Das ist der Stoff, aus dem die Albträume der europäischen Energieversorger sind.
Henriette Borgund weiß, dass Angreifer Schwachstellen in der Abwehr eines großen Energieversorgers für erneuerbare Energien finden können - sie hat sie selbst gefunden. Sie ist seit April letzten Jahres als "ethische Hackerin" bei der norwegischen Hydro tätig und bringt ihre jahrelange Erfahrung in der militärischen Cyberverteidigung in einer Zeit des Krieges in Europa und des Chaos auf den Energiemärkten ein.
"Ich bin mir nicht sicher, ob ich mich dazu äußern möchte, wie oft wir Löcher in unserem System finden. Aber was ich sagen kann, ist, dass wir Löcher in unserem System gefunden haben", sagte sie gegenüber Reuters in der Hydro-Zentrale in Oslo und lehnte es aus Sicherheitsgründen ab, die Art der Schwachstellen im Detail zu beschreiben.
Hydro ist einer von mehreren großen Stromerzeugern, die ihre Cyberabwehr verstärken. Dies ist zum großen Teil auf den Einmarsch Russlands in der Ukraine zurückzuführen, der die Bedrohung durch Hackerangriffe auf ihren Betrieb erhöht hat, wie Reuters in Interviews mit einem Dutzend Führungskräften von sieben der größten europäischen Stromerzeuger berichtet.
"Wir haben im letzten Jahr, nach dem Beginn des Ukraine-Krieges, festgestellt, dass das Risiko von Cyber-Sabotage zugenommen hat", sagte Michael Ebner, Leiter der Informationssicherheit beim deutschen Energieversorger EnBW , der sein 200-köpfiges Cyber-Sicherheitsteam ausbaut, um seine Aktivitäten von Wind- und Solarenergie bis zu den Stromnetzen zu schützen.
Die Führungskräfte sagten alle, dass die Raffinesse der russischen Cyberangriffe auf die Ukraine ein Weckruf dafür gewesen sei, wie anfällig digitalisierte und vernetzte Stromsysteme für Angreifer sein könnten. Sie beobachten nervös einen hybriden Krieg, in dem bereits physische Energieinfrastrukturen angegriffen wurden, von den Nord Stream-Gaspipelines bis zum Kakhovka-Staudamm.
"Die Cyber-Kampagnen, die Russland gegen die Ukraine geführt hat, waren sehr gezielt auf die Ukraine ausgerichtet. Aber wir konnten sie beobachten und daraus lernen", sagte Torstein Gimnes Are, Cybersecurity-Chef bei Hydro, einem Aluminiumhersteller und viertgrößten norwegischen Stromerzeuger.
Gimnes Are sagte, er befürchte, dass ein Nationalstaat mit Hackergruppen zusammenarbeiten könnte, um ein Netzwerk mit bösartiger Software zu infizieren. Wie die anderen Führungskräfte lehnte er es jedoch ab, Einzelheiten zu spezifischen Angriffen oder Bedrohungen zu nennen, und berief sich dabei auf die Vertraulichkeit des Unternehmens.
Der ukrainische Sicherheitsdienst SBU teilte Reuters mit, dass Russland im Durchschnitt mehr als 10 Cyberangriffe pro Tag durchführt, wobei der ukrainische Energiesektor ein vorrangiges Ziel sei. Russland habe versucht, digitale Netzwerke zu zerstören und Stromausfälle zu verursachen, und Raketenangriffe auf Einrichtungen seien oft von Cyberangriffen begleitet worden.
Russische Beamte haben gesagt, dass der Westen Moskau immer wieder für Cyberangriffe verantwortlich macht, ohne Beweise zu liefern, und dass die Vereinigten Staaten sowie ihre Verbündeten offensive Cyberoperationen gegen Russland durchführen. Das russische Außenministerium reagierte nicht sofort auf eine Anfrage nach einem Kommentar zu den Ansichten der Energieunternehmen oder den Behauptungen des ukrainischen SBU.
Die europäischen Energieversorgungsunternehmen sowie ein halbes Dutzend unabhängiger Experten für technische Sicherheit betonten, dass die digitalisierte und vernetzte Technologie der Tausenden von erneuerbaren Anlagen und Energienetzen, die in ganz Europa entstehen, große - und wachsende - Schwachstellen für Infiltrationen darstellen.
"Die neue Energiewelt ist dezentralisiert. Das bedeutet, dass wir viele kleine Einheiten - wie Wind- und Solaranlagen, aber auch intelligente Zähler - haben, die auf digitale Weise miteinander verbunden sind", sagte Swantje Westpfahl, Direktorin des deutschen Instituts für Sicherheit.
"Diese Vernetzung erhöht die Risiken, weil es deutlich mehr mögliche Einstiegspunkte für Angriffe gibt, mit viel größeren potenziellen Auswirkungen."
TRITON-VIRUS LEGT ANLAGE LAHM
Die möglichen Auswirkungen eines Cyberangriffs reichen von der Erbeutung sensibler Daten über Stromausfälle bis hin zur Zerstörung einer physischen Anlage, sagte James Forrest, Executive Vice President bei Capgemini, das Unternehmen zu Sicherheitsrisiken berät.
Er nannte insbesondere das Risiko von Schadsoftware wie dem Triton-Virus, mit dem Hacker 2017 die Sicherheitssysteme einer saudischen petrochemischen Anlage aus der Ferne übernahmen und diese stilllegten.
Während Malware-Pakete wie Triton exotische algorithmische Waffen sein mögen, ist der häufigste Zugangsweg, den Hacker nutzen, um sie einzuschleusen, den befragten Führungskräften und Experten zufolge vertrauter: über Phishing-E-Mails, die darauf abzielen, den Mitarbeitern Daten wie Netzwerkpasswörter zu entlocken.
Solche Angriffe sind "mehr oder weniger konstant", so Cem Gocgoren, Leiter der Informationssicherheit bei Svenska Kraftnaet. Der schwedische Netzbetreiber hat sein Cybersicherheitsteam in den letzten vier Jahren auf rund 60 Mitarbeiter vervierfacht und sensibilisiert seine Mitarbeiter. "Wir müssen ihnen klarmachen, dass wir ständig angegriffen werden. Das ist die neue Normalität."
Borgund, die ethische Hackerin von Hydro, bestätigte dieses Gefühl des unerbittlichen Angriffs durch Phishing, das sie als den "ersten Vektor" der Cyberangreifer bezeichnete.
CYBERANGRIFF AUF SATELLIT
Traditionelle Kraftwerke wie Gas- und Kernkraftwerke arbeiten in der Regel mit einer von der Außenwelt abgeschotteten IT-Infrastruktur, die sie weniger anfällig für Cyberangriffe macht als physische Sabotage, so Stephan Gerling, Senior Researcher bei Kasperkys ICS CERT, das Cyberbedrohungen für Industrieanlagen untersucht und aufspürt.
Im Gegensatz dazu läuft die ständig wachsende Zahl kleinerer Anlagen zur Stromerzeugung aus erneuerbaren Energien in Europa über verschiedene Systeme von Drittanbietern, die digital an das Stromnetz angeschlossen sind und unterhalb der von den Sicherheitsbehörden festgelegten Überwachungsschwelle für die Stromerzeugung liegen, fügte er hinzu.
Diese Art der Vernetzung wurde im vergangenen Februar demonstriert, als ein russischer Cyberangriff auf ein ukrainisches Satellitenkommunikationsnetz die Fernüberwachung von mehr als 5.800 Windkraftanlagen des deutschen Unternehmens Enercon lahmlegte und sie abschaltete, sagte Mathias Boeswetter, Leiter der IT-Sicherheitsabteilung des deutschen Energieverbands BDEW.
Der Vorfall hatte zwar keine Auswirkungen auf das Stromnetz, zeigte aber die zunehmenden Cyberschwachstellen, die die Energiewende mit sich bringt, fügte er hinzu.
SCHLÜSSEL ZUM HACKEN EINES WINDPARKS
Sich in einen Windpark zu hacken, kann relativ einfach sein.
Forscher der Universität Tulsa führten 2017 ein Experiment durch, bei dem sie sich in ungenannte Windparks in den USA einhackten, um deren Schwachstellen zu testen. Dies geschah mit der Erlaubnis der Windparkbetreiber, wie aus einem Bericht der Risikoberatung DNV über Cyber-Bedrohungen im Energiebereich hervorgeht.
Die Forscher knackten ein Schloss, um sich Zugang zu einer Kammer im Sockel einer Windturbine zu verschaffen, heißt es in dem Bericht. Sie griffen auf den Server der Turbine zu und erhielten eine Liste von IP-Adressen, die für jede vernetzte Turbine in dem Gebiet stehen. Dann hielten sie die Turbine an, sich zu drehen.
Angetrieben von den Bemühungen der Regierungen, die Nationen von fossilen Brennstoffen zu entwöhnen und den Anteil erneuerbarer Energien zu verdoppeln, machten Wind- und Solarenergie nach EU-Angaben im Jahr 2021 mehr als ein Fünftel des europäischen Energiebedarfs aus - ein Anteil, der sich bis 2030 voraussichtlich verdoppeln wird.
E.ON - Europas größter Betreiber von Energienetzen mit einem Netzwerk von 1 Million Meilen - hat ebenfalls ein steigendes Risiko von Cyberattacken beobachtet, wie sein CEO Leonhard Birnbaum auf der Aktionärsversammlung des Konzerns im Mai sagte.
Das Unternehmen hat in den letzten Jahren sein Cyber-Personal auf rund 200 Mitarbeiter aufgestockt, so Birnbaum in einer E-Mail. Er fügte hinzu, dass der Konzern die Bedeutung des Themas schon lange erkannt habe.
"Die Cybersicherheit erst nach dem Beginn des Krieges in der Ukraine und der Energiekrise an die Spitze der Prioritätenliste zu setzen, wäre ein schwerwiegendes Versäumnis gewesen", so Birnbaum.
Der europäische Energiesektor als Ganzes ist möglicherweise nicht auf das Ausmaß der Sicherheitsherausforderung vorbereitet - das ist die Ansicht vieler Beschäftigter des Sektors, die sagen, dass ein Mangel an internen Cybersicherheitskenntnissen das größte Hindernis für einen wirksamen Schutz vor Angriffen sei, so eine separate DNV-Umfrage unter rund 600 Energieexperten, die im Februar und März durchgeführt wurde.
"Das Kerngeschäft von Unternehmen im Energiesektor ist die Energieerzeugung, nicht die Cybersicherheit", sagte Jalal Bouhdada, CEO des Cybersicherheitsunternehmens Applied Risk, einer Abteilung von DNV.
"Das bedeutet, dass sie sorgfältig daran arbeiten müssen, jeden Aspekt ihrer Infrastruktur zu sichern, weil böswillige Akteure nur eine Lücke finden müssen, um sie auszunutzen."
