Hacker behaupten, sie hätten es auf Kanadas Gasinfrastruktur abgesehen. Können erneuerbare Energien denselben Cyberangriffen standhalten?

Nachrichten über pro-russische Hacker, die sich angeblich Zugang zur kanadischen Gasinfrastruktur verschafft haben, brachten letzten Monat Bedenken hinsichtlich der Cybersicherheit in den Vordergrund. Um unser Stromnetz zu schützen, müssen Branchenkenner sagen, dass Kanada die Vorschriften zum Schutz anfälliger Energiesysteme verschärfen muss.

Die Energieinfrastruktur auf der ganzen Welt wird regelmäßig sowohl von Cyberkriminellen, die Unternehmen erpressen wollen, als auch von staatlich geförderten Akteuren angegriffen, die versuchen, sich gegenüber anderen Nationen einen Vorsprung zu verschaffen. Laut Daten von S&P Global war die Ölinfrastruktur zwischen 2017 und 2022 das Ziel von fast einem Drittel der 45 Cybersicherheitsvorfälle gegen globale Rohstoffindustrien wie Schifffahrt, Landwirtschaft und Petrochemie. Dazu gehören aufsehenerregende Vorfälle wie der Ransomware-Angriff auf die US-amerikanische Colonial Pipeline im Jahr 2021, der zu einer Abschaltung und einer hohen Lösegeldzahlung führte, und der Angriff im Jahr 2022, der die Lieferungen großer europäischer Ölraffineriezentren unterbrach. Stromerzeugung und Stromnetze waren laut S&P Global weitere beliebte Ziele.

Nicht alle Angriffe sind so wirkungsvoll. Der angebliche Verstoß gegen Kanadas Gasinfrastruktur im letzten Monat hat zu keiner Störung geführt, und die Website von Hydro-Québec wurde Opfer eines gewöhnlichen Angriffs, bei dem der Server mit Datenverkehr überlastet wurde und zum Absturz führte. Laut Hydro-Québec hatte der Absturz keine Auswirkungen auf die Produktion, Übertragung oder Verteilung von Strom.

Jetzt, da Kanada seine erneuerbaren Energien ausbaut, werden Cleantech-Betreiber laut Experten denselben Cybersicherheitsbedrohungen ausgesetzt sein wie ihre Pendants im Bereich der fossilen Brennstoffe und sollten die Gelegenheit nutzen, starke Abwehrmaßnahmen in ihre Infrastruktur einzubauen.

Es gibt keine einfache Antwort darauf, welche Arten von Energiesystemen am anfälligsten für Cyberangriffe sind, sagten Tarun Singh und Rich Hodgkinson von Ammolite Technology in einer ausführlichen Erklärung gegenüber dem kanadischen National Observer. Ammolite Technology ist ein IT-Dienstleister, dessen Dienstleistungen Sicherheitslösungen für kleine und mittlere Unternehmen, Wohltätigkeitsorganisationen und gemeinnützige Organisationen umfassen.

Die Öl- und Gasinfrastruktur sei ein Hauptziel für Akteure, die das kanadische Leben stören wollen, da fossile Brennstoffe im Jahr 2021 etwa 64 Prozent des kanadischen Primärenergieverbrauchs ausmachten, betonten sie.

Derzeit mache die Infrastruktur für erneuerbare Energien – wie große Wind- und Solarparks – einen kleineren Anteil am gesamten Energiemix des Landes aus und sei daher wahrscheinlich ein weniger wertvolles Ziel, sagten Singh und Hodgkinson. Dieser Anteil könnte jedoch in den kommenden Jahren steigen, da Kanada den Ausbau erneuerbarer Energien vorantreibt, um bis 2035 ein Netto-Null-Stromnetz zu erreichen.

Kanadas Geheimdienst für Cyber- und Auslandssignale, das Communications Security Establishment (CSE), teilte dem kanadischen National Observer in einer E-Mail-Erklärung mit, dass alle kritischen Infrastrukturen zunehmend durch Cybersicherheitsbedrohungen gefährdet seien, obwohl ihm „keine spezifischen Informationen zu Projekten im Bereich erneuerbare Energien“ vorliegen. "

Zu den Schlüsselfaktoren, die die Energieinfrastruktur gefährden könnten, gehören der Wert und die Verwundbarkeit eines Ziels sowie die Person, die einen Angriff plant.

„Es gibt viele schlechte Akteure da draußen, die aus unterschiedlichen Beweggründen gerne Schaden anrichten würden“, sagte Ian L. Paterson, CEO von Plurilock, einem kanadischen Cybersicherheitsunternehmen. Kriminelle Organisationen versuchen oft, Geld zu verdienen, indem sie Unternehmen und Organisationen Lösegeldzahlungen abverlangen (wie es beim Angriff auf die Colonial Pipeline im Jahr 2021 der Fall war) oder Daten stehlen.

„Es wird oft zitiert, dass der weltweit größte Vermögenstransfer von den Vereinigten Staaten nach China als Folge der durchgeführten Kampagnen zum Diebstahl geistigen Eigentums stattfand“, sagte Paterson dem kanadischen National Observer in einem Telefoninterview. Abgesehen von den finanziellen Beweggründen, die Kriminelle teilen, könnten auch feindliche Nationalstaaten oder staatlich geförderte Organisationen von Angriffen profitieren, die sensible Informationen stehlen oder darauf abzielen, die kritische Infrastruktur eines Landes zu stören, fügte er hinzu.

Wenn der Anteil des Landes an erneuerbaren Energien wächst und seine Infrastruktur im gleichen Maße zugänglich ist wie die Öl- und Gasinfrastruktur, könnte es „ein ebenso attraktives Ziel“ werden, sagten Singh und Hodgkinson. Bei jeder Infrastruktur besteht das Problem darin, dass es einen einzigen Fehlerpunkt gibt – also einen einzigen Fehler, der ausgenutzt werden kann und dazu führt, dass ein ganzes System nicht mehr funktioniert.

Singh und Hodgkinson sagen, sie seien „vorsichtig optimistisch“, weil die Infrastruktur für erneuerbare Energien von Natur aus weniger zentralisiert sei als die Infrastruktur für fossile Brennstoffe. Außerdem ist es in der Regel mit Batterien und Energiespeichern ausgestattet, um Ausfallzeiten aufgrund von Einbruch der Dunkelheit oder Wetterbedingungen zu bewältigen, die im Gegensatz zu Systemen mit fossilen Brennstoffen Widerstandsfähigkeit gegen durch Ausfälle verursachte Störungen bieten, fügten sie hinzu.

Dies bedeute jedoch nicht, dass nicht alle Systeme für erneuerbare Energien derzeit große Schwachstellen hätten oder künftig nicht aufweisen werden, die Hacker ausnutzen könnten, um das System außer Gefecht zu setzen, sagten Singh und Hodgkinson.

Es spielen unzählige Faktoren eine Rolle. Wenn beispielsweise der Sektor der erneuerbaren Energien irgendwann monopolisiert oder von einer Handvoll Unternehmen dominiert wird, kann man laut Singh und Hodgkinson davon ausgehen, dass ein Cybersicherheitsvorfall das gesamte System des betroffenen Energieversorgers zusammenbrechen lassen könnte.

Für Paterson, CEO von Plurilock, bietet die Entstehung der Infrastruktur für erneuerbare Energien in Kanada eine Gelegenheit, die Messlatte für Cybersicherheit höher zu legen.

In vielen Fällen wird Cleantech von Grund auf entwickelt, und im Allgemeinen ist es viel einfacher, ein sicheres System zu haben, wenn man es von Anfang an unter Berücksichtigung von Sicherheitsstandards entwickelt, sagte Paterson gegenüber dem kanadischen National Observer.

„Es ist sehr schwierig, die Sicherheit im Nachhinein zu verbessern. Aus meiner Sicht stellen Cleantech und erneuerbare Energien tatsächlich eine Chance dar, das Netz besser zu sichern und zu härten“, sagte er. „Der Versuch, das alte Netz zu sichern, ist tatsächlich ein viel, viel schwierigeres Problem.“

Es wurden auch Bedenken hinsichtlich der Schwachstellen der Solarenergie geäußert.

Untersuchungen aus dem Jahr 2016 ergaben, dass Mängel in den Solarmodulen eines Unternehmens das Stromnetz anfällig für Hackerangriffe machen könnten, insbesondere durch die mit dem Internet verbundenen Wechselrichter der Module. Wechselrichter nehmen den von den Modulen erzeugten Strom auf und wandeln ihn so um, dass er im Stromnetz genutzt werden kann. Damals sagte ein anderer Forscher gegenüber der BBC, er glaube, dass das Risiko für die Stabilität des Stromnetzes vorhanden sei, wenn auch weniger extrem als in der Studie dargelegt. Nach Angaben des Unternehmens wiesen nur einige Wechselrichtermodelle Schwachstellen auf.

Als sie sieben Jahre später über diese Forschung nachdachten, sagten Singh und Hodgkinson, sie würden „Solarenergie nicht als anfälliger als andere Arten von Infrastruktur für erneuerbare oder fossile Brennstoffe herausstellen“, vor allem weil die Messlatte für Cybersicherheit für alle Energiearten ziemlich niedrig ist Infrastruktur.

Um Angreifer abzuschrecken, müsse die künftige Infrastruktur für erneuerbare Energien einer „energischen regulatorischen Durchsetzung“ unterliegen, behaupten sie.

Es gibt einige verschiedene, häufig verwendete Standards als Leitfaden für Cybersicherheitsmaßnahmen und Best Practices: nämlich einen internationalen Standard und einen US-Standard. Kanada hat einen nationalen Standard, aber das Land verlangt von kanadischen Unternehmen und Organisationen nicht, einen dieser Standards einzuhalten.

Ein mögliches Instrument zur Verbesserung der Cybersicherheit Kanadas ist Bill C-26, der versuchen würde, einen klaren Cybersicherheitsrahmen zu schaffen, der unter anderem von Betreibern wichtiger Cybersysteme in Sektoren wie Finanzen, Energie, Transport und mehr verlangt, einen zu schaffen Sie verfügen über ein Cybersicherheitsprogramm, um ihre Systeme zu schützen, mögliche Risiken zu verwalten, Vorfälle zu erkennen und etwaige Auswirkungen zu bewältigen. Es besteht die Verpflichtung für benannte Betreiber, alle Cybersicherheitsvorfälle „unverzüglich“ dem CSE zu melden und alle vom Gouverneur im Rat erlassenen Maßnahmen zum Schutz kritischer Cybersysteme einzuhalten.

Gemäß dem im Gesetzentwurf vorgeschlagenen Critical Cyber ​​Systems Protection Act wären Betreiber außerdem dauerhaft verpflichtet, „angemessene Maßnahmen zu ergreifen“, um Risiken zu begegnen, die sich aus ihrer Lieferkette oder der Nutzung von Produkten Dritter ergeben. Der Gesetzentwurf C-26 soll vom Ständigen Ausschuss für öffentliche Sicherheit und nationale Sicherheit geprüft werden. Es verlangt von den Betreibern nicht, einen bestimmten Cybersicherheitsstandard einzuführen. Neben Kanadas grundlegenden Leitlinien für das IT-Sicherheitsrisikomanagement verfügen die USA über ein eigenes ähnliches Rahmenwerk und es gibt auch einen anerkannten internationalen Cybersicherheitsstandard.

Die meisten Organisationen „verfolgen einen Ansatz, der diesen Standards ziemlich ähnlich ist“, sagte Paterson. Er sagt, dass es für größere Unternehmen eine Herausforderung sei, mehrere Standards in verschiedenen Märkten einzuhalten, daher wäre eine Vereinfachung und Angleichung an nur wenigen bestehenden Standards von Vorteil.

Aber auf der anderen Seite könnte es für kleinere Unternehmen mit weniger Ressourcen schwieriger sein, sich an diese Standards anzupassen, betonte Hodgkinson in einem Zoom-Interview.

Ein anderer Brancheninsider sagt, strenge Vorschriften für die Cybersicherheit seien von entscheidender Bedeutung, unabhängig von der Branche.

„Es geht nur ums Geld“ und darum, ein Gleichgewicht zwischen der Bewältigung von Risiken zu finden, ohne zu viel auszugeben, sagte Alex Dow, Chief Innovation Officer beim Cybersicherheitsunternehmen Mirai Security.

Unternehmen müssen gesetzlich Entscheidungen treffen, die für das Unternehmen am besten sind, nicht unbedingt für das Land, die Menschen und die Umwelt. Daher müssen Regierungen Vorschriften einführen und Unternehmen zwingen, Maßnahmen im öffentlichen Interesse zu ergreifen, sagte Dow.

Das Canadian Centre for Cyber ​​Security, Teil von CSE, arbeitet mit Partnern und Branchenverbänden im Energiesektor zusammen, um „Informationen zu Cyber-Bedrohungen auszutauschen und die Cybersicherheit und Cyber-Resilienz insgesamt zu stärken“, sagte Robyn Hawco von CSE Media Relations in einer Erklärung.

Auf die Frage nach energiebezogenen Beispielen nannte CSE zwei „laufende Kooperationen“, die auf dem Informationsaustausch basieren. Das Cybersicherheitszentrum und die Canadian Gas Association arbeiten gemeinsam am Blue Flame-Programm, das darauf abzielt, die Sicherheit von Gasliefersystemen in ganz Kanada zu stärken. Die andere Partnerschaft mit Ontarios Independent Electricity System Operator zielt darauf ab, Cybersicherheitsrisiken zu reduzieren und Einblicke und Analysen in den kanadischen Energiesektor bereitzustellen.

„Ich denke, dass wir uns bei der Cybersicherheitsversicherung ändern werden“, sagte Hodgkinson in einem Zoom-Interview.

„Wenn ich eine Versicherungsorganisation bin und … eine große Öl- und Gas- oder … Organisation für erneuerbare Energien versichern möchte, möchte ich sicherstellen, dass sie so viel wie möglich tut, um ihre Cybersicherheit zu stärken“, sagte er.

Südlich der Grenze betreiben die USA Forschungen zur solaren Cybersicherheit und haben 2020 einen Mehrjahresplan zur Verbesserung der Cybersicherheit in erneuerbaren Energiesystemen und anderen Bereichen veröffentlicht. Das Wind Energy Office verfügt außerdem über einen spezifischen Fahrplan für die Cybersicherheit in der Windenergie.

Singh und Hodgkinson sagen, dass Ammolite Technology in den meisten Fällen auf die USA setzt, um über die neuesten regulatorischen und technischen Entwicklungen im Bereich Cybersicherheit auf dem Laufenden zu bleiben, und weist darauf hin, dass es „an zuverlässigen und konsistenten Berichtsquellen“ für kanadische Cybersicherheitsentwicklungen mangelt.

– Mit Dateien von The Canadian Press

Natasha Bulowski / Local Journalism Initiative / Canada's National Observer