Grundsätzlich sind alle Windenergieanlagen für Hacker interessant. Erfolgreiche Angriffe auf große Parks wirken sich weitreichender aus, weil sie systemrelevante Einrichtungen bedrohen. Kleinere Verbünde und Einzelanlagen machen es den Angreifern andererseits oft leichter, weil sie weniger gut geschützt sind. Meist ist der Angriff mit einer Erpressung verbunden. Die Betreiber sollen zahlen, damit der Cyberangriff ausbleibt oder beendet wird. Welche Komponenten attackiert werden, ist sehr unterschiedlich. Schon ein Verstellen der Rotorblätter beeinträchtigt die Leistungsfähigkeit der Anlage. Der Eingriff kann aber auch die gesamte Fernsteuerung treffen, ein Not-Aus auslösen oder im schlimmsten Fall den Totalausfall der Anlage verursachen, indem die Notabschaltung manipuliert wird.
Herausforderung Offshore
Windenergieanlagen wirksam vor Cyberangriffen zu schützen, ist auf dem Meer in mehr als einer Hinsicht aufwändiger als an Land. Offshore-Parks können in der Regel nicht auf vorhandene Infrastruktur und geschützte Kommunikationssysteme zugreifen, sondern sind auf extra verlegte Unterwasserkabel und Satellitenverbindungen angewiesen. Beide können gezielt attackiert werden. Gleichzeitig ist umfangreiche Fernwartung für Offshore-Anlagen wegen der räumlichen Entfernung noch entscheidender – ein weiteres potenzielles Einfallstor für unerlaubten Zugriff. Kommt es zu einem Cyberangriff, fällt der Schaden in der Regel höher aus als an Land, teils, weil die Fehlersuche aufwändig ist, teils weil die Fachleute länger brauchen, bis sie vor Ort sind. Schlechtes Wetter kann die Anreise zusätzlich verzögern.
Cybersicherheit mit einplanen
IT-Sicherheit beginnt mit einfachen Maßnahmen, die Anlagenbetreiber mit überschaubarem Aufwand schon in der Planungs- und Bauphase umsetzen können. Wurden sie dort nicht berücksichtigt, können diese auch noch in der Betriebsphase implementiert werden. Es beginnt mit der Auswahl geeigneter, ausreichend sicherer Passwörter für alle Anwendungen und Nutzer. Auch sollten ausschließlich verschlüsselte IP-Adressen verwendet werden. Wenn die Übertragung sensibler Betriebsdaten ebenfalls verschlüsselt geschieht, sind schon viele Schwachstellen behoben, an denen Hacker ansetzen. Wichtig ist in diesem Zusammenhang vor allem, dass alle Personen, die mit Daten umgehen, für die Risiken und die dazugehörigen Schutzmaßnahmen sensibilisiert werden. Malware, Phishing und so weiter haben so schon deutlich weniger Chancen, ernsthaften Schaden anzurichten.
Cybersicherheit umfasst über die klassische Sicherheit der IT-Infrastruktur hinaus aber auch Themen der Operativen Technologie (OT). Denn Elemente der Mess-, Steuer- und Regeltechnik sind durch ihre zunehmende Vernetzung besonders im Fokus digitaler Angreifer.
Mit Echtzeit-Überwachung und strikten Zugangskontrollen schützen Betreiber ihre Anlagen, auch an schwer zugänglichen Offshore-Standorten. Wenn kritische Steuerungssysteme isoliert und nur über streng kontrollierte Schnittstellen zu erreichen sind, trägt dies erheblich zur Cybersicherheit bei. Auch redundante Systeme für den Notfall helfen, die Verfügbarkeit der Anlage bestmöglich sicherzustellen. Für den Fall eines Angriffs sollten Betreiber einen fertigen Notfallplan einsatzbereit haben.
Einschlägige Regelwerke
Nahezu alle Normen und Richtlinien, die die Mess-, Steuer- und Regeltechnik betreffen, enthalten inzwischen das wichtige Thema Cybersicherheit – damit der Nutzen überwiegt, den Fernzugriffe bieten, und Anlagen mit geeigneten Maßnahmen vor unerlaubten Zugriffen geschützt sind. 2023 ist die Technische Regel für Betriebssicherheit TRBS 1115-1 veröffentlicht worden. Sie verlangt explizit den Schutz sicherheitsrelevanter MSR-Einrichtungen vor unbefugtem Zugriff.
Eine Windenergieanlage enthält auch überwachungsbedürftige Anlagen im Sinn der Betriebssicherheitsverordnung (BetrSichV). Dies sind Hydrauliksysteme, Kühlkreisläufe unter Druck oder Servicelifte und Krane. Bei deren wiederkehrender Prüfung muss der Betreiber die Betrachtung der Cybersicherheit und die Implementierung entsprechender Maßnahmen nachweisen.
EU-weit adressiert unter anderem die neue Maschinenverordnung (MVO) das Thema Cybersicherheit, speziell von Steuerungen. In Deutschland schreibt das IT-Sicherheitsgesetz 2.0 für Kritische Infrastrukturen seit 2023 ein System zur Angriffserkennung vor. Das SzA ist genauso wichtig wie ein Managementsystem zur Informationssicherheit nach ISO 27001. Die Betreiber müssen alle sicherheitsrelevanten Vorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.
Zur Kritischen Infrastruktur zählen Anlagen ab einer installierten Nennleistung von 104 MW. Darunter fallen fast alle Offshore-Windparks. An Land können nahe beieinanderstehende Einzelanlagen, die zum selben Betreiber gehören und Systeme gemeinsam nutzen, ebenfalls als eine Anlage gelten und dadurch die 104-MW-Grenze überschreiten.
Mehr Sicherheit mit Audits
Um bestmöglich mit der Dynamik der Cyberkriminalität Schritt zu halten, sollten Betreiber ihre Schutzmaßnahmen regelmäßig auf ihre Wirksamkeit prüfen lassen. Für eine Zertifizierung des Managementsystems zur Informationssicherheit nach ISO 27001 ist ein erkennbarer kontinuierlicher Verbesserungsprozess sogar vorgeschrieben. Sind mehrere Audits zu ähnlichen Themen geplant, ist es sinnvoll, sie miteinander zu kombinieren, um Betriebsunterbrechungen möglichst kurz zu halten. Dazu bieten sich neben der Prüfung des Managementsystems zur Informationssicherheit auch die Systeme zur Angriffserkennung, die Cybersicherheit von überwachungsbedürftigen Anlagen sowie von Umwelt- und Qualitätsmanagementsystemen an. TÜV Süd als unabhängige Stelle zertifiziert alle Managementsysteme ebenso wie Systeme zur Angriffserkennung für Kritische Infrastrukturen.