Cyberattacken und Diebe: Wie gefährdet sind EE-Anlagen?
Der Schock saß tief: Am Tag, als Russland die Ukraine angriff, konnten tausende Windenenergieanlagen nicht mehr per Fernsteuerung erreicht werden. Zunächst vermuteten viele einen gezielten Cyberangriff auf die deutsche Energieversorgung. Letztlich erwies sich der Vorfall als Kollateralschaden: Um die ukrainische Kommunikation zu stören, war ein Netz für Satelliteninternet attackiert worden, über das auch Windparks angesteuert werden. Trotzdem machte der Vorfall klar, wie verletzlich das Energieversorgungssystem sein kann.
Die Liste der möglichen Sicherheitslücken ist lang
„Die zahlreichen Zugangsmöglichkeiten zu den Anlagen können leicht zum Einfallstor für Cyberangriffe werden“, sagt Peter Sode, Head of Data Management & Security bei JUWI. Veraltete Software, Standardpasswörter in Routern, ungesicherte Internetverbindungen, die Nutzung von öffentlich einsehbaren IP-Adressen, Bauteile aus zweifelhaften Herkunftsländern oder auch einfach unaufmerksame Mitarbeiter - die Liste möglicher Sicherheitslücken ist lang. „Angreifern wird es oft leicht gemacht, auf die Steuerung der Anlagen zuzugreifen, Schadsoftware zu installieren oder das System so lange mit Anfragen zu fluten, bis es kollabiert“, beschreibt Sode die Angriffsmöglichkeiten. Die Folge könne im schlimmsten Fall ein großflächiger Ausfall der Stromversorgung sein, warnt er.
Wind- und PV-Parks gehören deshalb ab einem Schwellenwert von derzeit 104 MW zur kritischen Infrastruktur (KRITIS), für die per Gesetz besondere Sicherheitsbestimmungen gelten. Auch Betriebsführer, die mehr als 104 MW bündeln, fallen darunter. Sie müssen unter anderem Standards in der IT-Sicherheit einhalten, die regelmäßig per Audit überprüft werden. JUWI setzt diese Vorgaben bereits seit 2019 um, als einer der ersten Betriebsführer im Bereich erneuerbare Energien.
Hohe Schäden durch Diebstähle
Doch es gibt auch analoge Gefahren: Erst vor wenigen Wochen stahlen Diebe im niedersächsischen Nörten-Hardenberg laut Polizei 100 Kilometer Kupferkabel aus einem Solarpark. Der Schaden liegt bei 150.000 Euro. Nörten-Hardenberg ist dabei nur eines von vielen Beispielen, wo die Kleinteiligkeit der neuen Energieversorgungsstruktur Dieben in die Hände spielt: Es ist schwierig, viele kleine Einheiten zu schützen, die zudem oft weit ab von Siedlungen liegen.
„Bei Diebstählen kommt zum materiellen Schaden noch der Ertragsausfall“, sagt Sven Bröscher, Head of Solar & Technical Operations bei JUWI. Eine Reparatur könne, auch aufgrund problematischer Lieferketten, schlimmstenfalls Monate dauern. „Der Verlust wird dann schnell sechsstellig.“ Meist folgten Probleme mit der Versicherung, die nach Schadenfällen die Prämie erhöht oder gar die Police kündige.
Nicht zuletzt droht ein Imageschaden, egal, ob die Attacke nun aus dem Cyberspace oder der Nachbarschaft kam: Insbesondere die Windenergie hat eine aktive Gegnerschaft, die auch selten auftretende Einzelereignisse zu nationalen Versorgungskrisen hochjazzt.
Cybersicherheit wird ein Thema für mehr Player
Schutz ist also nötig, vor allem mit Blick auf die tragende Rolle, die die Erneuerbaren inzwischen einnehmen. So ändert sich gerade die Rechtslage für KRITIS. Bis Oktober 2024 muss Deutschland eine Reform der EU-Richtlinie NIS 2 umsetzen. „Wir erwarten strengere Anforderungen an die Sicherheit der kritischen Infrastruktur und somit auch für Betreiber von Windenergie- und Solaranlagen“, sagt Peter Sode. JUWI arbeite bereits daran, seine Dienstleistungen anzupassen. Zudem werde voraussichtlich der Schwellenwert, ab dem eine Anlage oder ein Betreiber zu KRITIS zählt, gesenkt, meint Sode. „Wir wissen allerdings noch nicht, wie weit.“ Cybersicherheit werde aber auf jeden Fall zu einem noch wichtigeren Thema für deutlich mehr Player. „Betroffen sind am Ende alle, die auf eine Anlage zugreifen können, vom Hersteller bis zum Besitzer“, betont Sode.
Betreiber sollten jetzt aktiv werden
Doch unabhängig von der Rechtslage - Betreiber können und sollten aktiv werden, um es den Angreifern schwer zu machen. Um die Anlage vor Dieben zu schützen, können Alarmsysteme oder Kameras installiert werden. Sicherheitsdienste, die nachts an den oft abgelegenen Wind- oder PV-Parks kontrollieren, schrecken meist zuverlässig ab. „Wir geben unsere Erfahrungen in diesem Bereich gerne beratend weiter“, sagt Daniel Braun, Produktmanager bei JUWI.
Peter Sode betont, dass neben technischen Lösungen wie regelmäßigen Softwareupdates oder gesicherten Datenverbindungen vor allen die Sensibilität der handelnden Personen für die Sicherheit der Anlagen entscheidend sein kann. Der Personenkreis mit Zugangsberechtigung sollte deshalb so klein wie möglich sein. Schulungen für Mitarbeitende könnten helfen, Angriffe über Phishings-Mails oder vermeintlich harmlose Hardware aufzuhalten: „Der größte Unsicherheitsfaktor ist immer der Mensch.“ Auch bei der Cybersicherheit bietet JUWI seine Expertise über das Produkt Secure Connect an. „Die Anlagen in unserer Betriebsführung sind selbstverständlich gesichert“, stellt Produktmanager Braun klar. Das Angebot richtet sich vor allem an externe Betreiber und bietet ihnen das professionelle JUWI Router-Management.
