen. Da hilft dann nur die Verhaltensanalyse, also Sicherheitssoftware, die ständig kontrolliert, ob irgendwelche Prozesse auf den Computern des Büronetzwerkes ungewöhnlich sind. Solche ungewöhnlichen Prozesse zu erkennen, dauert etwas Zeit. Deshalb muss verhindert werden, dass während dieser Diagnosezeit die Schadsoftware über die Schnittstellen vom Büronetzwerk in die Computersysteme der Netzwarten geschleust wird. Und genau diesen Übergängen ist eben während der vergangenen 20 Jahre viel zu wenig Aufmerksamkeit geschenkt worden.
Viele Stellen wegrationalisiert, Angriffsrisiko gestiegen
Uli Blumenthal: Wozu sind diese Übergänge zwischen Büronetzwerken und Computersystemen der Netzwarten denn nötig?
Peter Welchering: Sie bieten einen hohen Verwaltungskomfort. Dadurch konnten viele Stellen wegrationalisiert werden. Aber dadurch ist eben auch das Angriffsrisiko gestiegen. Und da setzt jetzt die Überlegung ein, diese Übergänge stärker abzudichten, teilweise Daten nur von den Produktivsystemen in die Büronetzwerke fließen zu lassen und nicht umgekehrt. Und es wird darüber nachgedacht, verstärkt wieder mit manuellen Datenfreigaben zu arbeiten, die erst erfolgen können, nachdem Daten in einer geschützten Umgebung mehreren Sicherheitskontrollen unterzogen wurden. Das verlangsamt die Arbeitsabläufe, das erhöht die Personalkosten. Und deshalb wird diese Diskussion in den Führungsetage der Energieversorgungsunternehmen nicht gerne geführt. Aber wir kommen nicht umhin: Wir müssen uns fragen, wieviel uns die Absicherung einer stabilen Stromversorgung wert ist.
Uli Blumenthal: Müssen Angreifer denn überhaupt an die Netzwerke der Stromversorger, um das Stromnetz zu hacken? Oder ist der Weg über die Smartmeter, die intelligenten Stromzähler, anzugreifen, nicht viel einfacher?
Peter Welchering: Das hängt davon ab, wie gut die Sicherheitseinrichtungen dieser Smartmeter, das sind die Smartmeter-Gateways, sein werden. Die ersten Prototypen waren tatsächlich ziemlich leicht anzugreifen. Da konnte ein Hacker dann mit einem Schlag tausende von Haushalten vom Stromnetz nehmen oder wieder einschalten. Und die dadurch verursachten Stromschwankungen hält kein Stromnetz aus. Das bricht dann zusammen. Aber die Smartmeter-Gateways neuerer Generationen sollen genau das verhindern. Der Nachteil: Bisher ist noch kein Smartmeter-Gateway vom Bundesamt für Sicherheit in der Informationstechnik zertifiziert. Deshalb lässt sich zurzeit noch nicht sagen, wie einfach oder komplex diese Angriffe aussehen müssten.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Der Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.