Gezielte Weiterbildung: IT-Security in der Wasser- und Stromversorgung

Fachbeitrag der Fraunhofer Academy: Dem Blackout keine Chance geben.

Spätestens dann, wenn in Millionen Haushalten das Licht ausgeht, aus den Hähnen kein Wasser mehr fließt und Produktionsanlagen stillstehen, wird deutlich, dass ohne eine funktionierende Wasser- und Stromversorgung die Gesellschaft stillsteht. Kein Wunder, dass diese als kritische Infrastrukturen ein beliebtes Ziel für Hacker darstellen. Allein 2018 registrierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) 157 Meldungen von Versorgern kritischer Infrastrukturen. In Deutschland gab es zwar bislang keine Attacke im Umfang des Angriffs auf die ukrainische Stromversorgung 2015, der damals zu einem sogenannten Blackout führte und Hunderttausende Haushalte vom Strom abschnitt. Dennoch wird deutlich: Energie- und Wasserversorger müssen ihrer IT-Sicherheit und ihren Informationssicherheitsmanagementsystemen (ISMS) weit mehr Beachtung schenken als bisher. Das gilt nicht nur für den Bereich IT-Infrastruktur, sondern für alle Mitarbeiter. Eine wirksame Methode hierfür stellen Weiterbildungen im Bereich IT-Security speziell für Energieversorger dar.

 

Energieversorger in veränderter Bedrohungslage

Fälle wie der durch Malware ausgelöste Blackout in der Ukraine zeigen, dass kritische Infrastrukturen wie das Energiesystem digitale Angriffsflächen mit extrem hohen Risikopotenzial darstellen. Während sich Saboteure im analogen Zeitalter nur über eine interne Manipulation Zugriff zu den Systemen verschaffen konnten, bieten sich ihnen heute verschiedene potenzielle Einfallstore, die im Zuge der Digitalisierung entstanden sind, und machen auch der Angriff von außen prinzipiell möglich. Was vernetzt ist, wird zum Ziel. So können Malware-Attacken selbst Umspannwerke und Leistungsschalter treffen. Gerade deshalb sollten sich Unternehmen aus dem Bereich Energie- und Wasserversorgung verstärkt neue IT-Sicherheitskompetenzen aneignen. Denn mit der Dezentralisierung der Branche und der Umstellung auf digitale Systeme steigt die Vernetzung. Hinzu kommt: IT-Sicherheit kann nie statisch gedacht werden, sondern erfordert dynamisches Know-how – sie zeichnet sich durch kurze Innovationszyklen aus. Die Angreifer legen ein extrem hohes Tempo vor, die Gestalt ihrer Angriffe wechselt schnell. Insofern gilt die Forderung nach lebenslangem Lernen besonders für den Bereich IT-Sicherheit.

Geht es um die spezifische Art der Angriffe, gelten insbesondere Phishing und Ransomware als Sicherheitsrisiken für Unternehmen. Lücken in der IT-Sicherheit – etwa bei Spam-Filtern im E-Mailsystem – müssen immer wieder nachgebessert werden, um wirksamen Schutz vor Bedrohungen zu gewährleisten. Technologische Schutzmaßnahmen gegen Cyberattacken sind ein wichtiger Ausgangspunkt. Aber gerade, wenn es um Phishing und Ransomware geht, sollte klar sein, dass Sicherheit bei den Mitarbeitern beginnt. Denn diese Attacken sind nur dann erfolgreich, wenn die Zielperson Nachrichten nicht als Phishing oder Ransomware erkennt. So sollte ein besonderes Augenmerk explizit auf der Weiterbildung aller Mitarbeiter liegen, sodass sie einen Angriff frühzeitig erkennen und entsprechend einordnen können.

 

Sicherheit ist ein Thema für alle Mitarbeiter

Energie- und Wasserversorger müssen bei IT-Sicherheit und ihren Management-Systemen für Informationssicherheit (ISMS) neben den technischen auch organisatorischen Maßnahmen sowie Schulungen und Weiterbildungen für die Mitarbeiter weit mehr Beachtung schenken als früher. Das gilt auch für Fernwirktechniker, Mitarbeiter in Leitwarten und Stationen oder Energiedatenmanager. Sie benötigen zusätzliches Know-how. Denn wenn Leitwarten, Stationen oder Erzeugungsanlagen IP-basiert kommunizieren und ihre Systeme Teil des IT-Systems sind, dann werden sie darüber potenziell angreifbar. Social Engineering etwa gilt aktuell als eine bevorzugte Methode von Hackern, um Ransomware einzuschleusen oder sicherheitsrelevante Daten zu erbeuten. Das kann beispielsweise eine täuschend echt simulierte E-Mail des Vorgesetzten sein, die den Empfänger zum Download von Malware verleiten soll. Auf diese Weise können auch über klassische Malware-Kampagnen eingeschleuste, spezialisierte Trojaner und Viren aufgrund der umfassenden Vernetzung der Systeme das gesamte Energieversorgungsunternehmen angreifen. So kann über nur einen Mitarbeiter eingeschleuste Malware das gesamte Unternehmen gefährden.

Um sich dagegen zu wappnen, benötigen Mitarbeiterinnen und Mitarbeiter zunächst allgemeine Schulungen zu Gefahren für IT-Security: Dazu zählen die Sensibilisierung für Malware, das Erkennen von Phishing- und Ransomware sowie explizit auch das Phänomen Social Engineering. In der Breite empfehlen sich daher sogenannte Awareness-Schulungen. Über die allgemeinen Schulungen hinaus gilt es zudem, Spezialwissen zu entwickeln.

 

Experten benötigen Spezialwissen

Je nach Tätigkeitsbereichen kommen auch konkrete neue Aufgaben im Bereich der IT-Sicherheit auf Energieversorgungsunternehmen zu. Wenn etwa die früher abgeschottete Kommunikationsinfrastruktur eines Umspannwerks nun IP-basiert mit der Leitstelle kommuniziert, müssen auch die Techniker dort wissen, wie sie eine Firewall für ihre Systeme administrieren und wie diese sicher eingerichtet und konfiguriert wird. Die Funktionsweisen von Firewalls sind in der sogenannten Prozess-IT allerdings anders geartet als bei der typischen Netzwerktechnik, da in der Fernwirktechnik und bei Automatisierung in Versorgungsinfrastrukturen spezielle Kommunikationsprotokolle zum Einsatz kommen. Auch der Schutz von Switches funktioniert auf der Prozessebene anders. Hier beschränkt sich die Angriffsmöglichkeit nicht nur auf die Kommunikation an sich, sondern auch auf die übermittelten Prozessdaten bis hin zu Schaltbefehlen für die Versorgungsinfrastruktur. Und im Ernstfall müssen die Mitarbeiter wissen, wie sie externe Systemabschaltungen verhindern können.

 

Aber Fachkräfte fehlen

Betreiber kritischer Infrastrukturen müssen garantieren, dass es nicht zu ernsten Engpässen kommt und somit die sichere Versorgung aufrecht erhalten bleibt. Dafür benötigen sie in ihren Reihen Spezialisten – nur ist der Arbeitsmarkt für diese Fachkräfte quasi leergefegt. Folglich geht es für die meisten Unternehmen darum, ihre bestehenden Teams zu qualifizieren. Denn Unternehmen brauchen Fachkräfte, die den bestehenden Maschinen- und Anlagenpark mit modernen IT-Sicherheitssystemen nachrüsten können, um Cyberrisiken langfristig zu reduzieren.

 

Konkreten Schulungsbedarf ermitteln

Die Teams verschiedener Unternehmensbereiche müssen unterschiedliche Anforderungen erfüllen. Daher empfiehlt es sich, Weiterbildungs- und Schulungsprogramme zugeschnitten auf das jeweilige Einsatzgebiet zu nutzen. Darüber hinaus sollten auch Führungskräfte geschult werden, um die passenden Sicherheitskonzepte organisatorisch zu entwickeln und umzusetzen. Denn im ersten Schritt geht es darum, Risiken zu erkennen und zu bewerten, damit das Unternehmen sich gegen Bedrohungsszenarien absichern kann.

Wenn ein Energieunternehmen etwa plant, Smart Metering einzuführen, sollte das Management schon in dieser Planungsphase die notwendigen Ressourcen für den Aufbau der dafür erforderlichen IT-Sicherheitskompetenzen einplanen. Wissen, das sich dementsprechend auch die Management-Ebene in kompakter Form aneignen sollte. Nur so kann ein Sicherheitsframework für Industrie-4.0- und Smart-Grid-Lösungen bereits während der Entwicklung geplant werden. Und nur, wer mögliche Sicherheitsimplikationen einer geplanten Neuerung kennt, kann den Qualifikationsbedarf in der IT-Security ermitteln und entsprechend investieren.

Auf der operativen Ebene geht es für IT-Mitarbeiter, Fernwirktechniker oder Energiedatenmanager um unterschiedliche Aufgaben: Fernwirktechniker etwa sollten lernen, wie sie ihre Automatisierungssysteme sicher konfigurieren. Die Energiedatenmanager arbeiten in ihrem Alltag mit Kundendaten. Folglich müssen sie die Regeln der Datenschutzgrundverordnung zum Umgang mit personenbezogenen Daten umsetzen. Die Fraunhofer Academy beispielsweise bietet Kurse zum Thema sichere Energievernetzung im Lernlabor Cybersicherheit an.

 

Modulares Seminarangebot ermöglicht individuellen Kompetenzaufbau

In Zusammenarbeit mit dem Fraunhofer IOSB-AST und der Hochschule Zittau-Görlitz für Versorgungsunternehmen gibt es zudem aus den Bereichen Strom, Gas, Wasser und Abwasser ein modulares Seminarangebot an, dessen Inhalte sich zu individuellen Lernpfaden kombinieren lassen – und die verschiedenen notwendigen Kompetenzbereiche von Awareness bis hin zur Konfiguration von Netzwerken und Komponenten abdecken. So können Unternehmen für ihre unterschiedlichen Mitarbeiter die passenden Programme als Inhouse-Schulungen zusammenstellen. Mit den Bausteinen des Lernpfades »Sichere Energieautomatisierung« etwa steigen Firmen bedarfsgerecht mit den jeweils verantwortlichen Mitarbeitenden in dem Level und Modul ein, das für die Unternehmenssituation, Vorkenntnisse und Kompetenzbedarfe geeignet ist.

Prinzipiell sind Versorgungsinfrastrukturen in Deutschland IT-sicher aufgebaut. Damit das so bleibt, sollten Unternehmen ihre Teams entsprechend weiterbilden. Denn wenn nahezu täglich neue Varianten von Viren, Trojanern und anderen Schadprogrammen auftauchen, machen diese zukünftig auch vor Versorgungs- und Prozessinfrastrukturen in dieser Branche nicht Halt. Die Mitarbeiter sollten entsprechend schnell wandlungsfähiges Wissen abrufen und auch einsetzen können.

Steffen Nicolai, Gruppenleiter und stellv. Abteilungsleiter »Energiesysteme« beim Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung (IOSB), Institutsteil Angewandte Systemtechnik (AST), und Projektleiter des Lernlabors Cybersicherheit in der Energie- und Wasserversorgung

 

 

Raphaela Schätz, Qualitäts- und Programmmanagerin bei der Fraunhofer Academy für das Lernlabor Cybersicherheit

 

 

 

 

Modernes Rechenzentrum für Strom- und Gasversorger – Energieexperte EGT AG setzt bei Neubau auf Prior1

Vor über 120 Jahren in Triberg im Schwarzwald gegründet, stellt die EGT AG heute die Führungsgesellschaft der EGT Unternehmensgruppe dar. Sie ist inzwischen in drei Geschäftsbereichen tätig: Dem Bereich Energieservice mit individuellen und verbrauchsoptimierten Energielieferungen sowie der Beratung und Realisierung dezentraler Energieversorgungskonzepte mit geringstmöglichen CO2-Fußabdruck, dem Bereich Energienetze mit dem Betrieb von Strom-, Gas-, Wärmenetzen…

5 Faktoren, die das Cyberrisiko Kritischer Infrastrukturen erhöhen

Der Schutz Kritischer Infrastrukturen (KRITIS) vor Cyberangriffen ist eine besonders heikle Aufgabe, da bei erfolgreichen Cyberangriffen darauf nicht nur die öffentliche Ordnung bedroht ist und gravierende Störungen von vielen Lebensbereichen eintreten werden, sondern auch ganz konkret Menschenleben in Gefahr sind. Wenn Strom plötzlich nicht mehr so fließt, wie es die Menschen und Unternehmen gewohnt sind,…

Künstliche Intelligenz verbessert Stromübertragung

Um die in der Regel volatilen erneuerbaren Quellen in die Energieversorgung zu integrieren, sind höhere Kapazitäten im Stromnetz erforderlich. Der Bedarf an Neubautrassen lässt sich jedoch reduzieren, wenn vorhandene Freileitungen je nach Witterungsbedingungen besser ausgelastet werden können. Dazu arbeiten Forscherinnen und Forscher am Karlsruher Institut für Technologie (KIT) im Verbundvorhaben »PrognoNetz« an selbstlernenden Sensornetzwerken, welche…

Wie lassen sich die Abgaben und Umlagen auf Strom sowie Heiz- und Kraftstoffe reformieren?

In Deutschland sind verschiedene Energieträger derzeit unterschiedlich stark mit Abgaben und Umlagen belastet. Dies gilt sowohl in Bezug auf den Energiegehalt als auch auf die mit der Nutzung verbundenen CO2-Emissionen. Dieses Roundup gibt einen systematischen Überblick über bestehende Vorschläge zur Umgestaltung der Belastungen. Sie zielen meist darauf ab, Strom günstiger zu machen und Heiz- und…

Kommunale Energieversorgung: Sonne, Wind, Wasser & Co. effizient gesteuert durch neue Leitwarte

Stadtwerke Dresden nutzen spezielle Software, die die Bedienung der Leitsysteme erleichtert und so die Reaktionszeit minimiert. Für die Überwachung der Energieerzeugung eigener sowie externer Kundenanlagen nutzt die DREWAG – Stadtwerke Dresden GmbH eine Leitwarte im Innovationskraftwerk Dresden-Reick. Bis 2015 versahen die dafür zuständigen Mitarbeiter ihren Dienst in Räumlichkeiten, die 1976 nach damaligem Stand der Technik…

Branchen nach ihrer Abhängigkeit von kritischen IT-Infrastrukturen klassifiziert

Versorgungsunternehmen, Öffentlicher Verkehr, Telekommunikation liegen an der Spitze, Cloud- und Colocation-Dienste auf Rang 5 mit steigender Tendenz. Welche Branche ist am meisten auf IT-Infrastrukturen angewiesen und am stärksten von Ausfällen betroffen? Diese Frage war Gegenstand einer Untersuchung, die eine internationale Gruppe von Experten für Vertiv (ehemals Emerson Network Power) durchführte. Die Abhängigkeit einzelner Branchen von…

Sicherung von kritischen Infrastrukturen ohne Blackouts

Ganzheitlicher Schutz

Ob Finanzwesen, Gesundheitsbranche oder Energieversorgung: Der Schutz kritischer Infrastrukturen ist nicht erst seit den Diskussionen um das zukünftige IT-Sicherheitsgesetz in den Fokus der Aufmerksamkeit gerückt. Schon Angriffe wie mit dem Computerwurm Stuxnet, der vor wenigen Jahren alleine im Iran 30.000 Computer infizierte und die Inbetriebnahme des ersten iranischen Atomkraftwerks in Buschehr um mehrere Monate verzögerte, haben die Anfälligkeit moderner Prozessnetzwerke offengelegt. Wie lassen sich diese erfolgreich und nachhaltig sichern?

Industrie 4.0 – Additive Fertigung

Eine neue IT-Anwendungslandschaft ist entstanden. Mit 3D-Druck werden Wertschöpfungsketten und sogar Geschäftsmodelle verändert. Neben dem 3D-Druck existieren noch weitere Begriffe wie 4D-Druck: hier werden intelligente Materialien eingesetzt, die nach dem Druck durch einen Trigger, etwa einen Lichtimpuls, eine Veränderung des gedruckten Objekts erzeugen 5D-Druck: neben der X-, Y- und Z-Achse beim 3D-Druck existieren hier noch…

IT-Outsourcing bei den Stadtwerken Crailsheim – Eine Frage der Kernkompetenz

Kommunale Energieversorger gelten als Kritische Infrastruktur nach § 2 der BSI-KRITIS-Verordnung. Dies bringt hohe Anforderungen und Kostenrisiken mit sich, denen man sich mit eigenem Personal und Kapazitäten stellen kann. Oder man macht es wie die Stadtwerke Crailsheim, die als KRITIS-Betreiber ihre Infrastruktur an einen entsprechend zertifizierten IT-Dienstleister ausgelagert haben.

Sustainability as a Service: Moderne Arbeit bedeutet, nachhaltig zu arbeiten

Während man sich von Seiten der Politik eine umfassende Lösung für den Umgang mit dem Klimawandel wünscht und das am besten auf globaler Ebene, könnten sich »kleinere« Initiativen von Unternehmen und Aktivist*innen mittelfristig zügiger erfolgreich erweisen. Aluxo, die Macher von Surface-As-A-Service, dem Leasing-Modell für Microsoft Surface Geräte und bb-net, ein IT-Aufbereiter in Deutschland, haben eine…

Drei Cloud-Trends 2020 in der Energieversorgung: Die Cloud als Rettung im Kampf der Energiefresser

Der prognostizierte globale Stromverbrauch soll in den nächsten Jahren immens ansteigen. Dies stellt Energieversorger vor ungeahnte Herausforderungen. Dennis Martin, Experte bei der metalogic GmbH in München, gibt einen Ausblick, wie smarte, Cloud-basierte Lösungsansätze die gesamte Energiebranche revolutionieren. metalogic ist Marktführer im jungen Markt für Forecasting-as-a-Service Lösungen und Managed Prognose Services, zuletzt konnte die Firma einen…

Sechs Hürden auf dem Weg zum erfolgreichen Produkt

Bei der Einführung neuer Produkte ist insbesondere der Einkauf gefordert. Veränderte und neue Kundenanforderungen verkürzen die Innovations- und Lebenszyklen vieler Produkte und beschleunigen damit die Entwicklung neuer Waren und Dienstleistungen. Zudem erweitern viele Fertigungsunternehmen ihre Produktportfolios, um weiter zu wachsen. Der erfolgreiche Weg zum neuen Angebot, auch als New Product Introduction (NPI) bezeichnet, birgt jedoch…

5G und IT-Sicherheit: Cybersicherheit soll das Potenzial von 5G nicht einschränken

Da immer mehr »Dinge« digitalisiert werden, gilt es immer größere Datenmengen zu bewegen – und 5G ist dafür die mobile Technologie. 5G ist dabei weit mehr als nur ein besseres Mobilfunksignal, es ist ein technologischer Schritt, vergleichbar mit dem Beginn des Jet-Zeitalters, und wird den Unternehmen große neue Umsatzmöglichkeiten eröffnen. Gleichzeitig ist 5G in der…

Die unbekannte Unbekannte – Neue Risiken erfordern innovative Versicherungsmodelle

In einer Zeit fortschreitender technologischer Entwicklung, soziopolitischer Instabilität sowie des Klimawandels ist es für Versicherer äußerst schwierig, neue Risiken adäquat zu zeichnen. In den meisten Policen sind neue Risikobereiche gar nicht oder nur unzureichend abgedeckt. Wie kann ein Versicherer die Unmenge an unterschiedlichen möglichen Katastrophenszenarien in die Tarifierung neuer Policen einbeziehen? Fünf Makrotrends und Interkonnektivität…

Freiwillig oder unfreiwillig: Gründe für einen Energieversorgerwechsel gibt es viele

  In vielen Fällen bildet der Preis die ausschlaggebende Komponente für den Wechsel des Energieanbieters. Es kann jedoch andere Gründe für eine Umstellung geben: zum Beispiel, wenn der Versorger den Vertrag von sich aus kündigt. Das passiert entweder, wenn er den vor einigen Jahren garantierten Preis nicht mehr halten kann, oder, wenn er Insolvenz anmelden…

CO2-Preis treibt Innovation in Transport und Logistik

  BPW Geschäftsführer Michael Pfeiffer: Transportbranche kann massiv CO2 sparen. Moderne Trailer-Technologien tragen zum Erreichen der Klimaziele bei. Nachhaltigkeitsbericht jetzt online: BPW senkt CO2-Ausstoß um 60 Prozent.   Die BPW Bergische Achsen KG hat ihren CO2-Ausstoß zwischen 2017 und 2018 um 60 Prozent auf 7.855 Tonnen reduziert. Möglich wurde die drastische Emissionseinsparung im Stammwerk durch…