Für Betreiber von Offshore Windparks steht die IT-Sicherheit angesichts der hohen Investitionskosten in direktem Zusammenhang mit physischen Sicherheitsrisiken. Mit der zunehmenden Digitalisierung steigt die Gefahr
Die Stromproduktion und damit auch der Erlös hängen für die Windparkbetreiber direkt mit der Verfügbarkeit der IT-Systeme zusammen. Lag[ds_preview] der Sicherheitsfokus in der Branche lange auf Bereichen wie Brandschutz, Arbeitsschutz und Lebensrettung, drängt sich das Thema immer mehr auf. Zwar gab es bisher noch keine direkten, erfolgreichen Cyber-Angriffe auf Windparks – zumindest keine, die bekannt geworden wären. Vor einem Jahr mahnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Energiebranche in Deutschland aber, ihre Systeme besser zu schützen. Bisher ist es Hackern nur gelungen, die Verwaltungsnetzwerke von Energiekonzernen in Deutschland einzudringen. Mit der zunehmenden Digitalisierung und Vernetzung steigt das Risiko.
Der Cyberangriff auf Maersk, der unter anderem mehrere Terminals der Reederei lahmgelegt und für einen Schaden von vermutlich hunderten Millionen von Euro gesorgt hatte, wurde auch in der Offshore-Wind Branche als Signal gesehen. Ausgesetzt ist der Sektor Cyber-Angriffen wie jede andere Branche. Die Vorfälle reichen von Spam über Social Engineering hin zur Spionage und Hacking-Versuchen, heißt es auf Anfrage beim Bundesverband der Windparkbetreiber Offshore (BWO). Nicht zuletzt aufgrund einer eventuellen Einstufung als kritische Infrastruktur würden auch ohne gesetzlichen Zwang bereits heute Vorkehrungen in technischen, personellen und prozessualen Bereichen getroffen, um Angriffen auf die IT-Systeme zu begegnen. »Cyberangriffe die zum Beispiel zu Ertragsausfällen geführt haben sind aktuell jedoch nicht bekannt«, so der Verband.
Das berichtet auch der spanische Energiekonzern Iberdrola, der mit »Wikinger« vor der deutschen Küste einen Windpark betreibt. Für die Spanier steht das Thema IT-Sicherheit angesichts der hohen Investitionskosten für Offshore-Windanlagen in direktem Zusammenhang mit physischen Sicherheitsrisiken. Diese seien für Offshore-Anlagen aber nicht viel anders als für andere Anlagen zur Energieerzeugung. Ein Fokus liege auf der Versorgungssicherheit.
Anders als bei Kraftwerken an Land, liegen Meereswindparks aber nicht selten in der Nähe viel befahrener Schifffahrtskorridore. Auf die Frage nach der Sicherheit des Schiffsverkehrs erklärt ein Sprecher von Iberdrola: »Wegen der Herausforderungen im Zusammenhang mit dem Betrieb und der Wartung in dieser Branche implementieren wir verstärkte Sicherheitsmaßnahmen, um die Zuverlässigkeit und Verfügbarkeit zu gewährleisten. Allerdings ergeben sich daraus keine spezifischen Cyber-Security-Anforderungen, die wir nicht auch bei anderen Technologien berücksichtigen müssen.
Wegen der Risiken die mit einem erfolgreichen Cyber-Angriff verbunden wären, rückt auch das Thema der Versicherung gegen solche Vorfälle in den Fokus. »Es gibt noch keine Standards auf dem Markt, also muss die Versicherung einzeln mit dem Versicherungsunternehmen verhandelt und die verschiedenen Risikoszenarien ausgearbeitet werden, um mögliche Schäden und Deckungssummen zu beziffern«, heißt es.
»Wir verfügen unternehmensweit über starke Cybersicherheitsrichtlinien und -regeln, die auf internationalen Standards und Best Practices basieren und die Bereiche Risikoidentifikation, -schutz, -erkennung und -reaktion abdecken. Das betrifft nicht nur die Technologie, sondern auch die Prozesse und die Menschen und fördert eine starke Cyber-Sicherheitskultur im gesamten Unternehmen. Daher umfasst unsere Strategie alle Bereiche, von der Mitarbeiterschulung bis hin zur Implementierung einer spezifischen technologischen Lösung oder der Bewältigung von Risiken Dritter/Lieferketten«, so Iberdrola.
Das Thema ist allerdings keines, worüber man gern in der Öffentlichkeit spricht. So wollte man sich beim deutschen Energiekonzern E.On, der den Offshore-Windpark »Amrumbank West« (288 MW) und zusammen mit EWE und Vattenfall »Alpha Ventus« (60 MW) betreibt, auf Anfrage der HANSA zu dem Thema nicht äußern. Ähnlich reagieren immer wieder auch Unternehmen in anderen Bereichen der maritimen Branche auf die Bitte um Informationen zu ihren Anstrengungen im Bereich Cyber Security: zu dem offenbar sehr sensiblen Thema will man so wenige Informationen wie möglich an die Öffentlichkeit geben.
