dena-Tagung: Cybersicherheit als Achillesferse der Energiewirtschaft
Cyberangriffe bremsen derzeit die Energiewende. Auf dem "Future Energy Day" der Deutsche Energie-Agentur dena in Berlin geht es auch um eine Gegenstrategie.
(Bild: pan demin/Shutterstock.com)
Die Energiewirtschaft leidet unter Cyberangriffen. Wie betroffene Unternehmen damit umgehen und welche Strategien für mehr Sicherheit im Energienetz nötig sind, diskutierte die Deutsche Energie-Agentur dena auf dem "Future Energy Day" am vergangenen Donnerstag in Berlin. An einer stärkeren Digitalisierung kommt die Branche jedoch nicht vorbei, zeigt sich Philipp Richard, Leiter des Future Energy Labs der dena überzeugt: "Eine erfolgreiche Energiewende ist in jedem Fall auch eine digitale Energiewende." Denn ein zunehmend sehr dezentrales Energiesystem habe einen "enormen Bedarf an Integration und Koordination". Wenn die Daten nicht austauschbar und durch verschiedene Akteure verwertbar gemacht werden, komme die digitale Energiewende nicht voran.
Erpressungsopfer zahlen – und schweigen oft
Daten von hoher Qualität sind für die kritische Infrastruktur der Energiewirtschaft essenziell. "Das Fehlen dieser Daten führt wahrscheinlich auch dazu, dass einige Akteure grundsätzlich skeptisch sind, digitalen Technologien noch mehr Verantwortung zu übertragen", ist der Eindruck von Richard. Das Tempo, mit der die Digitalisierung vorangetrieben werde, sei nicht ausreichend. "Der Grad der Digitalisierung ist vielleicht auch ein Teil des Flaschenhalses, dem wir gegenüberstehen", sagt Richard.
Als vertrauensschädigend erweisen sich vor allem Ransomware-Angriffe, die der Branche derzeit zu schaffen machen. "20 Prozent der Energieversorgungsunternehmen reden darüber, 80 Prozent halten es unter der Decke", schätzt Klaus Kister, Vorstand der Aachener Kisters Gruppe. 40 Prozent der Betroffenen würden nach Ransomware-Angriffen zahlen. Der Schaden aber richte zwischen 10 und 20 Prozent des Jahresumsatzes an, sagte Kisters auf der dena-Veranstaltung: "Das tut einfach tierisch weh."
Versicherungen wollen nicht zahlen
Die Kisters Gruppe wurde im November 2021 nach einem Cyber-Angriff erpresst. Sie hatte zeitweise keinen Zugriff auf das eigene System, da es heruntergefahren werden musste. Erst nach vier Monaten konnte sie wieder zum Normalbetrieb zurückkehren. Auf den Erpressungsversuch hat es sich nicht eingelassen, dafür aber unmittelbar alle Kunden, Partner sowie Polizei, Bundesamt für Sicherheit in der Informationstechnik und die Bundesnetzagentur informiert.
Kisters entwickelt IT-Systeme für nachhaltiges Ressourcen-Management von Energie, Wasser und Luft sowie Umwelt-Monitoring. Der IT-Sicherheitsvorfall löste in der Branche ein kleines Beben aus: Nach Angaben der Bundesnetzagentur musste deshalb die Einführung der "Marktkommunikation 2022" um ein halbes Jahr verschoben werden, wovon mehrere hundert Unternehmen und Marktrollen in den Sparten Strom und Gas betroffen waren. Der Einführungstermin ist jetzt der 1. Oktober.
Im Rückblick würde Klaus Kisters wieder die Behörden informieren, nur im Umgang mit der Versicherung rät er "am besten einen Rechtsanwalt für Cyber-Security mit reinzunehmen". Seine "Lessons Learned ist, genau für diesen Katastrophenfall will die Versicherung nicht zahlen und sie wird alles tun, um da wieder rauszukommen."
Die Kisters Gruppe hat ihre IT-Sicherheitsmannschaft inzwischen verdoppelt. Klaus Kisters glaubt nicht, dass sich das Unternehmenssystem hundertprozentig absichern lasse, wichtig sei aber, wie man mit einem Cyberangriff umgehe und die Systeme wieder hochbekomme: "Ein absolut wichtiges Thema, das auch in der Energiebranche noch mehr diskutiert werden muss."
Digitale Identitäten für die Marktkommunikation
Wenn Daten, die die Basis für einen automatischen Energiehandel liefern, manipuliert oder beeinträchtigt werden, kann dies verheerende Folgen haben. So stärken Energiemengen, die etwa in einem virtuellen System verkauft und eingeplant werden, den Eindruck, dass das Energiesystem im Gleichgewicht ist. "Sollte jedoch der einer Energieanlage zugeordnete Datensatz zum Beispiel zu einer bestimmten Viertelstunde gefälscht sein und die Energiemenge faktisch gar nicht existieren, sorgt dies für eine Schieflage, die das physikalische System ins Ungleichgewicht bringt", warnen Experten im Bericht zum Blockchain-Pilotprojekt "Machine Identity Ledger" der dena.
Die Schlüsselfrage für die Energiewende lautet daher: Wie kann IT-Sicherheit in die Strukturen des entstehenden Energiemarkts eingebacken werden? Die dena hat in dem Blockchain-Projekt mit Akteuren der Energiewirtschaft sowie Start-ups ein digitales und dezentrales Verzeichnis für Geräte-Identitäten entwickelt und seine technische Machbarkeit gezeigt.
Noch fehlen auf dem Energiemarkt einheitliche Identitäten für Erzeugungs- und Verbrauchsanlagen wie Wind- und Solaranlagen oder E-Autos. Die automatisierte Geräteregistrierung und Identitätsverwaltung könnte die Transaktionszeiten und -kosten etwa für den Handel von Grünstromzertifikaten, einem überregionalen Strommarkt, Peer-to-Peer-Handel reduzieren, attestierten Gutachter des Blockchain-Pilotprojekts.
Auch den Energielieferanten zu wechseln, dauert in Deutschland heute noch bis zu 15 Tage. Wenn Prozesse im Energiesystem automatisiert gesteuert werden können, könnte der Wechsel echtzeitnah erfolgen. Das erfordert jedoch digitale Nachweise und Überprüfungen der Identitäten und Rechte von Akteuren und Anlagen.
Diese Anforderungen kann das im Future Energy Lab entwickelte Maschinen-Identitätsregister lösen. Es geht auch mit den Anforderungen des Bundesamts für Sicherheit in der Informationstechnik konform, zeigt sich dena-Experte Moritz Schlösser erfreut. "Wir haben eine technische Lösung gefunden, die es aus dem Labor in das Energiesystem schaffen kann und damit ein Grundbaustein für die flexible Anlagennutzung bilden kann."
Herkunft eines Datensatzes sicherstellen
Die Energiebranche brauche jetzt Initiativen, so Philipp Richard, Kriterien für Standard-Datensätze zu definieren – und den Datensätzen einen Wert beizumessen. Eine fehlende Standardisierung sei hier der Flaschenhals für den Umbau des Energiesystems. Nur mit einheitlichen Datensätzen könne der Zustand eines integrierten Systems besser erfasst und verfolgt werden. Der Nachweis über die Herkunft eines Datensatzes sei dabei die Basis, wobei die Kontrolle und Überprüfung automatisch erfolge.
Sicherheitsexperte Jens Strüker von der Universität Bayreuth und dem Fraunhofer FIT sieht unter Energieunternehmen eine "große Bereitschaft" digitale Identitätsregister einzuführen. Er zeigt sich zuversichtlich: "Das potenzielle Interesse wird ganz schnell da sein, wenn man sieht, wie viel Geld man damit sparen kann." Die Weiterentwicklung des Stammdaten-Registers sieht er in dem größeren Zusammenhang der Register-Modernisierung. Das Bundeswirtschaftsministerium (BMWK) baue derzeit ein Wasserstoff-Register, ein Wärme-Register und ein Herkunftsnachweis-Register auf, die "heute nichts miteinander zu tun haben", sagt Strüker. "Das kann nicht sein."
Die Deutsche Energie-Agentur hat zum Thema Sicherheit in der Energiewirtschaft in den letzten Monaten mehrere Themen behandelt: Das Innovationsgutachten Enercrypt im Auftrag des BMWK befasst sich damit, wie Stammdaten und Kommunikationskanäle kryptografisch abgesichert und Sicherheitsstandards weiterentwickelt werden können. Das Folgeprojekt EnerCise strebt die praktische Umsetzung der internationalen Kooperation von Sicherheitsexperten und deutschen Netzbetreibern durch zwei Cybersicherheitsübungen an. Außerdem baut sie eine "Branchenplattform Cybersicherheit in der Stromwirtschaft" auf.
(tiw)
