Quelle: Fotolia / Sergey Nivens
Cybersicherheits-Experten haben auf der Windforce über hanebüchene Einzelfälle in der kritischen Infrastruktur auf See berichtet. Die Konferenz selbst ging erfolgreich zu Ende.
Die Bedrohung von Hard- und Software der kritischen Infrastruktur auf See hat seit dem russischen Angriff auf die Ukraine nochmal zugenommen − darin waren sich Redner auf einem Forum zu Sicherheit, Cybersicherheit und Notfallmanagement auf der Windforce Conference einig.
Offshore-Windparks und vor allem deren Anbindungsleitungen gehören per se zur kritischen Infrastruktur (Kritis) und müssen sich daher für ein bestimmtes IT-Sicherheitsmanagementsystem gemäß Iso-27001, den "BSI-Grundschutz" des Bundesamtes für Sicherheit in der Informationstechnik, zertifizieren lassen, berichtete Thom Kemmerich vom Deutschen Forschungszentrum für Künstliche Intelligenz (DKFI),
Dass es innerhalb der nächsten zwei Jahre Hacks und physische Angriffe auf die Offshore-Infrastruktur geben würde, das wird laut einer Umfrage, die Kemmerich zitierte, von 40 bis 50
Prozent ihrer Betreiber befürchtet. Die Befragten nannten den Terrorismus als gefährlichstes Bedrohungsszenario. Wahrscheinlich sind aber auch aggressive Akte von Staaten wie Russland oder Nordkorea. An Sabotageakte eigener Mitarbeiter ist ebenfalls zu denken.
In der norwegischen See, berichtete Kemmerich, sei vor einiger Zeit plötzlich ein Telekommunikationskabel verschwunden. Morten Wilfred Persen von dem norwegischen Offshore-Kommunikationsdienstleister Kongsberg erzählte dieser Redaktion von mehreren Vorkommnissen im Meer von Norwegen, in denen Schiffe russischer Herkunft über Unterseekabeln aller Art plötzlich langsamer wurden, stoppten oder ihre Runden drehten.
Solche verdächtigen Aktivitäten von Schiffen und U-Booten
lassen sich in 1
bis 2
Kilometer Umkreis der maritimen Infrastruktur mit Sensoren an Glasfaser-Unterwasserleitungen entdecken, die sich die Reflexionen im Lichtwellenleiter in verschiedenen Abständen zunutze machen. Die Sensorik lässt sich auch für Co-Nutzungen im Meer sowie meeresbiologische Untersuchungen verwenden. Kameras und Sonar sowie Satellitenaufnahmen etwa zur Ölpest-Aufklärung sind weitere Möglichkeiten.
"Manche" Betreiber von Kritis" mustern jetzt erst Windows XP aus", will Thom Kemmerich vom DKFI erlebt haben. Das Betriebssystem wird seit 2014 nicht mehr von Microsoft supportet, erhält also seither auch keine Sicherheits-Updates mehr.
Wie rutscht Uralt-Software so einfach durch?Kemmerich darf den BSI-Grundschutz abnehmen. 2013 − plauderte er aus dem Nähkästchen − sollte er insoweit eine Konverterstation für einen Zeitraum von 2014 an zertifizieren. Und stellte, als er sich ans Werk machte, entsetzt fest, dass auf der Station auch Windows-2000-Server eingesetzt werden sollten. Das war ein damals schon 13
Jahre altes Betriebssystem. "Und das hätte noch 20
Jahre lang laufen sollen", verdeutlichte Kemmerich.
Wie kann so etwas passieren, dass bereits veraltete Software in der Kritis eingebaut wird? Dazu hatte Achim Fischer-Erdsiek eine Erklärung. Er ist geschäftsführender Gesellschafter der NW Assekuranzmakler, nach seinem Anspruch dem einzigen Unternehmen, das Cybersicherheits-Versicherungen für Offshore-Projekte vermittelt, denn die meisten Maschinenversicherungen für die See hätten einen ausdrücklichen Cyberausschluss für physische Folgeschäden.
 |
Achim Fischer-Erdsiek auf der Windforce
Quelle: E&M / Georg Eble |
Nicht nur Fischer-Erdsiek zufolge muss man zwischen IT und OT unterscheiden, wobei man OT in diesem Zusammenhang frei mit Maschinensteuerung übersetzen könnte. Oft sei nur die OT veraltet und die IT auf Stand. Dies liege wiederum in der Regel daran, dass die IT-Abteilungen von Unternehmen für die OT gar nicht zuständig seien. Die alten Systeme rutschen also quasi durch.
Thom Kemmerich vom DKFI empfahl, IT und OT informationstechnik getrennt zu halten, und riet zu "Security by design", das bedeutet, auf die Cybersecurity-Anforderungen möglichst bereits bei der IT-Entwicklung zu dringen und nicht erst bei der fertigen Software. Selbstverständlich bestehe für die Kritis-Betreiber ohnehin eine Iso-27001-Pflicht, aber sie sollten ein solches IT-Sicherheits-Managementsystem "so früh wie möglich" (re)zertifizieren.
Wer Zugang zu allen Systemen hatDer Versicherungsexperte fragte zudem die Zuhörer rhetorisch, welche Beschäftigte als einzige Zugang zu allen Systemen in einem Unternehmen haben − und bekam die richtigen Antworten: Praktikanten und Azubis, die in ihrer Zeit oft alle Abteilungen durchlaufen.
Unausgesprochen wollte Fischer-Erdsiek mit der Frage auf die personelle Schwachstelle in der IT-Sicherheit hinweisen, denn möglicherweise sind die Nachwuchskräfte dafür noch nicht ausreichend sensibilisiert. Er betonte, haftbar für Vorfälle sei nie die IT-Abteilung, sondern immer die obere Geschäftsleitung. Der Versicherungsvermittler kennt auch einige Fälle, in denen Geschäftsführer-Haftungsversicherungen (D&O) bei Pflichtverletzungen im IT-Bereich an die Chefs keine Entschädigung zahlten.
Die 20. Windforce Conference fand vom 12. bis 14. Juni in Bremerhaven statt. Etwa 320 Fach- und Führungskräfte aus mehr als 250 Unternehmen der Offshore- und Wasserstoffbranche kamen, das sind circa 50 mehr als 2022, teilte Heike Winkler, Geschäftsführerin des veranstaltenden Industrienetzwerks Wab, auf Anfrage mit. Jens Assheuer, im Brotberuf Geschäftsführer der EGP Enercity Günter Papenburg GmbH, wurde als Wab-Vorstandsvorsitzender wiedergewählt. Die nächste Windforce ist vom 4. bis 6. Juni 2024 in Bremerhaven.
Freitag, 16.06.2023, 15:09 Uhr
© 2024 Energie & Management GmbH
