Cyberbedrohungen

Virtuelle Kraftwerke als potenzielle Zielscheibe

23.11.2023 von Asiye Öztürk und Erfan Koza
Dieser Artikel enthüllt die möglichen versteckten Schwachstellen, die die Sicherheit moderner grüner Energie-Infrastruktur bedrohen.
Virtuelle Kraftwerke, die Energie aus erneuerbaren Ressourcen verwalten, können Ziel von Cyberattacken werden.
Foto: metamorworks - shutterstock.com

In einer Welt, in der die Energieversorgung zunehmend von digitalen Technologien abhängig ist, haben virtuelle Kraftwerke eine Schlüsselrolle übernommen, um erneuerbare Energien zu integrieren und das Stromnetz zu stabilisieren. Hinter den Kulissen dieses technologischen Fortschritts verbergen sich jedoch unsichtbare, aber potenziell verheerende Bedrohungen.

Hintergrund

Schockierende Ereignisse können manchmal das Unsichtbare sichtbar machen. Am 24. Februar 2022, zwischen fünf und sechs Uhr morgens, wurden Tausende von Windkraftanlagen in Deutschland von einem mysteriösen Ausfall ihrer Satellitenverbindung heimgesucht. Diese unerklärliche Störung ereignete sich zeitgleich mit dem verheerenden Einmarsch der russischen Armee in die Ukraine und löste sofort Spekulationen über einen möglichen Cyberangriff durch russische Hacker aus. Ein Ereignis, das scheinbar in der physischen Welt seinen Ursprung hatte, enthüllte schnell die fragilen Fäden, die unsere digitale Realität miteinander verknüpfen.

Dominik Bertrams, Geschäftsführer des Windparkbetreibers Tobi Windenergie Verwaltung GmbH, brachte die beunruhigende Situation ans Licht. Er verkündete über X (ehemals Twitter), dass die Fernüberwachung und -steuerung von Tausenden von Windkraftanlagen zusammengebrochen war. Die Ursache für diesen Ausfall blieb vorerst unklar. Während die Vermutungen eines Cyberangriffs durch russische Hacker aufgrund des zeitlichen Zusammenfalls nahelagen, zeichnete sich ein komplexeres Bild ab.

Der Bundesverband Windenergie wies darauf hin, dass die Störung auf den Ausfall des KA-SAT-Kommunikationssatelliten des U.S. amerikanischen Betreibers Viasat zurückzuführen war. Dieser Satellit unterstützte nicht nur zivile Kommunikationsdienste, sondern auch militärische Kommunikation des US-Militärs. Somit könnte der Ausfall der Steuerung der Windkraftanlagen als unbeabsichtigte Konsequenz eines primären militärischen Cyberangriffs betrachtet werden.

Die Bedeutung von Satellitenkommunikation für Windkraftanlagen in entlegenen Gebieten, in denen keine Mobilfunkverbindung verfügbar ist, wurde hier besonders deutlich. Obwohl der genaue Umfang des Vorfalls noch abgeklärt werden musste, war klar, dass er eine breite Palette von Energieanlagen betreffen könnte.

Trotz dieser beunruhigenden Vorfälle und der vorübergehenden Unterbrechung der Fernüberwachung und -steuerung blieb die Stromproduktion dieser Windkraftanlagen vorerst stabil. Die Technologie, die sie steuert, schaltete sich in eine Art Autopilotmodus, um die Versorgung sicherzustellen.

Während die Ermittlungen in vollem Gange waren und die Welt auf Antworten wartete, reagierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf die neuartige Cyber-Bedrohung. Es aktivierte sein nationales IT-Krisenreaktionszentrum und forderte Bundesverwaltungen, Betreiber kritischer Infrastrukturen (KRITIS) sowie Organisationen und Unternehmen zur erhöhten Wachsamkeit und Reaktionsbereitschaft auf.

Diese Ereignisse unterstreichen die dringende Notwendigkeit, Cybersicherheit und die sich rasch entwickelnden Technologien im Energiesektor, wie auch die Technologie zu "virtuellen Kraftwerken", zu verknüpfen. Es stellt sich nun die Frage, wie sicher und resilient sind die virtuellen Kraftwerke gegenüber modernen Cyberangriffen?

Was sind virtuelle Kraftwerke?

Der Begriff "virtuelles Kraftwerk" (VKW) beschreibt eine virtuelle, software- und netzwerkbasierte Einheit. Sie besteht aus einer Vielzahl von dezentralen Energieerzeugungseinheiten (DEA) und -ressourcen (DER) sowie deren informationstechnischen Komponenten. Der Name "virtuell" bedeutet, dass diese Einheit keine physische Präsenz in Form eines herkömmlichen Kraftwerks mit einem zentralen Betriebsstandort und vielen Maschinen oder Turbinen hat.

Stattdessen entsteht ein VKW durch das Vernetzen von Computertechnologie und Kommunikationssystemen, welche tausende von dezentralen Anlagen, wie Windparks und Photovoltaikanalgen, reaktionsfähigen Lasten oder Stromspeichern miteinander verbindet. Diese werden gebündelt und als eine koordinierte Einheit, ähnlich wie ein konventionelles Kraftwerk, behandelt.

Diese virtuelle Koordination ermöglicht es, die Energieerzeugung und -verteilung auf intelligente Weise zu optimieren, ohne dass ein zentrales physisches Kraftwerk erforderlich ist. Der Begriff "virtuelles Kraftwerk" betont also die virtuelle, softwarebasierte Natur dieses Ansatzes zur Überwachung und Steuerung der Energieerzeugung und -verteilung auf Basis erneuerbaren Energieträger. Viele einzelne dezentrale Ressourcen werden miteinander vernetzt, um wie ein großes zentrales Kraftwerk zu funktionieren. Hierbei wird auf Metaebene zwischen den kommerziellen VKW und den technischen VKW unterschieden.

Kommerzielles versus technisches VKW

Ein kommerzielles VKW (KVKW; englisch: Commercial Virtual Power Plant, CVPP) ist eine spezielle Version eines VKW und bietet zusätzliche wirtschaftliche Möglichkeiten und Funktionen. Ein KVKW bündelt eine breite Palette von dezentralen Energieerzeugungseinheiten wie Solaranlagen, Windturbinen, Biomasseanlagen und Speichersysteme.

Zudem ist ein KVKW darauf ausgelegt, auf Energiemärkten zu handeln. Es kann Energie kaufen und verkaufen, um von Marktpreisschwankungen zu profitieren und Einnahmen zu generieren. Durch kontinuierliche Überwachung und Steuerung der angeschlossenen Einheiten passt ein KVKW die Energieproduktion an die Marktnachfrage und die Netzbedingungen an. Dies ermöglicht es, die Energieerzeugung so effizient wie möglich zu gestalten.

Insgesamt ermöglicht ein KVKW eine umfassendere Teilnahme am Energiemarkt und bietet die Möglichkeit, Einnahmen aus der Integration DEA und Flexibilitätsdienstleistungen zu generieren. So können auch die einzelnen DEA-Betreiber auf die Dienstleistungen eines KVKW zugreifen, um ihre produzierte Energie effizient zu vermarkten.

Abbildung 1: Metamodell eines kommerziellen virtuellen Kraftwerks.
Foto: Erfan Koza/Asiye Öztürk

Ein Technisches virtuelles Kraftwerk (TVKW; englisch: Technical Virtual Power Plant, TVPP) ist hingegen ein erweitertes VKW mit einem Schwerpunkt auf technische und netzdienliche Aspekte wie etwa der Netzstabilität. Ein TVKW nutzt fortschrittliche IT- und OT-Systeme, um eine breite Palette von DEA, steuerbaren Lasten und Speichersystemen in Echtzeit zu koordinieren.

Mithilfe komplexer Algorithmen sowie Daten- und Berechnungsmodellen berücksichtigt es Faktoren wie Wetterdaten, Erzeugungsbedarf und Netzfrequenzen, um die Energieerzeugung und -einspeisung technisch genau zu planen und zu realisieren.

Ein TVKW optimiert insofern die technische Energieproduktion und -verteilung, um die Netzstabilität zu gewährleisten. Es ist in das Netzwerk der Übertragungs- und Verteilnetzbetreiber sowie Energiemärkte integriert und kann Energie speichern und freigeben, um Schwankungen in der Energieerzeugung auszugleichen. Ein TVKW bietet auch Systemdienstleistungen wie Regelenergie zur Netzstabilisierung an, was die Netzstabilität fördert und zusätzliche Einnahmen ermöglicht.

Abbildung 2: Zusammenarbeit eines technischen virtuellen Kraftwerks mit technischen Units.
Foto: Erfan Koza/Asiye Öztürk

Wie steht es um die Informationssicherheit der VKW?

Aus Sicht der IT kann ein VKW als ein zentralisiertes, komplexes und hochvernetzes Informations- und Kommunikationssystem definiert werden. Es überwacht und steuert eine Ansammlung von DEA, DER, steuerbaren Lasten und Speichergeräten.

Seine Hauptfunktion ist die Überwachung, Steuerung, Optimierung und Verwaltung der Erzeugung des elektrischen Energieflusses nicht nur innerhalb des Clusters, sondern auch im Austausch mit einem Übertragungsnetzbetreiber (ÜNB), Verteilnetzbetreiber (VNB) und dem Markt. Dazu muss ein VKW in der Lage sein, die anfallenden Daten der DEA und DER sowie die in anderen dezentralen Einheiten in Echtzeit zu erfassen. Ziel ist es, die aggregierten Daten mit Algorithmen, Berechnungsmodellen und Datenmodellen zu analysieren und daraus geeignete Handlungsoptionen und Prognosen zu erstellen.

In einem solchen VKW wird die aktive Steuerung durch eine Informations- und Kommunikationstechnologie (IKT)-Infrastruktur erreicht, die aus intelligenten Geräten und intelligenten Zählern, drahtlosen und drahtgebundenen Verbindungen, einem "Control Center" und Softwareanwendungen besteht. Die Erweiterung der Datenkommunikationsschnittstellen hängt im Wesentlichen von der jeweiligen Aufgabe ab, die ein VKW erfüllen soll.

Vom DEA, ÜNB und VNB werden in der Regel Messwerte aus den Datenbankarchiven extrahiert und über ein Datenbankverfahren über einen IPsec-VPN-Tunnel, etwa X.509-Zertifikat (CA), oder über Standleitungen mit verschiedenen standardisierten Datenkommunikationsprotokollen an das VKW gesendet. Für die Erstellung der Zertifikate wird meist eine selbstsignierte Root-Zertifizierungsstelle generiert, die ausschließlich IKEv2 (Internet Key Protocol Version 2) als sicheres Verfahren zur Schlüsselverwaltung in IPsec-basierten virtuellen privaten Netzen verwendet.

Die Fernwirkgeräte des ÜNB und VNB als lokale CRISP-Knoten (Cross Industry Standard Process for Data Mining) bezeichnet, verfügen über zwei getrennte Netzwerkschnittstellen, zwischen denen kein Routing stattfindet. Eine Schnittstelle dient zur Anbindung der jeweiligen Leitstelle von ÜNB und VNB, die andere zur Kopplung an den VPN-Router. Die Fernwirkgeräte des DER verfügen über eine Firewall mit der Strategie "DENY-ALL". In Richtung einer Internetanbindung von DEA, VNB und ÜNB wird ein DENY-ALL-Konzept verwendet, um den Zugriff auf das unsichere "Internet" vollständig auf IP-Ebene kontrollieren zu können.

Versehentlich unerwünschte Kommunikation

Mit diesem Konzept können nur Dienste genutzt werden, die vom Administrator der Firewall explizit zugelassen sind. Die Konfiguration bietet damit das geringste Risiko, versehentlich unerwünschte Kommunikation zuzulassen.

Die Datenübertragung zwischen den Netzknoten wird über den integrierten VPN-Client des lokalen CRISP-Knotens von DEA, ÜNB und VNB hergestellt. Die CRIPS-Knoten von DEA, VNB und ÜNB richten selbständig eine Verschlüsselung über IPSec zum VPN-Gateway im VKW ein.

Die Konfigurationsdatenbank des VKW ist verschlüsselt und passwortgeschützt, um die Integrität und Vertraulichkeit der Daten und IT-Systeme zu gewährleisten. In der Konfigurationsdatenbank des VKW ist eine "rollenbasierte Zugriffskontrolle" (englisch: Role Based Access Control, RBAC) implementiert. Beim RBAC werden die Zugriffsrechte auf Basis eines definierten Rollen- und Berechtigungsmodells vergeben.

Weiterhin werden Zugriffe nach IEC 60870-5-104, 101 und IEC 60850 von unbekannten Adressen abgewiesen. Alle nicht benötigten Dienste von CRISP-Node werden abgeschaltet, wie zum Beispiel der integrierte Webserver oder Dynamic Host Configuration Protocol. In diesem Zusammenhang können die in den dezentralen Einheiten (DEA) erzeugten Daten zentral im VKW gesammelt, angepasst, extrahiert und zur weiteren Analyse freigegeben werden.

11 Schwachstellen virtueller Kraftwerke

Trotz bereits umgesetzter Resilienzmaßnahmen stellt sich nun die Frage, wie gut VKW in Bezug auf die holistische Informationssicherheit gerüstet sind und wie gut sie Stresssituationen bewältigen können. Wir haben dies in einer wissenschaftlichen Studie am Clavis Institut für Informationssicherheit an der Hochschule Niederrhein untersucht.

Im Folgenden fassen wir die 11 identifizierten GAPs und Deltas zusammen, die potenziell zur Fragilität von VKW führen könnten:

1. Fehlende KRITIS-Deklaration: VKW sind entscheidende integrative Bestandteile des zukünftigen intelligenten Stromnetzes und sollten als kritische Infrastrukturen betrachtet werden. Obwohl ÜNBs und VNBs strengen Regulierungen und gesetzlichen Anforderungen nach Paragraph 8 a BSIG und die Paragraphen 11 Absatz 1 a und b EnWG unterliegen, fehlt es an spezifischen Vorschriften und Deklarationen für VKWs. Die Tatsache, dass VKW nicht als KRITIS betrachtet und reguliert werden, schafft eine potenzielle Schwachstelle in der Sicherheitskette des Stromnetzes. Das Ergebnis ist eine potenzielle Lücke im System, die einen Dominoeffekt und Kaskadeneffekte auslösen kann, was letztendlich zu einem flächendeckenden Stromausfall führen könnte.

2. Fehlendes Sicherheitspersonal und Know-how: Die Informationssicherheit von VKW erfordert spezialisiertes Wissen und Fachkenntnisse im Bereich industrieller Steuerungssysteme (ICS) und der OT-Netzwerke. Das Fehlen von qualifiziertem Sicherheitspersonal kann zu Sicherheitsdefiziten führen.

3. Steigende Komplexität der Infrastruktur: VKW bestehen aus einer Vielzahl von verteilten Systemen, die miteinander vernetzt sind. Die Komplexität dieser Infrastruktur erhöht die Angriffsfläche und macht die Verteidigung von VKW zu einer kollektiven Herausforderung, die betreiberübergreifend zu bewältigen gilt.

4. Fehlende Best Practices und Standards: Es gibt derzeit keine etablierten Best Practices und Standards speziell für VKW. Dies kann zu Unsicherheit führen, wenn es darum geht, welche Sicherheitsmaßnahmen und -verfahren nach der State of The Art implementiert werden können oder sollen.

5. Integration von Legacy-Systemen: Viele VKW und VNB verwenden im Verbund oder auch vereinzelt Legacy-Systeme, die möglicherweise nicht für moderne Sicherheitsstandards ausgelegt sind. Die Integration von obsoleten Systemen in eine sichere Umgebung kann eine Herausforderung darstellen.

6. Diffizile physische Sicherheit: Die physische Sicherheit von VKW, insbesondere von Steuerungszentren wie Control Center und Leitstellen sowie von verteilten Anlagen, ist von entscheidender Bedeutung. Der umfassende Schutz vor physischen Angriffen kann jedoch herausfordernd sein, insbesondere wenn die Erzeugungsanlagen in peripheren Gebieten teilweise öffentlich zugänglich sind und weit voneinander entfernt liegen, wie es beispielsweise bei der Deutschen Bahn der Fall ist.

7. Mangelhaftes Sicherheitsbewusstsein: Das Sicherheitsbewusstsein der Mitarbeitenden und Beteiligten in VKW ist von entscheidender Bedeutung. Schulungen und Sensibilisierungsmaßnahmen sind notwendig, um social Engineering-Angriffe sowie menschen- und physisch-zentrierten Angriffe zu verhindern.

8. Starke Ressourcenbeschränkungen: Ressourcenbeschränkungen sind eine häufige Herausforderung für VKW, die oft ihre Ressourcen effizient nutzen müssen. Diese Notwendigkeit der Effizienz kann dazu führen, dass Sicherheitsmaßnahmen aufgrund begrenzter Budgets und Ressourcen vernachlässigt werden. In diesem Zusammenhang eröffnen Shared-Service-Konzepte die Möglichkeit, Ressourcen und Fachwissen effektiver zu nutzen, indem sie verschiedene VKW bei der Sicherheitsgestaltung unterstützen und somit dazu beitragen, die Sicherheitslücken kostengünstig zu minimieren.

9. Fehlende Kontinuierliche Überwachung und Aktualisierung: Die Sicherheitslage ändert sich ständig, und daher ist es unerlässlich, dass VKW kontinuierlich überwacht werden, beispielsweise mithilfe von IDS oder SIEM-Lösungen. Auf diese Weise können sie schnell auf neue Bedrohungen und Schwachstellen reagieren. Des Weiteren besteht nach wie vor ein Mangel an spezialisierten Computer Emergency Response Teams, die sich auf OT-Umgebungen spezialisiert haben.

10. Interoperabilitätsfrage: VKW müssen oft mit verschiedenen Systemen, darunter ÜNB, VNB und Marktplattformen, interoperabel sein. Dies kann Sicherheitsprobleme im Zusammenhang mit Schnittstellen und Datenübertragungen aufwerfen.

11. Abschätzung der Ausfallfolgen in Bezug auf den Wegfall der Kommunikationstechnik: Neben der Satellitentechnik gibt es auch weitere Kommunikationstechniken (DSL, Standleitung, Mobilfunktechnologie), die zur Verbindung von VKW mit den Netzwerkmitgliedern verwendet werden können. Die Auswirkung der übergeordneten Kommunikationstechnologie hängt von verschiedenen Faktoren ab, darunter die von der geografischen Lage der VKW, der Verfügbarkeit von Infrastruktur und den spezifischen Anforderungen an die Datenübertragung. Je nach Standort und Anforderungen kann eine Kombination dieser Technologien verwendet werden, um eine zuverlässige Verbindung zwischen dem VKW und den Netzwerkmitgliedern sicherzustellen.

Die Bewältigung dieser Herausforderungen erfordert eine umfassende Sicherheitsstrategie, die auf die spezifischen Bedürfnisse und Risiken des VKW zugeschnitten ist. Dies umfasst die Einstellung qualifizierten Sicherheitspersonals, die Entwicklung und Umsetzung von Sicherheitsrichtlinien und -verfahren, die regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen. Hinzu kommen Schulungen und Sensibilisierung der Mitarbeitenden. Darüber hinaus ist die Zusammenarbeit mit Regulierungsbehörden und der Austausch bewährter Verfahren in der Branche entscheidend. (jd)