Deutschlands Energiezukunft hängt am Wind: Der Windenergiesektor ist inzwischen nicht nur die größte erneuerbare Energiequelle hierzulande, sondern auch ein lohnendes Ziel für Cyberangriffe. Betreiber von Windparks und Windkraftanlagen sehen sich mit gesetzlichen Anforderungen und realen Bedrohungen konfrontiert. Welche Schritte sollen sie jetzt unternehmen?
Windenergie ist zu einer der zentralen Säulen der deutschen Stromversorgung geworden. Im Jahr 2024 entfielen rund 60 Prozent der Stromerzeugung auf erneuerbare Energien, davon fast ein Drittel auf Windkraft. „Je wichtiger Windkraft für die Versorgungssicherheit wird, desto attraktiver wird sie auch für Angreifer“, sagt Leon von Sturm zu Vehlingen, Cyber-Security-Senior-Consultant bei Lufthansa Industry Solutions (LHIND).
Geopolitik als Risikotreiber
Seit Beginn des russischen Angriffskrieges gegen die Ukraine häufen sich hybride Bedrohungen. Als im Rahmen eines russischen Hackerangriffs im März 2022 das Satellitennetzwerk KA-SAT betroffen war, ging der Fernzugriff auf Tausende Windkraftanlagen verloren, wodurch ein Millionenschaden entstand. Der Fakt, dass es sich hierbei um einen Kollateralschaden handelte, verdeutlicht abermals die Anfälligkeit der Infrastruktur deutscher Windparkbetreiber.
Im selben Jahr vermeldeten die Deutsche Windtechnik sowie der Windturbinenhersteller Nordex weitere gezielte Angriffe auf kritische Teile ihrer Infrastruktur. Attacken auf die Kommunikationsinfrastruktur und auf Zulieferer zeigen, dass Energieanlagen nicht isoliert betrachtet werden können. „Staatliche und kriminelle Akteure agieren professionell, testen Lieferketten, Fernzugriffe und Wartungsprozesse“, so von Sturm zu Vehlingen.
Die zunehmende Digitalisierung vergrößert die Angriffsfläche: Turbinen kommunizieren mit Netzbetreibern, Reglern und Wartungsteams – teils über öffentliche oder ungesicherte Netze. Veraltete Software und schwach geschützte Funkschnittstellen ermöglichen das Überspielen von Steuerbefehlen bis hin zur Abschaltung. Ein gezielter Angriff kann somit massive Störungen im Netzbetrieb auslösen.
Was Unternehmen jetzt tun sollten
Mit NIS2 und dem neuen KRITIS-Dachgesetz steigen die Erwartungen. Gefordert sind ein systematisches Risiko- und Business-Continuity-Management, starke Zugriffskontrollen mit Mehrfaktor-Authentifizierung, regelmäßige Penetrationstests sowie die Meldung signifikanter Vorfälle binnen 24 Stunden. „Die Anforderungen durch NIS2 und das KRITIS-Dachgesetz sind eine notwendige Grundlage für die Resilienz unseres Energiesystems“, so von Sturm zu Vehlingen.
Die Windkraft ist Teil der kritischen Infrastruktur – ihre digitale Sicherheit ist strategische Pflicht. Betreiber sollten in sichere Kommunikationstechnologien investieren, ihre Systeme härten, Verantwortlichkeiten klären und ihre Mitarbeitenden sensibilisieren. „Wer die Bedeutung der Windkraft ernst nimmt, muss auch ihre digitale Sicherheit ernst nehmen. Der Handlungsbedarf ist enorm“, sagt von Sturm zu Vehlingen.