Alte Wind- und Solarparks für Hacker leichte Beute

Das Modell eines Windparks mit Leitzentrale, Lichtern und Bildschirmen samt erklärender Person auf einem Messestand. Thema des Fotos ist IT-Sicherheit.Foto: Oliver Ristau
Rotes Licht: für Hacker ist es eine Kleinigkeit, die Kontrolle alter Windparks zu übernehmen, wie Benjamin Körner vom IT-Sicherheitsspezialisten Secunet demonstriert.
In Deutschland ist eine geschätzte zweistellige Gigawatt-Zahl an älteren Erneuerbare-Energie-Anlagen gegen Hackerangriffe weitgehend ungeschützt. Daran ändern auch die neuen EU-Cyber-Security-Vorschriften wenig. Das Bundesamt für Sicherheit in der Informationstechnologie rät Betreibern, freiwillig zu handeln.

Software für Hacker, um alte Wind- und Solarparks anzugreifen, gibt es gratis zum Download. Kali Linux ist ein solches Betriebssystem, berichtet Benjamin Körner vom Essener Cybersicherheitsunternehmen Secunet. Es diene eigentlich dem Zweck, Sicherheitsexperten zu zeigen, wo sich Schwachstellen im Netz befinden, lasse sich aber auch missbrauchen. „Es enthält tausende Tools. Jeder kann damit testen, wo sich im Netz Sicherheitslücken befinden“, so Körner.

Der IT-Entwickler simuliert das, indem er die Hacker-Software einen virtuellen Windpark angreifen lässt. Dafür hat er auf der IT-Sicherheitsmesse IT-SA, die Ende Oktober 2024 in Nürnberg zu Ende ging, ein Modell mit zwei Windenergieanlagen, einer Leitwarte sowie zwei Bildschirmen aufgebaut. Der eine zeigt die Aktivitäten des Hackers, der andere die zentrale Windparksteuerung. „Für die Demonstration sind Leistungsstärke und Anzahl der Windenergieanlagen unerheblich. Es geht nur darum, mit welcher Sicherheitsarchitektur die Anlagen geschützt sind“, so Körner. Entsprechend lasse sich der Angriff stellvertretend auch für andere regenerative Kraftwerke wie Photovoltaikparks darstellen.

Einfallstor für Hacker: alte Betriebssysteme

Das Einfallstor ist schnell gefunden. „Oftmals setzen Betreiber noch alte Windows-XP-Betriebssysteme ein“, sagt Körner. Das System war in der ersten Dekade der 2000er Jahre weit verbreitet und galt als stabil und sicher. Doch seit 2014 bietet Microsoft dafür keine Updates mehr an. Das funktioniert so lange meist einwandfrei, bis die Anlagen eine Verbindung zum Internet knüpfen. „Etwa zur Fernüberwachung“, wie der IT-Experte sagt.

Dann sind sie gegenüber Angriffen von außen weitgehend ungeschützt. Denn die alten Protokolle wie der damals übliche Netzwerk-Standard SMBv1 (SMB = Server Message Block) weisen erhebliche Sicherheitslücken auf. Die Kommunikation erfolgt zudem häufig unverschlüsselt. Das heißt, Angreifer müssen nicht einmal Passworte knacken, um die Kontrolle zu erhalten.

Wie schnell das geht, zeigt die Demonstration am Messestand. Binnen von Sekunden hat die Hackersoftware die komplette Kontrolle über das System übernommen. Eine der beiden Windenergieanlagen wird abgeschaltet und die Leitwarten-Anzeige blinkt rot. 

Zweistellige GW Photovoltaik ohne IT-Sicherheit

Dass das IT-Sicherheitsunternehmen, das vornehmlich für die Bundesregierung, die Bundeswehr und andere öffentliche Auftraggeber tätig ist, die Industriebranche als Kunden entdeckt, hat einen Grund. Vielfältige Industrieanlagen in Deutschland sind immer noch weitgehend ungeschützt, auch in der Energiebranche. Zwar gelten alle Stromerzeugungsanlagen ab 104 Megawatt (MW) Leistung als kritische Infrastruktur und fallen unter die entsprechende BSI-Kritisverordnung. Das gilt auch für Unternehmen, die im Rahmen der Direktvermarktung den Absatz von regenerativem Strom bündeln. Doch übrig bleiben Kapazitäten, die von kleineren Direktvermarktern vertreten werden. Dazu zählen beispielsweise viele Stadtwerke.

Wie viel das sein dürfte, zeigt folgende Rechnung. Die Übertragungsnetzbetreiber meldeten im September 2024 gut 110 GW regenerative Leistung in der Direktvermarktung. Laut separaten Branchenerhebungen waren Ende 2023 allerdings nur gut 95 GW bei Vermarktern gebündelt, die mehr als 104 MW repräsentierten. Übrig bleibt eine niedrige zweistellige GW-Leistung bei Kleinvermarktern, die undifferenziert auf Wind- und Solaranlagen entfällt.

Dazu kommt, dass längst nicht alle grünen Kapazitäten in Deutschland an der Direktvermarktung teilnehmen. Legt man die Daten der AGEE-Stat zugrunde, waren Ende August 2024 insgesamt gut 175 GW installiert. Die Lücke zur Direktvermarktung beträgt damit rund 65 GW. Der Großteil davon entfällt auf die Photovoltaik. Nach Auskunft des Bundesverband der Solarwirtschaft (BSW) arbeiteten zum 1. Halbjahr 2024 rund 63 GW Photovoltaik außerhalb der Direktvermarktung.

Künftig IT-Sicherheit für alle Stadtwerke verpflichtend

Einige Regenerativ-Betreiber, die bisher nicht als Kritis-relevant gelten, dürften künftig aber von der neuen NIS-2-Richtlinie betroffen sein. Das ist eine EU-weit gültige IT-Sicherheitsrichtlinie, die in Deutschland zur Umsetzung ansteht. Unter sie fallen unabhängig von ihrer Größe oder ihrem Umsatz alle Erzeuger von Energie, die Kunden versorgen. Sie sind kritische Einrichtungen im Sinne eine weiteren EU-Richtlinie, der Critical Entity Resilience Directive (CER), deren Umsetzung in Deutschland ebenfalls noch ansteht. In der dortigen Defintion von Kritis-pflichtigen Energieunternehmen ist speziell von solchen die Rede, die Kunden versorgen. Darunter würden künftig alle Stadtwerke fallen. Im Umkehrschluß gilt diese Verpflichtung für kleine Direktvermarkter, die keine eigenen Kunden haben, nicht.

Unabhängig davon, ob verpflichtet oder nicht, empfiehlt das Bundesamt für Sicherheit in der Informationstechnologie (BIS) zu handeln. „Es ist für die Unternehmen mittelbar sehr hilfreich, in die IT-Sicherheitsinfrastruktur zu investieren und nicht zu warten, bis sie einen finanziellen Schaden durch einen Angriff erleiden“, so BIS-Referent Marian Blok.

Autor: Oliver Ristau © Solarthemen Media GmbH

Schließen