Cyberkriminalität: Unterschätztes Risiko

Cybersicherheit ist zu einer strategischen Aufgabe jeder Unternehmensführung geworden und Teil des Risikomanagements – sollte man meinen, denn in der Windenergiebranche scheint das Thema noch nicht so richtig angekommen zu sein. Mein Artikel für Energie & Management.


Cyberkriminalität in der Windenergie - IllustrationEnde Juni war es schon wieder soweit: Eine Cyberattacke legte weltweit zigtausend Rechner lahm und verursachte Schäden in Millionenhöhe. Betroffen von der Schadsoftware mit dem Namen Petya waren auch große Unternehmen wie der Lebensmittel-Riese Mondelez, das Pharmaunternehmen Merck und auch Energieunternehmen wie der russische Ölkonzern Rosneft. Laut Experten ist Petya noch tückischer und gefährlicher als WannaCry, jener Trojaner, der sich erst im Mai in Eilgeschwindigkeit rund um den Globus verbreitet und mehr als 300.000 Rechner infiziert hatte. „Die aktuelle Cyber-Angriffswelle zeigt zum wiederholten Male deutlich, wie anfällig auch kritische Geschäftsprozesse in Unternehmen und Institutionen in einer digitalisierten Welt sein können“, sagt Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Er fordert deswegen: „Angesichts der akuten Bedrohungslage rufen wir erneut dazu auf, Informationssicherheit zur Chefsache zu machen.“

Sicherheit per Gesetz

Das scheint in der Windenergiebranche oftmals noch nicht der Fall zu sein. „Das Thema IT-Sicherheit ist in der Windbranche noch gar nicht richtig angekommen“, sagt Thomas Wilmes, Geschäftsführer der Thomas Wilmes Ingenieurbüro GmbH & Co. KG. Für den langjährigen Windexperten sind neben den Unternehmen selbst auch die Windenergieanlagen ein potenzielles Ziel für Hacker. „Was passiert beispielsweise, wenn Hackern der Zugriff auf die Steuerung von Windenergieanlagen gelingt?“, fragt er. Sie könnten beispielsweise Anlage aus dem Wind drehen oder in den Überdrehzahlbereich gelangen lassen.

Auch für Peter Vahrenhorst vom Landeskriminalamt NRW gehören die Steuerungen der mittlerweile mehr als 28.000 Windenergieanlagen in Deutschland zu den IT-Schwachstellen. Es sei unverzichtbar, das Fernüberwachungssystem vor illegalen Zugriffen zu schützen, sagt er. Wenig hilfreich sei es deshalb, wenn Windparkbetreiber beispielsweise für alle Anlagen mit einem einzigen Passwort operierten: „Wenn ich zwölf Anlagen in Betrieb habe, sind auch zwölf Passwörter notwendig, die regelmäßig geändert werden müssen“, mahnt Vahrenhorst.

Fremdzugriff zu verhindern, daran hat auch der Gesetzgeber ein Interesse. Er hat auf die zunehmende Digitalisierung reagiert: Nach dem IT-Sicherheitsgesetzt sind Betreiber kritischer Infrastrukturen (KRITIS) dazu verpflichtet, „die für die Erbringung ihrer wichtigen Dienste erforderliche IT nach dem Stand der Technik angemessen abzusichern und diese Sicherheit mindestens alle zwei Jahre überprüfen zu lassen“. Unter die KRITIS-Regelung fallen unter anderem alle Stromerzeugungsanlagen mit mehr als 420 MW Leistung…

Meinen Artikel zu diesem Thema lesen Sie im E&M special, das Energie & Management zur Hususm Wind veröffetlicht hat.