Solar- und Windkraftanlagen Leichtes Spiel für Hacker
Solar- und Windkraftanlagen weisen massive Sicherheitslücken auf, das zeigen Recherchen des Magazins Plusminus. Vor allem mittlere und kleine Anlagen sind schlecht gegen Hacker-Attacken geschützt.
"Diese Anlage ist eine Katastrophe, die dürfte es so gar nicht geben!" Der Insider arbeitet seit Jahren im Bereich der Erneuerbaren Energien, möchte daher unerkannt bleiben. Was er gerade innerhalb von fünf Minuten im Internet entdeckt hat, ist die Steuerung eines riesigen Solarparks in Nordrhein-Westfalen. 14 Megawatt Leistung schafft die Anlage. Das ist genug Strom, um im Sommer tagsüber eine Stadt mit 50.000 Einwohner zu versorgen. "Die könnte ich jetzt abschalten", sagt er. Auf seinem Desktop vor ihm leuchten Auswahlfelder, mit denen er die Anlage manipulieren könnte. Eine gefährliche Sicherheitslücke - fast schone eine Einladung für kriminelle Hacker.
Die Solaranlage in Nordrhein-Westfalen war auch sonst nur unzureichend geschützt - mit einem Passwort, das bei der Einrichtung der PV-Anlage (Photovoltaikanlage) voreingestellt war und nie geändert wurde. Das Passwort findet der Insider per Onlinesuche in den Bedienungsanleitungen der Hersteller. Inzwischen wurde die Sicherheitslücke bei dieser Anlage geschlossen.
Der Insider zeigt Plusminus noch weitere Sicherheitslücken bei Anlagen von Erneuerbaren Energien. Mit Hilfe von frei zugänglichen Suchmaschinen und entsprechenden Begriffen sucht er nach unverschlüsselten IP-Adressen von Steuerungsportalen, filtert diese und kann binnen weniger Minuten Ort, Leistung und viele weitere nützliche Informationen rund um Wind- und Solarparks herausfinden. Hunderte dieser offenen Login-Seiten zu Steuerungsportalen von Wind- und Solarparks seien so offen im Internet zu finden.
Login-Seiten frei zugänglich
Experten wie Stephan Gerling von der IT-Sicherheitsfirma ICS CERT Kaspersky schätzen, dass rund 2500 solcher unverschlüsselter Solar-Anlagen europaweit zu finden sind. Zusammen genommen würde das einer Kapazität von rund 2,8 Gigawatt oder der Leistung von zwei Atomkraftwerken entsprechen, schätzt er.
Für den IT-Sicherheitsexperten Michael Tenten ist das ein Unding, dass nach wie vor in der heutigen Zeit solche sensiblen Systeme im Internet überhaupt erreichbar sind. Das Problem sei nicht, dass in der Bedienungsanleitung das voreingestellte Passwort zu finden ist. Das Problem sei vielmehr, dass die IP-Adressen der Log-In Seiten überhaupt unverschlüsselt im Internet zu finden seien, und nicht verschlüsselt in einer sicheren VPN-Leitung, sagt dazu der Plusminus-Insider.
Dabei gibt es genug Gründe für eine erhöhte Alarmbereitschaft in Sachen Cyber-Sicherheit und Erneuerbarer Energien: Erst im vergangenen Jahr wurden innerhalb weniger Wochen gleich drei große Unternehmen aus der Windkraftbranche Opfer von Cyber-Angriffen. Zuerst verloren rund 6000 Windräder von Enercon ihre Internetverbindung. Es war ein Kollateral-Schaden in Folge eines russischen Hacker-Angriffs auf einen Satelliten und dennoch ein Millionenschaden für das Unternehmen. Nur wenige Wochen später traf es den Windradhersteller Nordex; und noch einige Wochen später die Deutsche Windtechnik AG aus Bremen.
Dieses Unternehmen glaubte sich gegen solche Angriffe gut gerüstet, hatte seine Anlagen geschützt. Betroffen von der Cyberattacke war in dem Fall glücklicherweise nur das Büronetzwerk, nicht die mehr als 7500 Windräder. Doch selbst eine vergleichbare kleine, erfolgreiche Attacke kostete dem Unternehmen schon unglaublich viel Kapazitäten, erinnert sich Vorstand Matthias Brandt. Er sieht extrem viel Nachholbedarf in puncto Cybersicherheit, vor allem bei mittleren und kleinen Stromerzeugern.
Netzstabilität der Stromversorgung gefährdet
Jährlich seien rund 200 Milliarden Euro Schaden allein in Deutschland durch Cyber-Angriffe zu verzeichnen, stellt der Branchenverband Bitkom fest. Ein Großteil geht davon auf die Rechnung von so genannten Ransome-Ware-Angriffen. Dabei verschaffen sich Hacker Zugriff auf ein Firmennetzwerk, verschlüsseln unbemerkt alle Dateien und deren Sicherungskopien und legen von heute auf morgen virtuell den Schalter um. Dann geht nichts mehr für das angegriffene Unternehmen. Gegen Zahlung von Lösegeld wird dem Opfer die Herausgabe der Daten versprochen.
Ein gezielter Cyber-Angriff auf verschiedene Betreiber oder Erzeuger erneuerbarer Energien könnte so schnell zum Problem für die Netzstabilität der Stromversorgung werden. Zumindest einen Brown-Out, also einen regionalen Stromausfall hält IT-Sicherheitsexperte Michael Tenten nicht mehr für ausgeschlossen. Man müsse sich darauf einstellen, das deutlich mehr möglich sei, "als wir uns vielleicht momentan vorstellen können." Er erinnert an den Sabotageanschlag auf die Nordstream-Pipeline. "Da konnte man sich auch nicht vorstellen, dass so was mal wirklich passieren kann."
Es sei nur eine Frage der Zeit, sagt auch der Plusminus-Insider, wann Cyberkriminelle gezielt Angriffe auf Erneuerbare Energieanlagen unternehmen. Dabei kommen die "Einschläge" immer näher. Es wundert ihn, dass es noch nicht so richtig "gekracht hat". Noch immer würden Verantwortliche IT-Sicherheit nur als Kostenfaktor sehen. Dabei käme kein Mensch auf die Idee, den Brandmelder oder Feuerlöscher abzuschaffen, nur weil es noch nicht gebrannt habe.
Mehr zu diesem und weiteren Themen sehen Sie heute um 21:45 Uhr bei Plusminus im Ersten