loader image

Wie kommt ein Windpark sicher an das Internet?

Die Cyberkriminalität wächst seit Jahren stetig. Allein in Deutschland fielen 2022 etwa 21 Mio. Menschen Betrügern zum Opfer (1). Dabei geht es vor allem um Erpressung durch Datendiebstahl, Kreditkartenbetrug oder das Hacken persönlicher Konten. Dies geschieht überall dort, wo Menschen mit Computern, Smartphones oder anderen IT-Geräten ins Internet gehen – sei es in Unternehmen, Behörden, Universitäten oder zu Hause. Privatpersonen können sich durch die Verwendung ausreichend langer und komplexer Passwörter, die regelmäßig geändert werden, schützen. Für verschiedene Konten sollten unterschiedliche Passwörter genutzt werden, die nur auf sicheren Webseiten eingegeben werden.
Doch wie sieht es mit der Anbindung eines modernen Windparks (WPs) aus? Auch dieser benötigt einen Internetzugang und ist den gleichen Risiken ausgesetzt wie andere Nutzende. Der Unterschied besteht darin, dass eine dezentrale Energieerzeugungseinheit mit mehreren MW Leistung weitaus sicherer mit der Außenwelt kommunizieren muss als der private Rechner zu Hause. Im Folgenden wird die zeitgemäße IT-Anbindung eines WPs beschrieben, um zu zeigen, wie Betreibende sich vor Cyberattacken schützen können und wie die aktuelle Gesetzeslage Einfluss hierauf nimmt.

IT-Infrastruktur eines WPs

Grundsätzlich stellt sich der Aufbau einer IT-Infrastruktur wie in Abbildung 1 dar.

Abbildung 1: Schema Internetanbindung mittels LTE (2)

Der WP erzeugt Energie, die über das Umspannwerk eingespeist und weitergeleitet wird. Auf der anderen Seite befindet sich das SCADA des WEA-Herstellers, das alles überwacht, steuert und einen Fernzugriff auf den Park ermöglicht. Der Zugriff erfolgt über einen vom Betreibenden bereitgestellten Router, der sich mittels LTE-Router mit dem Internet verbindet. Andere Möglichkeiten des Internetzugangs sind Glasfaser oder Satellit. Dieser Kundenrouter bildet das Herzstück der gesamten Kommunikation des WPs mit der Außenwelt.

Anforderungen an den Kundenrouter

Der BDEW (Bundesverband der Energie- und Wasserwirtschaft) hat 2018 auf Basis der aktualisierten Normen ISO/IEC 27002 (2013) und ISO/IEC 27019 (2017) ein Whitepaper über Sicherheitsanforderungen für IT- und Steuerungstechnik in der Energiewirtschaft veröffentlicht. In diesem „Best-Practice-Paper“ sind die Anforderungen an eine sichere und zukunftsorientierte Kommunikationsanbindung von Erzeugeranlagen aufgeführt, die auch bei Bestandsanlagen Anwendung finden sollten. Grundsätzlich sollten bei der Auslegung, der Einrichtung und dem Betrieb entsprechender Anbindungen mindestens folgende Prinzipien berücksichtigt werden (3):

1. Security-By-Design: Das Gesamtsystem und seine Komponenten sollen von Grund auf mit dem Fokus auf Sicherheit entwickelt werden. Angriffe und unberechtigte Handlungen werden explizit betrachtet, die Auswirkungen von Sicherheitsvorfällen minimiert. Dazu zählt, dass der Kundenrouter in einem abschließbaren Schrank im SCADA-Raum steht. Das System ist so ausgelegt, dass der Router nur Verbindungen von innen nach außen aufbaut.
2. Minimal-Need-To-Know: Jede Komponente und jeder Benutzende erhalten nur die Rechte, die für die Ausführung notwendig sind.
3. Defence-In-Depth: Sicherheitsrisiken werden durch gestaffelte, sich ergänzende Sicherheitsmaßnahmen begrenzt.
4. Redundanz: Das System ist so ausgelegt, dass der Ausfall einzelner Komponenten die sicherheitsrelevanten Funktionen nicht beeinträchtigt. In den meisten Fällen wird zur primären Internetanbindung noch eine sekundäre Verbindung, bspw. mittels LTE-Router oder Satellit hergestellt.

Neben den o. a. Sicherheitsprinzipien existieren weitere sinnvolle und ergänzende Designprinzipien, die ebenfalls berücksichtigt werden sollten, z. B. Access Control, Input Sanitization, Validation, Default Deny usw.. Insbesondere Access Control + Default Deny ermöglichen, den Zugriff auf Erzeugeranlagen ausschließlich auf bekannte Teilnehmende (White Listing) zu beschränken und alle anderen Zugriffe zu verweigern. Die genauen Details müssen projektspezifisch bewertet werden. Es liegt aber im Verantwortungsbereich des Betriebsmögliche Angriffe auf netzeinspeisende Infrastrukturen zu erkennen, zu dokumentieren und Schwachstellen zu beseitigen.

Praxisbeispiel:
Eine mögliche Dokumentation kann so aussehen, wie in Abbildung 2.


Abbildung 2: Kommunikationsdiagramm (eigene Darstellung)

Der betreiberseitig bereitgestellte Kundenrouter ist im Umspannwerk sicher installiert und baut primär über Glasfaser und sekundär über LTE-Router eine Internetverbindung auf. Beispielhaft sind die vom WP ausgehenden Verbindungen zu den Nutzern aufgezeigt. Klassischerweise gibt es einen VPN-Tunnel zum Hersteller der Windenergieanlage (WEA) für Fernwartung und Statuskontrolle. Die technische Betriebsführung benötigt Zugang zur Anlagenkontrolle. Der BNK-Lieferant betreibt sein Transpondersystem zur Erkennung von Luftfahrzeugen. Der Betreibende des Schattenwurfmoduls detektiert Umwelteinflüsse und stoppt bei entsprechenden Parametern die WEA. Der Direktvermarkter (DV) benötigt den Internetzugang zum Einsehen der Einspeisedaten.

Konsequenzen für den WP

Diese Überlegungen und technischen Vorgaben sollen Unbefugten den Zugang zu kritischer Infrastruktur verwehren. In den letzten Jahren gab es vermehrt Meldungen über Cybersicherheitsvorfälle bei großen Marktakteuren, wie der Deutschen Windtechnik (4), Vestas (5), ENERCON oder Nordex (6). In diesen Fällen waren keine WPs direkt betroffen, sondern nur die Hersteller bzw. die Vollwartungsunternehmen. Jedoch die Gefahr solcher Angriffe nimmt zu. Die Auswirkungen waren teils noch Monate später spürbar.

Wird von möglichen Cyberangriffen weggegangen, gibt es noch einen weiteren wichtigen Grund, den Betreibende von WPs nicht außer Acht lassen dürfen. Mit dem EEG 2023 wurde der §52 erweitert, in dem es um Zahlungen des Anlagenbetreibenden gegenüber dem Netzbetreibenden im Falle von Pflichtverstößen geht (7). Sollte die Regelung des WPs über die Fernwirktechnik durch die Direktvermarktung oder den Netzbetrieb gestört sein, ist der Netzbetrieb rechtlich verpflichtet eine Zahlung von der Windparkgesellschaft in Höhe von 10,00 € pro installiertem KW Leistung einzufordern. Das gilt dann für jeden Kalendermonat, in dem der Park nicht geregelt werden kann. Dabei ist der Zeitpunkt im Monat nicht definiert. Theoretisch könnte es den Fall geben, dass ein WP mit einer installierten Leistung von 45 MW am 30. Tag eines Monats eine Strafzahlung in Höhe von 450.000 € erhält und die nächste Rechnung über den gleichen Betrag zum 02. Tag des Folgemonats eingefordert wird.

Einen technischen Ausfall der Fernwirkanlage oder der Parksteuerung kann ein Anlagenbetreibender nicht verhindern, aber deutlich reduzieren, bspw. mit der oben beschriebenen Redundanz der Parkverbindung. Sofern der Betrieb nachweisen kann, dass alles umgesetzt wurde, um einen Ausfall zu vermeiden und es ein rein technisches Problem gab, gibt es eine Chance die Strafzahlungen zu verhindern. Grundsätzlich empfehlen wir eine regelmäßige Prüfung der Fernwirktechnik oder besser noch einer permanente Überwachung der IT-Infrastruktur. Über diese Monitoringsysteme kann dann eindeutig bewiesen werden, dass die Internetredundanz des Betreibenden funktioniert und ein WP aus einem anderen Grund nicht regelbar ist.
Im Jahr 2024 wurden bereits viele Windparkbetriebe angeschrieben, da festgestellt wurde, dass einige Parkregelungen nicht ordnungsgemäß funktioniert haben.
Teilweise finden wir noch immer recht alte Hardware in den WPs, wie z. B. ein Parkrechner aus dem Jahr 1995 (siehe Abbildung 3).


Abbildung 3: Parkrechner aus dem Jahr 1995 (eigene Aufnahme)

Fairerweise muss gesagt werden, dass eine Modemverbindung für Hacker kaum attraktiv ist, genau wie Faxgeräte. Diese sind inzwischen so selten geworden, dass es sich schlicht nicht lohnt, hier anzugreifen. Für das Auslesen der Windgeschwindigkeit und der Leistung reicht die Verbindung aus, jedoch steigen auch für die alten Anlagen die Vorgaben und damit auch der Datendurchsatz an.
Heutzutage benötigen deutlich mehr Dienstleistungsunternehmen direkten Zugriff auf den WP, bspw. aufgrund von Normativen oder Regulatorischen Vorgaben. Eine sichere Internetanbindung ist damit unumgänglich. Wer jetzt noch keine Übersicht über seine IT hat, sollte lieber früher als später mit der Modernisierung beginnen.

Fazit

Cybersicherheit im Bereich der Erneuerbaren Energien wird immer wichtiger. Auch beim Betrieb älterer Anlagen sollte dieses Thema nicht ignoriert werden. Sowohl die Gesetzeslage als auch die wachsende Cyberkriminalität machen eine sichere Internetanbindung unumgänglich.

Autor: Serkan Yetiskin

QUELLEN:


(1) Statista.com. Cyberkriminalität. Verfügbar unter: https://de.statista.com/statistik/kategorien/kategorie/21/themen/896/branche/cyberkriminalitaet/#overview (abgerufen am: 11.09.2024).
(2) IME Mobile Solutions. Fernsteuerung und -überwachung von Windkraftanlagen. Verfügbar unter: https://www.ime.de/wireless-communication/fernsteuerung-und-ueberwachung-von-windkraftanlagen/ (abgerufen am: 11.09.2024).
(3) BDEW (2018). Whitepaper über Sicherheitsanforderungen für IT und Steuerungstechnik in der Energiewirtschaft. Verfügbar unter https://www.bdew.de/energie/whitepaper-ueber-sicherheitsanforderungen-fuer-it-und-steuerungstechnik-der-energiewirtschaft/ (abgerufen am: 10.09.2024).
(4) Deutsche Windtechnik (2022). Cyber-Angriff auf Deutsche Windtechnik. Verfügbar unter: https://www.deutsche-windtechnik.com/news/aktuelles/detail/cyber-angriff-auf-deutsche-windtechnik/ (abgerufen am: 16.09.2024).
(5) Energie und Management (2021). Vestas wird Opfer eines Cyberangriffs. Verfügbar unter: https://www.energie-und-management.de/nachrichten/technik/detail/vestas-wird-opfer-eines-cyberangriffs-146653 (abgerufen am: 16.09.2024).
(6) Nordex-Online (2022). Update zum Cybersicherheitsvorfall. Verfügbar unter: https://www.nordex-online.com/de/2022/04/update-zum-cybersicherheitsvorfall/ (abgerufen am: 16.09.2016).
(7) § 52 EEG 2023

Soziale Medien

Follow us

4initia GmbH

Sponsor der FIS Juniorenweltmeisterschaft und Hauptsponsor des Skiverbands Sachsen

Pressekontakt

Torsten Musick
Managing Director

4initia GmbH
Reinhardtstr. 29
10117 Berlin
Germany

p:
+49 (0)30 27 87 807-0
f:
+49 (0)30 27 87 807-50

Weitere Informationen

Für weitere Fragen und Informationen stehen wir unter info@4initia.de gern zur Verfügung