Erneut wurden schwere Sicherheitslücken in leittechnischer Software für die Steuerung von Anlagen zur Energieerzeugung festgestellt. Diese könnten über unterschiedliche Methoden für Cyber-Angriffe auf die betroffenen Anlagen durch Unbefugte ausgenutzt werden, die in der Folge durch die Ausführung von eigenem Code mit Administratorrechten die Kontrolle über Teile oder das gesamte IT-System des Kraftwerks übernehmen könnten, so dass eine sichere und kontinuierliche Energieversorgung nicht mehr gewährleistet wäre.

Kürzlich veröffentlichte ein Forschungsteam des russischen Antivirenherstellers Kaspersky umfangreiche Informationen, denen zufolge die Leittechnik mehrerer großer Hersteller von gravierenden IT-Lücken betroffen ist. Aufgeführt wurden insbesondere die Unternehmen Siemens, General Electric (GE), ABB, Honeywell oder Yokogawa, die informationstechnologische Anwendungen für Steueranlagen von Dampfturbinen produzieren, welche weltweit vor allem in konventionellen Gas- und Kohlekraftwerken zum Einsatz kommen. Dabei seien Software und Server dieser Distributed Control Systems (DCS) einschließlich Peripherie wie zum Beispiel Firewalls oder Switches gleichermaßen durch entsprechenden Schadcode verwundbar.

Den Anwendern der von diesen Firmen programmierten Softwarelösungen wurde dringend empfohlen, umgehend die neuesten Sicherheitspatches einzuspielen. Andernfalls könne die Sicherheit des Kraftwerks nicht garantiert werden, da Angreifer im Falle einer erfolgreichen Kompromittierung des Systems einzelne zentrale Komponenten zur Stromerzeugung wie zum Beispiel Turbinen und Generatoren sabotieren und damit aus der Ferne ansteuern oder abschalten könnten, so dass die Energieversorgung mit Strom und / oder Wärme durch den infizierten Block nicht mehr gewährleistet wäre. Aus diesem Grund zählen Energieerzeugungsanlagen ab einer bestimmten Leistungsgröße zur sogenannten Kritischen Infrastruktur (KRITIS) eines Landes (vgl. Beitrag „Energie als kritische Infrastruktur“). Für ein solches Bedrohungsszenario einer Übernahme des internen Netzwerks durch böswillige Hacker wurde den Kraftwerksbetreibern vom Bundesamt für Sicherheit in der Informationstechnik (BSI) unter anderem ein entsprechender Maßnahmen- und Notfallplan zur Verfügung gestellt.

Unabhängig davon sei es nach Angaben der in Moskau ansässigen IT-Sicherheitsfirma in Sachen Cyber-Security nach wie vor ein gefährliches Versäumnis, dass einerseits einige Betreiber industrieller Automatisierungstechnik ihre Programme trotz seit längerer Zeit bestehender Bereitstellung neuer Firmware durch den Anbieter zu spät oder gar nicht updaten würden. Unzureichenden Schutz böten auch herkömmliche Standard-Passwörter für den Login-Zugang zu Servern und Programmen. Ebenso würden auf der anderen Seite kritische Sicherheitslücken von den jeweiligen Herstellern teilweise lediglich mit großem zeitlichen Abstand, nur unzureichend oder gar nicht abgedichtet, so dass spezialisierten Cyber-Kriminellen auch ohne großen Programmieraufwand eine weite Angriffsfläche für IT-Attacken auf anlageneigene Kontrollsysteme und deren Netzwerkschnittstellen geboten würde.

Dass es sich bei den von Kaspersky Lab aufgedeckten massiven Schwachstellen der benannten Leittechniksysteme der Energiebranche um keine bloßen Vermutungen handelt, zeigt die Reaktion des Herstellers Siemens, der vor Kurzem – unmittelbar nach Informierung durch das russische Softwareunternehmen – ein umfangreiches Sicherheitsupdate im Form eines zahlreiche Vulnerabilitäten betreffenden Service-Packs für sein Steuerungssystem verbunden mit einer entsprechenden Sicherheitswarnung an die Betreiber herausgegeben hat. Weiterführende Informationen zum Thema IT-Sicherheit von Kraftwerksanlagen finden sich auf dieser Internetseite unter anderem auch in den Artikeln „IT-Schutz von Kraftwerken vor Cyberbedrohungen“, „Cybersicherheit in KMU“ oder „Cyberangriffe auf westliche Industrieanlagen“.