Die Bedrohung durch Cybercrime ist in den letzten Jahren stark gewachsen. Sie betrifft mittlerweile auch die Energieversorgung. So brachen kriminelle Hacker jüngst in die Rechner der Mainzer Stadtwerke und des Energieversorgers Entega ein, um Kundendaten zu erbeuten und im Darknet zu verkaufen. Andere sperrten Teile des internen Computernetzwerks der Donau-Stadtwerke gegen den Zugriff der Mitarbeiter, um sich die Freigabe teuer bezahlen zu lassen. Aber auch der Ukraine-Krieg hat das Risiko von Angriffen über das Internet deutlich steigen lassen.
Also müssen gerade Teile der kritischen Infrastruktur wie die Steuerung des Stromnetzes in Zukunft besser geschützt werden. Wissenschaftler der Fraunhofer-Gesellschaft haben dafür ein auf Künstlicher Intelligenz (KI) basierendes Abwehrsystem entwickelt.
Künstliche Intelligenz als Abwehrsystem
Das Team um den Wissenschaftler André Kummerow am Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung, Institutsteil Angewandte Systemtechnik (IOSB-AST) entwickelte deshalb eine Software, die speziell den Datenverkehr zwischen dem elektrischen Netz und dem Leitsystem schützt. Denn wenn es Eindringlinge schaffen, diesen Datenverkehr zu stören, drohen Krisensituationen bis hin zum Blackout. Genau das soll die neue Anwendung verhindern und speziell die so genannten Netzleitwarten schützen.
Die Netzleitwarten sorgen für den sicheren Betrieb unserer Stromnetze. In Deutschland gibt es um die 900 von ihnen. „Sie sichern rund um die Uhr und an sieben Tagen in der Woche den ordnungsgemäßen Netzbetrieb und sorgen für dafür, dass das Gleichgewicht aus elektrischer Erzeugung und Verbrauch aufrechterhalten wird“, beschreibt Kummerow ihre Aufgabe. Betreiber der rund 900 Netzleitwarten sind die Betreiber der verschiedenen Stromverteilungsnetze.
André Kummerow im Leittechnik-Labor des Fraunhofer IOSB-AST beim Test der KI-Algorithmen. Foto: Martin Käßler
Dort laufen täglich tausende von Daten und Messwerten ein. Anhand dieser Daten identifizieren die Operateure in der Leitwarte Probleme und entscheiden, welche Reaktionen nötig sind. Es ist also von entscheidender Bedeutung, dass die Daten jederzeit korrekt sind und auch die Kommunikationsverbindungen nach außen verlässlich arbeiten.
Was Künstliche Intelligenz leistet
Herkömmliche Angriffserkennungssysteme werten den Netzwerkverkehr aus. Die Fraunhofer-Anwendung geht darüber hinaus und erlaubt auch eine umfassende Analyse der Messwerte. Daraus können die Bediener wiederum Rückschlüsse auf den Zustand des Netzes ziehen und einschätzen, ob die einlaufenden Daten vertrauenswürdig sind. „Wir haben unsere Lösung speziell für Netzbetreiber entwickelt“, sagt Kummerow, „Sie bietet die Tiefenüberwachung der Kommunikation zwischen Leitwarte und elektrischem Netz und berücksichtigt die spezielle Infrastruktur aus Geräten, Sensoren und Überwachungsprotokollen.“ Die Stärke der KI liegt darin, dass sich die Anwendung das Verfolgen des normalen Datenverkehrs selbst beibringt und Anomalien eigenständig erkennt.
Tatsächlich sind Anomalien im Datenverkehr meist die ersten Hinweise auf einen Hackerangriff. Denn gängige Angriffsmuster beginnen damit, dass Hacker eine Spionagesoftware installieren, um ihr Ziel genauer auszuspähen. Meist gelingt ihnen das über so genannte Phishing Mails, die wie legitime Nachrichten erscheinen und zum erneuten Eingeben von Zugangsdaten oder zum Herunterladen eines wichtigen Plug-Ins auffordern. Eine andere Methode ist ’social engineering‘. Dann gibt sich ein Angehöriger der Gruppe als Mitarbeiter oder Kollege aus, und versucht telefonisch, an sicherheitskritische Informationen zu gelangen.
Cyberangriffe auf industrielle Steuerungssysteme
Angriffe von Hackern auf die Stromversorgung und auf industrielle Steuerungssysteme hat es bereits gegeben. In Teilen der Ukraine legten Hackergruppen, die wahrscheinlich für russisches Auftraggeber arbeiteten, mehrfach die Stromversorgung lahm.
Am 23. Dezember 2015 fiel in 225 000 Haushalten im Westen der Ukraine für rund sechs Stunden der Strom aus. Hacker waren in die Netzsteuerung des Stromanbieters Prykarpattyaoblenergo eingedrungen und hatten mit Hilfe des Schadprogramms „BlackEnergy“ die Steuerungsprogramme manipuliert. „BlackEnergy“ ist bereits seit 2007 in Gebrauch und war wohl ursprünglich ein reines Spionageprogramm. 2014 tauchte eine verbesserte Version auf, die Sicherheitslücken in den gängigen Steuerungsprogrammen ausnutzte, um diese zu manipulieren. Experten schrieben den Angriff der russischen Hackergruppe „Sandworm“ zu, die bereits seit 2007 wichtige Persönlichkeiten und Institutionen in der Ukraine attackiert.
Schadsoftware speziell für Stromnetze
Auf „BlackEnergy“ folgte 2016 „Industroyer“. Am 17. Dezember 2016 löste dieses Schadprogramm einen Stromausfall in Teilen von Kiew aus. Dieses Mal war das Ziel der Hacker lediglich ein Umspannwerk in der ukrainischen Hauptstadt gewesen. „Industroyer“ befällt industrielle Steuerungssoftware. In Kiew öffnete er alle digitalen Leistungsschalter auf einmal und widerstand auch Versuchen der Leitstandbesatzung, die Schalter wieder zu schließen. „Industroyer“ installiert eine so genannte ‚*Backdoor‘, eine Software, mit der Angreifer von außen das befallene Steuerungssystem beeinflussen können.
Im Gegensatz zur „BlackEnergy“-Malware verursacht „Industroyer“ echte Störungen industrieller Prozesse und ist zudem die erste Schadsoftware, die speziell auf elektrische Verteilernetze zugeschnitten ist. Das US-Sicherheitsunternehmen Dragon Inc., das den Vorfall untersuchte, schreibt „Industroyer“ der ebenfalls russischen Gruppe „Electrum“ zu. Zudem stufen Experten das Programm als besonders wirkmächtig ein.
„Triton“ wurde 2017 erstmals bei einem Angriff auf eine petrochemische Fabrik in Saudi-Arabien eingesetzt. Mit dieser Schadsoftware übernahmen Hacker die Kontrolle über die Sicherheitssysteme des Werks. Zum Glück sprach ein Schutzprogramm auf die fremde Software an und hielt im Juni 2017 die Produktion in der Fabrik an. Experten untersuchten das Problem und fanden heraus, dass die Hacker sich bereits seit 2014 in den IT-Systemen der Betreiberfirma bewegt hatten und auch Zugriff auf die Technologie zur Steuerung der Fabrik gehabt hatten. Über die firmeninterne IT fanden sie einen Weg in die digitale Steuerung der Fabrik selbst. Sie hätten die Sicherheitssysteme der Fabrik abschalten und dann einen massiven Störfall verursachen können.
Reaktion auf wachsende Gefahr
Für die Sicherheitsexperten war „Triton“ eine böse Überraschung. Es ist das erste Schadprogramm, das ohne Rücksicht auf Menschenleben geschrieben worden ist. Es soll industrielle Sicherheitssysteme stören oder gänzlich lahmlegen. Inzwischen schreibt das amerikanische FBI „Triton“ dem russischen Hauptinstitut für die wissenschaftliche Erforschung von Chemie und Mechanik zu, einer staatlichen Einrichtung. „Der Triton-Angriff steht für eine bemerkenswerte Verschiebung der Angriffe auf industrielle Steuerungssysteme, weil er erstmals materielle Schäden, Umweltschäden und den Verlust von Menschenleben in Kauf nimmt“, warnte das FBI im März 2022.
Die von Kummerow und seinem Team entwickelte Anwendung setzt zu dem Zeitpunkt an, an dem die Hacker ihre Spähsoftware platziert haben und damit beginnen, ihr eigentliches Ziel genauer auszuforschen. Weil die Anwendung KI-gestützt ist, lernt sie aus ihren Beobachtungen und erkennt auch bislang unbekannte Angriffsmuster. Das Fraunhofer-Team arbeitete rund vier Jahre an ihrer Anwendung und testete sie ausgiebig im institutseigenen Labor.