ist Informatiker, CISSP- und ISMS-Senior-Consultant mit mehr als 25 Jahren Erfahrung im Bereich der Informationssicherheit. Seit 2023 ist er Prokurist des Bremer Unternehmens Pure ISM, das sich auf maßgeschneiderte Lösungen zur Informationssicherheit für Wind- und Solarparks spezialisiert hat.
Marc Ratfeld: Was stimmt: Cyberkriminelle setzen Software ein, die schauen, ob die Systeme von Unternehmen gut geschützt sind oder ob sie Schwachstellen haben. Ist der Schutz gut und greifen die Sicherungsmaßnahmen, wird es keinen Angriff geben. Anders sieht es aus, wenn die virtuelle Erkundung ergibt: Es gibt Schwachstellen. Dann erfolgt mit ziemlicher Sicherheit ein Angriff.
ne: Ist den Betreibern von Windparks bewusst, wie gut – oder eben schlecht – ihre Anlagen gegen Cyberangriffe gesichert sind?
Ratfeld: Viele Betreiber legen großen Wert auf IT-Sicherheit und kümmern sich darum, immer auf dem neuesten Stand zu sein. Doch es gibt auch andere, die sich einreden: Ich bin so klein, da bin ich doch gar nicht interessant für Hacker.
ne: Sind denn die Kleinen tatsächlich uninteressant für Hacker?
Ratfeld: Für Hacker sicherlich, aber um die geht es nicht. Das ist ein häufiges Missverständnis: dass auf der anderen Seite reale Menschen sitzen, die mit Tricks die Firewalls und andere Verteidigungslinien überwinden wollen. Das entspricht allerdings überhaupt nicht der Realität.
Ratfeld: Das Hacking ist längst automatisiert. Eine Software sucht nach Systemen, die bekannte Schwachstellen haben. Ob sie bei einem Krankenhaus, einer Kfz-Werkstatt oder einem Windpark ausfindig gemacht werden, ist völlig egal. Es geht nur ums Business, um die Erpressbarkeit. Und da gibt es kein zu klein. Die Botschaft der Cyberkriminellen lautet: Wenn du weiter Geld verdienen willst, musst du uns etwas davon abgeben – andernfalls legen wir dich lahm.
ne: Sind Betreiber von Windenergieanlagen eher gut oder eher schlecht vor solchen Cyberattacken geschützt?
Ratfeld: Viele wiegen sich in falscher Sicherheit, da sie nicht verinnerlicht haben, dass Angriffe komplett automatisiert ablaufen. Da sitzt, wie gesagt, kein Mensch. Der Software ist es egal, ob sie eine Schwachstelle in einem Konzern entdeckt oder bei einem Bauern mit drei Windrädern. Die Software meint es nicht persönlich.
ne: Dabei liegt der Gedanke durchaus nahe, dass alles, was Energie erzeugt, besonders im Fokus von Hackern liegen könnte.
Ratfeld: Zwar werden nur selten bestimmte Unternehmen bewusst ins Visier genommen, aber es gibt eine Ausnahme: die kritische Infrastruktur, zu der auch die Energieerzeuger zählen. Dass Kritis-Unternehmen und -Institutionen besonders bedroht sind, ist längst nicht mehr abstrakt – das ist tägliche Realität.
ne: Welches sind die häufigsten Schlupflöcher, die von der automatisiert suchenden Software erkannt und genutzt werden?
Ratfeld: Am anfälligsten sind Systeme, die nicht auf dem neuesten Stand der Technik sind. Manchmal wollen Betreiber Geld sparen, manchmal sind entsprechende Updates gar nicht vorgesehen. Oder die Betreiber wissen nicht mehr, welche Komponenten vor fünf, zehn oder zwanzig Jahren verbaut wurden. Damit öffnen sich Einfallstore.
ne: Macht es einen Unterschied, ob die genutzte Software aus Europa oder aus anderen Ecken der Welt stammt?
Ratfeld: Teils lässt sich bei Produkten aus China – aber ebenso aus den USA – nicht erkunden, welche Komponenten verbaut worden sind. Da ist Vertrauen gefragt – oder besser Misstrauen.
Ratfeld: Es beginnt häufig damit, herauszufinden, welche Systeme man überhaupt am Laufen hat. Manchmal liegen da Handbücher herum, die seit zehn Jahren verstauben, weil sich niemand für die IT-Sicherheit interessiert hat. Wenn jahrelang kein Update aufgespielt wurde, sagt einem schon der gesunde Menschenverstand: Das war keine gute Idee, das sollte ich schnellstmöglich ändern.
ne: Und dann wird‘s teuer?
Ratfeld: Nicht unbedingt. Mein Vorschlag für Windparkbetreiber lautet: Sich mit anderen Betroffenen austauschen – mitunter ist die Lösung ganz einfach. Teuer wird es, wenn ein komplett neues System gekauft wird oder große Teile der bestehenden Systeme ausgetauscht werden. Das ist allerdings häufig nicht notwendig: Lösungen um die angreifbaren Komponenten herumzubauen, kann eine kostengünstige Alternative sein.
