Kritische Infrastrukturen im Fokus Windenergieanlagen vor Cyberangriffen schützen

TÜV SÜD

Mit Echtzeit-Überwachung und strikten Zugangskontrollen schützen Betreiber ihre Anlagen, auch an schwer zugänglichen Offshore-Standorten. Wenn kritische Steuerungssysteme isoliert und nur über streng kontrollierte Schnittstellen zu erreichen sind, trägt dies erheblich zur Cybersicherheit bei.

Bild: iStock, ImpaKPro
09.09.2024

Hacker finden jede Lücke im System. Die Bedrohung durch Cyberangriffe ist eine Begleiterscheinung der zunehmenden Vernetzung und Digitalisierung. Bei Weitem nicht jeder Fernzugriff erfolgt durch eine befugte Person. Anlagen zur Energieerzeugung, zumal wenn sie aufgrund ihrer Leistung zur Kritischen Infrastruktur zählen, brauchen besonderen Schutz, für den die Betreiber verantwortlich sind. TÜV Süd informiert über geeignete Maßnahmen und prüft deren Umsetzung, damit die gesetzlichen Vorgaben eingehalten werden.

Sponsored Content

Grundsätzlich sind alle Windenergieanlagen für Hacker interessant. Erfolgreiche Angriffe auf große Parks wirken sich weitreichender aus, weil sie systemrelevante Einrichtungen bedrohen. Kleinere Verbünde und Einzelanlagen machen es den Angreifern andererseits oft leichter, weil sie weniger gut geschützt sind. Meist ist der Angriff mit einer Erpressung verbunden. Die Betreiber sollen zahlen, damit der Cyberangriff ausbleibt oder beendet wird. Welche Komponenten attackiert werden, ist sehr unterschiedlich. Schon ein Verstellen der Rotorblätter beeinträchtigt die Leistungsfähigkeit der Anlage. Der Eingriff kann aber auch die gesamte Fernsteuerung treffen, ein Not-Aus auslösen oder im schlimmsten Fall den Totalausfall der Anlage verursachen, indem die Notabschaltung manipuliert wird.

Herausforderung Offshore

Windenergieanlagen wirksam vor Cyberangriffen zu schützen, ist auf dem Meer in mehr als einer Hinsicht aufwändiger als an Land. Offshore-Parks können in der Regel nicht auf vorhandene Infrastruktur und geschützte Kommunikationssysteme zugreifen, sondern sind auf extra verlegte Unterwasserkabel und Satellitenverbindungen angewiesen. Beide können gezielt attackiert werden. Gleichzeitig ist umfangreiche Fernwartung für Offshore-Anlagen wegen der räumlichen Entfernung noch entscheidender – ein weiteres potenzielles Einfallstor für unerlaubten Zugriff. Kommt es zu einem Cyberangriff, fällt der Schaden in der Regel höher aus als an Land, teils, weil die Fehlersuche aufwändig ist, teils weil die Fachleute länger brauchen, bis sie vor Ort sind. Schlechtes Wetter kann die Anreise zusätzlich verzögern.

Cybersicherheit mit einplanen

IT-Sicherheit beginnt mit einfachen Maßnahmen, die Anlagenbetreiber mit überschaubarem Aufwand schon in der Planungs- und Bauphase umsetzen können. Wurden sie dort nicht berücksichtigt, können diese auch noch in der Betriebsphase implementiert werden. Es beginnt mit der Auswahl geeigneter, ausreichend sicherer Passwörter für alle Anwendungen und Nutzer. Auch sollten ausschließlich verschlüsselte IP-Adressen verwendet werden. Wenn die Übertragung sensibler Betriebsdaten ebenfalls verschlüsselt geschieht, sind schon viele Schwachstellen behoben, an denen Hacker ansetzen. Wichtig ist in diesem Zusammenhang vor allem, dass alle Personen, die mit Daten umgehen, für die Risiken und die dazugehörigen Schutzmaßnahmen sensibilisiert werden. Malware, Phishing und so weiter haben so schon deutlich weniger Chancen, ernsthaften Schaden anzurichten.

Cybersicherheit umfasst über die klassische Sicherheit der IT-Infrastruktur hinaus aber auch Themen der Operativen Technologie (OT). Denn Elemente der Mess-, Steuer- und Regeltechnik sind durch ihre zunehmende Vernetzung besonders im Fokus digitaler Angreifer.

Mit Echtzeit-Überwachung und strikten Zugangskontrollen schützen Betreiber ihre Anlagen, auch an schwer zugänglichen Offshore-Standorten. Wenn kritische Steuerungssysteme isoliert und nur über streng kontrollierte Schnittstellen zu erreichen sind, trägt dies erheblich zur Cybersicherheit bei. Auch redundante Systeme für den Notfall helfen, die Verfügbarkeit der Anlage bestmöglich sicherzustellen. Für den Fall eines Angriffs sollten Betreiber einen fertigen Notfallplan einsatzbereit haben.

Einschlägige Regelwerke

Nahezu alle Normen und Richtlinien, die die Mess-, Steuer- und Regeltechnik betreffen, enthalten inzwischen das wichtige Thema Cybersicherheit – damit der Nutzen überwiegt, den Fernzugriffe bieten, und Anlagen mit geeigneten Maßnahmen vor unerlaubten Zugriffen geschützt sind. 2023 ist die Technische Regel für Betriebssicherheit TRBS 1115-1 veröffentlicht worden. Sie verlangt explizit den Schutz sicherheitsrelevanter MSR-Einrichtungen vor unbefugtem Zugriff.

Eine Windenergieanlage enthält auch überwachungsbedürftige Anlagen im Sinn der Betriebssicherheitsverordnung (BetrSichV). Dies sind Hydrauliksysteme, Kühlkreisläufe unter Druck oder Servicelifte und Krane. Bei deren wiederkehrender Prüfung muss der Betreiber die Betrachtung der Cybersicherheit und die Implementierung entsprechender Maßnahmen nachweisen.

EU-weit adressiert unter anderem die neue Maschinenverordnung (MVO) das Thema Cybersicherheit, speziell von Steuerungen. In Deutschland schreibt das IT-Sicherheitsgesetz 2.0 für Kritische Infrastrukturen seit 2023 ein System zur Angriffserkennung vor. Das SzA ist genauso wichtig wie ein Managementsystem zur Informationssicherheit nach ISO 27001. Die Betreiber müssen alle sicherheitsrelevanten Vorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.

Zur Kritischen Infrastruktur zählen Anlagen ab einer installierten Nennleistung von 104 MW. Darunter fallen fast alle Offshore-Windparks. An Land können nahe beieinanderstehende Einzelanlagen, die zum selben Betreiber gehören und Systeme gemeinsam nutzen, ebenfalls als eine Anlage gelten und dadurch die 104-MW-Grenze überschreiten.

Mehr Sicherheit mit Audits

Um bestmöglich mit der Dynamik der Cyberkriminalität Schritt zu halten, sollten Betreiber ihre Schutzmaßnahmen regelmäßig auf ihre Wirksamkeit prüfen lassen. Für eine Zertifizierung des Managementsystems zur Informationssicherheit nach ISO 27001 ist ein erkennbarer kontinuierlicher Verbesserungsprozess sogar vorgeschrieben. Sind mehrere Audits zu ähnlichen Themen geplant, ist es sinnvoll, sie miteinander zu kombinieren, um Betriebsunterbrechungen möglichst kurz zu halten. Dazu bieten sich neben der Prüfung des Managementsystems zur Informationssicherheit auch die Systeme zur Angriffserkennung, die Cybersicherheit von überwachungsbedürftigen Anlagen sowie von Umwelt- und Qualitätsmanagementsystemen an. TÜV Süd als unabhängige Stelle zertifiziert alle Managementsysteme ebenso wie Systeme zur Angriffserkennung für Kritische Infrastrukturen.

Bildergalerie

  • Die isolierte Lage und die rauen Umweltbedingungen erschweren den Zugang für Wartungsarbeiten. Bei Sicherheitsvorfällen ist unter Umständen nicht sofort Personal vor Ort.

    Die isolierte Lage und die rauen Umweltbedingungen erschweren den Zugang für Wartungsarbeiten. Bei Sicherheitsvorfällen ist unter Umständen nicht sofort Personal vor Ort.

    Bild: TÜV SüD

  • Offshore-Anlagen produzieren große Mengen an Energie und tragen wesentlich zur Versorgungssicherheit des Landes bei. Wirksame Schutzvorkehrungen sind daher unerlässlich.

    Offshore-Anlagen produzieren große Mengen an Energie und tragen wesentlich zur Versorgungssicherheit des Landes bei. Wirksame Schutzvorkehrungen sind daher unerlässlich.

    Bild: TÜV SüD

  • Ein Cyberangriff – etwa über eine unverschlüsselte IP-Adresse – kann einen Totalausfall der Anlage verursachen. Die Branche muss sich darauf einstellen – und die Risiken bereits während der Planung, dem Bau und dem Betrieb berücksichtigen.

    Ein Cyberangriff – etwa über eine unverschlüsselte IP-Adresse – kann einen Totalausfall der Anlage verursachen. Die Branche muss sich darauf einstellen – und die Risiken bereits während der Planung, dem Bau und dem Betrieb berücksichtigen.

    Bild: TÜV SüD

  • Sandro Schmidt, TÜV SÜD Industrie Service, hat über 20 Jahre Erfahrung in On- und Offshore-Windprojekten. Bei der TÜV SÜD Industrie Service ist er Projektmanager unter anderem für die Zertifizierung von Kennzeichnungssystemen sowie für Leistungen zur IT-Sicherheit nach ISO 27001 und Cybersecurity nach IEC 62443.

    Sandro Schmidt, TÜV SÜD Industrie Service, hat über 20 Jahre Erfahrung in On- und Offshore-Windprojekten. Bei der TÜV SÜD Industrie Service ist er Projektmanager unter anderem für die Zertifizierung von Kennzeichnungssystemen sowie für Leistungen zur IT-Sicherheit nach ISO 27001 und Cybersecurity nach IEC 62443.

    Bild: TÜV SüD

Firmen zu diesem Artikel
Verwandte Artikel