Wie sicher sind die Stromnetze? Mit dieser Frage begann der zweite Tag der VKU IT-Konferenz in Dresden. 35 Prozent der Teilnehmer der dortigen Umfrage gaben an, schon einmal einen Hacker im System gehabt zu haben – die restlichen 65 Prozent verneinten dies.
Der Chef der Stadtwerke Speyer, Wolfgang Bühring sieht die Stromnetze in Deutschland als relativ sicher – 100-prozentige Sicherheit gebe es natürlich nicht. In Deutschland habe man aber durch die ISMS-Zertifizierung einen recht hohen Sicherheitsstandard. "Da wir so viele sind, ist es nicht einfach, hier großflächig etwas lahm zu legen", so Bühring. Zudem könnten große Teile des Netzes ohne IT gefahren werden.
Direkte und gezielte Angriffe auf kritische Infrastrukturen sind eher spärlich
Michael Bartsch, geschäftsführender Vorstand vom Zukunftsforum Öffentliche Sicherheit, einer Initiative von Abgeordneten für Abgeordnete des Deutschen Bundestages, und Geschäftsführer des auf Cybersicherheit spezialisierten Unternehmens Deutor, nannte noch zwei weitere Gründe, warum das Stromnetz relativ unbehelligt bleibt:
Bei Angriffen auf kritische Infrastrukturen, insbesondere bei der Energieversorgung, stecken Staaten deutlich mehr Aufwand in die Aufklärung. Da die Hacker nicht entdeckt werden wollen vermeiden Cyberkriminelle, kritische Infrastrukturen direkt und gezielt anzugreifen. Und der zweite Punkt: Energie sei auch relevant für das Funktionieren von Computern, damit würden sich die Angreifer selbst schaden.
Komplexe IT
Allerdings, so Bartsch: Stromnetze unterscheiden sich nicht von Krankenhäusern oder der Bahn. "Die IT ist inzwischen so komplex, dass sie nicht mal mehr von den Fachleuten selbst verstanden wird." Jetzt müsse man sich auf Stempel verlassen und stelle dann womöglich fest, "ups, das kann ich doch gar nicht mehr updaten". Wichtig sei, dass man in der Lage ist, Basis-Infrastruktursysteme wirklich sicher zu machen, um ihnen so auch vertrauen zu können. Das sei derzeit nicht der Fall. Selbst die wenigsten IT-ler würden verstehen, was die Sicherheitslücken Meltdown und Spectre bedeuten.
Sicherheit kostet
Einen weiteren Punkt sprach SWS-Chef Bühring an, dessen Stadtwerke schon länger mit dem BSI zusammenarbeiten und früh ein Rechenzentrum als Dienstleister für kleinere Stadtwerke bauten: Sicherheit koste Geld, personelle Ressourcen und Dienstleistungen. Sichere Versorgung koste eben auch – und das sei das Problem.
Das sieht Bartsch ebenfalls so: Um die Basis-Infrastruktursysteme sicher zu machen, müssten die Unternehmen entsprechend Investieren. Die meisten scheuen den Aufwand und die Kosten. Vor allem solange nichts schwerwiegendes passiert. Lösungen seien vorhanden, aber man brauche Geld und Menschen zur Umsetzung.
Bei den Stadtwerken Speyer ist die Office-IT von der Leistelle natürlich getrennt. Von den Internet-Strukturen könne man das Netz jederzeit abkoppeln, so Bühring. "Wir wissen, welche Anlagen wie gefährdet sind. Es ist wichtig, den richtigen Zeitpunkt zu finden, wann man die Systeme trennt", sagt der SWS-Chef. (sg)
Mehr zum VKU IT-Kongress gibt es in der Dezember-Ausgabe der ZfK. Sie können die Zeitung hier abonieren.
