Würden Sie mir glauben, wenn ich Ihnen sage, dass Stromversorger jeden Tag gehackt werden? Es stimmt, die meisten dieser Hacks sind nicht erfolgreich, da eine große Zahl wichtiger Stromversorgungsnetze entweder offline ist oder nur über private Netzwerke zugänglich (d.h. nicht über das Internet betrieben wird).

Das ändert sich allerdings gerade. Die Situation verschiebt sich hin zu einem besser verbundenen und digitalisierten Stromversorgungsnetz. Und genau das hat neue Sicherheitslücken mit sich gebracht.

Beispielsweise verlautbarte Apple vor Kurzem, dass ein weniger hoher Sicherheitslevel beim iPhone auch das Stromnetz angreifbarer machen könnte. Vor ein paar Monaten gab es einen Ausfall in der Ukraine. Dieser gilt als das erste bekannte Beispiel dafür, dass ein Kraftwerk von Hackern deaktiviert wurde. Und in den USA enthüllte ein AP Untersuchungsbericht, dass Cyber-Angreifer einen Weg in die Netzwerke gefunden haben, die das US-Stromnetz betreiben.

Wie kann der Energiesektor aber für mehr Cybersicherheit sorgen, angesichts der potenziell gravierenden Folgen, die von finanziellen Aufwendungen für die Sanierung über den Verlust von IPs bis hin zu einer angeschlagenen Reputation reichen. Wir haben 10 Empfehlungen zusammengestellt.

1. Die Basisrichtlinien

Leider haben zahlreiche Unternehmen, einschließlich der Stromversorger und CISOs oft kein besonders ausgeprägtes Gespür für den Status ihrer Cybersicherheit. Eine grundlegende Richtlinie zu definieren ist unverzichtbar, um die Lücke zwischen dem Ist- und dem Soll-Zustand auszumachen. In den USA hat das Department of Energy Office of Electricity Delivery and Energy Reliability das Electricity Subsector Cybersecurity Capability Maturity Model (ES-C2M2) Empfehlungen zur Verfügung gestellt, die Unternehmen dabei unterstützen ihre Kompetenzen in Sachen Cybersicherheit zu bewerten, zu priorisieren und zu verbessern. Die ES-C2M2 ist folglich ein ausgezeichnetes Tool für alle Stromversorger um sich in puncto Cybersicherheit besser einzuschätzen. In Deutschland hat der Bundestag vor knapp einem Jahr das neue Gesetz für die Betreiber kritischer Infrastrukturen beschlossen. Für Energieversorgungsunternehmen sind eine Reihe von Pflichten zur Einführung von Abwehrmaßnahmen, Nachweis- und Meldepflichten hinzugekommen.

2. (Realistische) Ziele für Cybersicherheit setzen

In der Realität lässt sich nicht jeder Bereich beim Betrieb eines Stromversorgers parallel und mit demselben Sicherheits-Level gegen Cyberbedrohungen schützen. Unternehmen können allerdings ein risikobasiertes Modell einsetzen, das die Auswirkungen eines Cyberangriffs untersucht und schnell die größten Lücken identifiziert. Das NIST Cybersecurity Framework hat dazu bestehende Standards und Richtlinien für kritische Infrastrukturen zusammengestellt. Grundlegend ist dabei das Konzept der sogenannten Zielprofile. Je nach Sicherheitsbedürfnis, geschäftlichen Anforderungen, Risikotoleranzniveau und verfügbaren Ressourcen werden die Prioritäten gesetzt. Dieses Vorgehen gewährleistet bei knappen IT-Ressourcen, mehr Cyber- und Ausfallsicherheit für die am meisten gefährdeten Bereiche.

3. Cloud-Optionen in Betracht ziehen

Kleine und mittlere Stromversorger müssen in aller Regel damit leben, dass in ihrem Unternehmen wenig oder gar kein Sicherheits-Know-how vorhanden ist. Es ist mehr als wahrscheinlich, dass Cybersicherheit nicht zu den Kernkompetenzen gehört. Budget für externe Sicherheitsanbieter zu reservieren, ist gut angelegtes Geld. Digitale Zertifikate sind dabei eine der Möglichkeiten die notwendige Zwei-Faktor-Authentifizierung umzusetzen. An dieser Stelle auf Cloud-Zertifizierungsstellen zurückzugreifen, erhöht den Sicherheitslevel. So entlasten Sie die ohnehin gestressten IT-Abteilungen, die selten ausreichend mit den Best Practices für eine PKI-Lösung vertraut sind. Cloud-PKI-Dienste sind schneller zu implementieren, die entsprechend dahinterliegende Infrastruktur vorausgesetzt. Ein Energieversorgungsunternehmen kann sich dann problemlos »einklinken« beispielsweise einfach über einen Browser.

4. Sicherheit zieht Compliance nach sich

Der Preis für Nicht-Compliance kann hoch sein. Nicht selten arbeiten Unternehmen mit Compliance-Programmen, die sich darauf konzentrieren, Auditoren zufriedenzustellen. So wird am Ende viel investiert aber der Sicherheitsstatus ist immer noch niedriger als gewünscht. Investitionen in Programme zur Cybersicherheit halten sicher viele Angriffe auf. Die Kosten für eine Sanierung nach einer Datenschutz- beziehungsweise Sicherheitsverletzung können hinsichtlich finanzieller Verluste, Rufschädigung und Sicherheitsniveau verheerend sein. Die Einsätze sind für Branchen mit kritischen Infrastrukturen wie der Stromversorgung immens. Stromversorger und Netzbetreiber sollten kontinuierlich die eingesetzten Programme zur Cybersicherheit im Hinblick darauf überprüfen ob sie aktuellen und zunehmend ausgefeilten Bedrohungen noch gewachsen sind.

5. Vorbereitet sein

Obwohl präventive Maßnahmen wichtig sind, ist es ebenso entscheidend, wie ein Unternehmen im Falle eines tatsächlichen Sicherheitsverstoßes beziehungsweise einer Datenschutzverletzung reagiert. Heutzutage erwartet man sie entweder aus internen (böswillig oder als Folge eines Bedienungsfehlers) oder externen (staatlich gefördert, Hacker oder Terroristen) Quellen. Es kommt maßgeblich darauf an wie schnell ein Unternehmen reagiert, wie zügig es den Schaden kontrollieren und Ausfälle minimieren kann. Der am besten dokumentierte Plan zur Betriebswiederherstellung ist nicht viel wert wenn er nicht regelmäßig überprüft und aktualisiert wird. Investieren Sie nicht massiv in einen Business Recovery Plan (BRP, Plan zur Betriebswiederherstellung) nur um ihn dann veralten zu lassen.

6. Bei neuen Anwendungsfällen an IAM denken

Die Kontrolle darüber, wer wann auf was zugreifen kann ist nicht so einfach wie die Verwaltung einer Zugangskontrollliste und der Mitgliedschaft in einer Active Directory-Gruppe. IT-Manager müssen raffiniertere Verfahren integrieren um nicht autorisierte Zugangs- und Zugriffsversuche zu erkennen. Es gibt immer mehr Anwendungsfälle, bei denen externe Benutzer wie Auftragnehmer, Regulatoren, Marktteilnehmer und sogar Kunden Teil des Systems sind. Identity und Access Management (IAM)-Technologien sollten dahingehend sichere, agile und automatisierte Lösungen bereitstellen. Darüber hinaus müssen IAM-Produkte unterschiedliche Authentifizierungsmethoden handhaben können um mobile Endgeräte und IoT-Devices anzubinden.

7. Benutzererfahrung berücksichtigen

Benutzererfahrung ist nicht mehr nur auf verbraucherorientierte Anwendungsfälle beschränkt. Unternehmen verstehen inzwischen, wie eine gute Benutzererfahrung sich in mehr Sicherheit, niedrigeren Kosten und einer höheren Produktivität niederschlägt. Authentifizierungsmethoden über PKI, biometrische Daten und Mobilgeräte sollten das umständliche Passwort-Authentifizierungssystem ersetzen. Und damit aufwendige Zurücksetzen von Passwörtern.

8. Besser mit Partnern als allein

Nutzen Sie Partnerschaften zwischen Regierungen und Industrie, wie in den USA die NIST National Cyber Security Center of Excellence (NCCoE). Sie leisten IAM-Starthilfe und unterstützen bei Implementierungen ganz unterschiedlicher Art. Das NCCoE hat eine Fülle von Implementierungsbeispielen zusammengestellt, die Energieunternehmen aller Größenordnungen helfen, bewährte Produkte von Drittanbietern zu nutzen, um ein Cybersicherheit-Framework, NERC CIP, weitere Standards und Best Practices umzusetzen.

9. PKI-basierte Sicherheit auf der Grundstufe von IoT-Projekten einbauen

Uns erwarten Milliarden von miteinander verbundenen, online-fähigen Geräten, die sowohl ‚Intelligente Stromnetze’ als auch ‚Intelligente Städte’ unterstützen. PKI ist eine bereits existierende, entwicklungsfähige Technologie, die starke Authentifizierung, Datenintegrität und Verschlüsselung bietet.

10. Bewusstsein beim Endbenutzer schaffen

Unterschätzen Sie nie, wie Endverbraucher die Netzwerksicherheit unterstützen oder sabotieren können. Es gilt, ein entsprechendes Bewusstsein zu schaffen wie wichtig Sicherheit ist. Das gelingt am besten in IT-/User-Partnerschaften in denen sich der Benutzer als Teil der bestehenden Sicherheitskultur fühlt. Allzu restriktive und mühsam umzusetzende IT-Sicherheitsmaßnahmen ohne Erklärung oder Feedback seitens der Initiatoren führen höchstwahrscheinlich nur dazu, dass Endbenutzer versuchen »das System austricksen”.

Lila Kee, GlobalSign

Wenn Sie mehr dazu erfahren wollen, wie GlobalSign Ihnen helfen kann, Ihre kritische Infrastruktur zu sichern, besuchen Sie bitte unsere Website.

---

Bewusstsein für Cybersicherheit in Unternehmen spielerisch verbessern

Cybersicherheit: Cloud größte Sicherheitsherausforderung, Bedarf an einheitlichen Lösungen

Cybersicherheit: Die größten Sorgen europäischer Unternehmen

Mehr Cybersicherheit für vernetzte Gebäude nötig

Anwendern darf nicht zu viel Verantwortung für Cybersicherheit abverlangt werden

Studie: Kritische öffentliche Infrastruktur in Deutschland ohne Kontrolle

Kritische Infrastrukturen richtig sichern – Zehn Schritte zum sicheren SCADA-Netzwerk