Das deutsche nationale Cyber-Abwehrzentrum (NCAZ) ist vor einigen Jahren als zentrale Kommunikationsstelle verschiedenster Ministerien und Behörden gegründet worden, die sich über den Schutz im Cyberspace und Gefährdungen austauschen sollen. Zukünftig soll das Zentrum auch ein ständiges Cyber-Lagebild erstellen und als Koordinierungsstelle bei Cyber-Vorfällen wirken. Bereits vor einigen Wochen berichtete der Spiegel über eine Analyse die im Rahmen des NCAZ durch BBK, BfV, BKA, BND und BSI erstellt wurde und sich mit der Gefährdungslage der Stromversorgung durch Cyberangriffe in Deutschland befasst. Diese Analyse wurde nun durch eine Informationsfreiheitsanfrage von netzpolitik.org freigegeben und, bis auf wenige geschwärzte Stellen veröffentlicht.
Neben der Bewertung zur deutschen Situation analysieren die Autoren auch Vorfälle wie der Cyberangriffe und die Stromausfälle in der Ukraine und kommen zu folgenden Ergebnissen:
Zum Stromausfall in der Ukraine am 23.12.2015: Anders als in vielen Presseberichten behauptet, kann kein direkter Zusammenhang zwischen der eingesetzten Schadsoftware und der Unterbrechung der Stromversorgung abgeleitet werden. Die Schadsoftware hat also nicht autark und automatisiert die Stromversorgung unterbrochen, sondern erlaubte lediglich manuellen Zugriff auf die Steuerungssysteme durch die Angreifer. Ob alle Systemausfälle am 23.12.2015 tatsächlich allein auf Cyberangriffe zurückzuführen sind, ist nicht belegbar, Cyberangriffe als Hauptangriffsvektor erscheinen aber sehr wahrscheinlich. Die Beteiligung eines Innentäters ist hiesiger Einschätzung nach allerdings nicht auszuschließen.
Zum Stromausfall in der Ukraine am 17.12.2016: Die modulare, erweiterbare Architektur, sowie die detaillierten Implementationen von ICS-Protokollen legen den Schluss nah, dass der Angreifer über aufwändige Test-Umgebungen verfügt und das langfristige Ziel verfolgt, in ICS-Netzwerke einzudringen. (..) Die Angreifer hätten mit der hier gefundenen Schadsoftware wohl zumindest längere Stromausfälle provozieren oder über die DoS-Angriffskomponente gegen Schutzgeräte sogar physische Zerstörungen hervorrufen können. (..) die Vorfälle [weisen] hinsichtlich Fähigkeiten, Komplexität und Ziel deutliche Parallelen auf. Der zweite Vorfall stellt allerdings eine stark automatisierte Version des ersten Angriffs dar, so dass augenscheinlich eine stetige Weiterentwicklung der Angriffsfähigkeiten zu beobachten ist.
Mit Blick auf die Situation in Deutschland ziehen die Autoren die folgenden Schlüsse:
Kritische Infrastrukturen in Deutschland sind Gegenstand umfangreicher Schutzmaßnahmen (siehe Unterkapitel „Umgesetzte Schutzkonzepte/-maßnahmen der Stromnetzbetreiber“). Auch Experten aus der Energiewirtschaft, die im Rahmen des UP KRITIS befragt wurden, schätzen Risiken durch Monokulturen (z.B. Smart Meter, IDS High-Leitprodukte, die aufgrund passenden Zuschnitts auf die spezifischen Anforderungen der Branche in vielen Anlagen eingesetzt werden) als wahrscheinlicher ein, als einen Angriff wie 2015 in der Ukraine. Grundlegende Veränderungen durch gravierende (außen-)politische Entwicklungen oder wirtschaftliche Veränderungen und eine tatsächliche oder unterstellte mögliche Verwicklung Deutschlands in internationale Konflikte mit ernstzunehmenden staatlichen Cyberakteuren bergen allerdings das Risiko, dass vor diesem Hintergrund Cybersabotageaktionen gegen IT-Systeme in Deutschland oder deutscher Unternehmen im Ausland durchgeführt werden könnten. Zusammenfassend liegen aktuell keine Erkenntnisse vor, die für eine konkrete/ unmittelbare Gefährdung deutscher Unternehmen aus dem Energiesektor durch Cybersabotageangriffe mit dem Ziel der Herbeiführung eines Stromausfalls sprechen.
Wie bereits bei der Originalmeldung von netzpolitik.org vermerkt sind die Schlüsse und Handlungsempfehlungen die gezogen werden angesichts der Debatten über offensive Fähigkeiten und Hack-Backs sehr pragmatisch und nüchtern. Aus Sicht der Experten soll auf Informationsaustausch, gezielte und kontinuierliche Gefahrenanalyse und eine Verbesserung der Schutzmaßnahmen gesetzt werden. Gleichzeitig sollen Koordinationspläne für Schadensereignisse aufgestellt und weiterentwickelt werden. Damit orientieren sich die Autoren stark an technischen Gegebenheiten und dem Ansatz, die eigenen Strukturen zu stärken und zu verbessern. Abschließend bemerkt die Studie dass:
Die Möglichkeit, dass ein Stromausfall auch durch einen Cybersabotageangriff herbeigeführt werden könnte, verdeutlicht schließlich einmal mehr den hohen Stellenwert, der den Maßnahmen zur Abmilderung der Konsequenzen eines solchen Ereignisses beigemessen werden sollte. Dies betrifft einerseits die Vorbereitung von geeigneten Strukturen, um eine solche Krise abzuarbeiten, aber andererseits auch die Umsetzung geeigneter vorbereitender Maßnahmen, bspw. zur Notstromversorgung kritischer Bereiche oder zur Sicherstellung einer ausreichenden Treibstoffversorgung für die Krisenbewältigung.
Alle Quellen aus „Informationen des Nationalen Cyber-Abwehrzentrums – Gefährdungslage der Stromversorgung in Deutschland durch Cyberangriffe“ / lokale Kopie