Stromnetze sind nach IT-Netzwerken jetzt ebenfalls zur Zielscheibe von Malwares geworden. Eine große Gefahr: Um potentielle Katastrophen zu vermeiden, muss dringend gehandelt werden.
Ein Computervirus, der das interne Datennetz eines Umspannwerks analysiert und lahmlegt… Science-Fiction? Keineswegs. Mit diesem Katastrophenszenario war die Ukraine im Dezember 2016 konfrontiert, als das Umspannwerk Pivnichna nahe der Hauptstadt Kiew vom Netz getrennt wurde und in einem ganzen Stadtviertel die Lichter ausgingen. Techniker konnten die ferngesteuerten Leistungsschalter von Hand schließen und so die Stromversorgung wiederherstellen.
In der Ukraine hatte die Malware „Black Energy“ das SCADA-System (Supervisory Control and Data Acquisition) angegriffen, das sämtliche Anlagen eines Industriebetriebs überwacht und steuert. Wie konnte sie das System infizieren?
Früher wurden Daten von Sensoren im Umspannwerk per Kupferkabel an eine Fernmeldestation übertragen, welche sie dann über das Telefonnetz weiterleitete. Heute hat auch in der Stromversorgung die Digitaltechnik Einzug gehalten – aus Kostengründen und zur Leistungsoptimierung werden die Daten über Glasfasernetze weitergeleitet und sind deshalb auch Cyberangriffen ausgesetzt. Der Virus nutzt Schutzlücken, um sich zunächst in der normalen IT festzusetzen. Aber sein eigentliches Ziel ist das Leitsystem für die Stromversorgung.
Blackout-Risiko
Die ukrainischen Stromnetze sind nicht unbedingt mit denen anderer Länder vergleichbar. „In Frankreich ist die Stromversorgung streng abgeschottet. Das öffentliche Übertragungsnetz nutzt beispielsweise eigene Glasfaserleitungen, die nicht mit dem Internet verbunden sind“, beruhigt Valentin Brehier, Systemingenieur bei SDEL Contrôle Commande, eine BU des OMEXOM-Verbunds.
Ein Hacker will so viele Umspannstationen wie möglich übernehmen und dadurch ganze Bezirke oder Regionen lahmlegen. „Wird in einer Region viel verbraucht, aber wenig produziert, muss sie ihren Strom aus einer Region beziehen, die viel erzeugt und wenig konsumiert. Werden die Verbindungen zwischen den beiden gekappt, herrscht in der einen ein Überangebot und das Kraftwerk läuft nicht mehr synchron. Die andere verbraucht zu viel, das Netz bricht zusammen. Wenn man nur die richtigen Leistungsschalter trifft, gehen im ganzen Land die Lichter aus“, warnt Brehier.
Mit Cyberwaffen gegen Industrieanlagen
Um sich vor diesem möglichen Blackout zu schützen, so der Fachmann weiter, kann man das Netz unterteilen und segmentieren und so genannte DMZ (demilitarisierte Zonen) schaffen: Ein Dienst, den man nicht vollständig abtrennen kann, wird in einer besonders geschützten Zone angesiedelt.
Herausforderung Maintenance
Das eigentliche Problem von Industrienetzen ist jedoch das geringe Instandhaltungsniveau. Die von der Industrie genutzten Übertragungsprotokolle sind oft veraltet – aus Gründen der Leistungsfähigkeit wird hier weniger Wert auf Passwortschutz und Verschlüsselung gelegt. „Die große Herausforderung bei diesen Infrastrukturen liegt in ihrer Modernisierung – sie sind nämlich nicht dafür ausgelegt. Wenn in der Industrie ein System erst einmal läuft und den Ansprüchen genügt, wird nicht mehr daran gerüttelt. Bekommt es jedoch einen Internet-Gateway, ist es ungeschützt“, so der Systemingenieur von SDEL Contrôle Commande. Deshalb müssen alte Systeme über einen zusätzlichen Security-Layer abgesichert werden.
„Frankreich steht der Digitalisierung seit jeher eher vorsichtig gegenüber. Das hat den Vorteil, dass wir solchen Risiken weniger ausgesetzt sind. Weil die Verbindung zwischen den geschützten und den ungeschützten Bereichen privat ist, kann der Virus darüber nicht das Fernsteuerungssystem angreifen – es verfügt über keinerlei Anbindung an das öffentliche Netz“, erläutert Bréhier.
Bei Hackern, die zu einem Fernangriff auf eine Stadt oder ein Land in der Lage sind, handelt es sich nach Ansicht des Fachmanns vorwiegend um staatliche Geheimdienste: „Die so genannten ‚Zero Day Exploits‘ gibt es im Darknet zu kaufen. Sie nutzen Sicherheitslücken, die entweder noch nicht veröffentlicht wurden oder für die kein bekanntes Patch existiert und mit denen daher jeder beliebige Computer infiziert werden kann.“ Der Stuxnet-Virus etwa war 2010 die erste Cyberwaffe, die von Hackern für einen Fernangriff auf eine Industrieanlage programmiert wurde.
Ziel der Attacke: Die Zentrifugen der Urananreicherungsanlage Natanz in der Islamischen Republik Iran.
13/12/2017