Von Frank Bethmann

Früher versorgten wenige große Kohle- und Kernkraftwerke ganz Deutschland mit Strom. Angreifbar sind auch sie bis heute. Doch durch die flächendeckende Versorgung mit erneuerbaren Energien wächst das Risiko von Hackerattacken.

Einzelne Windräder beispielsweise müssen intelligent gesteuert werden und mit anderen kommunizieren können. Dieser Datenaustausch jedoch kann gehackt werden. Viele Betreiber solcher Wind- oder Solarparks investieren nicht genug Geld in die IT-Sicherheit. Ihre Systeme sind schlecht geschützt.

"Erschreckend" findet der Informatikstudent Tim Philipp Schäfers, der die Energiebranche ehrenamtlich berät, wie nachlässig mit den IT-Systemen umgegangen wird, die die Versorgung von Städten und Gemeinden gewährleisten sollen. Er spricht von einem "desolaten Zustand".

Ein Cyberangriff auf das Stromnetz kann großen Schaden anrichten. Chaos, Hamsterkäufe und Plünderungen - das wären wohl die Konsequenzen, wenn der Strom über längere Zeit ausfällt. 2015 und 2016 haben Hacker in der Ukraine die Stromversorgung lahmgelegt. Mehr als 700.000 Haushalte waren stundenlang ohne Strom. Der Fall zeigt: Ein Blackout ist eine echte Bedrohung. Mit einem groß angelegten, koordinierten Angriff könnten Hacker den Strom flächendeckend für Tage oder sogar Wochen ausschalten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt immer wieder vor Cyberangriffen auf Energieversorger. "Jeden Tag gibt es tausendfache Anklopfversuche aus dem Internet", bestätigt auch Florian Haacke, Leiter der Konzernsicherheit bei Deutschlands größtem Stromnetzbetreiber Innogy. In der Essener Konzernzentrale wehren rund 130 Spezialisten solche Attacken ab. Mit ernsten Bedrohungen haben sie es bis zu 40 Mal im Jahr zu tun.

Haacke mahnt zur Wachsamkeit: "Letztendlich zeigen die Vorfälle in der Ukraine, dass es Angreifer oder Angreifergruppen gibt, die über die logistischen und methodischen Fähigkeiten solcher Angriffe verfügen und diese auch tatsächlich in der Praxis umsetzen. Das war tatsächlich eine neue Dimension für den Energiesektor. Und wir sollten auch in Deutschland nicht annehmen, dass es unmöglich ist - auch unsere Stromnetze sind nicht unverwundbar. Eine hundertprozentige Sicherheit kann es nicht geben."

Aus eigener Erfahrung bestätigen kann dies Eberhard Oehler. Als Geschäftsführer der Stadtwerke Ettlingen hatte er einen Hacker selbst beauftragt. In der Branche eine durchaus übliche Vorgehensweise, um festzustellen, ob das eigene Unternehmen wirklich sicher ist. Oehler war nach eigenem Bekunden geschockt, denn bereits nach 26 Minuten hatte der Angreifer die ersten Passwörter gehackt und hätte wenig später Ettlingen den Strom abschalten können.

"Das Problem ist: Wenn jemand weiß, wie er bei den Stadtwerken Ettlingen eindringen kann, dann ist das duplizierbar auch auf die Einrichtungen anderer Stadtwerke. Denn die Leittechnik, die wir haben, die wird so etwa 270 bis 300 Mal in Deutschland verbaut. Das heißt Stadtwerke Ettlingen gibt es überall von Flensburg bis Berchtesgarden." Oehler hat seitdem viel in die Sicherheit seines Betriebes investiert.

Doch die Digitalisierung schreitet voran und der Schutz der Energieversorgung wird immer komplizierter. Denn nicht nur das Stromnetz wird digital, auch die Zähler. "Smart Meter Gateways" heißen die neuen intelligenten Stromzähler - ein unverzichtbarer Baustein der Energiewende. Die Geräte sammeln Daten, um das schwankende Angebot aus den erneuerbaren Energien besser aufeinander abzustimmen. Für Hackerangriffe sind sie ein attraktives Ziel. Es gelten sehr hohe Sicherheitsvorschriften.

Die Zulassung der Smart Meter Gateways beschäftigt nicht nur die Hersteller sondern auch die Stadtwerke wie das in Ettlingen bereits seit Jahren. Die Geräte können nicht nur Strom zählen, sondern auch Anlagen wie Solarmodule schalten und steuern - und damit direkt in die Stromversorgung eingreifen. Und das macht sie neuen zu Einfallstoren für Hacker.

Auch Eberhard Oehler hat den Glauben an die hundertprozentige Sicherheit verloren: "Wenn man das jetzt offiziell artikuliert, wird man wahrscheinlich zur Antwort bekommen: Nein, wir sind so sicher, das geht nicht. Da kann ich nur schmunzeln. Wir sind nur so sicher, wie wenig Aufwand ein Hacker treiben will. Wenn ein Hacker viel Aufwand betreiben will, dann sind wir halt überhaupt nicht mehr sicher."

Hacker-Attacken sorgen in der Energiebranche für schlaflose Nächte. IT-Sicherheit, das haben die Stromkonzerne inzwischen verstanden, ist ein fortdauernder Prozess. Mitarbeiter müssen kontinuierlich geschult werden. Die Risiken lassen sich nur minimieren. Ein möglicher Blackout bleibt eine reale Gefahr.