Startseite > Power > »Man muss die Technik hacken, die man einsetzen will«

Interview mit Energinet

»Man muss die Technik hacken, die man einsetzen will«

1. August 2019, 14:50 Uhr | Hagen Lang

▶ Diesen Artikel anhören

Fortsetzung des Artikels von Teil 2

Internet of Things und Hacker...

Was passiert denn mit dem dänischen Stromübertragungsnetz, wenn es jemand gelingt, eine ganze Offshore-Windfarm in Dänemark zu hacken?

Es kommt schon vor, dass ein Journalist sagt: Hier gibt es Hacker, die in diesen oder jenen alten Typ von Windkraftanlage eindringen können und theoretisch in größerem Rahmen Unheil anrichten könnten. Aber das ist nicht richtig. Warum? Das dänische Übertragungsnetz wurde von Anfang an darauf ausgelegt, innerhalb kürzester Zeit extreme Leistungsschwankungen zu verkraften und Leistungsverluste blitzschnell aus anderen Quellen zu kompensieren.

Das liegt einfach daran, dass von Anfang an sehr viel Windenergie eingeplant wurde, bei der jeder Hersteller für Windenergieanlagen bei bestimmten, sturmartigen Windstärken einen Auto-Shut-Off-Wert vorsieht. Bei einer Windstärke X können deshalb riesige Kapazitäten augenblicklich vom Netz gehen, und das dänische Netz wurde darauf ausgelegt, mit solchen Situationen umgehen zu können. Von daher sind wir gegenüber der Möglichkeit, dass Hacker ganz schnell Leistung vom Netz nehmen könnten, relativ gelassen.

Gerne werden die neuen urbanen Elemente des Internet of Things wie Smart Homes, Buildings und Cities als unkontrollierbare Einfallstore für Hacker in Versorgungsstrukturen gesehen. Glauben Sie auch, dass hier neue Gefahren drohen?

Eher nicht. Aber nur dann nicht, wenn man ein proaktives Infrastruktur-Unternehmen ist. Was meine ich damit? Als Infrastrukturbetreiber sollte man immer die Technologie, die Zugang zu den eigenen Netzen gewährt, selbst umfassenden Sicherheitstests aussetzen, Penetration-Testing, Fuzzing und so weiter. Mit den Ergebnissen muss man dann zu den Herstellern gehen und sagen: Das ist ja ganz schön, was ihr da habt, aber dies und jenes müsst ihr noch fixen, wenn wir euer Produkt einsetzen sollen. Wenn man diese Politik des „Vertraue keinem Produkt, dessen Security du nicht selbst auf Herz und Nieren überprüft hast“ beherzigt, sollte nicht viel passieren.

Man muss die Hersteller etwas unter Druck setzen, dann wird die Security für die Kunden besser und letztendlich steigen auch die Bestellungen bei den Herstellern. Security ist dann „Business-Enabler“ oder Voraussetzung dafür, dass überhaupt Geschäfte abgeschlossen werden, statt Stolperstein.

Sie sind in Dänemark so vorgegangen?

Wir haben in den letzten vier Jahren in Dänemark für Elektrizität und Gas völlig neue SCADA-Systeme aufgebaut und ich war für beide Systeme der Lead-Tester. Wir sind zu den verschiedenen Herstellern gegangen und haben den vorausgewählten ein Angebot gemacht, das sozusagen zu gut war, um es abzulehnen. Wir sagten: „Ihr Produkt ist ganz gut und wir sehen, dass Sie Security ernst nehmen. In diesem Fall würden wir sogar noch mehr kaufen, als wir eigentlich vorhatten. Dazu bräuchten wir Ihre Hilfe in einem Penetration-Test-Prozess gegen ihr Produkt.“

Wir haben ein Netzwerk errichtet, das von der Außenwelt isoliert ist und vom Equipment her unserer Realität nahekommt. Mitarbeiter von uns, von den Herstellern und fünf Penetration-Tester von drei verschiedenen Security-Companies haben dann das Netzwerk angegriffen und Penetration-Tests gemacht. Da auch Mitarbeiter der Hersteller vor Ort waren, ging die Rückkopplung zu deren Entwicklungs-Abteilung ruck-zuck. Weil wir Leute aus konkurrierenden Security-Firmen vor Ort hatten, waren die durch die Anwesenheit ihrer Konkurrenten zusätzlich motiviert, ja keine Fehler zu machen und die besten Analysen und Lösungen anzubieten.

Das hat uns vielleicht 200.000 bis 300.000 Dollar gekostet, aber die Hersteller haben mitgespielt, weil wir ihnen klar gemacht haben, dass wir in jedem Fall etwas finden. Sie hatten also keinen Grund, nervös zu werden, und konnten das Ganze als kostenlosen Qualitätsverbesserungsprozess für ihr Produkt ansehen. Ich habe zu allen nach wie vor netten Kontakt, aber leider wirbt kein Hersteller mit diesem durch uns verbesserten Sicherheitsniveau.