Cyber Resilience im Energiesektor: In fünf Schritten zur widerstandsfähigen IT-Infrastruktur

Energieversorger werden immer häufiger zum Ziel von Hackerangriffen. Sind diese erfolgreich, können große Bereiche des gesellschaftlichen Lebens zusammenbrechen. Als kritische Infrastruktur (KRITIS) ist der Energiesektor daher gesetzlich dazu verpflichtet, sich besonders gut zu schützen. Diese Herausforderung lässt sich sukzessive mit Sustainable Cyber Resilience meistern.

 

Dirk Schrader, CISSP, CISM, ISO/IEC 27001 Practitioner bei Greenbone Networks erklärt im Folgenden wie Energieunternehmen in fünf Schritten widerstandsfähiger gegen Cyberangriffe werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) informierte im Sommer 2018 über eine weltweite Cyber-Angriffskampagne auf deutsche Energieunternehmen. Hacker waren über eine Router-Schwachstelle in das Netz einer EnBW-Tochterfirma eingedrungen, leiteten Daten über Malware aus und schnitten beim Internetverkehr mit. Zum Zugriff auf Produktions- oder Steuerungsnetzwerke kam es glücklicherweise nicht. Theoretisch wäre dies jedoch möglich, da IT und OT-Systeme (Operational Technology) immer stärker miteinander verschmelzen – Industrieanlagen sind heute damit genauso angreifbar wie ein Bürocomputer. Aufgrund ihrer Bedeutung für das gesellschaftliche Leben und des steigenden Schadpotenzials von Hackerangriffen müssen KRITIS-Betreiber daher laut IT-Sicherheitsgesetz (IT-SIG) ein anspruchsvolles Mindestmaß an IT-Sicherheit gewährleisten, das dem »Stand der Technik« entspricht. Reaktive IT-Security-Maßnahmen werden dieser Anforderung längst nicht mehr gerecht. Vielmehr müssen Verantwortliche auf neue präventive Sicherheitskonzepte wie Sustainable Cyber Resilience setzen. Dieses verbindet unter anderem die folgenden technischen und organisatorischen Security-Maßnahmen.

 

  1. Überblick über heterogene IT-Landschaft gewinnen

Zunächst sollten Verantwortliche in Energieunternehmen mit einer Bestandsaufnahme klären, welche Geräte, Systeme und Applikationen im Unternehmensnetzwerk zusammenlaufen. Dies sind sowohl IT-Systeme zur Unternehmensadministration als auch Steuerungssysteme in Kraftwerken. Hinzu kommen auf Kundenseite beispielsweise Smart Meter, intelligente Stromzähler, die an das Internet angeschlossen sind und Verbrauchsdaten digital an den Energieversorger übertragen. Der Ist-Stand wird eine historisch gewachsene Kombination aus Legacy-Systemen und brandneuen Geräten zeigen, die Sicherheitslücken und Unzulänglichkeiten aufweisen. Doch nur wer seine Schwachstellen kennt, kann sich schützen.

  1. Schwachstellen-Management implementieren

Haben sich Verantwortliche einen Überblick verschafft, gilt es, die Schwachstellen im Unternehmensnetzwerk zu schließen. Dies gelingt mithilfe einer Schwachstellen-Management-Lösung (engl. Vulnerability Management). Dazu müssen Energieversorger sich in einem ersten Schritt über ihre IT-Sicherheitsziele klar werden und kritische Assets identifizieren. Ein Schwachstellen-Management-Tool scannt dann kontinuierlich alle im Netzwerk angeschlossenen Geräte auf Sicherheitslücken und priorisiert sie gemäß ihrem potenziellen Risiko. IT-Sicherheitsverantwortliche können diese dann schließen, etwa durch Updates oder Patches, die das Tool vorschlägt. Eins sollten Verantwortliche sich hier jedoch klar machen: Ziel kann und sollte nicht lauten, alle vorhandenen Sicherheitslücken auf einmal zu schließen. Das ist weder praktikabel noch wirtschaftlich sinnvoll. Vielmehr gilt es vor allem, die besonders risikoreichen Schwachstellen zuerst zu eliminieren.

  1. Systeme physisch absichern

Auch die physische Sicherheit von IT und OT-Systemen ist entscheidend, weshalb Einwirkungen wie Wasser, Feuer oder Einbruch nicht außer Acht gelassen werden dürfen. Zwingend notwendig sind Zugangskontrollsysteme, die unbefugte Zugriffe auf Server und Netzwerkkomponenten verhindern. Dies kann über elektronische Zutrittscodes, Magnetkarten oder biometrische Daten geschehen. Feuer-, Gas-, Rauch und Feuchtigkeitsmelder oder CO2-Löschanlagen sind weitere wichtige Schutzvorkehrungen. Klimaanlagen verhindern das Überhitzen der Systeme im Serverraum.

  1. Security-Prozesse und Verantwortlichkeiten festlegen

Energieunternehmen sollten zudem ein Information Security Management System (ISMS) etablieren. Systemkomponenten und Nutzer erhalten so nur die Rechte zugewiesen, die sie benötigen. Zudem dient ein ISMS dazu, Sicherheitsvorfälle durchzuspielen und klar festzulegen, wer wann wie zu informieren ist und welche weiteren Schritte konkret von wem einzuleiten sind. Energieversorger haben zudem die Pflicht, das BSI bei einem Sicherheitsvorfall zu informieren.

  1. Mitarbeiter für Gefahren sensibilisieren

Wichtige Präventionsmaßnahmen sind nach wie vor auch Schulungen zur Sensibilisierung für IT-Risiken. Denn viele Mitarbeiter sind sich nicht bewusst, wie gefährlich es für ihr Unternehmen wird, wenn sie auf eine Phishing-E-Mail hereinfallen. Die Gefahr steigt, wenn ein Betrugsversuch wie mit der Schadsoftware Emotet glaubwürdig formuliert ist und von einem Kontakt aus dem eigenen Adressbuch kommt.

Fazit: Sicherheit und Risiko gesund abwägen

»Wenn Unternehmen in der Lage sind, Schwachstellen in ihren IT-Systemen zeitnah aufzufinden, zu priorisieren und zu beseitigen, können sie ihre IT-Systeme kontinuierlich sicherer machen und die Angriffsfläche reduzieren. Das ist ein laufender Prozess, der nie abgeschlossen sein darf«, erklärt Dirk Schrader, CISSP, CISM, ISO/IEC 27001 Practitioner bei Greenbone Networks. Für KRITIS-Betreiber wie Energieversorger ist Vulnerability Management Pflicht. Im Zusammenspiel mit physischer Sicherheit, vordefinierten Security-Prozessen und Mitarbeitersensibilisierung sind Unternehmen aus dem Energiesektor in der Lage, Risiken zu managen, weil sie das richtige Maß an Sicherheit und Risikobereitschaft abwägen können. Erst dann versetzen sie ihre Infrastrukturen in einen Zustand der Sustainable Cyber Resilience.

Mehr Informationen zum Thema Cyber Resilience im Energiesektor finden Sie im kostenlosen Whitepaper von Greenbone:

https://www.greenbone.net/whitepaper/energie/

Foto: Pixabay

619 search results for „Energie Sicherheit“

Resilienz statt Robustheit: Neues Sicherheitskonzept für die Energieversorgung

Digitalisierung ermöglicht Energiewende – und erfordert neues Denken. Um eine stabile und ausfallsichere Energieversorgung in Zukunft gewährleisten zu können, sollte aus Sicht des Digitalverbands Bitkom die Sicherheit des deutschen Energiesystems grundsätzlich neu geregelt werden. Dabei kommt digitalen Technologien eine Schlüsselrolle zu. Entsprechende Vorschläge hat Bitkom in einem aktuellen Positionspapier »Digitalisierung des Energieversorgungssystems – Von der…

10 Tipps für mehr Cybersicherheit (nicht nur) bei Energieversorgern

Würden Sie mir glauben, wenn ich Ihnen sage, dass Stromversorger jeden Tag gehackt werden? Es stimmt, die meisten dieser Hacks sind nicht erfolgreich, da eine große Zahl wichtiger Stromversorgungsnetze entweder offline ist oder nur über private Netzwerke zugänglich (d.h. nicht über das Internet betrieben wird). Das ändert sich allerdings gerade. Die Situation verschiebt sich hin…

Intelligent vernetzte Energielösungen: Mehr Effizienz und Sicherheit, geringere Betriebskosten

Brennstoffzelle und Blockheizkraftwerke für effiziente Energieerzeugung. Lösungen für intelligentes Energiemonitoring und -management. Stromspeicher für Industrie, Gewerbe und Energieversorger. Umfassende Sicherheitssysteme für Anlagen und Gebäude.   Bosch zeigt intelligent vernetzte Lösungen, um Energie effizient zu erzeugen, messen, steuern und zu speichern, zudem präsentiert Bosch Sicherheitslösungen. Kunden sparen damit Energie und Kosten und erhöhen die Sicherheit ihrer…

Praxisleitfaden unterstützt Energienetzbetreiber bei Erhöhung der IT-Sicherheit

Umfangreiche Vorgaben zur IT-Sicherheit bei Energienetzbetreibern. Digitalverband Bitkom und der Verband der kommunalen Unternehmen VKU veröffentlichen gemeinsamen Praxisleitfaden zum IT-Sicherheitskatalog der Bundesnetzagentur. Der Digitalverband Bitkom und der Verband kommunaler Unternehmen (VKU) haben heute einen gemeinsamen Praxisleitfaden für IT-Experten von Energienetzbetreibern veröffentlicht. Hintergrund sind die neuen IT-Sicherheitsstandards, die die Bundesnetzagentur für die 900 Betreiber von Stromnetzen…

IT-Sicherheitskatalog für Energienetzbetreiber veröffentlicht

Die Bundesnetzagentur (BNetzA) hat den Katalog für IT-Sicherheit-Mindeststandards im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt. Er enthält Sicherheitsanforderungen, die dem Schutz gegen Bedrohungen der für einen sicheren Energienetzbetrieb notwendigen Telekommunikations- und elektronischen Datenverarbeitungssysteme dienen. Der in Kurzform IT-Sicherheitskatalog genannte Anforderungskatalog ist für Energienetzbetreiber gemäß EnWG §11 Absatz 1a verbindlich und…

Energieunternehmen wiegen sich in falscher Sicherheit

Wie vermeintlich sicher sich die Verantwortlichen von Energieunternehmen in Sachen Cybersicherheit fühlen, zeigt eine aktuelle Untersuchung von Dimensional Research. In der Studie wurden in den USA über 400 Führungskräften und IT-Fachkräften in der Energiewirtschaft hinsichtlich Internet- und Datensicherheit befragt. 86 Prozent gaben an, dass sie einen sicherheitskritischen Vorfall in weniger als einer Woche erkennen können.…

Stadtwerke und Energieversorger benötigen sofortigen Einstieg in das Management von Informationssicherheit

Energieversorger stehen vor großen Herausforderungen. Im Zuge des § 11 Abs. 1a des Energiewirtschaftsgesetzes (EnWG) und des IT-Sicherheitskatalogs der Bundesnetzagentur gewinnt für sie der Schutz ihrer IT-Infrastrukturen deutlich an Brisanz. »Die BNetzA plant die Einführung sowie Zertifizierung eines Informationssicherheits-Managementsystems – kurz ISMS – nach ISO 27001 als verpflichtende Anforderung an die Strom- und Gasnetzbetreiber in…

Intelligente Sicherheit für intelligente Städte

Die Vereinten Nationen prognostizieren, dass bis 2050 68 % der Weltbevölkerung in städtischen Gebieten leben werden. Dies ist ein enormer Anstieg gegenüber den 55 %, die heute bereits in den Städten der Welt leben. Diese Migration in die Metropolen setzt Stadtplaner, Manager und politische Entscheidungsträger gleichermaßen unter Druck. Es gilt, die Stadtverwaltung zu optimieren und…

Neue Verfahren für die IT-Sicherheit: Mit Simulationen so agil werden wie die Cyberangreifer selbst

Cyberangriffe, Ransomware, Malware oder Phishing-Attacken: die Liste potenzieller Bedrohungen für die IT-Sicherheit eines Unternehmens ist lang und schier unerschöpflich. Obwohl die Angriffsmethoden immer komplexer werden und sich stetig weiterentwickeln, nutzen die meisten Unternehmen weiterhin reaktive, technologiebasierte Lösungen zum Schutz ihrer IT-Infrastruktur. Doch Endpoint-Security und Firewalls allein reichen als Schutz längst nicht mehr aus. Kontinuierliche Simulationen…

FIPS 140-2-Validierung: Sicherheitszertifikat für RDX-Verschlüsselung

Overland-Tandberg, Spezialist für Datenmanagement-, Backup- und Archivierungslösungen, hat die Hardwareverschlüsselung PowerEncrypt für RDX-Wechselplatten erfolgreich nach dem bedeutenden US-Sicherheitsstandard FIPS 140-2 validieren lassen. Produkte mit der begehrten FIPS 140-2-Validierung gelten als »vertrauliche« Produkte und stehen weltweit als Ausdruck von Datensicherheit und -integrität. In Europa gewährleistet FIPS 140-2 Verschlüsselungsstandards nach EU-DSGVO.   Die FIPS 140-2-validierte Verschlüsselung ist…

Drei unterschätzte Sicherheitsrisiken

Sicherheitsteams werden immer mehr zu einem integralen Bestandteil von Unternehmen und sind für den Erfolg wichtiger als je zuvor. Sie haben sich weiterentwickelt und werden zunehmend als legitimer Geschäftspartner und treibende Kraft für das Wachstum angesehen. In ihrer Rolle als Geschäftspartner gehört das Ermitteln von Unternehmensrisiken zu einer der wichtigsten Kompetenzen, die Sicherheitsteams bieten. Hierbei…

IT-Sicherheit: Unternehmen suchen händeringend Spezialisten

Jedes zweite Unternehmen findet in Deutschland keine passenden IT-Sicherheitsspezialisten. Jedes dritte Unternehmen hat zudem Probleme bei der Suche geeigneter externer Dienstleister. Die Folge: Vorhandene und neu formulierte IT-Sicherheitsstrategien zum Aufdecken und Abwehren von Hackerangriffen sowie zum Schutz von Daten können nicht wie geplant umgesetzt werden. Das ergibt die Studie »Potenzialanalyse Unternehmen schützen, Risiken minimieren« von…

Einsatz von Blockchain im Energiesystem ist schon heute sinnvoll

Rahmenbedingungen für Schlüsseltechnologie der Energiewende verbessern und Investitionsbereitschaft erhöhen. Schon heute kann die Blockchain-Technologie in vielen Bereichen der Energiewirtschaft Mehrwert für Unternehmen und Verbraucher bieten, so ein Ergebnis der Studie »Blockchain in der integrierten Energiewende« [1] der Deutschen Energie-Agentur (dena). Sie untersucht den Beitrag der Blockchain zur Energiewende anhand elf konkreter Anwendungsfälle aus den energiewirtschaftlichen…

Weitere Artikel zu