Die Schweizer Stromversorgung ist nicht ausreichend gegen Hackerattacken geschützt. Zu diesem erschreckenden Schluss kommt ein Bericht der Eidgenössischen Elektrizitätskommission. Wir fragen einen Experten, wie gross die Gefahren tatsächlich sind.

Ein Fünftel der wichtigen Schweizer Stromversorger war im Jahr 2017 von Hackerangriffen betroffen. Dies berichtet der Tages-Anzeiger und beruft sich dabei auf einen Bericht der Eidgenössischen Elektrizitätskommission ElCom. Die ElCom hat dafür die 92 grössten Schweizer Netzbetreiber nach deren Vorkehrungen zur Cybersicherheit befragt. Besonders brisant: Trotz der erfolgten Angriffe weisen viele der Stromversorger immer noch Sicherheitslücken auf.

So verfügen 22 Netzbetreiber, also fast ein Viertel, weder über Richtlinien noch über Massnahmen für Cybersicherheit. 21 Netzbetreiber schulen ihre Mitarbeiter nicht zu diesem Thema. Vor dem Hintergrund, dass die meisten Cybersicherheitsvorfälle durch menschliches Fehlverhalten ausgelöst werden, sei dies für die ElCom nicht vertretbar, heisst es im Bericht.

Die Aufsichtsbehörde sieht in der Verflechtung der Informatiksysteme einen weiteren Schwachpunkt. Viele Betreiber haben ihre Netzwerke zur Datenverarbeitung von Kundendaten und Rechnungen nicht von jenen zur Steuerung der Stromversorgung getrennt. Mehr als ein Drittel betreibt keine Programme, die vor Eindringlingen in das Steuerungsnetz warnen. Ebenfalls ein Drittel überwacht den Netzwerkverkehr nicht und zeichnet keine Daten auf. Cyberangriffe können so nicht einmal im Nachhinein erkannt werden.

Cyber-Notfallteam in Startlöchern

Externe Dienstleister können gemäss ElCom ein Sicherheitsrisiko darstellen. Die Hälfte der Netzbetreiber stellt ihnen Fernzugriffe zur Verfügung. «Leider ist auch festzuhalten, dass Netzbetreiber externe Dienstleister unbeaufsichtigt Wartungs- oder Installationsarbeiten durchführen lassen», schreibt die ElCom. Das sei sehr fahrlässig in Bezug auf die Cybersicherheit und dürfe nicht sein.

Handlungsbedarf sieht die ElCom auch bei der Versorgungssicherheit. Zwei Stromversorger räumten ein, dass sie weder auf ein redundantes System noch auf eine manuelle Lösung ausweichen könnten, falls ihr Informatiksystem lahmgelegt werde.

Zur Behebung der Mängel empfiehlt die Elektrizitätskommission den Netzbetreibern, das Handbuch des Verbands Schweizerischer Elektrizitätsunternehmen anzuwenden, das seit einem Jahr vorliegt. Zudem unterstützt die ElCom die Bildung des bereits geplanten, auf die Energiebranche spezialisierten Computer-Notfallteams (kurz CERT). Das Energie-CERT soll die Cyberspezialisten von Stadtwerken mit anderen Fachleuten vernetzen und in Kürze an den Start gehen. In einem Jahr soll es operativ sein.

Interview mit Cyrill Brunschwiler

Cyrill Brunschwiler

Herr Brunschwiler, die ElCom verteilt den Schweizer Stromversorgern schlechte Noten. Zurecht?

Ja und nein. In der Schweiz sind total 700 Energieversorgungsunternehmen (EVUs) dafür zuständig, dass der Strom beim Endverbraucher in der Steckdose landet. Dabei gibt es sehr grosse Unterschiede beim Geschäftsmodell und bei der eingesetzten Technologie. ElCom hat nun die relevantesten EVUs unter die Lupe genommen. Das tun wir im Auftrag einzelner EVUs auch. Unser Fokus liegt dabei eher auf der technischen Ebene. Die Verschmelzung von IT und OT (Operational Technology) ist erfahrungsgemäss eine Herausforderung. Anders ist die Situation bei den vielen kleinen EVUs, wo man die Schlussfolgerungen der ElCom kaum anwenden kann. In meiner Wohngemeinde bezahle ich den Strom ans gemeindeeigene EW. Das EW ist dabei primär ein Händler und wartet nebenbei ein paar Kilometer Leitungsnetz sowie eine Hand voll Trafostationen.

Muss wegen der Sicherheitslücken denn nicht sofort etwas unternommen werden?

Ich würde empfehlen, dass wir lieber stetig statt überhastet etwas unternehmen. Die ElCom hat eine Bestandesaufnahme gemacht und nun sollte im Interesse der Allgemeinheit gehandelt werden. Das wird Kosten zur Folge haben. Wie viel die Allgemeinheit bereit ist, für die Sicherheit der Energieversorgung auszugeben, steht dann wieder auf einem anderen Blatt geschrieben.

Was sind Ihrer Meinung nach die drohenden Gefahren für die Stromversorger?

Alle neuen Installationen basieren zu grossen Teilen auf IT-Infrastruktur und sind viel stärker vernetzt und automatisiert. Durch die Standardisierung ist man natürlich kosteneffizienter und bereit für neue Geschäftsmodelle. Dem gegenüber steht, dass sich die Angreifer mit traditioneller IT schon eine ganze Weile auseinandersetzen und sich dementsprechend gut auskennen. Es ist deshalb unabdingbar, dass sich die IT- und OT-Spezialisten gemeinsam solcher Herausforderungen annehmen.

Was halten Sie vom geplanten Cyber-Notfallteam (Energie-CERT)?

Es ist meines Erachtens sehr sinnvoll, eine Notfallorganisation zur Hand zu haben – nicht nur für Energieversorger. Die Energielieferanten kennen sich mit ihrem Geschäft sehr gut aus, da man aber künftig mehr Angriffe über IT-Kanäle erwarten darf, ist es besonders wichtig, auch diesen Aspekt abzudecken. Natürlich ist es vorteilhaft, wenn das Notfallteam das Geschäft und die Eigenheiten der EVUs kennt. Das CERT wird aber nicht dafür sorgen, dass wieder Strom aus der Steckdose kommt. Das werden die Profis erledigen. Teils geht das sogar ganz ohne Informatik. In der Schweiz sind wir in der vorteilhaften Lage, dass wir sehr viel Strom aus Wasser generieren. Wasserkraftwerke benötigen nur wenig Energie, um sie wieder ans Netz zu bringen.

Welche Massnahmen empfehlen Sie den Stromversorgern?

Primär sollten wir die OT-Lieferanten in die Pflicht nehmen. Oft hinken selbst neue Komponenten und Produkte dem aktuellen Stand der Technik hinterher. Die Stromversorger ärgern sich mit Produkten herum, bei welchen Hersteller jegliche Garantieansprüche von sich weisen, wenn sicherheitsrelevante Updates eingespielt werden. Ein unhaltbarer Zustand. Bei Smartmetern gibt es heute Vorgaben, die erfüllt werden müssen. Ich empfehle dem ElCom, einen Benchmark über Geräte und Lösungen von Herstellern zu lancieren. Das würde der ganzen Branche ein Indikator sein, bei welchem Partner man gut aufgehoben ist. Die Stromversorger sind primär in der Pflicht, die Steuerungsnetze und Büro-IT sorgfältig zu trennen. Es darf nicht sein, dass mit ein und demselben Computer E-Mails gelesen, im Internet gesurft und dann noch im Steuerungsnetz konfiguriert wird.

Was dürfen wir von Ihrem Referat zu diesem Thema am diesjährigen TEFO erwarten?

Es wird eine spannende Einführung zum Schweizer Stromnetz. Damit einher kommen viele neue Begriffe aus dem Vokabular der Energieversorger. Ich werde die Funktionsweise eines Unterwerks etwas detaillieren. Taschenlampen im Handgepäck sind erlaubt.

Cyrill Brunschwiler ist seit 18 Jahren bei Compass Security und leitet die Schweizer Organisation. Zudem ist er Dozent an der HSR für Web Security und hält einen MSc in Information Security. Am 21. November 2019 wird er am Technology Forum ein Referat zum Thema «Wie sicher ist unsere Stromversorgung?» halten. Wenn Sie von ihm erfahren möchten, wie unser Stromnetz funktioniert und wo dabei die Schwachstellen liegen, dann sichern Sie sich jetzt Ihr Ticket.

Zur Anmeldung TEFO’19

Mehr zum Thema