Security in Energiesystemen: Energiebranche im Fokus von Cyberkriminellen

Foto: LariBat – shutterstock.com

Von intelligenten Häusern bis hin zu ausgedehnten Industriekomplexen hängt nahezu jede Facette unseres täglichen Lebens von einer stabilen und ununterbrochenen Energieversorgung ab. Doch damit wächst auch das Risiko für Cyberbedrohungen, das mit jeder digitalen Errungenschaft einher geht. In den vergangenen Jahren gab es eine alarmierende Zunahme von Cyberangriffen auf kritische Infrastrukturen in Deutschland. Die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichten Zahlen zu KRITIS-Meldungen sprechen eine eindeutige Sprache: Von 145 Meldungen im Jahr 2018 ist die Anzahl auf 452 bis 2023 gewachsen.

Mit der zunehmenden Abhängigkeit von technologiegestützten Energiesystemen steigt auch die Anfälligkeit für Cyberattacken in der Energiebranche. Neben den bekannten großen Ausfällen in der Ukraine in 2015 und 2017 sind auch in Deutschland und darüber hinaus einige Unternehmen im Energiesektor Hackerangriffen zum Opfer gefallen, wie zum Beispiel die Colonial Pipeline, der Hannoversche Energieversorger Enercity oder das Darmstädter Unternehmen Entega.

Lesetipp: Energiewende in Deutschland – Hacker zielen auf Solar- und Windkraftanlagen

Auch der Gesetzgeber hat die Notwendigkeit angemessener Maßnahmen erkannt und mit regulatorischen Rahmenbedingungen untermauert. Seit Mai diesen Jahres sind alle Unternehmen, die zur kritischen Infrastruktur zählen, dazu verpflichtet, in spätestens zwei Jahren eine IT/OT-Security-Überwachungslösung sowie ein Security Operation Center (SOC) zu betreiben. Dazu gehört, dass sinnvolle Parameter und andere Kennzahlen sowie Merkmale aus dem laufenden Betrieb kontinuierlich und automatisiert erfasst sowie ausgewertet werden. Dies soll helfen, Bedrohungen schnell zu identifizieren und darauf in angemessener Zeit zu reagieren.

Doch schon jetzt kann man damit rechnen, dass die Pflichten ab dem kommenden Jahr auf Grundlage der europäischen NIS-2-Richtlinie ausgeweitet werden. Herzstück der kommenden Novelle werden voraussichtlich eine Meldepflicht und Offenlegung von Angriffen – dies setzt aber eine Angriffserkennung voraus. Man kann außerdem davon ausgehen, dass die Definition von kritischer Infrastruktur erweitert wird und mehr Unternehmen als zuvor einschließt.

Komplexe Systeme erschweren Schutz

Die Energiewirtschaft bringt in dieser Diskussion ganz eigene Herausforderungen mit sich. Ein Dreiklang aus veralteten Systemen, besonders im OT-Bereich, keinen harmonisierten flächendeckenden regulatorischen Standards sowie der Komplexität des Ökosystems steigern die Gefahr für alle Beteiligten.

Während der Gesetzgeber den fehlenden Standard angeht, bleiben Risiken durch Komplexität und Altsysteme bestehen. Cybersicherheit kann immer nur so stark sein, wie das schwächste Glied einer Kette. Und in stark abhängigen und komplexen Systemen birgt das eine große Gefahr. Diese historisch gewachsenen komplexen Ökosysteme bringen in puncto Energiebranche ebenso die Herausforderung mit sich, dass viele Systeme noch ohne den dezidierten Blick auf Sicherheitsfragen eingeführt wurden. Besonders in der Betriebstechnik zur Steuerung von Anlagen und Prozessen finden sich Blindstellen, mit denen man aber wiederum anders als mit IT-Systemen verfahren muss.

Größe spielt keine Rolle mehr

Dass kleinere Unternehmen für Cyberkriminelle uninteressant wären, ist leider ein Trugschluss. Der Trend für Angriffe über die Lieferkette, beziehungsweise über das Ökosystem nimmt nicht ab. Im Gegenteil könnten besonders kleinere Akteure als potenzielle Einfalltore an Bedeutung gewinnen. Dabei zeigen sich auch auf der Angreiferseite besondere Herausforderungen für die Energiebranche: Verfolgen viele Angreifer heute eher kommerzielle Interessen – wie zum Beispiel durch Ransomware-Angriffe mit der anschließenden Erpressung von Lösegeldern – so spielen durch den russischen Angriffskrieg in der Ukraine auch verstärkt geopolitische Interessen eine Rolle. Die Störung oder sogar Zerstörung von intakten Netzen oder der Versorgung gelten als Ziele.

Security statt Compliance im Fokus

Energieversorger sollten nicht nur auf die Regulatorik reagieren, sondern auf die Bedrohungslage. In den kürzlich veröffentlichten Zahlen des Branchenverbands Bitkom haben knapp 90 Prozent der befragten Unternehmen aus dem KRITIS-Sektor angegeben, dass die Zahl der Cyberattacken stark oder eher zugenommen hat. Und das allein im vergangenen Jahr. Eine robuste IT-Sicherheit muss Teil des Business-Alltags werden, um das Geschäft zu schützen – nicht um regulatorische Anforderungen zu erfüllen. Die Kraftanstrengung zu Beginn lohnt sich, um handlungs- und zukunftsfähig zu bleiben.

Das National Institute of Standards and Technology der US-Regierung empfiehlt, dass ein Security Operation Center auf vier Säulen fußt: Identifizieren, Schützen, Erkennen und Reagieren beziehungsweise Wiederherstellen. In einem ersten Schritt sollte die Angriffsfläche verringert und die Bedrohungslage besser vorhergesehen werden können. Auf dieser Basis schafft man eine IT-Sicherheitsgrundlage, die dabei hilft, potenzielle Bedrohungen früher und leichter zu erkennen. Sollte man betroffen sein, gilt es den Angriff quasi reflexartig einzugrenzen.

Herausforderung Fachkräftemangel

Was sich zwar einfach liest, bringt mehrere Hürden mit sich. Die zwei größten dabei dürften der Investitionsbedarf in Kombination mit dem Fachkräftemangel sein. Vielen Akteuren fehlt intern das Know-how, um einen ausreichenden Schutz gegen Cyberangriffe wirksam zu etablieren. Der Aufbau hinreichend ausgebildeten Security-Teams erfordert entsprechende Budgets, um Fachkräfte zu akquirieren. Hier befinden sich gerade kleinere Unternehmen in einem globalen Wettbewerb, in dem Geld nicht das alleinige Erfolgskriterium ist und gut ausgebildete Talente, wenn man sie bekommt, nur sehr schwer dauerhaft zu halten sind.

Besonders kleinere Unternehmen mit wenig eigener Fachexpertise müssen verstehen, dass eine konsequente Überwachung von IT und OT, auch trotz fehlendem Talent in der eigenen Organisation, alternativlos ist. Hier empfiehlt es sich dringend, frühzeitig geeignete Partnerschaften zur Abdeckung dieser Risiken in Form von Managed-Security-Services einzugehen.

Gerade dieser Punkt ist in Bezug auf die Anlagentechnik noch nicht verinnerlicht, da der Betrieb und die reibungslose Produktion im Vordergrund stehen. Teilweise lassen die eng geplanten Wartungsfenster eine ausreichende Betrachtung von Security-Aspekten nicht in angemessener Weise zu. Cyberkriminelle sind jedoch Meister darin, solche Schwachstellen aufzuspüren und das Risiko, diesen zum Opfer zu fallen, erhöht sich zunehmend. Deshalb bedarf es nicht nur einer schnellen Erkennung von Schwachstellen, sondern vor allem auch einer zügigen und vollständigen Schließung dieser offenen Flanken.

Lesetipp: IT-Sicherheit in KRITIS-Unternehmen – Unsichtbar ist unschützbar

Kritische Infrastruktur, kritische Bedrohungslage

Nicht nur die Energiebranche, sondern die gesamte kritische Infrastruktur des Landes spielt eine zentrale Rolle für Wirtschaft und Gesellschaft. Zuverlässigkeit, Verfügbarkeit und Vertrauen der Menschen sind elementar. Daher sind eine begleitende, vollumfängliche Sicherheits- und Kommunikationsstrategie das Gebot der Stunde – und der Zukunft. Denn die Herausforderungen werden nicht mehr abnehmen. Die Energiewende beispielsweise wird dafür sorgen, dass die Energiebranche noch dezentraler und kleinteiliger wird. Es gilt jetzt die entsprechenden Weichen dafür zu stellen.

Unternehmen, die sich bestmöglich auf Cyberangriffe und deren Auswirkungen vorbereiten wollen, folgende Punke beachten:

• Die kommende Regulierung regelt den Rahmen einer Basis-Cyberabwehr.

• Eine schnelle Erkennung von Schwachstellen und deren Behebung verringert das Risiko eines Cyberangriffs deutlich. Externe Spezialisten können den Mangel an verfügbarem Fachpersonal kompensieren.

• Das schnelle Identifizieren von Cyberangriffen und die angemessene und schnelle Reaktion eines Security Operations Centers (SOC) verhindert großen Schaden. Auch hier helfen externe Partner, ein vermeintliches Ressourcen- und Know-how Defizit im eigenen Unternehmen zu kompensieren.

• Eine passende Cyberstrategie schafft Vertrauen in die eigene Reaktionsfähigkeit im Falle eines Cyberangriffes. Ergänzend kann ein offener Informationsaustausch zu industriespezifischen Bedrohungen oder beobachteten Angriffen stärkt das gesamte Netzwerk. Eine schnelle und angemessene Kommunikation schafft dabei Vertrauen bei Kunden, Partnern und Mitarbeitern. (jm)