Sicherheit in Energiesystemen aufrechterhalten

Um eine Stadt von der Größe Hamburgs mit Strom zu versorgen, reicht ein einziges Kohlekraftwerk aus - bei erneuerbaren Energien sind mehr als 500 Windkraftanlagen erforderlich. Die wachsende Anzahl von Erzeugern, die zudem tendenziell schwankend sind, machen den Ausgleich von Angebot und Nachfrage immer schwieriger und komplexer. Vernetzte Systeme werden benötigt, um die Flexibilität in Echtzeit zu erhöhen und Erzeuger:innen sowie Verbraucher:innen Anreize zum Senken von Spitzenlasten zu bieten. Dadurch wird Energie letztlich sauberer, intelligenter und kostengünstiger.

Die zunehmende Verbreitung von Cloud- und IoT-Lösungen im Energiebereich – und somit auch verstärkte Konnektivität – bringt jedoch auch das Thema Sicherheit mit sich. Mit einer steigenden Anzahl von Komponenten, einschließlich Software und verschiedenen Energieanlagen, ergeben sich neue Angriffsmöglichkeiten und somit auch ständig neue Herausforderungen für die Sicherheit im Energiebereich. Wenn es um IoT geht, sind die Systeme nur so stark wie ihr schwächstes Glied. 

Auswirkungen einer Sicherheitsverletzung

Wie in jeder Branche ist es auch im Energiesektor von entscheidender Bedeutung, dass personenbezogene oder sensible Daten nicht in die falschen Hände geraten. Für viele Unternehmen könnte eine Datenpanne nicht nur den Betrieb schwer schädigen, sondern auch den eigenen Ruf. Stabile IT-Systeme, welche die Daten aller Mitarbeiter:innen und Kund:innen schützen, sind daher für jedes Unternehmen von zentraler Bedeutung. 

Sicherheit im Energiesektor ist von besonderer Relevanz. Es könnte zu schwerwiegende Folgen kommen, wenn sich Dritte unberechtigt Zugang zu bestimmten Infrastrukturen oder Systemen verschaffen und das Stromnetz so beeinflussen würden. Laut dem neuen Whitepaper des Weltwirtschaftsforums „Cyber Resilience in der Öl- und Gasindustrie“ sind die durchschnittlichen Kosten für Datenpannen im Energiesektor seit 2019 um mehr als 13 Prozent auf 6,39 Millionen US-Dollar gestiegen und liegen damit deutlich über dem weltweiten Durchschnitt von 3,86 Millionen US-Dollar. Da die Digitalisierung für den Fortschritt der Branche von entscheidender Bedeutung ist, muss die Cybersicherheit für alle Unternehmen im Energiesektor zu einem zentralen Thema werden. 

Die Stromkrise in Texas im Februar 2021 ist ein Paradebeispiel dafür, wie nachteilig sich ein plötzlicher Stromausfall auswirken kann - die Stromausfälle kosteten 100 Menschen das Leben, verursachten schätzungsweise Kosten in Höhe von 195 Mrd. USD und ließen die Stromgroßhandelskosten um das 400-fache ansteigen. Man stelle sich vor, Cyberangreifer könnten sich Zugang zu den Stromsystemen verschaffen und die Heizung im Winter abschalten. Tatsächlich unternimmt die US-Regierung große Anstrengungen, um das Stromnetz vor ausländischen Hackern zu schützen, und fordert die Versorgungsunternehmen auf, Technologien zur besseren Erkennung von Hackerangriffen zu kaufen und zu installieren.

Im Januar dieses Jahres kam es zu einer erheblichen Störung im europäischen Stromnetz. Wenn du davon nichts mitbekommen hast, dann deshalb, weil ein robustes System, automatisierte Prozesse und schnelle Reaktionen dafür sorgten, dass die Störung weitgehend unbemerkt blieb. Als die Netzfrequenz aufgrund einer Überlastung in Kroatien plötzlich abfiel, wurde automatisch ein Alarm ausgelöst. Eine zentrale Plattform, die den Datenaustausch in Echtzeit bündelte, sorgte für einen automatischen Neustart der Kraftwerke, während geschultes Personal bestimmte Industriekund:innen vom Netz nahm und zusätzliche Kontrolle von benachbarten Netzen erhielt. Klar definierte sowie standardisierte Verantwortlichkeit und Kommunikation ermöglichten eine Stabilisierung der Netzfrequenz innerhalb weniger Minuten.

Auch wenn diese Vorfälle nicht von Hacker:innen verursacht wurden, zeigen sie die schwerwiegenden Folgen von Stromausfällen. Die Verhinderung solcher Schäden durch Hacker ist für Unternehmen und branchenweite Wertschöpfungsketten auf der ganzen Welt entscheidend geworden. Nach Angaben des Weltwirtschaftsforums nimmt das Ausmaß und die Auswirkung potenzieller Cyberangriffe durch das wachsende Netz digitaler Plattformen exponentiell zu. Um Cyber-Resilienz aufzubauen und aufrechtzuerhalten, benötigen die Akteure im Energiesektor demnach sichere Versorgungsleitungen, hochintelligente Abläufe, engagierte Partner:innen und Verbündete sowie informierte und engagierte Mitarbeiter:innen. Sie sind der Ansicht, dass die Schaffung eines sicherheitsorientierten Umfelds von zentraler Bedeutung ist, um nicht nur den aktuellen Betrieb zu sichern, sondern auch die weitere Digitalisierung der Branche zu ermöglichen. 

Cyber-Resilienz im Energiebereich aufrechterhalten

Um eine starke Cyber-Resilienz im Energiesektor zu gewährleisten, müssen zunächst die grundlegenden Technologien, wie z. B. die Cloud-Infrastruktur, hochsicher aufgebaut werden. Erst wenn diese Systeme wasserdicht sind, sollten zusätzliche Tools zum weiteren Schutz vor Cyberangriffen eingesetzt werden. Laut Joel Hermanns, CIO von gridX, "muss ein proaktiver und ganzheitlicher Risikomanagement-Ansatz zusammen mit einer geeigneten Struktur implementiert werden, die sich mindestens auf die Einhaltung der Vorschriften und den Schutz durch die Regulierungsbehörden stützen. Wir sind der Meinung, dass das Prinzip "Security by Design" der beste Weg ist, um gegen Angriffe gewappnet zu sein. Best Practices und Benchmarks, wie derAWS Foundations Benchmark des Center for Internet Security(CIS), sind hier von entscheidender Bedeutung, um sicherzustellen, dass Fehler oder Verstöße konsequent vermieden werden."

"Es muss ein proaktiver und ganzheitlicher Ansatz für das Risikomanagement implementiert werden, der mit einer geeigneten Struktur einhergeht, die sich mindestens auf die Einhaltung der Vorschriften und den Schutz durch die Regulierungsbehörden stützen."

Joel Hermanns, CIO, gridX

Da die Energiewirtschaft zunehmend dynamische, moderne Technologien einsetzt, muss sich auch die Art und Weise, wie wir an die Sicherheit herangehen, entsprechend ändern. Joel unterstreicht die Bedeutung regelmäßiger automatischer Überprüfungen und regelmäßiger Penetrationstests, um die sich ständig weiterentwickelnde Technologie konsequent sicher und konform zu halten. Ein verschlüsselter Datenaustausch ist ebenfalls notwendig, damit sichergestellt werden kann, dass Unbekannte die Daten nicht lesen oder manipulieren können. Genauso wichtig ist die Aufrechterhaltung der Cyberkenntnisse der Mitarbeiter:innen, indem sie über alle Änderungen an IT-Standards oder -Protokollen auf dem Laufenden gehalten werden.

Der Cybersecurity-Ansatz von gridX

Als Plattform- und Softwareanbieter pflegt gridX stets aktuelle Standards und Tools und nutzt automatisierte Testverfahren, um schnelle Reaktionszeiten zu ermöglichen. Indem wir unsere potenzielle Angriffsfläche so gering wie möglich halten, können potenzielle Angriffe von Grund auf eliminiert werden. Das heißt wir reduzieren die Software-Abhängigkeit, vermeiden offene Netzwerk-Ports und minimieren öffentlich zugängliche Ressourcen oder Server. 

Philipp Franke, Senior Software Engineer bei gridX, fügt hinzu: „Wir kombinieren das Vier-Augen-Prinzip für alle Code-Reviews mit automatisierten Checks, um sicherzustellen, dass alle Codes nach den höchstmöglichen Standards implementiert und eventuelle Schwachstellen in unserem Entwicklungsprozess so früh wie möglich aufgedeckt werden“

Darüber hinaus werden alle Daten, die über öffentliche Netze übertragen werden, mit modernen und sicheren Technologien (in der Regel auf Grundlage von TLS 1.3) verschlüsselt. Das schließt die Kommunikation über unsere API, von und zu den gridBoxen und mit unseren Partnern ein. Nach dem Prinzip des geringsten Privilegs für die Autorisierung erhält jede relevante Einheit die minimal notwendigen Privilegien, um die benötigte Arbeit zu erledigen. 

Schließlich sagt DevOps Engineer Thomas Eck: „Es ist wichtig, Infrastruktur als Code und unveränderlich anzusehen, was bedeutet, dass unser Code mit modernen Tools wie Terraform, Cloudformation oder Kubernetes ausgerollt wird. Letztlich führt dies zu einem hohen Maß an Reproduzierbarkeit, Nachvollziehbarkeit und Transparenz - einige der wichtigsten Komponenten eines sicheren Systems.“ 

Energiesysteme benötigen, wie viele andere Systeme auch, eine solide Grundlage, die durch einen sicheren Code und ausgefeilte Werkzeuge ergänzt wird. Die Systeme müssen regelmäßig überprüft werden, sowohl manuell als auch automatisch, und es müssen die richtigen Standards oder Protokolle vorhanden sein, um eine reibungslose und nahtlose Kommunikation zu gewährleisten. Der hohe Innovationsgrad in der Energiewirtschaft bedeutet, dass neue Technologien vor ihrer Einführung gründlich getestet werden müssen. Nur so kann die Sicherheit der Stromflüsse jetzt und in Zukunft gewährleistet werden.