Energieversorger werden ständig aus dem Internet heraus attackiert. Wie einfach das geht, zeigten russische Sicherheitsforscher auf dem Hackerkongress 36c3 im Dezember 2019 in Leipzig, indem sie 54 verschiedene Lücken in der Industrie-Steuersoftware SPPA-T3000 für Kraftwerksturbinen von Siemens aufdeckten.

Sicherheitslecks in Kraftwerkssteuerung

Dort wurden Sicherheitslecks sichtbar, mit denen Hacker die Steuerung eines Kraftwerks stören oder sogar komplett übernehmen könnten. Allerdings dürfen Energieversorger als kritische Infrastrukturanbieter nicht ausfallen, denn fehlen Strom und Gas, kommt das öffentliche Leben zum Erliegen und ebenso notwendige Dienstleistungen können nicht mehr erbracht werden. Nicht umsonst hat die Bundesnetzagentur im Dezember 2018 einen IT-Sicherheitskatalog gemäß § 11 Absatz 1b Energiewirtschaftsgesetz aufgestellt.

Web Application Firewalls setzen auf ein Netz mit Servern in der Cloud.

— Elmar Witte Akamai

Auch wenn es Hackern noch nicht gelungen ist, Kraftwerke oder Stromnetze ernsthaft zu attackieren, so werden sie doch immer verwundbarer. Das liegt vor allem an den vernetzten externen Anwendungen, über die ein Hacker eindringen kann: Windkrafträder, Solaranlagen oder Ladestationen. Energieversorger beachten selten, dass sie inzwischen viel mehr Funktionen oder Applikationen im offenen Internet haben, als sie denken. Und diese sind meist nicht gut genug geschützt.

Web Application Firewalls

Zum Schutz vor Webattacken gibt es Web Application Firewalls (WAF). Sie setzen auf ein globales Netz mit Hunderttausenden Servern in der Cloud. Jeder Zugriff auf die Webumgebung einer Organisation wird somit bereits in der Cloud überprüft, dass heißt mit modernsten Sicherheitsverfahren durchleuchtet. Webattacken werden dabei geblockt und legitime Zugriffe freigegeben. Eine WAF ist stets up to date und kann gegen die neuesten Gefahren schützen, da sie über einen Zugang zu stets aktuellen Sicherheitsanalysen verfügt.

DDoS-Angriffe

DDoS-Attacken (Distributed-Denial-of-Service) haben die Überlastung einer Anwendung (unter anderem einer Website), eines Systems oder eines ganzen Netzwerks zum Ziel, und zwar zum Beispiel durch eine extrem hohe Zahl an Anfragen.

Die größte jemals gemessene DDoS-Attacke hatte eine Bandbreite von 1,35 Terabit pro Sekunde. Dazu werden ungeschützte Systeme wie PCs oder vernetzte Geräte mit einer Schadsoftware (Bot) infiziert, um diese ferngesteuert als Angriffsquellen zu missbrauchen.

Im Oktober 2019 wurde beispielsweise bekannt, dass auf Energieversorger im Westen der USA ein DDoS-Angriff erfolgt ist, bei dem periodische »blinde Flecken« im laufenden Betrieb sowie Unterbrechungen der elektrischen Systeme in Kern County, Kalifornien und Converse County, Wyoming festgestellt wurden. Heutzutage treten DDoS-Attacken in allen Formen und Größen auf: von kleinen, raffinierten Angriffen bis hin zu Brute-Force-Attacken mit riesigen Bandbreiten. Aufgrund der Komplexität und Bandbreite fehlt es den meisten Unternehmen an Ressourcen, um solche Volumenattacken effektiv abzuwehren.

Zertifizierte Security Provider

Die Bedeutung, die Sicherheitsunternehmen für die Wirtschaft haben, unterstreichen inzwischen auch Behörden und namhafte Institutionen. So haben das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) zum Schutz kritischer Infrastrukturen die Internetplattform Kritis geschaffen.

Dort sind Sicherheitsunternehmen genannt, mit denen Betreiber Kritischer Infrastrukturen zusammenarbeiten sollen. Für die DDoS-Mitigation hat das BSI qualifizierte Dienstleister wie Akamai benannt, mit denen es eine Zusammenarbeit empfiehlt.

Elmar Witte, Akamai Technologies