World Wide War: Angriff aus dem Internet (German Edition)

für regelmäßige Inspektionen besitzt die FERC nicht genügend Personal. Die übergeordnete Behörde, das Energieministerium, hat immerhin zwei Experten für Cybersicherheit eingestellt, die überprüfen sollen, ob die Subventionen in Höhe von 3,4 Milliarden Dollar, die für das sogenannte Smart Grid vorgesehen sind, auch für neue, ausreichend gesicherte Programme verwendet werden.
    Das Smart Grid ist eine Initiative der Obama-Regierung, das Stromnetz noch stärker zu integrieren und zu digitalisieren. Energieunternehmen können das Geld für ihre Programme beim Energieministerium beantragen. Die beiden Experten werden überprüfen, ob in den Anträgen das Stichwort »Cybersicherheit« auftaucht. Wer diese Experten sind oder worauf sie bei der Cybersicherheit achten, gibt das Energieministerium nicht bekannt. Feste Standards existieren nicht. Wie also können wir erreichen, dass das amerikanische Stromnetz gleichzeitig digital und sicher ist?
    Ein erster Schritt wäre die Verabschiedung und Umsetzung strenger Vorschriften, damit die Energieunternehmen gezwungen sind, unerlaubte Zugriffe auf das Kontrollnetzwerk des Stromnetzes zu verhindern. Das bedeutet, dass es keine Verbindung zwischen Internet und Kontrollsystem gibt. Zusätzlich sollte an den Stellen, wo die Kontrollsysteme mit dem Intranet des Unternehmens verbunden sind, die gleiche Deep Packet Inspection durchgeführt werden, die ich für das Basisnetz der Internetdienstanbieter vorgeschlagen habe. Und um es einem Angreifer noch schwerer zu machen, müsste man die Kontrollsignale, die an Generatoren, Umspannwerke und andere Schlüsselstellen gesandt werden, codieren und authentifizieren. Die Verschlüsselung der Signale würde bedeuten, dass ein Angreifer, selbst wenn er sich in das System gehackt hätte, über einen Geheimcode verfügen müsste, um Befehle an einen Generator zu senden. Die Kommandos zu authentifizieren hieße, dass man sich identifizieren müsste, mit einer Art elektronischer »Signatur«, um sicherzustellen, dass der Befehl für den Generator oder das Umspannwerk von einer befugten Person kommt. Weil auch dann noch ein Teil des Netzes durch einen Hackerangriff lahmgelegt werden könnte, sollten bestimmte Schlüsselbereiche über ein alternatives Kommunikationssystem zur Übermittlung von Kommando- und Kontrollsignalen verfügen, damit man die Funktionsfähigkeit des Netzes so schnell wie möglich wiederherstellen könnte.
    Die Bedeutung eines Anschlags auf das Stromnetz wird oft kleingeredet. Ein ranghoher Regierungsbeamter sagte mir: »Es kommt ständig zu Stromausfällen. Nach ein paar Stunden gehen die Lichter wieder an.« Vielleicht aber auch nicht. Der Strom fließt nach ein paar Stunden wieder, wenn der Stromausfall durch ein Gewitter verursacht wurde. Wenn dahinter jedoch eine gezielte Absicht steht, wird sich der Stromausfall viel länger hinziehen. In einem Szenario mit wiederholten Stromausfällen, dem sogenannten »Repeated Smackdown Scenario«, wird das Stromnetz aufgrund eines Hackerangriffs lahmgelegt – und bleibt es über Monate. Wenn bei einem Anschlag wie beim Aurora-Experiment Generatoren zerstört werden, kann es bis zu sechs Monate dauern, bis man sie ersetzt hat, da es sich immer um Sonderanfertigungen handelt. Wenn das an vielen Orten gleichzeitig passiert, und dann noch einmal, wenn die Versorgung wieder hochgefahren wird, könnte die Wirtschaft empfindlich getroffen werden.Die Versorgung mit Lebensmitteln und anderen Waren käme zum Erliegen, und Fabriken müssten ebenso wie die Finanzmärkte geschlossen werden.
    Brauchen wir wirklich strengere Vorschriften? Müssen wir die Energieunternehmen zwingen, mehr Geld in die Sicherung ihrer Netzwerke zu investieren? Besteht wirklich ein realer Bedarf? Fragen wir einfach den Leiter des US Cyber Command, General Keith Alexander, den Mann, dessen Leute die Stromnetze anderer Länder angreifen würden. Er weiß, was wir anderen Staaten zufügen können – denkt er also, dass wir unser eigenes Stromnetz besser schützen sollten? Diese Frage wurde ihm bei einer Kongressanhörung im Jahr 2009 gestellt. Er antwortete: »Deshalb müssen die Energieunternehmen die Konfiguration ihrer Netzwerke ändern … Die Aufrüstung ihrer Netzwerke und die Verbesserung der Sicherheit bedeuten einen erheblichen Kostenaufwand … Und jetzt muss man sich durch die Regulierungsausschüsse arbeiten, um eine Gebührenerhöhung durchzusetzen, damit [die Energieunternehmen] ihre Netzwerke