Versteckte Cyberrisiken für den globalen Markt von Energiespeichersystemen (BESS)

Cybergefahren betreffen heute nahezu jedes Unternehmen. Für bestimmte Branchen ist das Risiko jedoch besonders hoch ­– und mit weitreichenden Folgen im Schadenfall behaftet. So stellt das Fehlen einer robusten Cybersicherheit für kritische Betriebstechnologien (OT) eine enorme Schwachstelle bei Batterie-Energiespeichersystemen (BESS) dar. Denn: Cyberangriffe auf BESS-Anlagen können nicht nur Datenverluste und physische Schäden, sondern sogar  katastrophale “Thermal Runaway“-Ereignisse zur Folge haben.

Eigentümer und Betreiber von Anlagen auf dem wachsenden Markt für Batteriespeichersysteme müssen heute jederzeit mit neuen Cyberbedrohungen rechnen und sollten daher dringend ihre Cyberresilienz überprüfen und erforderlichenfalls an den neusten Sicherheitsstandard anpassen. Im Zuge der Digitalisierung des Energienetzes haben auch die Aon Cyberexperten die in den BESS-Steuerungssystemen verwendeten Betriebstechnologien als „unsichtbare“ Schwachstelle identifiziert, die von zunehmend professioneller agierenden Cyberkriminellen ausgenutzt werden kann.

Cyberangriffe verkörpern heute die größte Bedrohung für Unternehmen

Cyberangriffe gehören heute und in Zukunft zu den größten Bedrohungen für Unternehmen. Insbesondere Energieunternehmen sehen sich dabei mit einer immer komplexer werdenden Cyberrisikolandschaft konfrontiert, wobei neue Formen der Volatilität und die aktuellen geopolitischen Spannungen dazu führen, dass die Sicherheit der wesentlichen Energieinfrastrukturen immer genauer ins Blickfeld von Cyberkriminellen gerät.

Dem Energy Storage Market Outlook von BloombergNEF (BNEF) zufolge werden die Energiespeicherinstallationen bis Ende 2030 weltweit kumulativ 508 GW oder 1.432 GWh erreichen. Dieses Wachstum geht Hand in Hand mit der zunehmenden Digitalisierung des Energiesystems. Die digitalen Entwicklungen führen aber auch dazu, dass OT-Anlagen mehr denn je miteinander verbunden sind. Dadurch ergeben sich zahlreiche neue noch unbekannte Risiken. Zunächst lässt sich beobachten, dass die OT versucht, in Sachen Cybersicherheit gegenüber der Informationstechnologie (IT) aufzuholen. Doch während es für die IT inzwischen verbreitet adäquate Cybersicherheitsprogramme und Kontrollmechanismen gibt, bestehen mit Blick auf die OT weiterhin – häufig unbewusste – Kontrollücken.

„OT-Umgebungen fallen in der Regel nicht in den Zuständigkeitsbereich der IT und häufig auch nicht in den des CISOs. Sie sind daher für das Cyberrisikomanagement im Unternehmen größtenteils „unsichtbar“. Erschwerend kommt hinzu, dass OT-Systeme meist erheblich längere Lebenszyklen durchlaufen als IT-Systeme. Während letztere regelmäßig aktualisiert werden, halten Hersteller von OT-Systemen, die in einer für das Internet zugänglichen Umgebung eingesetzt werden, meist nicht mit der Entwicklung von Schadsoftware der Cyberkriminellen Schritt.“

Thomas Pache, Head of Cyber Solutions D-A-CH bi Aon

Besonders komplex: Energiespeichersysteme

Gerade bei Energiespeichersystemen kommt ein Risiko selten allein. Vielmehr haben Betreiber es hier mit einer Vielzahl verzahnter Bedrohungen zu tun, welche wiederum das Gesamtrisiko des Unternehmens betreffen. Denn damit BESS überhaupt Zuverlässigkeit und Netzstabilität effektiv gewährleisten können, müssen sie zunächst vollständig in die Stromnetzarchitektur integriert werden. Eine solche Integration erfordert die Einführung einer umfangreichen Kommunikationsinfrastruktur, die die potenzielle Angriffsfläche für Cyberangriffe jedoch abermals vergrößert.

Bisher gab es glücklicherweise erst eine Handvoll erfolgreicher Angriffe auf saubere Energiesysteme. Doch von einer Kehrtwende ist auszugehen. So tauchten 2022 bereits neue Formen besorgniserregender Malware auf – darunter „Pipedream“ von Chernovite –, welche eine erhebliche Bedrohung für industrielle Kontrollsysteme, die mit dem Energienetz verbunden sind (einschließlich BESS), darstellen.

Aus diesem Grund sollten auch Besitzer von BESS-Anlagen, die bereits über robuste IT-Sicherheitsmaßnahmen verfügen, diese regelmäßig auf möglicherweise wesentliche Schwachstellen in ihren OT-Systemen überprüfen. Dabei gilt es zu beachten, dass betriebliche Systeme oft Sicherheitseinschränkungen haben, die regelmäßige Updates verhindern. Gleichzeitig bedeutet die Lebensdauer von Betriebsanlagen, dass auch die Lebenszyklen von Komponenten länger sind als beispielsweise in der IT-Welt. Darüber hinaus kann es Lücken bei der Überprüfung von Schwachstellen und der Verwaltung von Kontrollen zum Schutz von Anlagen vor digitalen Bedrohungen sowie bei der Implementierung und Verwaltung wirksamer Kontrollen geben. Werden solche Lücken in der Cybersicherheit für OT von Cyberkriminellen ausgenutzt, können die Folgen die Auswirkungen eines Cyberangriffs auf IT-Systeme bei Weitem übertreffen und schließlich zu schwerwiegenden betrieblichen, finanziellen und physischen Auswirkungen für die Eigentümer von BESS-Anlagen führen.

„Lithium-Ionen-Batterien (Li-Ion) ­– die derzeit am häufigsten in BESS verwendet werden – erfordern eine sorgfältige Überwachung und Kontrolle ihrer Spannungs-, Strom- und Temperaturbedingungen. Wenn Cyberkriminelle in diese Überwachung und Kontrolle eingreifen, kann es zu fatalen Schäden wie einer Degradierung der Batteriezellen durch Überladung, eine Überentladung oder auch einem ‚thermischen Durchgehen‘ mit Überhitzung, Feuer oder Explosion kommen.“

Michael Wolter, Managing Director Engineering bei Aon

Aon unterstützt Betreiber von BESS-Anlagen bei neuen Herausforderungen

Angesichts dieser potenziellen Risiken sollten Eigentümer von BESS-Anlagen ihre Cybersicherheitsstrategien bereits jetzt vorsorglich stärken, bevor ein größerer Cyberangriff den gesamten Sektor beeinträchtigen kann. Eine nachhaltige Cyberresilienz hängt von der Fähigkeit der Unternehmen ab, ihre Risiken kontinuierlich zu bewerten, zu mindern und zu transferieren sowie sich von betrieblichen und finanziellen Verlusten zu erholen. Diese Fähigkeiten sind auch von entscheidender Bedeutung, um den individuellen Reifegrad zu erhöhen. Dieser stellt eine Voraussetzung dafür dar, angemessenen Versicherungsschutz zu erhalten und die Geschäftskontinuität sowohl in Vorbereitung auf einen Cybervorfall als auch im tatsächlichen Fall eines solchen Angriffs zu wahren. Aon unterstützt Kunden mit einem eigens entwickelten Modell, dem sogenannten „Cyber Loop„: Eine zirkuläre und iterative Cybersicherheitsstrategie, die dabei hilft, eine langfristige Widerstandsfähigkeit aufzubauen.