5. März 2025 Angriffsziel Stromnetz: So schützen sich Kraftwerke vor Cyberattacken [Interview]

Auch Kraftwerke und Stromnetze können zu Zielen von Hackergruppen werden. Im Interview erklärt Markus Fleischanderl, Experte für Informationssicherheit, was die Folgen eines erfolgreichen Cyberangriffs wären und wie gut Österreichs Stromerzeuger auf diese Gefahrenlage vorbereitet sind.

Die Zahl der stromerzeugenden Anlagen in Österreich steigt von Jahr zu Jahr. Das ist eine logische Folge der Wende hin zu erneuerbaren Energieträgern: Neue Photovoltaikanlagen, Windparks oder Biomassekraftwerke werden gebaut. Die meisten dieser Anlagen verlassen sich – wie auch unsere Stromnetze – auf digitale Steuerungstechnik. Sie sind also theoretisch anfällig für Cyberattacken.

Der Informationssicherheits-Experte Markus Fleischanderl arbeitet beim oberösterreichischen Beratungsunternehmen UNINET it-consulting GmbH und lehrt an der Fachhochschule Oberösterreich. Im Interview erklärt er, welche Gefahren Cyberattacken für Kraftwerke und Stromnetze in Österreich bedeuten. Könnte eine kriminelle Hackergruppe einen großflächigen Blackout verursachen? Wie schützen sich die Kraftwerksbetreiber vor derartigen Angriffen?

Welche Rolle spielt die Digitalisierung im Bereich der Stromerzeugung – vor allem bei erneuerbaren Energieträgern?
Markus Fleischanderl: Die Digitalisierung und die zunehmende Vernetzung hat einen großen Einfluss auf die gesamte Energiebranche. Im Bereich der erneuerbaren Energieträger sind die Anlagenbetreiber in den vergangenen Jahren gleichzeitig mit der Digitalisierung großgeworden. Sie nützen digitale Technologien sehr stark in allen möglichen Bereichen. Schon bei der Planung etwa von Windparks oder Photovoltaik-Anlagen kommen komplexe Computersimulationen zum Einsatz, die Prognosen über den potenziellen Ertrag liefern. Genauso ist es die Digitalisierung, die eine Fernsteuerung von Kraftwerksanlagen von einer zentralen Leitstelle aus erlaubt. Das macht den Betrieb effizient und sparsam.

Die schwankende Stromerzeugung ist ja ein Grundproblem bei den „Erneuerbaren“. So etwa die Tatsache, dass sich Sonneneinstrahlung und Windstärke im Tagesverlauf verändern. Wie hilft die digitale Technik hier weiter?
Fleischanderl: Mit dem Einsatz digitaler Steuersysteme auf Erzeuger- und Verbraucherseite wird zukünftig die Möglichkeit geschaffen, die Stromerzeugung und den Stromverbrauch intelligent auf die aktuellen Voraussetzungen und den aktuellen Bedarf abzustimmen. Derzeit helfen die Auswertung von Wetterinformationen mittels Big-Data-Analysen dabei, immer verlässlichere Wetterprognosen zu erstellen: Damit kann ein Erzeuger zukünftig noch zuverlässiger einschätzen, wie viel Strom aus einer bestimmten Photovoltaik-Anlage oder einem Windpark in den kommenden Stunden und Tagen kommen wird.

Kommen wir nun zur Cybersecurity: Wie schützen sich Kraftwerke im Allgemeinen gegen Cyberattacken?
Fleischanderl: Es gibt hier grundsätzlich ein sehr einfaches Prinzip: Stromerzeugende Unternehmen haben in der Regel zwei „IT-Welten“, die voneinander „getrennt“ sein sollten. Zum einen haben wir die klassische Office-IT, wo alle Software-Anwendungen zur Führung des Unternehmens laufen, wo die Mitarbeiterinnen und Mitarbeiter ihre Büroarbeit erledigen und ihre E-Mails schreiben, wo man auch „normalen“ Zugang zum Internet hat. Zum anderen haben wir sogenannte OT-Systeme. Diese Abkürzung steht für Operational Technology. Das sind Systeme, die die physischen Prozesse im Kraftwerk, also den Betrieb selbst, steuern. Es ist meist eine sehr statische Umgebung, die auch keine Verbindung zum freien Internet benötigt.

Zwischen diesen beiden Welten sollte es eine strikte Trennung geben sowie eine strikte Einschränkung der erlaubten Kommunikation und Zugriffe, um diese kritischen OT-Systeme zu schützen. Die IT-Welt des Kraftwerks mag also allen möglichen potenziellen Gefahren aus dem Internet ausgesetzt sein. Aber selbst, wenn es mal zu einer Cyberattacke in der IT-Welt kommen sollte, ist es für Angreifer aufgrund dieser strikten Trennung schwierig, in die OT-Welt vorzudringen, wo sie dann das Kraftwerk zum Beispiel abschalten könnten.

Das klingt sehr einfach – aber in der Praxis ist dieses Prinzip wahrscheinlich schwierig umzusetzen, oder?
Fleischanderl: Auch wenn das Prinzip einer Isolation der OT-Welt ähnelt – man spricht auch von einem „air gap“ –, bedeutet das nicht, dass es überhaupt keine Kommunikation zwischen den beiden Welten gibt. Denn irgendwie muss der Kraftwerksbetreiber ja auf den kritischen Bereich der OT-Welt zugreifen können. Zum Beispiel, um Werte auszulesen oder um Wartungen durchzuführen. Jedes Kraftwerk benötigt somit ein gesamtheitliches und spezifisches Schutzkonzept. Dabei geht es auch darum, dass das Personal, das diese Arbeiten durchführt, verlässlich und bestens geschult ist.

Welche Motive könnten Cyberkriminelle haben, Kraftwerke anzugreifen?
Fleischanderl: Grundsätzlich sind die meisten Cyberattacken auf Unternehmen nicht zielgerichtet. Vielmehr ist es so, dass Hackerorganisationen willkürlich so viele Unternehmen oder Institutionen wie möglich angreifen, und da, wo sich sozusagen eine Türe öffnet, wird dann weiter nachgeschaut. In den meisten Fällen handelt es sich aktuell um Ransomware-Angriffe, das heißt: Die Hackergruppen schalten ein System ab oder verschlüsseln Dateien, fordern Lösegeld, und nach Erhalt des Lösegelds schalten sie das System wieder frei. Ein anderes, „größeres“ Interesse als Geld gibt es da gar nicht.

Anders verhält es sich bei staatlichen Akteuren der Cyberkriminalität. Hier kann es sich sehr wohl um Attacken handeln, die ganz gezielt Infrastruktur eines anderen Landes angreifen, um diese lahmzulegen. Oder es handelt sich um Wirtschaftskriminalität, wo es darum geht, Konkurrenzunternehmen gezielt Schaden zuzufügen.

Was wären die möglichen Folgen einer Cyberattacke auf ein Kraftwerk oder ein Stromnetz?
Fleischanderl: Das hängt eben stark von den attackierten OT-Steuerungssystemen ab: Kann man mit dem betroffenen System das Kraftwerk überhaupt steuern? Könnte man damit zum Beispiel einen Windpark abschalten? Oder handelt es sich bei dem betroffenen System um eines, das gar keinen Zugang zu den kritischen Steuerungselementen hat? Und zudem stellt sich die Frage, ob für den Betrieb der Anlage überhaupt ein IT-System benötigt wird, um im Fall eines Angriffs auch ohne OT-Steuerungssysteme weiter zu produzieren. Und je nachdem variiert dann auch das Gefahrenszenario bei einer Cyberattacke. Je mehr Möglichkeiten ein OT-Steuerungssystem bietet, also je enger es mit dem „Inneren“ des Kraftwerks verbunden ist, desto höher ist auch das Risiko einer erfolgreichen Cyberattacke.

Eine entscheidende Frage ist auch: Wie wichtig ist das betroffene Kraftwerk für die Stabilität des gesamten Stromnetzes? Denn wenn das Netz auch ohne das betroffene Kraftwerk stabil bleiben kann, dann beschränken sich die Folgen auch nur auf den jeweiligen Betrieb, beispielsweise in Form eines finanziellen Schadens.

Und was wäre, wenn das Netz nicht stabil bleibt nach dem Wegfall eines Stromerzeugers?
Fleischanderl: Dann kann es auch zum Worst-Case-Szenario kommen, also zum großflächigen Blackout. Wie das ablaufen kann, hat man im Jahr 2015 in der Ukraine erstmals gesehen. Da hat eine – wahrscheinlich russische – Hackergruppe einen Netzbetreiber und in dem Zusammenhang mehrere Umspannwerke erfolgreich angegriffen, und zwar über eine Phishing-E-Mail, deren Anhang von einem Mitarbeiter irrtümlich heruntergeladen wurde. So konnten die Angreifer das Stromnetz einer ganzen Region zum Erliegen bringen, sodass Hunderttausende Menschen ohne Strom waren. In diesem Fall ist es dem ukrainischen Netzversorger aber relativ schnell gelungen, das System wieder unter seine Kontrolle zu bringen, nämlich schon nach ein paar Stunden.

Wie steht es im Allgemeinen um die Cybersicherheit bei Österreichs Stromerzeugern?
Fleischanderl: Ich will mir nicht anmaßen, einen komplett objektiven Überblick zu haben. Fix ist, dass Österreichs Kraftwerks- und Netzbetreiber in den letzten Jahren viel Aufmerksamkeit und viel Geld in Cybersicherheit investiert haben, da sie von der NIS-Richtlinie der EU auch dazu „gezwungen“ wurden. Durch die NIS-2-Richtlinie werden außerdem auch kleinere Unternehmen gezwungen, sich intensiv mit der Thematik auseinanderzusetzen – und das macht sich jetzt deutlich bemerkbar.

Können Sie kurz erklären: Was ist die NIS-2-Richtlinie der EU?
Fleischanderl: Die Abkürzung NIS steht für Netz- und Informationssystemsicherheit. Die NIS-Richtlinie der EU aus dem Jahr 2016 hat Betreiber von kritischer Infrastruktur in der ganzen EU zu einem gemeinsamen hohen Niveau an Cybersicherheit verpflichtet. Allerdings waren in Österreich nur sehr große Unternehmen von der Richtlinie betroffen. Mit der NIS-2-Richtlinie hat man im Jahr 2022 nachgebessert. Damit sind auch kleinere Unternehmen und weitere Branchen wie das herstellende Gewerbe zur Umsetzung von hoher Cybersicherheit verpflichtet. In Österreich betrifft diese Richtlinie ungefähr 4.000 Unternehmen – sobald es die dafür erforderliche nationale Gesetzgebung gibt.

Sie haben in Ihrem Beispiel aus der Ukraine bereits den menschlichen Faktor angesprochen. Wie steht es in Österreichs Unternehmen um das Cybersicherheits-Bewusstsein?
Fleischanderl: Awareness der Mitarbeiterinnen und Mitarbeiter ist von größter Bedeutung, um echte Sicherheit in Unternehmen herzustellen. Die NIS-2-Richtlinie schreibt auch regelmäßige Schulungen der Belegschaft vor. Die technisch implementierte Sicherheit beispielsweise eines E-Mail-Programms kann noch so perfekt sein – wenn eine Mitarbeiterin oder ein Mitarbeiter nicht vorsichtig genug ist beim Anklicken von Links und Anhängen, dann hilft die beste Technologie nichts.

Ich habe einen starken Anstieg der Awareness in den österreichischen Unternehmen in den letzten fünf Jahren beobachtet. Das Thema wird in den Führungsetagen mittlerweile mit der nötigen Ernsthaftigkeit verfolgt, da die Zahl der öffentlich gewordenen Cyberattacken und Erpressungsversuche rasant gestiegen ist. Woran es aber in Österreich noch mangelt, sind die benötigten Fachkräfte, die das Thema Cybersicherheit auf entsprechend hohem Niveau in allen Betrieben umsetzen können.

Müssen sich Privathaushalte, die Strom ins öffentliche Netz einspeisen, auch um Cybersicherheit kümmern?
Fleischanderl: Das klassische Beispiel wäre hier die Photovoltaik-Anlage am Dach. Ja, auch hier ist Cybersicherheit unerlässlich. Allerdings ist vom Gesetz her zukünftig der Produkthersteller oder Inverkehrbringer von Produkten verantwortlich. Das Cyberresilienzgesetz der Europäischen Union, auf Englisch Cyber Resilience Act (CRA), besagt, dass digitale Produkte mit Vernetzungsmöglichkeiten, die in der EU hergestellt und/oder verkauft werden, Cybersicherheit implementiert haben müssen. In dem Zusammenhang muss der Hersteller laut CRA die Konsumentin oder den Konsumenten anleiten, wie die bestmögliche Cybersicherheit während des Betriebs aufrechterhalten werden kann. Die Endverbraucherin und der Endverbraucher sind also nicht völlig aus der Verantwortung entlassen. Wer zuhause eine PV-Anlage betreibt, sollte auch gut darauf achten, dass die Zugänge zum System der PV-Anlage abgesichert sind. Man sollte sichere Kennwörter vergeben und, wenn möglich, eine Multi-Faktor-Authentifizierung aktivieren. Und man sollte immer darauf achten, alle Updates zu installieren.