Hackerschutz der Stromversorger «nicht vertretbar»

Die Gefahr droht auch aus dem Cyberspace: Die Elektrizitätskommission sieht grossen Handlungsbedarf in puncto Sicherheitsvorkehrungen. Foto: Keystone

Ein Fünftel der wichtigen Stromversorger der Schweiz war im Jahr 2017 von Hackerattacken betroffen. Trotzdem weisen viele von ihnen noch immer Sicherheitslücken auf, wie ein Bericht der Eidgenössischen Elektrizitäts­kommission Elcom zeigt.

Das Aufsichtsorgan des Bundes hat die 92 grössten Netzbetreiber, die 89 Prozent der En­ergie in der Schweiz verteilen, nach deren Vorkehrungen zur Cy­bersicherheit befragt. An einer Branchenveranstaltung im Juni informierte Elcom die Unternehmen über die bisher nicht öffentlich bekannten Resultate.

Bei einem Drittel gibt es keine schützende Software

22 Netzbetreiber, fast ein Viertel, verfügen weder über Richt­linien noch über Massnahmen für Cybersicherheit. 21 Netzbetrei­ber schulen ihre Mitarbeiter nicht zu dem Thema. Das sei «aus Sicht der Elcom nicht vertretbar» vor dem Hintergrund, «dass die meis­ten Cybervorfälle durch ein menschliches Fehlverhalten ausgelöst werden», steht im Bericht.

Schwachpunkte ortet die Aufsicht auch in der Verflechtung der Informatiksysteme. Viele Betreiber haben ihre Netzwerke zur Datenverarbeitung von Kundenadressen und Rechnungen nicht von jenen zur Steuerung der Stromversorgung getrennt. Mehr als ein Drittel betreibt keine Programme, die vor Eindringlingen in das Steuerungsnetz warnen, ein ebenso grosser Teil überwacht den Netzwerkverkehr nicht und zeichnet keine Daten auf. Das bedeutet, dass Cybervorfälle nicht einmal im Nachhinein erkannt werden können.

«Äusserst fahrlässig»

Eine Firma hat die Übergänge zwischen ihrer IT und ihrem Steuerungsnetz weder geschützt noch verschlüsselt, im Urteil der Elcom «aus sicherheitstechnischer Sicht äusserst fahrlässig». Die Steuerungsnetze stellten «das Kerngeschäft der Netzbetreiber» dar, schreibt die Elcom. Daher erwarte sie, dass die Infrastruktur dem aktuellen Stand der Technik entsprechend geschützt werde.Der Netzwerkverkehr sollte über­wacht und aufgezeichnet ­werden.

Ein Sicherheitsrisiko ortet die Elcom überdies bei externen Dienstleistern: Die Hälfte der Netzbetreiber stellt ihnen Fernzugriffe zur Verfügung. «Leider ist auch festzuhalten, dass Netzbetreiber externe Dienstleister unbeaufsichtigt Wartungs- oder Installationsarbeiten durchführen lassen», schreibt sie. «Dieses Verhalten ist sehr fahrlässig in Bezug auf die Cybersicherheit und dürfte nicht sein.»

Handlungsbedarf sieht die Auf­sichtskommission auch bei der Versorgungssicherheit: Zwei Netzbetreiber gaben zu ­Protokoll, sie könnten weder auf ein redundantes System noch auf eine manuelle Lösung ausweichen, falls ihr Informatiksystem lahmgelegt werde.

Neues Cyber-Notfallteam

Trotz aller Kritik will die Elektri­zitätskommission kein vernichtendes Fazit ziehen: Sie habe nur einzelne Aspekte untersucht, zudem befasse sich in den meisten Unternehmen die Geschäftsleitung mit dem Thema Cybersicherheit. «Grundsätzlich ist die Elcom zufrieden, dass die Firmen der Cybersicherheit die nötige Aufmerksamkeit schenken», sagt Sprecher Simon Witschi. «Wir ­sehen aber punktuellen Handlungsbedarf, den wir aus dieser Umfrage abgeleitet haben.»

Zur Behebung der Mängel empfiehlt Elcom den Netzbetreibern, das einschlägige Handbuch des Verbands Schweizerischer Elektrizitätsunternehmen anzuwenden, das seit einem Jahr vorliegt. Zudem unterstützt Elcom die Bildung eines auf die Energie­branche spezialisierten Computer-Notfallteams, englisch abgekürzt Cert.

Am Energie-Cert arbeitet Adrian Märklin, Senior Consultant bei Swisspower, einer Allianz von 21 Schweizer Stadtwerken und regionalen Energieversorgern. Er beurteilt die Lage weniger rosig. «Die Cybersicherheit im Energiebereich ist ein dringendes Problem», sagt er. «Die Schweiz profitiert noch davon, dass sie kein geopolitisch wichtiges Ziel ist. Aber mich verwundert es, dass nicht mehr Cyberunfälle öffentlich werden.» Risiken bestünden vor allem bei kleineren Werken, sagt Märklin: «Sie haben nicht die Ressourcen, um sich allein zu schützen, sie sind aber mit grösseren Werken vernetzt und könnten so als Einfalltore dienen.»

Das Energie-Cert soll die Cyberspezialisten von Stadtwerken mit anderen Fachleuten vernetzen, damit sie beispielsweise einen Informationsvorsprung erhalten bei anstehenden Attacken. Swisspower arbeitet dafür mit der Stiftung Switch zusammen, welche die Wissenschaftsnetze der Hochschulen und das ­grösste Schweizer Cert betreibt. In drei Wochen startet das Energie-Cert, in einem Jahr soll es operativ sein.

Erstellt: 08.08.2019, 21:39 Uhr