Im Visier der Hacker : Cybersecurity für Energieversorger

„Das Leben verlagert sich zunehmend in den digitalen Raum, wodurch auch ein Teil der kriminellen Handlungen dorthin wandert“, meint Digitalisierungs-Staatsekretär Florian Tursky. Der Cybercrime-Report des Bundeskriminalamts für 2021 (aktuellere Zahlen sind nicht verfügbar) verzeichnete einen Anstieg entsprechender Delikte in Höhe von knapp 29 Prozent auf 46.000 angezeigte Straftaten. Gegenüber dem Jahr 2017 entspricht dies gar einer Verdreifachung.

Hatten sich die Angriffsmöglichkeiten für Hacker zunächst durch die Pandemie vermehrt, da viele Mitarbeitende von Unternehmen ins Home Office gingen, so stieg zuletzt die Zahl „institutioneller“ Cyber-Attacken. Wie das kriminelle „Business“ funktioniert, weiß CyberTrap-CEO Erich Hinterndorfer im Detail: „Die Hacker-Gruppe BlackCat, die im Vorjahr in Kärnten am Werk war, nimmt Schätzungen zufolge jährlich hunderte Millionen Euro ein.“

Die Kriegsparteien Russland und Ukraine beschäftigen Cyber-Söldner, die unter anderem auch Unternehmen im deutschsprachigen Raum hacken. „Und im Darkweb lässt sich um 250 US-Dollar ein Ransomware-Angriff bestellen, mit dem sich 90 Prozent aller KMU problemlos lahmlegen ließen.“

Das Motto der Cyber-Kriegsführung hat man sich von Napoleon abgeschaut: „Unterbrich niemals deinen Feind, während er einen Fehler macht!“ Wie‘s funktioniert? Bei Deception-Technologien werden Angreifer gezielt zu einer eigens dafür geschaffenen IT-Infrastruktur umgeleitet. Innerhalb dieser fiktiven Umgebung können sie systematisch beobachtet werden, um ihre Motivation und Methoden und damit unter Umständen sogar ihre Identität oder den Auftraggeber zu identifizieren.

Der Wiener Deception-Spezialist und europäische Marktführer in diesem Bereich verteilt somit Köder auf Endgeräte und Server. Wann die Falle zuschnappt, kann der Kunde selbst entscheiden. Für den Angreifer ist nicht erkennbar, ob er sich in der echten IT-Infrastruktur des anvisierten Unternehmens oder eben in einer Art Potemkinschen Dorf bewegt.

Mitunter werden sogar Unternehmensdaten nachgebaut sowie fiktive Konstruktionszeichnungen und Dokumente erstellt. „Bei Penetration Tests stellte sich heraus, dass 87 Prozent selbst dann auf den Köder hereinfallen, wenn sie wissen, dass wir einen solchen platziert haben“, so Hinterndorfer.

„Cyberangriffe auf die Energieversorgung nehmen zu“, weiß Entwicklungschef Gerald Wallner. „Gelungen ist dies bei heimischen Energieversorgungs-unternehmen bislang nicht.“ Damit dies auch so bleibt, arbeitet Wallner mit dem Verbund bei einem OT-Forschungsprojekt zusammen. OT oder operative Technologie – im Gegensatz zu IT – umfasst Hardware, Maschinen und Anlagen, die für die physischen Prozesse in einem Unternehmen verantwortlich sind.

Eben diese physische Umgebung, konkret: ein komplettes Umspannwerk, simuliert der Head of Development bei CyberTrap. „Gelingt einem Angreifer der Zugang zu einer derartigen Anlagen, wird er versuchen, diese Information zu verkaufen. Dazu muss er beweisen, dass er tatsächlich in der Lage ist, ein Umspannwerk lahmzulegen“, erklärt Wallner.

Hat er sich dabei in einen virtuellen Klon verirrt, kann er freilich keinen tatsächlichen Schäden anrichten. „Er kann Befehle geben, auf Sensoren zugreifen und Einstellungen ausführen. Dass er dies nicht in einer realen Umgebung macht, ist für ihn jedoch nicht erkennbar.“

Die Fallensysteme des Deception-Spezialisten simulieren die Steuerungsgeräte der einschlägigen Hersteller wie Siemens und Voith. „Wir emulieren deren Firmware, der Köder ist damit vom echten Produkt nicht zu unterscheiden.“ Voraussichtlich bis Ende des Jahres soll das Projekt abgeschlossen sein, danach sind Webinare für Energieversorgungsunternehmen geplant.

Etwas länger dauert es noch bis zum Abschluss eines zweiten Forschungsprojektes, das sich der Sicherheit in kritischer Infrastruktur, insbesondere in Kraftwerken, widmet. Hier werden die Köder großzügig in den Netzwerken, Steuerungsgeräten, Windows- und Linux-Computern verteilt.

Unter Geheimnisverrat fällt das „Elektropraxis“-Interview nicht, versichert Wallner. Zu wissen, dass Köder platziert wurden, hilft einem Hacker nämlich nicht viel. „Ob er hereingefallen ist, weiß er frühestens, wenn er die Verbindung aufbaut. Zu dem Zeitpunkt bekommen wir aber schon einen Alarm.“ Das unterscheidet die Vorgangsweise ganz grundsätzlich von beispielsweise einem Virenscanner, der für einen Angreifer als Software erkennbar und zu umgehen ist.

Die Lösung, die im Rahmen des Forschungsprojekts entwickelt wird, greift dann, wenn der Hacker bereits auf Geräte im Kraftwerk Zugriff hat. „Vielleicht ist er über die VPN-Verbindung eines Partners eingedrungen oder er war mit Social Engineering erfolgreich.“ Letzteres kann heißen, dass er sich Informationen vor Ort beschafft hat – berüchtigt sind etwa die Post-its am Bildschirm, auf denen Passwörter notiert wurden.

Das Wichtige: Ist der Angreifer erst einmal im virtuellen Irrgarten der Fallensteller, gibt es keine Rückkehr ins produktive System des Kraftwerks. „Wir gewinnen so Zeit, können überprüfen, wer auf die Systeme zugegriffen hat und den Ursprung isolieren.“

Wie Social Engineering funktioniert, erklärt der professionelle Hacker Daniel M. (Name geändert). „Ich kann mich als vermeintlicher Bote einschleichen, einen WLAN Access Point anschließen und mir nach Verlassen des Gebäudes über eine Richtantenne Zugang ins System verschaffen.“

Der Zug zum Home Office während der Covid-19-Lockdowns machte Unternehmen besonders verletzlich. „Jeder Mitarbeitende, der von zu Hause aus über sein Notebook ins Netzwerk einsteigt, bohrt ein Loch ins System, das ein Einfallstor bilden kann.“ Mitarbeitende sollten daher nur mit dem Firmen-Laptop und ausschließlich über einen Zugriff mit User-Berechtigung ins Firmennetzwerk kommen. Auch sollte dieser Laptop nur mit dem VPN des Unternehmens, nicht aber mit dem privaten Netz kommunizieren. Ratschläge freilich, die gerade EVU wohl ohnedies beherzigen.

In der digitalen Sphäre sucht man vergeblich nach Spuren von Daniel M. Als selbständiger Hacker weiß der Mitt-Dreißiger, der anonym bleiben möchte, welches Schindluder mit persönlichen Daten getrieben wird. Daniel hackt die Systeme von Unternehmen in deren Auftrag, um Schwachstelle und Lücken aufzufinden.

Als Insider rät er davon ab, Aufträge ins außereuropäische Ausland zu vergeben. „Gerade die Websysteme lassen heute viele Unternehmen von Dienstleistern aus Asien testen. Ich persönlich halte es für keine gute Idee, die eigenen Schwachstellen gegenüber einer Firma offenzulegen, bei der ich keinen greifbaren Ansprechpartner und womöglich nicht viel mehr als eine Internetadresse habe.“

Er beobachtet eine zunehmende Professionalisierung und Industrialisierung von Cybercrimes: „Früher wurden Würmer und Viren oftmals zum Spaß geschrieben, um die eigenen Fähigkeiten zu erproben, nicht, um ein Unternehmen zu erpressen oder Betriebsgeheimnisse auszuforschen. Das hat sich geändert.“

Der Ukraine-Krieg führt vor Augen, wie wichtig der Schutz der Energie-Infrastruktur ist. „Eine bisher unterschätzte Gefahr sind Cyberangriffe gegen Energieparks“, meint Gernot Reindl, Business Development bei ITdesign. Gerade der starke Ausbau der erneuerbaren Erzeugung – um 27 Terawattstunden bis 2030 – erhöhe das Risiko. Bei ITdesign handelt es sich um ein Wiener Unternehmen, das in den Bereichen Digitalisierung, Identity Management, Security und Monitoring tätig ist.

Um Blackouts zu verhindern und das Management von Energie- und Stromerzeugungsanlagen zu vereinfachen, wurde eine IoT-Lösung entwickelt. Damit ist es möglich, jederzeit und von überall Live-Informationen über die Daten von Photovoltaik-, Windenergie- und Biogasparks sicher zu bekommen und die Anlagen zu steuern.

>> Lesen Sie auch: Damit es nicht schwarz wird

Bis zu 80 Wechselrichter können andocken, die Lieferung der Energiemengen lässt sich ferngesteuert regeln. „Das ist wesentlich, damit die Netze stabil bleiben und nicht überlastet werden“, so der technische Berater Werner Neunteufl. Ermöglicht werden ein herstellerunabhängiges Management und eine effiziente Steuerung der Anlagen – bei Wahrung der notwendigen Sicherheitsaspekte.