«La cyberguerre nous a atteint depuis longtemps»

Ein Wechselrichter ist ein auf den ersten Blick eher unscheinbares, für die Energiewende aber unverzichtbares Gerät. Die grauen Boxen wandeln den von Solarmodulen produzierten Gleichstrom in Wechselstrom um, damit dieser ins Netz eingespeist werden kann. Was passiert, wenn eine große Anzahl an Wechselrichtern ausfällt, ließ sich Mitte November in den Vereinigten Staaten bestaunen. Dort sowie unter anderem in Pakistan und Großbritannien wurden plötzlich im großen Stil Wechselrichter des chinesischen Herstellers Deye über das Internet abgeschaltet – reihenweise stellten Solaranlagen ihren Betrieb ein. Der Anbieter Sol-Ark, der die Deye-Wechselrichter in den USA vertreibt, gab zu Protokoll: „Damit haben wir nichts zu tun und können nicht helfen.“

Schnell gab es Spekulationen über einen möglichen chinesischen Sabotageakt. Deye beteuerte später, dass es die betroffenen Geräte nicht ferngesteuert und ein Sicherheitsmechanismus gegriffen habe. Nach Angaben des chinesischen Unternehmens überprüfen die Wechselrichter regelmäßig automatisch, ob die Geräte im jeweiligen Markt überhaupt zertifiziert sind und eingesetzt werden dürfen. Im Falle der automatisch abgeschalteten Geräte habe es sich um Wechselrichter-Modelle gehandelt, die in den USA gar nicht eingesetzt werden dürften.

Ob Sabotage oder nicht – der Vorfall zeigt, wie komplex die Stromversorgung geworden ist. Viele kleine Erzeugungsanlagen – PV-Anlagen auf Hausdächern oder Windräder – müssen künftig gesteuert werden, sodass sie die Stromnetze nicht überfordern. Hinzu kommen immer mehr Stromabnehmer wie Elektroautos, Heimspeicher oder Wärmepumpen, die in die Netze eingebunden werden müssen. Das System wird also dezentraler und digitaler, öffnet aber auch Hackern ganz neue Einfallstore.

„Theoretisch sind von Naturkatastrophen über unterbrochene Lieferketten, zu viel oder zu wenig Stromeinspeisung bis hin zu Sabotageakten viele Ereignisse denkbar, die die Stromnetze gefährden könnten“, sagt Markus Doll, bei der Bundesnetzagentur zuständig für Anlagen und den Netzbetrieb. Gerade erst ist zwischen Finnland und Estland wohl durch einen Rohöltanker ein Unterwasser-Stromkabel zerstört worden. Diesen Verdacht äußerten Vertreter finnischer Behörden. Der EU zufolge steht der Frachter in Verbindung zu Russland und ist Teil der russischen Schattenflotte.

Doll rappelle également les attaques terroristes contre des pylônes électriques près de l’usine Tesla à Grünheide, le chaos de neige dans le Münsterland en 2005, qui a provoqué l’effondrement de nombreuses lignes électriques, et la traversée Ems d’un bateau de croisière, qui a provoqué une panne de courant dans six pays pendant plus de deux heures. Ces incidents ont eu des répercussions essentiellement régionales ou n’ont duré que quelques heures. L’Allemagne possède l’un des réseaux électriques les plus stables au monde, avec une coupure de courant moyenne de douze minutes par an pour les consommateurs finaux.

Plus grave que les événements physiques est le danger qui fait peser sur les réseaux électriques allemands depuis le début de la guerre d’agression russe en Ukraine – le mot-clé de la guerre hybride. Car aux quartiers généraux des services secrets de Moscou, Téhéran et Pyongyang, on sait à quel point l’alimentation en électricité est essentielle au bon fonctionnement d’une société. En Ukraine, les attaquants russes se concentrent déjà fortement sur l’approvisionnement énergétique et le perturbent par des attaques physiques et des cyberattaques méticuleusement planifiées.

«La cyberguerre russe nous a atteint depuis longtemps», déclare Frank Borchardt du Network Technology/Network Operation Forum (FNN), un comité de l’association électrique VDE. «En Allemagne également, la guerre hybride consiste à déstabiliser et à détruire les infrastructures.» Il est concevable, par exemple, qu’un attaquant pirate les systèmes de service d’appareils à consommation contrôlable tels que des pompes à chaleur ou des wallbox et allume ou éteigne simultanément tous les appareils. une date précise s’éteint. « Si toutes les pompes à chaleur devaient passer simultanément à pleine charge un jour d’août, cela entraînerait un déséquilibre du réseau électrique et, dans le pire des cas, avec un nombre correspondant d’appareils installés, cela entraînerait des pannes de courant à grande échelle. car les gestionnaires de réseau ne s’y attendent pas », dit-il. Même si un attaquant manipulait les onduleurs, les exploitants de réseau manqueraient l’injection attendue des systèmes solaires – avec les conséquences correspondantes.

Une porte-parole de l’Office fédéral de la protection de la population et des secours en cas de catastrophe décrit ce que signifierait une panne de courant à grande échelle : « Par exemple, le trafic ferroviaire est interrompu, les feux de circulation ne fonctionnent plus, les opérations ne peuvent pas être effectuées dans les hôpitaux, les appels téléphoniques fixes et portables ne peuvent pas être effectués. , y compris les appels d’urgence, ne sont plus possibles à cause des routeurs dans les foyers privés.»

«Les consommateurs sont généralement le maillon le plus faible de la chaîne», explique Borchardt. “Il faut être conscient qu’ils font également partie de l’infrastructure critique.” Les compteurs électriques intelligents, qui peuvent communiquer avec le point de comptage ou l’opérateur de réseau et qui seront de plus en plus déployés en Allemagne à partir de l’année prochaine, sont sécurisés de manière “secrète”. niveau de service ». Cependant, une passerelle potentielle est ce que l’on appelle la deuxième connexion WAN, c’est-à-dire la connexion des onduleurs, des boîtiers muraux et des pompes à chaleur à leurs fournisseurs de services via Internet. Les appareils seraient desservis via cette interface, mais elle pourrait également être utilisée pour contrôler ou éteindre les appareils. Borchardt conseille aux consommateurs de s’assurer que leur routeur est régulièrement mis à jour. L’Agence fédérale des réseaux souligne cependant que le système électrique allemand pourrait compenser rapidement la panne de centrales de production d’une capacité allant jusqu’à trois gigawatts en activant l’énergie d’équilibrage.

On ne peut que deviner le nombre réel d’attaques (graves) contre le réseau électrique allemand. Interrogés, aucun des gestionnaires de réseau de transport allemands n’a souhaité aborder le sujet avec le FAZ. Borchardt a vécu des expériences similaires dans le passé. “Malheureusement, trop de discrétion est encore normale”, dit-il.

Il existe quelques conseils concrets supplémentaires de l’Office fédéral de la sécurité de l’information (BSI). Entre juillet 2023 et juin 2024, l’autorité a reçu un total de 726 rapports de perturbations émanant d’exploitants d’infrastructures critiques qui ont conduit ou pourraient conduire à une dégradation significative des infrastructures critiques. Parmi eux, 137 rapports provenaient du secteur de l’énergie, c’est-à-dire des gestionnaires de réseaux ou des fournisseurs d’énergie, par exemple. L’année dernière, il y a eu 490 rapports au total. La situation de menace dans le secteur énergétique reste « restante élevée », écrit le BSI.

Il est difficile de quantifier combien de ces perturbations sont en réalité le résultat d’attaques menées par des gangs de hackers russes, chinois ou nord-coréens soutenus par l’État. Selon les experts, une enquête médico-légale visant à identifier les attaquants prend du temps et n’est pas réalisable pour la majorité des attaques. Ce qui est clair, c’est que les tentatives de pénétration de l’infrastructure électrique allemande ne manquent pas : « Les systèmes de détection des attaques du secteur électrique comptent de nouvelles attaques toutes les heures », déclare Friederike Wenderoth, responsable de la cybersécurité pour l’Agence allemande de l’énergie (dena). ).

Outre les ménages privés, les fournisseurs et prestataires de services constituent également un facteur de risque. Le BSI a signalé un cas en février 2024 dans lequel un développeur de systèmes de contrôle et de contrôle de processus pour des entreprises énergétiques a été infiltré par des pirates informatiques. Elle a été contrainte de rompre tout lien avec la clientèle. Plusieurs entreprises ont signalé d’éventuelles restrictions, mais il s’agissait apparemment uniquement d’un accès pour la maintenance.

Le BSI a également relevé des attaques dites DDoS, qui paralysent les systèmes en surchargeant le réseau de données, dans le secteur de l’énergie. Par exemple, le système de traitement d’un opérateur destiné à la vente de carburant et de mazout a été restreint dans tout le pays pendant deux heures et demie. “Une grande partie des dangers ne proviennent pas d’attaques spécifiques au réseau, mais d’attaques normales de ransomwares ou de DDoS, qui peuvent également affecter les entreprises énergétiques”, explique Steffen Heyde, responsable des affaires avec les services publics pour la société de cybersécurité Secunet.

Cependant, certaines campagnes sont spécifiquement conçues pour le secteur de l’énergie. Par exemple, des pirates informatiques ont envoyé des e-mails au nom de l’Agence fédérale des réseaux demandant à leurs destinataires de saisir des données sensibles sur un faux site Web. Un regard sur l’Ukraine montre que des opérations beaucoup plus complexes sont également possibles. Le groupe de hackers Sandworm, qui dépend des services secrets russes GRU, a provoqué des coupures de courant en Ukraine en 2015 et 2016 – une entreprise complexe. Les systèmes d’alimentation électrique sont contrôlés par des systèmes et des protocoles spécialement développés, qui nécessitent des logiciels malveillants spécialement programmés. De tels logiciels sont encore très rares aujourd’hui.

Après l’invasion russe, les pirates informatiques russes se sont davantage appuyés sur une combinaison de méthodes d’attaque classiques et ont, par exemple, exploité les failles de sécurité de logiciels de contrôle obsolètes et non mis à jour pour envoyer des commandes directes à une sous-station. Les pirates sont entrés via un serveur connecté à Internet. De là, ils ont été transférés vers l’ordinateur de contrôle des sous-stations. Ils ont ensuite supprimé les données des systèmes à l’aide d’un logiciel dit d’effacement pour créer un chaos supplémentaire et dissimuler les traces de l’attaque. Dans certains cas, parallèlement aux attaques, les pirates ont paralysé les connexions téléphoniques des opérateurs, de sorte que les opérateurs de centrales électriques et de réseaux ne pouvaient plus communiquer entre eux.

Steffen Heyde de Secunet sait qu’une technologie obsolète existe également dans ce pays. « Un opérateur de réseau ou un producteur d’électricité ne peut pas se permettre d’acheter une nouvelle sous-station ou de nouveaux générateurs chaque année », dit-il. De nombreux systèmes sont déjà utilisés depuis 15 ou 20 ans. Ces systèmes utilisent encore d’anciens protocoles plus vulnérables aux attaques.

Mais les mesures de protection dans le secteur énergétique allemand sont en réalité strictes, souligne Friederike Wenderoth de Dena. Les réseaux informatiques des sous-stations ou des systèmes de contrôle sont strictement séparés du réseau normal de l’entreprise, ne sont pas connectés à Internet et sont protégés par un pare-feu. Par exemple, les attaquants ayant accédé au serveur de messagerie ne pourraient pas accéder aux systèmes réellement intéressants. «Bien sûr, même de petites choses comme des perturbations dans les processus comptables ou dans la communication peuvent causer des problèmes majeurs», explique Wenderoth. Mais l’alimentation électrique ne s’est toujours pas effondrée. Les systèmes les plus critiques sont en outre protégés par des systèmes de détection des attaques. « Les systèmes de gestion de réseau des exploitants de réseaux sont parfaitement sécurisés », déclare Frank Borchardt de VDE FNN. « Mais il y a toujours des points faibles. De nombreux attaquants essaient pendant des années, et à un moment donné, ils ont juste de la chance.

Les chiffres du BSI montrent également que les dispositifs de protection sont loin d’être idéaux pour toutes les entreprises énergétiques. Le BSI évalue uniquement la détection des attaques de deux entreprises ayant le niveau de maturité le plus élevé à « cinq ». 39 entreprises sont dans la catégorie « deux » et ne répondent donc pas encore à tous les critères obligatoires. Neuf entreprises n’ont même pas commencé à mettre en œuvre au moins un domaine obligatoire. «Il existe une grande sensibilisation à la cybersécurité, notamment parmi les grands opérateurs», déclare Steffen Heyde, expert en sécurité informatique. “Mais il reste encore beaucoup à faire.”

De nouvelles règles devraient également aider. La loi cadre KRITIS, par exemple, vise la protection physique des infrastructures critiques, pour lesquelles il n’existe actuellement aucune réglementation nationale. Les établissements essentiels à l’ensemble des soins en Allemagne et qui desservent plus de 500 000 personnes doivent donc répondre à certaines exigences minimales. Il peut s’agir d’équipes d’urgence, de formation des employés, d’une protection renforcée des biens, de moyens de communication d’urgence ou d’une alimentation électrique de secours. Les petits opérateurs de réseaux devront alors également y participer.

La loi a été adoptée par le gouvernement, mais pas encore par le Bundestag. On ne sait toujours pas si et quand cela se produira. La mise en œuvre de la nouvelle directive européenne sur la sécurité des réseaux et de l’information (NIS-2), qui renforce les exigences des entreprises en matière de cybersécurité, n’a pas encore été lancée. Bon nombre de ces exigences s’appliquent déjà aux opérateurs d’infrastructures critiques, mais pas encore aux vendeurs d’électricité. Cet écart devrait être comblé par NIS-2.

La loi européenne sur la cyber-résilience est également entrée en vigueur récemment. Le règlement exige que tous les fabricants et distributeurs de produits comportant des éléments numériques démontrent leur conformité aux normes de cybersécurité dans la conception, le développement et la production. En outre, les fabricants doivent combler les lacunes en matière de sécurité sur l’ensemble du cycle de vie du produit, mais cette obligation s’applique pour une durée maximale de cinq ans. Les produits critiques sont soumis à des exigences encore plus strictes. Cependant, les obligations ne s’appliquent qu’à partir de fin 2027. L’objectif est d’éviter une panne soudaine des onduleurs comme en Amérique et en Europe. Mais l’histoire montre que les pirates informatiques vont toujours plus loin. «La cybersécurité, c’est comme faire le ménage», explique Friederike Wenderoth de Dena. “Quand vous pensez avoir terminé, vous pouvez tout recommencer.”