Es war zappenduster, so kurz vor Weihnachten: Am 23. Dezember 2015 hatten Hunderttausende Haushalte in der Ukraine stundenlang keinen Strom. Hacker waren in die Rechner eines Versorgers eingedrungen, wie Sicherheitsfirmen kurz darauf herausfanden. Beschäftigte hatten Mails einer vermeintlichen Parlamentsadresse geöffnet - und sollten in der angehängten Datei bestimmte Programmcodes aktivieren. Tatsächlich ließen sie damit Angreifer ins Netz. Fatale Klicks.
So speziell die Lage in der Ukraine - allen voran wegen des Konflikts mit Russland - auch ist: "Jeden Tag gibt es unzählige Angriffe auf Energieversorger und Energienetze, die wir in Deutschland bisher glücklicherweise abwehren konnten", sagt Hildegard Müller, Vorstandsmitglied von Innogy. "Diese Attacken werden aber immer professioneller und gefährlicher", warnt sie. Das Essener Unternehmen ist einer der größten Betreiber von Verteilnetzen in Deutschland. Es verkauft Strom und Gas an 22 Millionen Kunden in Europa.
Hacker greifen die US-Stadt Baltimore an - mit Software, die die NSA entwickelt hat. Experten warnen seit Jahren vor staatlichen Cyberwaffenarsenalen.
Von der Digitalisierung erhoffen sie sich zwar viel bei Innogy. Doch Müller mahnt zugleich: "Alle Beschäftigten müssen verstehen, dass wir angreifbarer werden." Der IT-Verband Bitkom schätzte den Schaden, den der Industrie in Deutschland durch Cyberattacken entsteht, zuletzt auf 43 Milliarden Euro pro Jahr. Kleine und mittelgroße Firmen fürchten derzeit kein Risiko so sehr wie Hackerangriffe, meldete kürzlich die Gothaer Versicherung. Unvergessen etwa das Schadprogramm "Wannacry", das vor zwei Jahren die Rechner von gut 100 000 Unternehmen weltweit kaperte. Davor sind auch Versorger nicht gefeit.
"Wir müssen immer wieder trainieren, auf solche denkbaren Attacken zu reagieren", sagt Müller. Während Netzbetreiber ihre Leitwarten früher eher physikalisch absichert hätten, "müssen wir sie heute auch gegen Cyberattacken schützen."
Mitarbeiter üben Stressszenarien
Das beginnt damit, dass Innogy eine halbe Million Phishing-Mails verschickt hat - an die eigenen Beschäftigten. "So wollen wir darauf hinweisen, dass man auch im Dienst niemals Mails mit Anhängen von unbekannten Absendern öffnen sollte", sagt Müller. Alleine mit Achtsamkeit könne man mutmaßliche Attacken abwehren.
Zudem errichtet Innogy ein Trainingszentrum in Essen, das im Juli eröffnen soll. Dort will die Firma Cyberangriffe auf ihr Netz simulieren - sowie die Arbeit unter körperlichem und psychischem Druck: Systeme fallen aus, Telefone funktionieren nicht, das Licht geht aus, die Heizung steuert hoch. Mal sind Mitarbeiter im roten Team der Angreifer, mal im blauen des Betriebspersonals, mal im weißen der Manager. Das Fachwort lautet "War-Gaming": Man spielt den Cyberkrieg.
Und zwar in einer Umgebung, die der Realität nahekommt, sagt Müller: Das Zentrum bilde echte Leitsysteme, samt Infrastruktur und IT, nach. "Den Beschäftigten hilft es im Ernstfall, wenn die Stresssituation vorher mal geübt wurde." Insgesamt sind 120 Mitarbeiter von Innogy mit Cyber- und Datensicherheit befasst.
Als besonders kritisch gelten in dem M-Dax-Unternehmen die Verteilnetze, die Strom von großen Überlandleitungen zu den Häusern transportieren, denn: "Wenn in Deutschland der Strom ausfällt, erzeugt das in kurzer Zeit drastische Probleme", so Müller. Und die Versorgungssicherheit werde immer wichtiger, je mehr Lebensbereiche vom Strom abhängen - wenn beispielsweise mehr und mehr Wärmepumpen alte Ölheizungen ersetzen oder die Abhängigkeit vom Mobilfunk weiter steigt.
Zwar seien die Stromausfallzeiten hierzulande nach wie vor sehr gering, sagt Müller. Blackouts ließen sich auch nicht immer auf einen einzigen Auslöser zurückführen. "Doch feststeht: Die Ursachen müssen nicht immer Wetterereignisse sein, wie kürzlich ein Sturmtief Eberhard." Je digitaler und dezentraler die Energiewelt werde, desto anspruchsvoller sei es, das Netz stabil und die Versorgung sicher zu halten.
Jede neue Wind- und Solaranlage ein potenzieller Angriffspunkt
Mit der Energiewende gehen mehr Wind- und Solaranlagen ans Netz, deren Leistung auch je nach Wetter schwankt. "Ohne Schutzmechanismen ist jede neue Anlage ein potenzieller Angriffspunkt für Hacker", warnt Müller. Umso mehr Sicherheitssysteme brauchen die Netzbetreiber. Falls ein Cyberangriff erfolgreich wäre, habe die dezentrale Welt aber auch einen Vorteil: Dann könnten sich einzelne "Netzinseln" aus dem großen Verbundnetz lösen, sagt Müller. "So wäre die Stromversorgung schneller wiederherzustellen, als dies früher mit zentralen Großkraftwerken möglich gewesen wäre."
Doch wer ist eigentlich der Feind im Cyberkrieg? "Es gibt unterschiedliche Motive, warum Menschen unser Netz angreifen", so Müller. Die 51-Jährige verweist auf Leute, die sich einen Spaß daraus machten, Firewalls zu knacken; zudem auf Profigruppen, die Geld verdienen wollen. "Und wir müssen davon ausgehen, dass auch Auseinandersetzungen zwischen Staaten zunehmend auf dieser Ebene ausgetragen werden." Innogy könne die Herkunft von Angriffen nur teilweise nachverfolgen.
Die Tochterfirma von RWE gibt jährlich einen zweistelligen Millionenbetrag für Cybersicherheit aus. Innogy kann einen Teil dieser Kosten, der unmittelbar für die Netzsicherheit anfällt, über die regulierten Entgelte auf alle Stromkunden umlegen. Diese Ausgaben fürs Netz sind aber insgesamt gedeckelt; der Staat gibt vor, dass die Betreiber von Jahr zu Jahr effizienter werden und Kosten sparen sollen. Müller fordert, dass der Bund wenigstens für Cybersicherheit steigende Ausgaben anrechnen sollte: "Je schneller die Energiewelt digital wird, desto schneller erhöht sich dieser Betrag." Das Netz- und Vertriebsgeschäft von Innogy soll in diesem Jahr an den Konkurrenten Eon übergehen; allerdings hat die EU-Kommission diesen milliardenschweren Tausch mit RWE noch nicht genehmigt.
In jedem Fall will Innogy das neue Trainingszentrum auch für Stadtwerke und andere Netzbetreiber öffnen. Als großes Unternehmen könne man sich solche Investitionen leisten. "Cybersicherheit könnte eines Tages ein Geschäftsfeld dieses Unternehmens werden, wenn wir solche Trainings auch Dritten anbieten", sagt Müller. "Interessenten gibt es jedenfalls viele."