Turbinen, Generatoren, Pumpen: Das Herzstück der Strom produzierenden Kraftwerke besteht noch immer aus schweren Maschinen. Betrieben hingegen werden diese heute oft nicht mehr analog und vor Ort, sondern vermehrt digital und von aussen. Es findet eine Verquickung statt zwischen IT und OT, wie es im Fachjargon heisst, also zwischen der Informatik und der operativen Technologie.
Und genau das mache die Kraftwerke anfällig für Hackerangriffe, sagt Adrian Märklin, Experte für Cybersicherheit bei der Stadtwerke-Allianz Swisspower. Mit potenziell gravierenden Folgen: So könnten etwa von Hackern manipulierte Sollwerte für Turbinenumdrehungen ganze Kraftwerke stilllegen – etwa so wie im Bestseller «Blackout» von Marc Elsberg, in welchem die verheerenden Auswirkungen eines grossflächigen, von Cyberangriffen ausgelösten Stromausfalls in Europa und dann auch in den USA aufgezeigt werden.
«Letztlich ist alles, was an Computernetzwerke angeschlossen ist, gefährdet», sagt Märklin. Eine Einsicht, die in den meisten IT-Abteilungen über die vergangenen Jahre gereift ist. Im Kraftwerk-Maschinenraum jedoch fehlt dieses Risikobewusstsein oft – ebenso wie in vielen Chefetagen der Elektrizitätswerke.
Das jedenfalls lässt sich aus einer 2020 durchgeführten Umfrage des Bundesamtes für wirtschaftliche Landesversorgung und des Branchenverbands der Schweizer Elektrizitätswirtschaft (VSE) herauslesen. Beim Thema Cybersicherheit erreichen die meisten Schweizer Kraftwerkbetreiber auf einer Skala von 0 bis 4 eine durchschnittliche Maturitätsstufe von gerade mal 1.
Das bedeutet: Die einzelnen Kraftwerke haben zur Erreichung eines Minimalstandards bei der IT-Sicherheit Massnahmen zwar «partiell umgesetzt», aber «nicht vollständig definiert und abgenommen». Oder in den klaren Worten von Märklin: «Eine 1 ist schlicht und einfach ungenügend.»
Und gut möglich, dass der wahre Wert noch tiefer ausfallen würde. Der Verdacht jedenfalls liegt nahe, dass nur jene Elektrizitätswerke an der freiwilligen Umfrage teilgenommen haben, die sich schon einmal mit diesen Sicherheitsfragen auseinandergesetzt hatten.
Empfohlen von den Experten wird ein Mindestwert von 2,6. Sie erwarten, dass dieser 2025 vom Bund für obligatorisch erklärt wird. Lange werden sich die Energieversorgungsunternehmen also nicht mehr um Cybersicherheitsfragen foutieren können. Denn der politische Druck nimmt zu. Das Parlament will mit der Revision des Informationssicherheitsgesetzes eine Meldepflicht für Cyberangriffe auf kritische Infrastrukturen einführen. Das heisst: In Zukunft werden auch Kraftwerke allfällige Hackerattacken beim Nationalen Zentrum für Cybersicherheit (NCSC) melden müssen.
Die Kraftwerke sind konfrontiert mit einem tiefen Sicherheitsniveau, einem zunehmenden Risiko von Hackerangriffen sowie steigenden politischen Anforderungen.
Die Herausforderungen würden also nicht kleiner, sondern grösser, sagt Märklin. Deshalb hat seine Swisspower-Gruppe ein Lösungspaket für das OT-Sicherheitsproblem der Schweizer Energieversorgungsunternehmen ausgearbeitet und ist hierfür eine Kooperation eingegangen mit zwei internationalen Konzernen:
Die drei Unternehmen auditieren und überprüfen zuerst einmal die Sicherheitsarchitektur des Kraftwerks und bauen dann Sensoren ein, die den Alltag registrieren, wie Swisspower-Geschäftsleitungsmitglied Märklin erklärt.
Die Meldung werde dann automatisch an ein Security Operation Center weitergeleitet, das täglich 24 Stunden besetzt sei. Die permanente Erreichbarkeit sei eine Schweizer Premiere. Und sie sei wichtig. «Denn Zeit ist bei einem Hackerangriff ein entscheidender Faktor», betont Märklin. «Je früher der Angriff bemerkt wird, desto schneller kann er abgewehrt werden.»
Im März haben die drei Unternehmen die Kooperationsverträge unterschrieben, seit Mai wird das Angebot den Energieversorgungsunternehmen vorgestellt. Ansprechpartner ist die Swisspower-Allianz, zu welcher 22 Stadtwerke gehören von Genf über Bern, Basel und Aarau bis nach Chur.
«Wir rechnen damit, dass wir noch im laufenden Jahr die ersten Aufträge erhalten und mit der Umsetzung anfangen können», sagt Märklin und verweist darauf, dass das Konzept als Test bereits beim Elektrizitätswerk Zermatt implementiert worden sei.
Die Kosten für eine nachweisliche Erhöhung der Sicherheit gegen Cyberangriffe können die Kraftwerkbetreiber über die Netzkosten an die Kundschaft weiterreichen. Dennoch: Bis alle rund 600 Schweizer Energieversorgungsunternehmen aufgerüstet haben, dürften noch ein paar Jahre vergehen. Bis dahin ist zu hoffen, dass aus der Fiktion «Blackout» nie eine Realität wird.
(aargauerzeitung.ch)
