Große Sicherheitslücken bei US-Energieversorger

Das Szenario scheint aus einem Hollywood-Film wie Stirb langsam 4.0: Cracker dringen in die Rechner eines Stromversorgers ein und schalten per Mausklick Millionen Menschen den Strom ab. Doch das ist keine Fiktion, sondern durchaus im Rahmen des Möglichen, wie das US Government Accountability Office (GAO) herausgefunden hat.

Nach einem Bericht der Kontrollbehörde weisen die Systeme der Tennessee Valley Authority (TVA) signifikante Sicherheitslücken auf. Das gelte, so das GAO, für das Firmennetz ebenso wie für die Systeme zur Steuerung der Kraftwerke und des Stromnetzes. Die staatliche TVA ist der größte Stromerzeuger der USA, der 8,7 Millionen Kunden im Südosten des Landes mit elektrischem Strom beliefert.

Die GAO-Ermittler fanden Sicherheitsmängel auf allen Ebenen. So fehlten auf diversen Arbeitsplatzrechnern wichtige Aktualisierungen von Sicherheitssoftware. Das Firmennetz war nur unzureichend geschützt, das System, das Eingriffe in das Netz registriert, war unzureichend. Auch die Systeme zur Steuerung der Kraftwerke und Netze wiesen eklatante Mängel auf. So waren dort Firewalls nicht richtig konfiguriert oder wurden gleich umgangen. Passworte wurden nicht wirksam angewendet. Außerdem fehlte ein effektiver Virenschutz.

Wie die GAO-Ermittler weiter feststellten, waren fehlende oder unzureichende Sicherheitsmechanismen nicht die einzige Schwachstelle bei der TVA. Das Unternehmen hatte zudem das an das Internet angeschlossene Firmennetz und Netz für die Steuerung der Stromerzeugungssysteme miteinander verbunden. Das erhöhe das Risiko, dass bei einem Angriff auf das Firmennetz "die Sicherheitslücken im Unternehmensnetz diese Kontrollsystreme in Mitleidenschaft ziehen" könnten. Die Systeme, die die kritischen Infrastrukturen der TVA steuern, seien deshalb dem "erhöhten Risiko unbefugter Eingriffe oder Störungen sowohl von innen aus als auch von außen" ausgesetzt, resümierte das GAO.

Grund für die Sicherheitslecks sei, dass die TVA "wichtige Elemente ihres Informationssicherheitsprogramms nicht lückenlos implementiert" habe. So fehlte etwa ein vollständiges Inventar der Kontrollsysteme. Die Unachtsamkeit war nach den Erkenntnissen des GAO nicht auf die Computer beschränkt. Auch die Einrichtungen der TVA waren häufig nicht adäquat gesichert.

Nach den Recherchen von Golem.de scheint das Sicherheitsbewusstsein deutscher Energieversorger deutlich stärker ausgeprägt. Zwar mögen sich die Stromerzeuger ungern in die Karten schauen lassen, der baden-württembergische Energieversorger EnBW erklärte gegenüber Golem.de jedoch, dass er seine Leittechnik vom Internet "komplett entkoppelt" habe. Dazu gehören alle IT-Systeme in den Kraftwerken, die für die Stromproduktion genutzt werden. Das sei, so EnBW, bei den Energieversorgern in dem südwestlichen Bundesland Standard. Insider sagen, die anderen großen Energieversorger handhabten das vergleichbar. Dort wo Verbindungen bestünden, würden diese sehr gut abgesichert.

Christoph Hübner, ein Sprecher des Bundesinnenministeriums, wies zudem daraufhin, dass die Energieversorger gesetzlich verpflichtet sind, die Stromversorgung zu gewährleisten und auch deshalb ihre Leitsysteme entsprechend sichern müssten. "Grundsätzlich gehen wir davon aus, dass die Stromversorgungssysteme in Deutschland sicher gegenüber IT-Angriffen sind", sagte Hübner gegenüber Golem.de.

Das GAO hatte die Sicherheitssysteme der TVA im Auftrag eines Ausschusses des US-Repräsentantenhauses überprüft. Das GAO ist eine dem Kongress unterstellte Kontrollbehörde, die nach eigenen Angaben überprüft, "wie die Bundesregierung mit dem Geld der Steuerzahler umgeht." Im April 2008 deckte die GAO auf, dass über die Webangebote von eBay und Craigslist brisante militärische Technik verkauft wird.