Stromversorgung und Cybersicherheitsrisiken: Ein oft vernachlässigtes Problem

In vielerlei Hinsicht funktioniert unsere Welt wie ein global vernetztes digitales System. Sowohl große Rechenzentren als auch einzelne Geräte zur Spannungskompensation sind heute Schlüsselelemente des Internets der Dinge (IoT) sowie des industriellen Internets der Dinge (IIoT). Moderne Stromversorgungen (PSUs) nehmen in der Infrastruktur eine einzigartige Stellung ein: Sie versorgen nicht nur das Internet der Dinge (IoT) mit Strom, sondern sind selbst Teil davon.

Kommerzielle und industrielle Stromversorgungen sind komplex. Netzwechselstrom wird mithilfe von Hochspannungsstromversorgungen auf AC oder DC mit 120 bis 480 Volt transformiert. Geräte-Racks verwenden häufig 48-Volt-Rack-Bus-Stromversorgungen, wobei In-Rack-Einheiten die Spannung für einzelne Komponenten auf 12,5 oder 3,3 Volt umwandeln. Unterbrechungsfreie Stromversorgungen (UPSs) und Notstromaggregate können an mehreren Stellen im System betrieben werden. Jede dieser PSUs bzw. UPSs können mit dem Internet verbunden werden. Die neuen Stromversorgungen sind mit internetbasierter Fernverwaltung sowie Funktionen zur Überwachung und Erfassung von Lebenszyklusdaten ausgestattet. Die fortschrittlichsten Modelle erfassen zudem detaillierte Telemetriedaten und erlauben eine Feinabstimmung sowie Optimierung der Stromversorgung durch deren Fernüberwachung über das Internet.

Ein über das Internet verbundenes Stromversorgungssystem ermöglicht Wartungsteams Folgendes:

• Vergleich des tatsächlichen Stromverbrauchs mit dem budgetierten Verbrauch und Abschalten nicht benötigter Geräte
• Überwachung von Schutzschaltern und Einhaltung von Grenzwerten
• Verfolgung und Vergleich einzelner Lasten
• Anpassung der Leistungsstufen zum Ausgleich höherer Lasten

Der Fernzugriff gestattet eine effizientere zentrale Steuerung, führt jedoch auch zu Schwachstellen in der Cybersicherheit. Diese entstehen sowohl durch zentralisierte Netzwerkangriffsvektoren als auch durch einzelne Knotenangriffsvektoren.

Zwar wurde bereits viel über Cybersicherheitsrisiken auf Ebene der elektrischen Infrastruktur geschrieben, jedoch stellen auch interne Stromversorgungssysteme eine erhebliche Gefahr dar. Eine vernetzte Stromversorgung fungiert im Wesentlichen als IoT-Knotenpunkt. Kommerzielle oder industrielle Modelle integrieren zunehmend netzwerkfähige SPS (Speicherprogrammierbare Steuerungen) und fortschrittliche Sensoren, um die Betriebseffizienz zu steigern. Wenn sie nicht ordnungsgemäß gesichert sind, sind Stromversorgungen genauso anfällig für Missbrauch wie jedes andere vernetzte Gerät. Sie können direkte Ziele von Cyberangriffen auf die Infrastruktur sein. Ein ungesicherter Sensor oder eine ungesicherte SPS kann hingegen die Schwachstelle eines IoT-Geräts darstellen und die gesamte Installation gefährden. Sobald Angreifende eingedrungen sind, können sie die Stromsteuerung stören oder sich in weitere Unternehmensnetzwerke vorarbeiten.

Sönke Rogalla, Leiter der Abteilung Leistungselektronik und Netzintegration am Fraunhofer-Institut für Solare Energiesysteme (ISE) in Deutschland, hat Bedenken hinsichtlich der Millionen aktiver softwaregesteuerter Solarwechselrichter geäußert, die landesweit installiert sind. Viele von ihnen verfügen nur über minimale Sicherheitsvorkehrungen und sind weiterhin an das nationale Stromnetz angeschlossen. Dadurch entsteht ein Szenario, in dem ein koordinierter Cyberangriff das Stromnetz des Landes gefährden könnte.

In der Regel konzentriert sich die Cybersicherheitspolitik von Regierungen und Aufsichtsbehörden auf die Cybersicherheit auf Infrastruktur- und Netzebene. Dabei wird die Verantwortung für den Schutz auf PSU-Ebene den Entwicklungsteams von Stromversorgungsgeräten, Embedded-Ingenieur- und Systemarchitekturteams übertragen. Für Systementwicklungsteams und Betreiber kritischer Infrastrukturen muss die Cybersicherheit jedoch höchste Priorität haben. Sicherheitsmaßnahmen sollten auf allen Ebenen des Systems integriert sein – vom Mikrocontroller bis hin zu den Stromsteuerungssystemen des Master-Servers.

Jedes Subsystem sollte auf potenzielle Schwachstellen überprüft werden. In die Konzeption und Prüfung der Sicherheit aller vernetzten Geräte müssen Fachkräfte mit Expertise im Bereich der Cybersicherheit einbezogen werden. Wenn möglich, sollten Geräte fest verdrahtet sein, da drahtlose Verbindungen ein höheres Risiko bergen. Auch die physische Sicherheit spielt eine Rolle: Details wie MAC- und IP-Adressen sollten niemals in öffentlichen Materialien erscheinen oder ungeprüften Mitarbeitenden oder Besucherinnen und Besuchern der Website zugänglich gemacht werden.

Die Internetkonnektivität moderner PSUs bietet Vorteile wie höhere Effizienz, verbessertes Management und größere betriebliche Flexibilität. Mit zunehmender Vernetzung steigt jedoch auch das Risiko von Cyberangriffen. Ist diese Konnektivität nicht angemessen gesichert, birgt sie erhebliche Risiken für die Cybersicherheit und die Stromversorgungssicherheit – sowohl auf Ebene einzelner Systeme als auch in kritischen Infrastrukturen.

Die Sicherheit der Stromversorgung ist heute ein entscheidender Faktor, sowohl für die Intelligenz innerhalb der Stromversorgungsgeräte als auch für die gesamte Systemarchitektur. Mit einem System-Cybersicherheitsplan, der sowohl die Sicherheit auf Installations- als auch auf PSU-Ebene berücksichtigt, können Betreiber die Vorteile der Fernüberwachung und -optimierung der Stromversorgung nutzen und gleichzeitig verhindern, dass das Stromversorgungssystem zu einem potenziellen Angriffsvektor für Netzwerke wird.