E&M exklusiv Newsletter:
E&M gratis testen:
Energie & Management > IT - Wunschik:
Bild: itestroorig / Fotolia
IT

Wunschik: "Der Bedarf an Absicherung steigt"

Cyber Security ist mittlerweile ein Produkt, das mehr und mehr von der Energiewirtschaft nachgefragt wird. Diese Erfahrung macht derzeit Judith Wunschik von Siemens Energy.
E&M: Frau Wunschik, die Digitalisierung der Energiewirtschaft hat ein ungeheures Tempo. Kann die Cybersicherheit der Branche da mithalten?

Wunschik: Aus meiner Sicht läuft das parallel. Man hat natürlich mehr potenzielle Angriffspunkte, wenn die IT- und Energiesysteme komplexer und immer stärker dezentralisiert und vernetzt werden. Gleichzeitig haben wir mittlerweile aber auch die Schutzmaßnahmen so weiterentwickelt, dass wir gegen Angriffe gut gewappnet sind.

E&M: Sie waren früher für die IT-Sicherheit bei einer großen Bank verantwortlich. Was kann die Energiewirtschaft von den Banken lernen?

Wunschik: Man kann einige Prinzipien übertragen. Ein IT-System ist ein IT-System. Und wenn jemand versucht, eine Schwachstelle auf einem Chip in einem Rechner anzugreifen, dann macht es keinen großen Unterschied, ob der Computer im Rechenzentrum einer Bank steht oder in der Leitzentrale eines Netzbetreibers. Auch wenn man die immer stärkere Verbreitung von Sensortechnik betrachtet − da geht es um Datenübertragungsstandards und eine effektive Verschlüsselung. Das sind Themen, mit denen sich die Banken schon sehr lange beschäftigen.

E&M: Die physische Komponente der Energiewirtschaft gibt es aber nicht bei den Banken.

Wunschik: Das stimmt. Deshalb muss man das Bedrohungspotenzial hier ganz anders denken. Wenn man beispielsweise ein Stück Hardware mit Elektronik zu einer Anlage schickt, damit es dort eingebaut wird, muss man es vor Ort noch einmal testen. Wichtig ist aber auch, den gesamten Weg zur Anlage so abzusichern, dass es nicht manipuliert werden kann. Bei fast allen Anlagen in der Energiewirtschaft gibt es physische Angriffsflächen, die sich dann auf die IT-Sicherheit auswirken.
 
Judith Wunschik: „Wir wollen alle den Wandel hinbekommen und ihn nicht durch ungewollte Eingriffe verzögern oder gar verhindern lassen“
Bild: Siemens Energy

E&M: Wie geht aus Ihrer Sicht die Energiewirtschaft mit dem Thema Cybersicherheit um?

Wunschik: Cybersicherheit ist ein sehr komplexes Thema. Banken haben ein digitales Produkt. Da lässt sich einfacher eingrenzen, wo die Datensicherheit ansetzen muss. In der Energiewirtschaft hat man ein viel komplexeres System. Deshalb tun sich viele Unternehmen immer noch schwer damit, überhaupt festzustellen, was sie schützen müssen.

E&M: Das hört sich nach einem vielversprechenden Betätigungsfeld für Sie an.

Wunschik: Als Produktfeld hat Cyber Security enorme Wachstumsraten. Denn die Dezentralisierung und Vernetzung von Anlagen in der Energiewirtschaft nimmt immer weiter zu und damit steigt der Bedarf an Absicherung. Die bieten wir unseren Kunden an. Da wir den Anspruch haben, als Volldienstleister die gesamte Wertschöpfungskette der ‚energized society‘ abzudecken, übernehmen wir selbstverständlich auch die Verantwortung, cyberresiliente Anlagen und Systeme zu liefern.

„Es gibt Hacker, die kennen und verstehen die Wertschöpfungskette sehr gut“

E&M: Erwarten das die Kunden auch?

Wunschik: Ja, zum einen fragen sie immer öfter Beratung und Unterstützung beim Schutz ihrer Daten und Anlagen nach. Zum anderen ist die Dienstleistung eine gute Möglichkeit, uns aktiv im Wettbewerb zu positionieren. Und nicht zu vergessen: Wir schützen auch unser eigenes Unternehmen, unsere Produktion, unser geistiges Eigentum und damit letztlich unsere Reputation.

E&M: Worauf sind Hacker am ehesten aus?

Wunschik: Es gibt Hacker, die kennen und verstehen die Wertschöpfungskette sehr gut. Sie wissen genau, wo Schäden in welchem Ausmaß entstehen können und versuchen, Geld zu erpressen oder gleich Zahlungsströme umzuleiten. Letztlich ist es für sie ein Geschäft, bei dem es nur darum geht, möglichst viel Geld abzuschöpfen. Dann gibt es Hacktivists, wie wir sie nennen. Die sind eher darauf aus, dass der Angriff bekannt wird, dass zum Beispiel Internetseiten nicht mehr verfügbar sind oder bestimmte Botschaften an die Öffentlichkeit gelangen. Und schließlich gibt es die sogenannten Nation State Actors. Die versuchen tatsächlich, aus einer politischen Motivation heraus Systeme zu kompromittieren und Schäden zu verursachen.

E&M: Wie gehen die Hacker vor? Gibt es ein Muster?

Wunschik: Jeder Kriminelle wird dort ansetzen, wo der Zugriff am einfachsten ist. Keiner springt höher, als er muss. Das Einfallstor ist immer das schwächste Glied in der Kette. Man kann aber nicht pauschal sagen, welches das schwächste Glied ist.

E&M: Wenn aber beispielsweise Windräder lahmgelegt und PV-Anlagen blockiert werden, geht die Welt nicht unter, oder?

Wunschik: Wenn es um zwei, drei Windräder geht, dann nicht. Trotzdem kann der Schaden an einer Turbine erheblich sein. Möglicherweise ist es ein Schaden, der von einer Versicherung gedeckt wird und keine Folgeschäden mehr verursacht. Aber stellen Sie sich vor, es werden viele Erzeugungsanlagen oder Speicher angegriffen, die auf einmal mit ihrer gesamten Kapazität einspeisen. Dann wäre der Schaden erheblich größer. Man muss also die geografische Verteilung und Vernetzung immer mitdenken − in einem ganz großen Rahmen.

„Die Anfälligkeit ist eine sehr individuelle Angelegenheit“

E&M: Gibt es Anlagen, die besonders anfällig für Angriffe sind?

Wunschik: Die Anfälligkeit ist an sich eine sehr individuelle Angelegenheit. Sobald man Geräte mit IT vernetzt, kann man diese auch mit digitalen Werkzeugen angreifen. Geräte im Internet der Dinge bieten eine große Angriffsfläche. Ich kenne viele Ingenieurskollegen, die sich deshalb sehr genau überlegen, was sie in ihrem Smart Home installieren und was nicht. Man muss auch gerade im privaten Bereich nicht immer alles machen, nur weil es technisch möglich ist. Generell gibt es aber dort, wo modernste IT-Technologie eingesetzt wird, sehr gute Sicherheitskonzepte, denken Sie nur an Cloudlösungen. Das gilt sowohl für den Bereich der Haushalte als auch für die Industrie. Bei älteren Anlagen sieht es in allen Branchen differenzierter aus. Diese Legacy-Systeme haben andere Schnittstellen als neue Anlagen. Entsprechend ist auch die Herausforderung größer, diese abzusichern.

E&M: Aber der Erfolg der Energiewende steht dadurch nicht auf dem Spiel, oder?

Wunschik: Nein, das denke ich nicht. Man muss jedoch angesichts der steigenden Komplexität der Energiesysteme wachsam sein und strategisch vorgehen. Wir entwickeln deshalb weiter Lösungen zur Cybersicherheit und haben mit den verschiedenen Sparten der Siemens Energy viele Innovationsprojekte zum Internet der Energie aufgesetzt. Und auch die jungen Unternehmen, die im Bereich der erneuerbaren Energien in den Markt kommen, haben ein sehr ausgeprägtes Security Mindset. Schließlich wollen wir alle den Wandel hinbekommen und ihn nicht durch ungewollte Eingriffe verzögern oder gar verhindern lassen. E&M


 
Judith Wunschik: „Viele Unternehmen tun sich immer noch schwer damit, überhaupt festzustellen, was sie schützen müssen“
Bild: Siemens Energy
 

Zur Person

Judith Wunschik ist Chief Cyber Security Officer (CCSO) von Siemens Energy und für die weltweite digitale Sicherheit des Unternehmens verantwortlich. Vor ihrem Einstieg in Erlangen war sie Chief Information Security Officer (CISO) bei der ING-DiBa AG in Frankfurt. Cyber Security hat für die promovierte Physikerin drei wesentliche Aspekte: Zum einen geht es um das eigene Unternehmen, seine Infrastruktur, seine Datenbasis und sein geistiges Eigentum. Zum anderen unterstützen Dienstleistungen zur Cybersicherheit das Kerngeschäft von Siemens Energy: Das Unternehmen hat sich zum Ziel gesetzt, die digitale Transformation und Dekarbonisierung der Energiebranche voranzutreiben. Schließlich, so sagt Wunschik, sei aufgrund der Digitalisierung der Wirtschaft und des gesamten Lebens die Cybersicherheit eine Grundvoraussetzung für gesellschaftliche und ökonomische Stabilität.
 

Montag, 14.12.2020, 09:02 Uhr
Fritz Wilhelm
Energie & Management > IT - Wunschik:
Bild: itestroorig / Fotolia
IT
Wunschik: "Der Bedarf an Absicherung steigt"
Cyber Security ist mittlerweile ein Produkt, das mehr und mehr von der Energiewirtschaft nachgefragt wird. Diese Erfahrung macht derzeit Judith Wunschik von Siemens Energy.
E&M: Frau Wunschik, die Digitalisierung der Energiewirtschaft hat ein ungeheures Tempo. Kann die Cybersicherheit der Branche da mithalten?

Wunschik: Aus meiner Sicht läuft das parallel. Man hat natürlich mehr potenzielle Angriffspunkte, wenn die IT- und Energiesysteme komplexer und immer stärker dezentralisiert und vernetzt werden. Gleichzeitig haben wir mittlerweile aber auch die Schutzmaßnahmen so weiterentwickelt, dass wir gegen Angriffe gut gewappnet sind.

E&M: Sie waren früher für die IT-Sicherheit bei einer großen Bank verantwortlich. Was kann die Energiewirtschaft von den Banken lernen?

Wunschik: Man kann einige Prinzipien übertragen. Ein IT-System ist ein IT-System. Und wenn jemand versucht, eine Schwachstelle auf einem Chip in einem Rechner anzugreifen, dann macht es keinen großen Unterschied, ob der Computer im Rechenzentrum einer Bank steht oder in der Leitzentrale eines Netzbetreibers. Auch wenn man die immer stärkere Verbreitung von Sensortechnik betrachtet − da geht es um Datenübertragungsstandards und eine effektive Verschlüsselung. Das sind Themen, mit denen sich die Banken schon sehr lange beschäftigen.

E&M: Die physische Komponente der Energiewirtschaft gibt es aber nicht bei den Banken.

Wunschik: Das stimmt. Deshalb muss man das Bedrohungspotenzial hier ganz anders denken. Wenn man beispielsweise ein Stück Hardware mit Elektronik zu einer Anlage schickt, damit es dort eingebaut wird, muss man es vor Ort noch einmal testen. Wichtig ist aber auch, den gesamten Weg zur Anlage so abzusichern, dass es nicht manipuliert werden kann. Bei fast allen Anlagen in der Energiewirtschaft gibt es physische Angriffsflächen, die sich dann auf die IT-Sicherheit auswirken.
 
Judith Wunschik: „Wir wollen alle den Wandel hinbekommen und ihn nicht durch ungewollte Eingriffe verzögern oder gar verhindern lassen“
Bild: Siemens Energy

E&M: Wie geht aus Ihrer Sicht die Energiewirtschaft mit dem Thema Cybersicherheit um?

Wunschik: Cybersicherheit ist ein sehr komplexes Thema. Banken haben ein digitales Produkt. Da lässt sich einfacher eingrenzen, wo die Datensicherheit ansetzen muss. In der Energiewirtschaft hat man ein viel komplexeres System. Deshalb tun sich viele Unternehmen immer noch schwer damit, überhaupt festzustellen, was sie schützen müssen.

E&M: Das hört sich nach einem vielversprechenden Betätigungsfeld für Sie an.

Wunschik: Als Produktfeld hat Cyber Security enorme Wachstumsraten. Denn die Dezentralisierung und Vernetzung von Anlagen in der Energiewirtschaft nimmt immer weiter zu und damit steigt der Bedarf an Absicherung. Die bieten wir unseren Kunden an. Da wir den Anspruch haben, als Volldienstleister die gesamte Wertschöpfungskette der ‚energized society‘ abzudecken, übernehmen wir selbstverständlich auch die Verantwortung, cyberresiliente Anlagen und Systeme zu liefern.

„Es gibt Hacker, die kennen und verstehen die Wertschöpfungskette sehr gut“

E&M: Erwarten das die Kunden auch?

Wunschik: Ja, zum einen fragen sie immer öfter Beratung und Unterstützung beim Schutz ihrer Daten und Anlagen nach. Zum anderen ist die Dienstleistung eine gute Möglichkeit, uns aktiv im Wettbewerb zu positionieren. Und nicht zu vergessen: Wir schützen auch unser eigenes Unternehmen, unsere Produktion, unser geistiges Eigentum und damit letztlich unsere Reputation.

E&M: Worauf sind Hacker am ehesten aus?

Wunschik: Es gibt Hacker, die kennen und verstehen die Wertschöpfungskette sehr gut. Sie wissen genau, wo Schäden in welchem Ausmaß entstehen können und versuchen, Geld zu erpressen oder gleich Zahlungsströme umzuleiten. Letztlich ist es für sie ein Geschäft, bei dem es nur darum geht, möglichst viel Geld abzuschöpfen. Dann gibt es Hacktivists, wie wir sie nennen. Die sind eher darauf aus, dass der Angriff bekannt wird, dass zum Beispiel Internetseiten nicht mehr verfügbar sind oder bestimmte Botschaften an die Öffentlichkeit gelangen. Und schließlich gibt es die sogenannten Nation State Actors. Die versuchen tatsächlich, aus einer politischen Motivation heraus Systeme zu kompromittieren und Schäden zu verursachen.

E&M: Wie gehen die Hacker vor? Gibt es ein Muster?

Wunschik: Jeder Kriminelle wird dort ansetzen, wo der Zugriff am einfachsten ist. Keiner springt höher, als er muss. Das Einfallstor ist immer das schwächste Glied in der Kette. Man kann aber nicht pauschal sagen, welches das schwächste Glied ist.

E&M: Wenn aber beispielsweise Windräder lahmgelegt und PV-Anlagen blockiert werden, geht die Welt nicht unter, oder?

Wunschik: Wenn es um zwei, drei Windräder geht, dann nicht. Trotzdem kann der Schaden an einer Turbine erheblich sein. Möglicherweise ist es ein Schaden, der von einer Versicherung gedeckt wird und keine Folgeschäden mehr verursacht. Aber stellen Sie sich vor, es werden viele Erzeugungsanlagen oder Speicher angegriffen, die auf einmal mit ihrer gesamten Kapazität einspeisen. Dann wäre der Schaden erheblich größer. Man muss also die geografische Verteilung und Vernetzung immer mitdenken − in einem ganz großen Rahmen.

„Die Anfälligkeit ist eine sehr individuelle Angelegenheit“

E&M: Gibt es Anlagen, die besonders anfällig für Angriffe sind?

Wunschik: Die Anfälligkeit ist an sich eine sehr individuelle Angelegenheit. Sobald man Geräte mit IT vernetzt, kann man diese auch mit digitalen Werkzeugen angreifen. Geräte im Internet der Dinge bieten eine große Angriffsfläche. Ich kenne viele Ingenieurskollegen, die sich deshalb sehr genau überlegen, was sie in ihrem Smart Home installieren und was nicht. Man muss auch gerade im privaten Bereich nicht immer alles machen, nur weil es technisch möglich ist. Generell gibt es aber dort, wo modernste IT-Technologie eingesetzt wird, sehr gute Sicherheitskonzepte, denken Sie nur an Cloudlösungen. Das gilt sowohl für den Bereich der Haushalte als auch für die Industrie. Bei älteren Anlagen sieht es in allen Branchen differenzierter aus. Diese Legacy-Systeme haben andere Schnittstellen als neue Anlagen. Entsprechend ist auch die Herausforderung größer, diese abzusichern.

E&M: Aber der Erfolg der Energiewende steht dadurch nicht auf dem Spiel, oder?

Wunschik: Nein, das denke ich nicht. Man muss jedoch angesichts der steigenden Komplexität der Energiesysteme wachsam sein und strategisch vorgehen. Wir entwickeln deshalb weiter Lösungen zur Cybersicherheit und haben mit den verschiedenen Sparten der Siemens Energy viele Innovationsprojekte zum Internet der Energie aufgesetzt. Und auch die jungen Unternehmen, die im Bereich der erneuerbaren Energien in den Markt kommen, haben ein sehr ausgeprägtes Security Mindset. Schließlich wollen wir alle den Wandel hinbekommen und ihn nicht durch ungewollte Eingriffe verzögern oder gar verhindern lassen. E&M


 
Judith Wunschik: „Viele Unternehmen tun sich immer noch schwer damit, überhaupt festzustellen, was sie schützen müssen“
Bild: Siemens Energy
 

Zur Person

Judith Wunschik ist Chief Cyber Security Officer (CCSO) von Siemens Energy und für die weltweite digitale Sicherheit des Unternehmens verantwortlich. Vor ihrem Einstieg in Erlangen war sie Chief Information Security Officer (CISO) bei der ING-DiBa AG in Frankfurt. Cyber Security hat für die promovierte Physikerin drei wesentliche Aspekte: Zum einen geht es um das eigene Unternehmen, seine Infrastruktur, seine Datenbasis und sein geistiges Eigentum. Zum anderen unterstützen Dienstleistungen zur Cybersicherheit das Kerngeschäft von Siemens Energy: Das Unternehmen hat sich zum Ziel gesetzt, die digitale Transformation und Dekarbonisierung der Energiebranche voranzutreiben. Schließlich, so sagt Wunschik, sei aufgrund der Digitalisierung der Wirtschaft und des gesamten Lebens die Cybersicherheit eine Grundvoraussetzung für gesellschaftliche und ökonomische Stabilität.
 

Montag, 14.12.2020, 09:02 Uhr
Fritz Wilhelm

Haben Sie Interesse an Content oder Mehrfachzugängen für Ihr Unternehmen?

Sprechen Sie uns an, wenn Sie Fragen zur Nutzung von E&M-Inhalten oder den verschiedenen Abonnement-Paketen haben.
Das E&M-Vertriebsteam freut sich unter Tel. 08152 / 93 11-77 oder unter vertrieb@energie-und-management.de über Ihre Anfrage.