Energieversorger werden immer häufiger zum Ziel von Hackerangriffen. Sind diese erfolgreich, können große Bereiche des gesellschaftlichen Lebens zusammenbrechen. Als kritische Infrastruktur (KRITIS) ist der Energiesektor daher gesetzlich dazu verpflichtet, sich besonders gut zu schützen. Diese Herausforderung lässt sich sukzessive mit Sustainable Cyber Resilience meistern.
Dirk Schrader, CISSP, CISM, ISO/IEC 27001 Practitioner bei Greenbone Networks erklärt im Folgenden wie Energieunternehmen in fünf Schritten widerstandsfähiger gegen Cyberangriffe werden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) informierte im Sommer 2018 über eine weltweite Cyber-Angriffskampagne auf deutsche Energieunternehmen. Hacker waren über eine Router-Schwachstelle in das Netz einer EnBW-Tochterfirma eingedrungen, leiteten Daten über Malware aus und schnitten beim Internetverkehr mit. Zum Zugriff auf Produktions- oder Steuerungsnetzwerke kam es glücklicherweise nicht. Theoretisch wäre dies jedoch möglich, da IT und OT-Systeme (Operational Technology) immer stärker miteinander verschmelzen – Industrieanlagen sind heute damit genauso angreifbar wie ein Bürocomputer. Aufgrund ihrer Bedeutung für das gesellschaftliche Leben und des steigenden Schadpotenzials von Hackerangriffen müssen KRITIS-Betreiber daher laut IT-Sicherheitsgesetz (IT-SIG) ein anspruchsvolles Mindestmaß an IT-Sicherheit gewährleisten, das dem »Stand der Technik« entspricht. Reaktive IT-Security-Maßnahmen werden dieser Anforderung längst nicht mehr gerecht. Vielmehr müssen Verantwortliche auf neue präventive Sicherheitskonzepte wie Sustainable Cyber Resilience setzen. Dieses verbindet unter anderem die folgenden technischen und organisatorischen Security-Maßnahmen.
- Überblick über heterogene IT-Landschaft gewinnen
Zunächst sollten Verantwortliche in Energieunternehmen mit einer Bestandsaufnahme klären, welche Geräte, Systeme und Applikationen im Unternehmensnetzwerk zusammenlaufen. Dies sind sowohl IT-Systeme zur Unternehmensadministration als auch Steuerungssysteme in Kraftwerken. Hinzu kommen auf Kundenseite beispielsweise Smart Meter, intelligente Stromzähler, die an das Internet angeschlossen sind und Verbrauchsdaten digital an den Energieversorger übertragen. Der Ist-Stand wird eine historisch gewachsene Kombination aus Legacy-Systemen und brandneuen Geräten zeigen, die Sicherheitslücken und Unzulänglichkeiten aufweisen. Doch nur wer seine Schwachstellen kennt, kann sich schützen.
- Schwachstellen-Management implementieren
Haben sich Verantwortliche einen Überblick verschafft, gilt es, die Schwachstellen im Unternehmensnetzwerk zu schließen. Dies gelingt mithilfe einer Schwachstellen-Management-Lösung (engl. Vulnerability Management). Dazu müssen Energieversorger sich in einem ersten Schritt über ihre IT-Sicherheitsziele klar werden und kritische Assets identifizieren. Ein Schwachstellen-Management-Tool scannt dann kontinuierlich alle im Netzwerk angeschlossenen Geräte auf Sicherheitslücken und priorisiert sie gemäß ihrem potenziellen Risiko. IT-Sicherheitsverantwortliche können diese dann schließen, etwa durch Updates oder Patches, die das Tool vorschlägt. Eins sollten Verantwortliche sich hier jedoch klar machen: Ziel kann und sollte nicht lauten, alle vorhandenen Sicherheitslücken auf einmal zu schließen. Das ist weder praktikabel noch wirtschaftlich sinnvoll. Vielmehr gilt es vor allem, die besonders risikoreichen Schwachstellen zuerst zu eliminieren.
- Systeme physisch absichern
Auch die physische Sicherheit von IT und OT-Systemen ist entscheidend, weshalb Einwirkungen wie Wasser, Feuer oder Einbruch nicht außer Acht gelassen werden dürfen. Zwingend notwendig sind Zugangskontrollsysteme, die unbefugte Zugriffe auf Server und Netzwerkkomponenten verhindern. Dies kann über elektronische Zutrittscodes, Magnetkarten oder biometrische Daten geschehen. Feuer-, Gas-, Rauch und Feuchtigkeitsmelder oder CO2-Löschanlagen sind weitere wichtige Schutzvorkehrungen. Klimaanlagen verhindern das Überhitzen der Systeme im Serverraum.
- Security-Prozesse und Verantwortlichkeiten festlegen
Energieunternehmen sollten zudem ein Information Security Management System (ISMS) etablieren. Systemkomponenten und Nutzer erhalten so nur die Rechte zugewiesen, die sie benötigen. Zudem dient ein ISMS dazu, Sicherheitsvorfälle durchzuspielen und klar festzulegen, wer wann wie zu informieren ist und welche weiteren Schritte konkret von wem einzuleiten sind. Energieversorger haben zudem die Pflicht, das BSI bei einem Sicherheitsvorfall zu informieren.
- Mitarbeiter für Gefahren sensibilisieren
Wichtige Präventionsmaßnahmen sind nach wie vor auch Schulungen zur Sensibilisierung für IT-Risiken. Denn viele Mitarbeiter sind sich nicht bewusst, wie gefährlich es für ihr Unternehmen wird, wenn sie auf eine Phishing-E-Mail hereinfallen. Die Gefahr steigt, wenn ein Betrugsversuch wie mit der Schadsoftware Emotet glaubwürdig formuliert ist und von einem Kontakt aus dem eigenen Adressbuch kommt.
Fazit: Sicherheit und Risiko gesund abwägen
»Wenn Unternehmen in der Lage sind, Schwachstellen in ihren IT-Systemen zeitnah aufzufinden, zu priorisieren und zu beseitigen, können sie ihre IT-Systeme kontinuierlich sicherer machen und die Angriffsfläche reduzieren. Das ist ein laufender Prozess, der nie abgeschlossen sein darf«, erklärt Dirk Schrader, CISSP, CISM, ISO/IEC 27001 Practitioner bei Greenbone Networks. Für KRITIS-Betreiber wie Energieversorger ist Vulnerability Management Pflicht. Im Zusammenspiel mit physischer Sicherheit, vordefinierten Security-Prozessen und Mitarbeitersensibilisierung sind Unternehmen aus dem Energiesektor in der Lage, Risiken zu managen, weil sie das richtige Maß an Sicherheit und Risikobereitschaft abwägen können. Erst dann versetzen sie ihre Infrastrukturen in einen Zustand der Sustainable Cyber Resilience.
Mehr Informationen zum Thema Cyber Resilience im Energiesektor finden Sie im kostenlosen Whitepaper von Greenbone:
https://www.greenbone.net/whitepaper/energie/
Foto: Pixabay
619 search results for „Energie Sicherheit“
NEWS | BUSINESS | BUSINESS PROCESS MANAGEMENT | DIGITALISIERUNG | DIGITALE TRANSFORMATION | EFFIZIENZ | GESCHÄFTSPROZESSE | INFRASTRUKTUR | IT-SECURITY | SERVICES | STRATEGIEN
Resilienz statt Robustheit: Neues Sicherheitskonzept für die Energieversorgung
Digitalisierung ermöglicht Energiewende – und erfordert neues Denken. Um eine stabile und ausfallsichere Energieversorgung in Zukunft gewährleisten zu können, sollte aus Sicht des Digitalverbands Bitkom die Sicherheit des deutschen Energiesystems grundsätzlich neu geregelt werden. Dabei kommt digitalen Technologien eine Schlüsselrolle zu. Entsprechende Vorschläge hat Bitkom in einem aktuellen Positionspapier »Digitalisierung des Energieversorgungssystems – Von der…
NEWS | DIGITALISIERUNG | INFRASTRUKTUR | INTERNET DER DINGE | IT-SECURITY | SERVICES | TIPPS
10 Tipps für mehr Cybersicherheit (nicht nur) bei Energieversorgern
Würden Sie mir glauben, wenn ich Ihnen sage, dass Stromversorger jeden Tag gehackt werden? Es stimmt, die meisten dieser Hacks sind nicht erfolgreich, da eine große Zahl wichtiger Stromversorgungsnetze entweder offline ist oder nur über private Netzwerke zugänglich (d.h. nicht über das Internet betrieben wird). Das ändert sich allerdings gerade. Die Situation verschiebt sich hin…
NEWS | TRENDS INFRASTRUKTUR | CLOUD COMPUTING | DIGITALE TRANSFORMATION | EFFIZIENZ | INFOGRAFIKEN | IT-SECURITY | LÖSUNGEN | SERVICES
Intelligent vernetzte Energielösungen: Mehr Effizienz und Sicherheit, geringere Betriebskosten
Brennstoffzelle und Blockheizkraftwerke für effiziente Energieerzeugung. Lösungen für intelligentes Energiemonitoring und -management. Stromspeicher für Industrie, Gewerbe und Energieversorger. Umfassende Sicherheitssysteme für Anlagen und Gebäude. Bosch zeigt intelligent vernetzte Lösungen, um Energie effizient zu erzeugen, messen, steuern und zu speichern, zudem präsentiert Bosch Sicherheitslösungen. Kunden sparen damit Energie und Kosten und erhöhen die Sicherheit ihrer…
NEWS | IT-SECURITY | LÖSUNGEN | TIPPS
Praxisleitfaden unterstützt Energienetzbetreiber bei Erhöhung der IT-Sicherheit
Umfangreiche Vorgaben zur IT-Sicherheit bei Energienetzbetreibern. Digitalverband Bitkom und der Verband der kommunalen Unternehmen VKU veröffentlichen gemeinsamen Praxisleitfaden zum IT-Sicherheitskatalog der Bundesnetzagentur. Der Digitalverband Bitkom und der Verband kommunaler Unternehmen (VKU) haben heute einen gemeinsamen Praxisleitfaden für IT-Experten von Energienetzbetreibern veröffentlicht. Hintergrund sind die neuen IT-Sicherheitsstandards, die die Bundesnetzagentur für die 900 Betreiber von Stromnetzen…
NEWS | BUSINESS PROCESS MANAGEMENT | INFRASTRUKTUR | IT-SECURITY | ONLINE-ARTIKEL | SERVICES
IT-Sicherheitskatalog für Energienetzbetreiber veröffentlicht
Die Bundesnetzagentur (BNetzA) hat den Katalog für IT-Sicherheit-Mindeststandards im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt. Er enthält Sicherheitsanforderungen, die dem Schutz gegen Bedrohungen der für einen sicheren Energienetzbetrieb notwendigen Telekommunikations- und elektronischen Datenverarbeitungssysteme dienen. Der in Kurzform IT-Sicherheitskatalog genannte Anforderungskatalog ist für Energienetzbetreiber gemäß EnWG §11 Absatz 1a verbindlich und…
TRENDS SECURITY | TRENDS INFRASTRUKTUR | INFRASTRUKTUR | IT-SECURITY
Energieunternehmen wiegen sich in falscher Sicherheit
Wie vermeintlich sicher sich die Verantwortlichen von Energieunternehmen in Sachen Cybersicherheit fühlen, zeigt eine aktuelle Untersuchung von Dimensional Research. In der Studie wurden in den USA über 400 Führungskräften und IT-Fachkräften in der Energiewirtschaft hinsichtlich Internet- und Datensicherheit befragt. 86 Prozent gaben an, dass sie einen sicherheitskritischen Vorfall in weniger als einer Woche erkennen können.…
NEWS | BUSINESS | GESCHÄFTSPROZESSE | INFRASTRUKTUR | IT-SECURITY | STRATEGIEN
Stadtwerke und Energieversorger benötigen sofortigen Einstieg in das Management von Informationssicherheit
Energieversorger stehen vor großen Herausforderungen. Im Zuge des § 11 Abs. 1a des Energiewirtschaftsgesetzes (EnWG) und des IT-Sicherheitskatalogs der Bundesnetzagentur gewinnt für sie der Schutz ihrer IT-Infrastrukturen deutlich an Brisanz. »Die BNetzA plant die Einführung sowie Zertifizierung eines Informationssicherheits-Managementsystems – kurz ISMS – nach ISO 27001 als verpflichtende Anforderung an die Strom- und Gasnetzbetreiber in…
NEWS | INFRASTRUKTUR | INTERNET DER DINGE | IT-SECURITY | PRODUKTMELDUNG | SERVICES
Intelligente Sicherheit für intelligente Städte
Die Vereinten Nationen prognostizieren, dass bis 2050 68 % der Weltbevölkerung in städtischen Gebieten leben werden. Dies ist ein enormer Anstieg gegenüber den 55 %, die heute bereits in den Städten der Welt leben. Diese Migration in die Metropolen setzt Stadtplaner, Manager und politische Entscheidungsträger gleichermaßen unter Druck. Es gilt, die Stadtverwaltung zu optimieren und…
NEWS | CLOUD COMPUTING | DIGITALISIERUNG | IT-SECURITY | SERVICES
Neue Verfahren für die IT-Sicherheit: Mit Simulationen so agil werden wie die Cyberangreifer selbst
Cyberangriffe, Ransomware, Malware oder Phishing-Attacken: die Liste potenzieller Bedrohungen für die IT-Sicherheit eines Unternehmens ist lang und schier unerschöpflich. Obwohl die Angriffsmethoden immer komplexer werden und sich stetig weiterentwickeln, nutzen die meisten Unternehmen weiterhin reaktive, technologiebasierte Lösungen zum Schutz ihrer IT-Infrastruktur. Doch Endpoint-Security und Firewalls allein reichen als Schutz längst nicht mehr aus. Kontinuierliche Simulationen…
NEWS | PRODUKTMELDUNG
FIPS 140-2-Validierung: Sicherheitszertifikat für RDX-Verschlüsselung
Overland-Tandberg, Spezialist für Datenmanagement-, Backup- und Archivierungslösungen, hat die Hardwareverschlüsselung PowerEncrypt für RDX-Wechselplatten erfolgreich nach dem bedeutenden US-Sicherheitsstandard FIPS 140-2 validieren lassen. Produkte mit der begehrten FIPS 140-2-Validierung gelten als »vertrauliche« Produkte und stehen weltweit als Ausdruck von Datensicherheit und -integrität. In Europa gewährleistet FIPS 140-2 Verschlüsselungsstandards nach EU-DSGVO. Die FIPS 140-2-validierte Verschlüsselung ist…
NEWS | TRENDS 2019 | TRENDS SECURITY | IT-SECURITY | SERVICES
Drei unterschätzte Sicherheitsrisiken
Sicherheitsteams werden immer mehr zu einem integralen Bestandteil von Unternehmen und sind für den Erfolg wichtiger als je zuvor. Sie haben sich weiterentwickelt und werden zunehmend als legitimer Geschäftspartner und treibende Kraft für das Wachstum angesehen. In ihrer Rolle als Geschäftspartner gehört das Ermitteln von Unternehmensrisiken zu einer der wichtigsten Kompetenzen, die Sicherheitsteams bieten. Hierbei…
NEWS | TRENDS 2019 | BUSINESS | TRENDS SECURITY | TRENDS SERVICES | IT-SECURITY | SERVICES
IT-Sicherheit: Unternehmen suchen händeringend Spezialisten
Jedes zweite Unternehmen findet in Deutschland keine passenden IT-Sicherheitsspezialisten. Jedes dritte Unternehmen hat zudem Probleme bei der Suche geeigneter externer Dienstleister. Die Folge: Vorhandene und neu formulierte IT-Sicherheitsstrategien zum Aufdecken und Abwehren von Hackerangriffen sowie zum Schutz von Daten können nicht wie geplant umgesetzt werden. Das ergibt die Studie »Potenzialanalyse Unternehmen schützen, Risiken minimieren« von…
NEWS | TRENDS 2019 | TRENDS WIRTSCHAFT | BLOCKCHAIN | EFFIZIENZ | TRENDS GESCHÄFTSPROZESSE| TRENDS SERVICES | GESCHÄFTSPROZESSE | STRATEGIEN
Einsatz von Blockchain im Energiesystem ist schon heute sinnvoll
Rahmenbedingungen für Schlüsseltechnologie der Energiewende verbessern und Investitionsbereitschaft erhöhen. Schon heute kann die Blockchain-Technologie in vielen Bereichen der Energiewirtschaft Mehrwert für Unternehmen und Verbraucher bieten, so ein Ergebnis der Studie »Blockchain in der integrierten Energiewende« [1] der Deutschen Energie-Agentur (dena). Sie untersucht den Beitrag der Blockchain zur Energiewende anhand elf konkreter Anwendungsfälle aus den energiewirtschaftlichen…