Vom eigentlichen Angriff bekommt man in der Leitwarte gar nichts mit. Laut dem großen Bildschirm ist alles in Ordnung. Der Strom fließt. Warum nur ruft der Kollege an und behauptet, es sei Stromausfall? Der Gang zum Transformator bestätigt dann: Alles aus – nichts fließt. Was ist da passiert? Warum hat die Anzeige am Computer einen falschen Zustand angezeigt? Die Antwort: Weil sich ein Hacker in das Netz eingeschlichen und den Informationsfluss überbrückt hat. Und dabei hat er dafür gesorgt, dass die Leitwarte immer noch das alte Bild sieht, während eigentlich schon Blackout ist.

Cyberabwehr im Stromnetz: Ein Training

Bildrechte: MDR WISSEN/Thobias Thiergen

Zum Glück war das Ganze nur eine Simulation von "Hack the Grid", einem Cybersicherheitstraining für Stromnetzbetreiber, konzipiert vom Fraunhofer Institut IOSB in Ilmenau, Institutsteil Angewandte Systemtechnik. Hier sollen die Ingenieure, die für die Stabilität der Netze zuständig sind, lernen, wie man sich in einer zunehmend digitalisierten, vernetzten Welt, gegen die wachsende Gefahr gefährlicher Attacken verteidigt.

Zwei Computer stehen auf einem Tisch. Dazwischen das Modell einer Transformatorstation, wie sie in Deutschland tausendfach in kleinen Schränken am Straßenrand zu finden ist. Hier wird Strom aus einer höheren Spannungsebene, dem Transportnetz, in das geringere Niveau eines kleinen Ortsnetzes umgewandelt, quasi die letzte Meile bis zum Hausanschluss. Das Ganze dient Trainingszwecken. An einem der Rechner darf ein Angreifer Platz nehmen, am anderen der Verteidiger, also der Ingenieur, der in seiner Leitwarte über die Stabilität der Netze wachen soll.

Sicherheitslücke Standardpasswort und Admin-Account

Während sich der nichts ahnende Verteidiger gemütlich an seinem Arbeitsplatz einloggt, läuft im Hintergrund schon die Attacke. Der Angreifer hat eine Zugangsmöglichkeit zu dem kleinen Netz gefunden und versucht nun, Benutzername und Passwort zu erraten. Und zwar automatisiert. Das geht erschreckend einfach, vor allem beim Benutzernamen. Der lautet in vielen Fällen, gerade bei älteren Systemen, immer noch vielfach einfach "Admin".

Im Stromnetz sind die Steuerungssysteme meist über mehrere Jahrzehnte im Einsatz. Und früher, vor zehn oder zwanzig Jahren, waren die meisten Netze noch nicht mit dem Internet verbunden. Cybersicherheit spielte keine Rolle. Stattdessen waren Energieversorgung und Verfügbarkeit der Anlagen vorrangig. Sicherheitstrainer Dennis Rösch beobachtet daher: "Vor allem bei alten Systemen ist die Software oft noch im Auslieferungszustand mit dem Standardpasswort."

Automatisierte Anmeldeversuche mit Passwortdatenbanken

Viele solcher Standardpasswörter und auch gehackte Passwortkombinationen sind für Hacker leicht in Datenbanken verfügbar. Beim Sicherheitstraining des Fraunhofer-Instituts kann diese Datenbank ganz einfach auf das Passwortfenster angewendet werden, als Nutzername gibt der Angreifer einfach "Admin" ein. Da das alte System unendlich viele Anmeldeversuche erlaubt, kann der Angreifer in wenigen Minuten automatisiert viele tausend Passwörter durchraten. Und rasch hat er Erfolg.

"Das ist dann schon immer ein großer Aha-Effekt bei unseren Teilnehmern, wenn die sehen: Oh, es gibt Listen mit Standardpasswörtern, die sind für jeden frei verfügbar, auch für böswillige Angreifer. Und die kommen dann sehr schnell in die Systeme herein", sagt Rösch.

Stromnetz und Internet entkoppeln – ist das eine Alternative?

Wie sind Stromnetz und Internet miteinander verbunden?Bildrechte: Fraunhofer IOSB-AST

Im Trainingsfall sieht sich der Angreifer nun um. Durch einen einfachen Befehl fragt er ab, welche Systeme an das Netz angeschlossen sind. Er sieht den Transformator und den Monitor der Leitwarte. Dort friert er durch eine weitere Eingabe das Bild ein. Jetzt muss er nur noch den Transformator überlasten. Das war's: Ohne dass der Verteidiger etwas davon mitbekommt, hat der Angreifer sein Ziel erreicht.

Die Übung ist allerdings nur der Einstieg in das Cybersicherheitstraining, das üblicherweise drei Tage dauert. Die Mitarbeiter der Netzbetreiber können dabei lernen, welche Methoden der Verteidigung sich bewähren. Nicht selten kommt als erstes der Vorschlag, man könne die Netze doch einfach wieder abkoppeln, vom Internet trennen. "Das ist eine wirklich häufige Reaktion und sie ist auch verständlich. Wir versuchen dann immer auch die Vorteile von Digitalisierung und Vernetzung zu erklären", sagt Rösch.

Photovoltaik, Stromspeicher und Smart Meter

Dass die Steuerung von Stromnetzen oft Schnittstellen ins Internet hat, ergibt sich schon daraus, dass heute viele Privathaushalte eigene Photovoltaikanlagen betreiben und Strom einspeisen wollen. Wenn bald noch intelligente Stromzähler, E‑Auto-Ladestationen und Batteriespeicher dazukommen, steigt der Bedarf an Abstimmung unter den Geräten immer weiter. Für die Netzbetreiber bedeutet das wesentlich mehr Aufwand. Dafür können mehr Bürger ihren eigenen Strom erzeugen und damit Geld sparen oder sogar welches verdienen.

Das Team vom Fraunhofer IOSB-AST an der Übuingsstation.Bildrechte: Fraunhofer IOSB-AST

Im Workshop motiviert der spielerische Ansatz viele Teilnehmer, beobachtet Rösch. "Die Leute können dann Punkte sammeln, wenn sie Tagesaufgaben erfüllen, das mündet dann oft in einem kleinen Wettbewerb unter den Teams." Während für viele Teilnehmer das Thema Cybersicherheit noch völlig neu ist, hat Rösch aber auch schon andere beobachtet, die einiges an Vorkenntnissen mitbringen. "Für die ist das dann hier die Möglichkeit, auch mal Dinge auszuprobieren, die unter Realbedingungen sonst nie stattfinden." Der Workshop als Experimentierfeld hilft diesen Ingenieuren dann, die eigene Technik besser zu verstehen und die Stärken und Schwächen im Hinblick auf Sicherheit kennenzulernen.

Links/Studien

Fraunhofer Academy: Hack the Grid: Mission OT-Sicherheit für Energie- und Wasserversorgung

Haftungsausschluss: Das Urheberrecht dieses Artikels liegt bei seinem ursprünglichen Autor. Der Zweck dieses Artikels besteht in der erneuten Veröffentlichung zu ausschließlich Informationszwecken und stellt keine Anlageberatung dar. Sollten dennoch Verstöße vorliegen, nehmen Sie bitte umgehend Kontakt mit uns auf. Korrektur Oder wir werden Maßnahmen zur Löschung ergreifen. Danke