Unsere Welt ist eng vernetzt, insbesondere wenn es um die Energieversorgung und den globalen Energiehandel geht. Die Aufrechterhaltung komplexer, aber zuverlässiger geschäftlicher und nationalstaatlicher Beziehungen war bisher von zentraler Bedeutung, um ein reibungsloses und nachhaltiges Funktionieren der Energieversorgungskette zu gewährleisten.

Der Krieg in der Ukraine und, um den Schwerpunkt dieses Artikels zu setzen, die Dominowirkung auf die europäischen und globalen Energiemärkte zeigen jedoch, dass diese oft dauerhaften Beziehungen zerbrechen können. Die Staaten müssen nun gründlich prüfen, wie viel Energie sie selbst erzeugen, wo sie sie kaufen. Und immer wichtiger wird dabei der Punkt, wie Produktion, Übertragung und Verteilung vor dem immer größer werdenden Risiko von Cyberangriffen geschützt werden können.

Darüber hinaus ist es im digitalen Zeitalter unerlässlich sicherzustellen, dass wir nicht nur unseren Energiebedarf decken, sondern auch garantieren können, dass Transport und Verteilung von Energie sicher sind. Somit sind diese Überlegungen zunehmend auch eine Frage der Cybersicherheit.

Im Idealfall würde die Vision „sanft und nachhaltig“ für die etwa acht Milliarden Menschen auf dem Planeten vorhersehbarere Fortschritte in der menschlichen Entwicklung bedeuten. Aber um dies zu erreichen und den Fortschritt zu schützen, müssen einige unmittelbare Fragen gestellt werden. Wie viele Menschen brauchen Strom? Wie groß und wo sind die Energielücken? Welche anderen Bedingungen müssen erfüllt sein, um wirtschaftliche und versorgungstechnische Prioritäten aufrechtzuerhalten? Die Antworten darauf werden normalerweise von der Internationalen Energieagentur (IEA), der Weltbank, die hofft, die wirtschaftliche Entwicklung voranzutreiben, und großen Energiekonzernen wie Total Direct Énergie, Exxon, BP oder Gazprom, die im gegenseitigen Wettbewerb stehen, erforscht.

Das aktuelle Klima sollte jedoch auch die Notwendigkeit für Regierungen, Institutionen und Unternehmen hervorheben, den Stand der Cyber- und digitalen Sicherheit in der gesamten Energieversorgungskette zu untersuchen. Und wir als Energieverbraucher und IT-Nutzer müssen gemeinsam anerkennen, dass Computer auf globaler Ebene enorm energieintensiv sind und dass viele beliebte und vielversprechende digitale Technologien am oberen Ende energieintensiver Operationen stehen.

Der Wechsel zu sauberer Energie in der EU

Glücklicherweise haben Forschung und Entwicklung im Energiesektor in den letzten Jahrzehnten bemerkenswerte Fortschritte gemacht. Erneuerbare Energien stehen im Mittelpunkt dieser Diskussion mit dem Ziel, die benötigten, riesigen Energiemengen mit einem geringeren CO2-Fußabdruck zu erzeugen.

Während sich die EU dabei auf erneuerbare Energien konzentriert, ist eine andere potenzielle Quelle – die Kernkraft – in den letzten Jahrzehnten eher in den Hintergrund gerückt. Aber auch das könnte sich ändern. Im Februar dieses Jahres kündigte der französische Präsident Emanuel Macron an, dass Frankreich bis 2050 mindestens sechs neue Reaktoren bauen wird. Dies ist ein optimistischer Schritt, der den Weg des Landes zur Erreichung von CO2-Neutralität und Energieunabhängigkeit vorgeben soll. Der französische Präsident erinnerte jedoch gleichzeitig daran, dass „ein Kernkraftwerk nicht in weniger als 15 Jahren gebaut wird“, und betonte, dass Frankreich in der Zwischenzeit „erneuerbare Energien massiv ausbauen“ müsse.

Da Frankreich derzeit den rotierenden EU-Ratsvorsitz (FPEU2022) innehat, ist diese Initiative auch ein Symbol für die langfristige Strategie zur Erreichung der Energieunabhängigkeit und der Klimaziele Europas.

Die Pandemie hat bei den europäischen Entscheidungsträgern ein Bewusstsein dafür geschaffen, dass sowohl auf nationaler als auch auf globaler Ebene echte und wirksame Schritte unternommen werden müssen. Beispiellose Finanzierungslinien über die Aufbau- und Resilienzfazilität (NextGenerationEU) sind bereits in mehreren Mitgliedstaaten in Gang, um in Energieeffizienz und innovative, nachhaltige Lösungen zu investieren, aber auch um neue Projekte zur Wasserstoffproduktion zu finanzieren. Auf europäischer Ebene einigte sich der Rat im Juni 2021 auf das Programm 2.0 der Fazilität „Connecting Europe“ der EU und auf die Notwendigkeit neuer Ansätze für das transeuropäische Energienetz, die es letztendlich ermöglichen könnten, neue Routen für flüssiges Erdgas (LNG) von West nach Ost zu schaffen.

Die Suche nach Energieunabhängigkeit

Die Bedenken der EU betreffen jedoch nicht nur den Umweltschutz. Die russisch-ukrainische Gastransportkrise von 2014 war ein weiterer Alarm, um auf neue EU-weite Rechtsvorschriften zur Energieversorgung und zur Kapazität von Gegenstromgas zu drängen. Der derzeitige Energiebedarf der EU übersteigt bei weitem das, was sie produzieren kann, und hängt hauptsächlich von den Importen russischen Gases ab: 40 % des Gasbedarfs und 27 % des Rohölbedarfs.

Im Jahr 2022 konkretisierten sich Befürchtungen aus der Krise von 2014, was zu erneuten Forderungen nach sofortigen Maßnahmen führte, um den derzeitigen Energiemix der EU umzugestalten und die Notwendigkeit einer Energieautonomie anzugehen. Letzte Woche bemerkte auch der EU-Klimapolitikchef Frans Timmermans, dass eine solche übermäßige Abhängigkeit von nur einem Anbieter Anlass zur „Sorge um unsere Sicherheit“ darstellt. Dem müsse durch Investitionen in „erneuerbare Energien und die Diversifizierung der Versorgung“ begegnet werden.

Diese Sorge wurde auch von Frankreichs Präsident Macron geteilt, der eine bereits in Gang befindliche „Europäische Energieunabhängigkeitsstrategie“ forderte. Während Frankreich ein marginaler Gasproduzent ist, ist es führend im LNG-Transport. Im Bündnis mit Norwegen, den Niederlanden und dem Vereinigten Königreich, die für 80 % der europäischen Produktion stehen, hat Frankreich eine einflussreiche Postition dabei, die Abhängigkeit von östlichen Quellen zu verringern.

Laut Timmermans sah der im vergangenen Jahr festgelegte Plan „Fit für 55“ bereits das Ziel vor, den Gasverbrauch bis 2030 um 30 % zu senken – das sind 100 Milliarden Kubikmeter weniger als heute. Aufgrund der aktuellen Krise beabsichtigt die EU nun jedoch, bis Ende dieses Jahres die gleiche Menge an Gasimporten aus Russland zu kürzen. Dabei garantiert die EG, dass die Gashandelsbeziehungen mit Moskau in den nächsten 12 Monaten um zwei Drittel zurückgehen sollten.

Der jetzt vorgelegte Plan konzentriert sich auf ein neues Paradigma: „Finde Freiheit auf unseren Energiequellen“, „unserer Energie“. Aber so wie der Bau neuer Kernkraftwerke zig Jahre dauert, hat auch ein Umdenken in Bezug auf erneuerbare Energien oder LNG-Verteilung seine Herausforderungen. Die Errichtung großer Solarparks oder Offshore-Windkraftanlagen ist kostspielig und selbst ihre ausreichende Energieproduktion erfordert günstige Bedingungen und eine ordnungsgemäße Verwaltung, die beide von einer massiven und weitgehend automatisierten Analyse von Leistungsdaten über IT-Systeme profitieren.

Gegenwärtig sind sowohl die Kommission als auch der Ratsvorsitz der EU bereits in einer beispiellosen Anstrengung führend. Über die Diversifizierung der Gaslieferanten hinaus wird die EU in den nächsten Monaten daran arbeiten, alle zuvor geplanten Übergangsziele durch eine höhere Produktion von Biomethan und den Import von erneuerbarem Wasserstoff, eine schnellere Lizenzierung von Millionen von Solarmodulen zur Stromversorgung von Haushalten sowie großen Solarkraftwerken zu beschleunigen. Unabhängig von den Fortschritten bei der Beschaffung und/oder dem Ersatz der Energieversorgung ist die Frage der Absicherung dieser zunehmend IT-gesteuerten Prozesse von entscheidender Bedeutung.

Sichere Infrastruktur und das Gespenst von Industroyer

Die Frage der IT-Sicherheit für den Energiesektor ist tatsächlich bereits seit fast 15 Jahren aktuell. Die Bedeutung hat sich jedoch in der Energiediskussion massiv entwickelt. Das Zeitalter der Digitalisierung ist weitgehend eine Fortsetzung der Elektrifizierung, „der größten Ingenieursleistung des 20. Jahrhunderts“. Es ist ein Prozess, der sich exponentiell ausbreitet und für alles gilt, von Smart Homes bis hin zur landwirtschaftlichen Produktion, gewerblichen Transport und anderen kritischen Sektoren, einschließlich dem Energiebereich.

Aus diesem Grund ist die Gewährleistung der Sicherheit unseres Stromnetzes genauso wichtig wie die Gewährleistung, dass wir die Energie liefern können, die für die Versorgung unserer Welt benötigt wird - vor allem wenn wir bedenken, dass der Fortschritt heute zunehmend von Automatisierung abhängt, die wiederum ihrerseits hauptsächlich von IT angetrieben wird. In der Industrie verlassen sich Kommunikation, Erzeugung sowie Übertragung und Verteilung auf industrielle Steuerungssoftware wie Supervisory Control and Data Acquisition (SCADA) und zunehmend auf das Internet, das im digitalen Zeitalter heute selbst Teil der kritischen Infrastruktur ist. Und wir haben bereits einige Beispiele dafür, was schief gehen kann, wenn Systeme Schwachstellen aufweisen.

Im Jahr 2010, nach Berichten zufolge fünf Jahren in der Entwicklung, wurde ein bösartiger Computerwurm namens Stuxnet gegen das iranische Atomprogramm eingesetzt, der auf SCADA-Systeme abzielte, um Urananreicherungsprozesse zu beschädigen. Der Einsatz dieser Cyberwaffe bereitete die Voraussetzungen für die direkte Unterbrechung industrieller Prozesse.

Spulen wir vor bis November 2015, als ESET eine Reihe einzigartiger Cyberangriffe der BlackEnergy-Gruppe untersuchte, die auf ukrainische Medienunternehmen mit zerstörerischer KillDisk-Malware abzielten, die Systeme nicht mehr booten ließ. Auf diese Kampagne folgte im Dezember desselben Jahres eine weitere KillDisk-Variante, mit der Stromversorgungsunternehmen angegriffen wurden und die Funktionen zur Sabotage bestimmter industrieller Steuerungssysteme enthielt. Die BlackEnergy-Betreiber verursachten am 23. Dezember 2015 einen 4- bis 6-stündigen Stromausfall für rund 230.000 Menschen in der Region Iwano-Frankiwsk in der Ukraine. Dies war das erste Mal in der Geschichte, dass bekannt wurde, dass ein Cyberangriff ein elektrisches Verteilungssystem störte.

Ein Jahr später, in einem weithin als Waffentest angesehenen Angriff, entdeckte die ESET-Telemetrie eine neue Malware namens Industroyer. ESET-Forscher entdeckten, dass Industroyer in der Lage war, mehrere industrielle Kommunikationsprotokolle zu verwenden, die weltweit in kritischen Infrastruktursystemen für Stromversorgung, Transportsteuerung, Wasser und Gas verwendet werden. Da diese Protokolle vor Jahrzehnten entwickelt wurden und für den Einsatz in Offline-Systemen vorgesehen waren, stand die Sicherheit bei deren Entwicklung nicht im Vordergrund.

Sobald Industroyer also Zugang zu Systemen erlangte, die diese Protokolle ausführen, wurde es zu einer einfachen Angelegenheit, die Schalter und Leistungsschalter der Umspannwerke direkt zu steuern und den Strom abzuschalten. Die Folge war ein erheblicher Stromausfall in Kyjiw, Ukraine.

Obwohl es für die Bediener von Industroyer keine einfache Aufgabe war, die Sprache industrieller Systeme zu lernen, die darauf ausgelegt sind, von der Außenwelt isoliert zu sein, sind ältere und moderne Protokolle, die jetzt mit der digitalen Sphäre verbunden sind, ohne eine bessere Implementierung von Security by Design stärker gefährdet. Letztendlich gibt es eine breitere Palette von Bedrohungen, Taktiken und Techniken, um fast alle Strom- oder Energiesysteme zu infiltrieren, sich darin einzunisten und sie zu beschädigen, wenn sie online verbunden sind.

Vor dem Krieg in der Ukraine hatten wir bereits eine verstärkte Aktivität und Potenz von Ransomware-Gruppen und staatlichen Akteuren gesehen, die kritische nationale Infrastrukturen und ihre Lieferkette für Erpressung, Störung und Cyberspionage ins Visier nahmen. Mit einem anhaltenden Krieg an der Grenze der EU, die ihrerseits mit der russischen Führung (und ihren Unterstützern anderswo) über Kreuz liegt, besteht ein erhöhtes Risiko eines Übergreifens mit verstärkten Angriffen als Vergeltung für die EU Haltung in diesem Konflikt.

Kollateralschäden der Krieges hatten bereits Auswirkung auf die Energieversorgung in Deutschland. Durch eine Attacke auf verschiedene Satelliten-Internetbetreiber in der Ukraine waren deren Systeme auch in unseren Breitengraten nicht verfügbar. Das hatte den Verlust der Verwaltung von Windparks in Norddeutschland zur Folge. Immerhin konnten die Anlagen weiter Strom produzieren.

Energiesicherheit

Die Wunder der Technologie zu genießen bedeutet, eine grüne und sicherere Umgebung zu genießen. Und trotz aller Schwierigkeiten sehen wir, dass bereits einige Anstrengungen unternommen werden. Die politischen Entscheidungsträger engagieren sich jetzt stärker für die Zusammenarbeit mit der wissenschaftlichen Gemeinschaft zum Klimawandel und mit Spezialisten für Cybersicherheit, um sicherzustellen, dass der Fortschritt für die kommenden Generationen anhält.

Und obwohl seitdem nichts in der Größenordnung von Industroyer gesehen wurde, erinnern uns andere Ereignisse wie der Angriff auf die Colonial Pipeline im letzten Sommer in den USA immer wieder an die Dringlichkeit, unsere Reaktionskapazität zu erhöhen. Es ist wichtig zu bedenken, dass Ransomware und andere Bedrohungen für kritische Infrastrukturen wie Trinkwasserreservoirs, Eisenbahnen oder sogar Flugzeuge eine Gefahr sind, an deren Vermeidung wir arbeiten können.