• Habeck lobt EU-Einigung zur Reform des Emissionshandels
  • Direktvermarktungsumfrage: EnBW neue Nummer eins
  • Produktion von Wasserstoff in Deutschland bis 2021
  • Viel Wind lässt den Strompreis fallen
  • Mildes Wetter: Gaspreis unter 50 Euro prognostiziert
  • Kabinett beruft neuen BSH-Präsidenten
  • Netzbetreiber in NRW planen gemeinsam
  • Bericht: Globale Stromnachfrage wird weiter wachsen
  • Freistaat Bayern beteiligt sich an OTC-Handelsplattform
  • Beirat: Klimaneutrale Industrie nicht "überfördern"
Enerige & Management > Aus Der Aktuellen Zeitungsausgabe - Gegen die dunkle Seite der Macht
Quelle: Fotolia / Sergey Nivens
AUS DER AKTUELLEN ZEITUNGSAUSGABE:
Gegen die dunkle Seite der Macht
Cybersicherheit ist eines der größten Anliegen der Energiewirtschaft in diesen Zeiten. Worauf es dabei ankommt, wurde in einer Diskussionsrunde beim BDEW-Kongress deutlich.
 
„Lassen Sie sich einfach mal angreifen.“ Mit diesem Appell machte Judith Wunschik beim diesjährigen BDEW-Kongress deutlich, um was es bei der IT-Sicherheit auch − und vielleicht vor allem − geht: um tatsächliche Tests, die zeigen, ob potenzielle Einfallstore möglichen Angreifern standhalten. Wunschik, die bei Siemens Energy den Titel Chief Cyber Security Officer trägt, wies aber gleichzeitig darauf hin, dass man zunächst einmal wissen müsse, wo sich überhaupt mögliche Einfallstore befinden. Deshalb sei es für den Schutz vor kriminellen Angriffen aus dem Internet wichtig, sich einen Überblick über die eigenen Assets zu verschaffen.
 
Information Technology und Operations Technology wachsen zusammen
 
Gerade in Zeiten, in denen IT und OT zusammenwachsen, sehen sich die Sicherheitsverantwortlichen einer großen Herausforderung gegenüber. Denn die Operatioal Technology (OT) besteht nicht selten aus Anlagen, die bislang keine direkte Netzanbindung hatten, nun aber in schnellen Schritten in das Internet der Dinge integriert werden. Besonders ältere Anlagen und Systeme stellen hierbei ein Problem dar.

Die Anbindung und Vernetzung von sogenannten Legacy-Systemen, von Sensorik im Feld, von Leitsystemen, intelligenten Messsystemen, selbstlernenden Systemen − das sind Stichworte, die die Komplexität der Energiewelt andeuten. „Am Ende des Tages gilt aber: Ein Sicherheitsprozess ist ein Sicherheitsprozess“, so Wunschik.

Man könne viele Erkenntnisse aus dem IT-Umfeld auf unterschiedliche Situationen anwenden. Die Grenze sei aber auf jeden Fall bei Systemen und Steuerungen erreicht, die nicht schon von vornherein für eine hochdigitalisierte und vernetzte Energielandschaft entwickelt und ausgelegt wurden. Dafür brauche man neue Ansätze, möglicherweise sogar mehr direkte „manuelle“ Kontrollen oder speziell angepasste Schutzkonzepte, die am besten in enger Zusammenarbeit mit den Nutzern erarbeitet werden sollten. Denn schließlich gelte es, nicht nur ein einzelnes System zu schützen, sondern das Zusammenspiel eines Anlagen- und Systemportfolios ganz unterschiedlicher Hersteller, wie es häufig bei Kunden anzutreffen sei.

Aber wie lässt sich Cybersicherheit eigentlich messen? Dies war eine der Fragen, die im Mittelpunkt einer mit Anglizismen gespickten Podiumsdiskussion standen, an der neben Wunschik noch die IT-Sicherheitschefs von Eon und EnBW teilnahmen.
 
Der Mensch ist einer der wichtigsten Faktoren für die IT-Sicherheit
 
Michael Ebner gab dabei zu bedenken, dass es nicht die eine Messmethode gibt, die alle Chief Information Security Officers dieser Welt anwenden. „Es gibt einen Pool an Messpunkten und jeder Ciso muss sich aus dem Sammelsurium etwas aussuchen, das dem entspricht, was ihm wichtig ist“, so der Ciso und Bereichsleiter Information Security bei EnBW. „Viele denken, es gibt DIE Checkliste. Die gibt es jedoch nicht“, betonte Ebner.

Beispielhaft nannte Wunschik einige der für Siemens Energy relevanten Messpunkte: die Anzahl der Assets, in welcher Form Sicherheitsaspekte in einem Vertragsverhandlungsprozess berücksichtigt werden oder wie Sicherheitsaspekte in den Produktentwicklungsprozess einfließen. „Wir schauen auch auf die Lieferkettenvorfälle in unserem Umfeld“, erläuterte sie. Awareness-Kampagnen, deren Akzeptanz und Auswirkungen, seien ebenfalls von Bedeutung.
Boris Beuster stimmte seiner Kollegin zu, hob allerdings noch einmal hervor, dass man auf jeden Fall IT-Fachleute mit ins Boot holen müsse. „Wir sprechen dann von Hardening oder Vulnerability Management“, so der Head of Governance, Risk & Compliance bei Eon.

Aber nicht nur die IT-Fachleute, sondern alle Mitarbeiter sind gefordert, wenn es um das Thema Cybersicherheit geht. Denn der Mensch, der mit Anlagen und Systemen interagiert, ist einer der wichtigsten Faktoren für die IT-Sicherheit. Yassin Bendjebbour, Fachgebietsleiter IT beim BDEW und neben PWC-Partner und Berater Moritz Anders einer der beiden Moderatoren des Podiums, verwies auf Forschungsergebnisse, wonach etwa 90 % aller sicherheitsrelevanten Vorfälle das menschliche Verhalten ausnutzen. Angesichts einer solchen Zahl stellt sich die Frage, wie man bei Konzernen mit mehreren Zehntausend Mitarbeitern eine Sicherheitskultur etabliert.
 
„Eine Sicherheitskultur entsteht erst, wenn man Sicherheit auch erlebbar macht“ (Boris Beuster)
 
Eon hat rund 70.000 Beschäftigte. Für die könne man ein webbasiertes Training durchführen. Am Ende wachse dadurch aber noch keine Sicherheitskultur. „Eine Sicherheitskultur entsteht erst, wenn man Sicherheit auch erlebbar macht“, so Beusters Überzeugung. Phishing-Tests sind nach seiner Erfahrung ein sehr gutes Mittel zum Zweck. Das werde allerdings bisher nur drei- bis viermal pro Jahr für die ganze Gruppe eingesetzt, bei einzelnen Tochtergesellschaften aber durchaus auch häufiger. Selbstkritisch fügte er hinzu, im „Awareness-Zirkel des Dax“ habe sich gezeigt, dass bei Unternehmen, die Phishing-Tests monatlich durchführen, die Mitarbeiter wesentlich seltener auf kritische Links klicken oder Login-Informationen − sogenannte Credentials − preisgeben als bei anderen Vertretern des Aktienindex. In die Phishing-Kampagnen von Eon sind die Aufsichtsräte ebenfalls einbezogen. Das komme „hervorragend“ an, genauso wie die Live Hackings, bei denen Mitarbeitern direkt vor Augen geführt werde, wie schnell ein Passwort geknackt werden kann und was sich so alles in einer Mailbox ansammelt.

Denn der Posteingang spielt bei der IT-Sicherheit eine ganz entscheidende Rolle. „Der Großteil der Angriffe fängt mit einer E-Mail an“, beschreibt EnBW-IT-Sicherheitschef Ebner ein häufig anzutreffendes Muster. Umfragen oder Wettbewerbe werden vorgetäuscht oder auch irgendwelche Kontensperrungen. Ein Klick auf den enthaltenen Link und schon ist es passiert. Man gelangt auf eine mehr oder weniger verdächtig aussehende Internetseite, die allein allerdings nicht das größte Problem ist. Das ist die Schadsoftware, die im Hintergrund auf dem Rechner des Opfers installiert wird.

Damit öffnet der Angreifer eine Hintertür, durch die er und gegebenenfalls noch Gleichgesinnte eintreten können. Denn auch „auf der dunklen Seite der Macht arbeitet man zusammen“, wie es Judith Wunschik formulierte. „Dieses Ökosystem hat unendliche Mittel und ist häufig einen Schritt voraus“, so die Siemens-Managerin. Und wer durch die Hintertür hereingekommen ist, wird versuchen weiterzukommen. „So kam schließlich der Blackout in der Ukraine 2015 zustande“, erklärte Ebner.
 
Ein Klima des Vertrauens schaffen, in dem offen über Erfahrungen und Erkenntnisse gesprochen werden kann
 
„Letztlich geht es aber nicht nur um die reine Stromversorgung“, betonte Wunschik. Denn noch schlimmer als ein Blackout an sich könnten dessen Folgen für Staat und Gesellschaft sein. Deshalb dürften die Schutzstrategien nicht an Konzerngrenzen enden, sondern müssten die gesellschaftliche Dimension der IT-Sicherheit mit berücksichtigen − 24 Stunden, 365 Tage pro Jahr.

Damit rückt die Zusammenarbeit auf der hellen Seite der Macht in den Fokus. Boris Beuster sieht in der Kooperation zwischen Herstellern, Behörden, Dax-Konzernen sowie den Mittelständlern und ihren Verbänden die Chance, ein Klima des Vertrauens zu schaffen, in dem offen über Erfahrungen und Erkenntnisse gesprochen werden kann. Wer von einem Ransomware-Angriff betroffen sei, könne anderen Unternehmen und Behörden wertvolle Hinweise über Verhaltensmuster von Schadsoftware, sogenannten Indicators of Compromise, geben.

Eine Plattform für die Zusammenarbeit ist etwa die Allianz für Cybersicherheit. Mit dieser für grundsätzlich alle Unternehmen offenen Initiative will das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor allem kleineren und mittleren Unternehmen Informationen und Hilfestellung bieten. Mit den Betreibern kritischer Infrastrukturen steht die Behörde in einer geschlossenen Gruppe zu Sicherheitsthemen in Kontakt. Darüber hinaus hat beispielsweise auch die Energieagentur NRW mit ihrem Netzwerk „Smart Energy“ eine Anlaufstelle zum Austausch über das Thema Cybersicherheit etabliert.
 
Schon am nächsten Tag könnte ein weiterer Erpressungsversuch erfolgen
 
Doch erfahrungsgemäß sprechen die von einer Cyberattacke Betroffenen oder gar Geschädigten sehr ungern über ihre Erfahrungen, obwohl sehr viele Energieversorger Angriffen, deren Zahl pro Tag in die Tausende geht, ausgesetzt sind.



Und was passiert, wenn man tatsächlich den Ernstfall erleben muss, wenn eine Ransomware eingeschleust wurde? Auch das war eine Frage, die beim BDEW-Kongress diskutiert wurde. Die Antwort von EnBW-Ciso Ebner: „Es kommt darauf an.“ Weil das Unternehmen gut vorbereitet sei, gehe er grundsätzlich davon aus, dass kein Hacker zum Ziel gelange. Falls es aber doch zum Äußersten kommen sollte und Backups nicht mehr funktionieren, müsse man sich den Fall genau anschauen.

Dabei solle man beachten, dass trotz einer Lösegeldzahlung noch lange nicht gewährleistet ist, dass man auch funktionsfähige Codes zum Freischalten der Systeme bekomme. Und die noch spannendere Frage sei: „Sind die Hacker dann wirklich raus?“ Im Zweifelsfall könnte schon am nächsten Tag ein weiterer Erpressungsversuch erfolgen, möglicherweise von einer anderen Gruppe Krimineller.
Man dürfe sich nicht der Illusion hingeben, eine Erpressung sei mit einer Bitcoin-Zahlung an ein anonymes Konto abgeschlossen, so die einhellige Meinung der Podiumsteilnehmer. Denn der Vorfall habe ja schon lange vor der Zahlungsaufforderung begonnen. Während man die kriminelle Verschlüsselung vor Augen habe, könnte der Abzug von Daten im Hintergrund auf Hochtouren laufen oder sogar bereits abgeschlossen sein.

Es sei immer besser, aktiv für Sicherheit zu sorgen und nicht in den Reaktionsmodus zu kommen, mahnte Siemens-Managerin Wunschik. Allerdings, da ist sie sich mit ihren beiden Kollegen einig, sind Desaster Recovery Tests und Ransome Proof Backups, die die wichtigsten Kernprozesse wiederherstellen können, unverzichtbar in diesen so unsicheren Zeiten im World Wide Web.
 

Unterstützung durch das BSI

Betreiber kritischer Infrastrukturen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren, wenn sie eine gewisse Größe haben. Der Schwellenwert wird von der Kritis-Verordnung vorgegeben. Unabhängig von der Größe müssen die Betreiber allerdings Maßnahmen zur Absicherung ihrer IT ergreifen, die „angemessen“ sind und dem „Stand der Technik“ entsprechen, um die Infrastruktur zu schützen. Ein entsprechender Nachweis ist gegenüber dem BSI alle zwei Jahre zu erbringen.

Im Ernstfall leistet das BSI mit einer mobilen Eingreiftruppe, einem Mobile Incident Response Team (Mirt), vor Ort erste Hilfe und unterstützt bei der Vorfallbearbeitung. Bei einem Ransomeware-Angriff sichten die Spezialisten beispielsweise Logdaten, sichern technische Beweise und erarbeiten mit den Betreibern eine Strategie zur Eindämmung der Konsequenzen und zur Behebung des Schadens.

Oberstes Ziel sei allerdings zunächst, das betroffene Unternehmen in die Lage zu versetzen, kritische Prozesse aufrechtzuerhalten beziehungsweise zeitnah wiederherzustellen, ist auf der Internetseite des BSI zu lesen.

 
 

Fritz Wilhelm
Stellvertretender Chefredakteur
+49 (0) 6007 9396075
eMail
facebook
© 2023 Energie & Management GmbH
Donnerstag, 07.10.2021, 09:19 Uhr

Mehr zum Thema