ANZEIGE
ANZEIGE
ANZEIGE
ANZEIGE
Dossier

Security by Design

KRITIS Werden - Systeme gleich unter IT-Sicherheitsaspekten konzipiert, fällt weniger Aufwand im Nachhinein an, so Torsten Redlich von Secunet. Der Experte äußert sich auch zur Quartierversorgung.

31. Juli 2018

Herr Redlich, wie steht Deutschland da im internationalen Vergleich bei dem Schutz kritischer Infrastrukturen?

Torsten Redlich: Deutschland hat sich in den letzten Jahren mit verschiedenen Initiativen und Strategien seitens Staat, Industrie und Wirtschaft dem Thema gewidmet. Das zeigt nicht zuletzt auch die Verabschiedung des IT-Sicherheitsgesetzes (ITSiG), und zwar noch vor Verabschiedung der europäischen NIS-Richtlinie. Auch die Betreiber setzen sich schon länger mit den Sicherheitsanforderungen auseinander und haben entsprechende Kapazitäten aufgebaut.

Welche Strategie verfolgt man in Deutschland?

Die Aktivitäten zum IT-Sicherheitsgesetz wurden bewusst branchenübergreifend vollzogen, um ein einheitlich hohes Sicherheitsniveau über alle Sektoren kritischer Infrastrukturen zu etablieren.

Die infolge des ITSiG verabschiedeten Gesetze und Verordnungen geben dabei den Rahmen für die branchenorientierte Umsetzung von Sicherheitsanforderungen vor. International agierende Unternehmen müssen neben diversen nationalen auch internationale Standards erfüllen.

Gut, dass nationale Vorhaben und Sicherheitsstandards hinsichtlich Best Practices auch in europäischen Nachbarländern auf Interesse stoßen. Generell gilt: IT-Sicherheit ist eine Daueraufgabe.

In der Energiewirtschaft gilt die Quartierversorgung als neuer Wachstumsmarkt. Strom, Wärme und Kälte aus einer Hand, eventuell auch noch Breitband. Spielen solche Marktentwicklungen auch eine Rolle für die Sicherheit kritischer Infrastrukturen?

Die kombinierte Erbringung verschiedener Versorgungsleistungen wird Einfluss auf die dafür nötigen technischen Infrastrukturen haben. Die Datenerhebung und -verarbeitung über Konsumenten, Vermarkter und Betreiber wird stark steigen. Damit nimmt die Informationssicherheit eine elementare Bedeutung ein. Das ist eine beachtliche Herausforderung, denn über allem steht die Kostenfrage. Da haben die Quartierversorgungs-Anbieter eine schwierige Aufgabe vor sich. Der Aufwand für Konformität, Zertifizierungen und Sicherheitsmanagement wird häufig unterschätzt.

Woran liegt das?

Informationssicherheit ist ein Querschnittsthema und Kosten über das gesamte Unternehmen in der Regel schwer greifbar. Eine Sicherheitsstrategie mit Budgetplanung für drei bis fünf Jahre kann hier helfen.

Kritiker sagen, die Vorgaben rund um IT-Sicherheit und Datenschutz lösen in Unternehmen erhebliche Verwaltungsarbeit aus.

Das Argument kennen wir. In der Tat fragen sich viele Unternehmen, ob das Engagement nur dem formalen Sicherheitsnachweis dient und nur bürokratischen Aufwand macht. Im Kern geht es aber um die Frage: Welche Risiken existieren, und was ist nötig, um die angemessene Sicherheit zu gewährleisten? Mehr ›Security by Design‹, sowohl bei Herstellern, Integratoren als auch Betreibern, könnte diese Frage künftig etwas entschärfen: Werden Anlagentechnik und IT-Systeme von vornherein unter IT-Sicherheitsaspekten konzipiert, fällt deutlich weniger Aufwand im Nachhinein an, etwa für Sicherheitsanalysen und Nachrüstungen.

Das heißt, es ist heute noch nicht der Fall?

Aktuell haben wir es häufig mit großen, über Jahrzehnte gewachsenen Systemlandschaften zu tun, die im Zuge der Digitalisierung vernetzt werden. Für die Vernetzung waren die Systeme jedoch nicht konzipiert.

Daher müssen Sicherheitsmechanismen im Nachhinein implementiert werden. Kein leichtes Unterfangen. Wer übernimmt die Kosten für die Arbeiten? Wie verhält es sich bei Betriebserlaubnissen, die durch Behörden überwacht werden? Was bedeutet der Eingriff hinsichtlich einer Gewährleistung durch den Hersteller? Hier sehen wir die Notwendigkeit, dass Integratoren und Hersteller die Betreiber nicht allein lassen mit den komplexen Fragestellungen. Klar ist, auch in historisch gewachsenen Netzen lässt sich durch intelligente Maßnahmen das nötige IT-Sicherheitsniveau herstellen.

Secunet bietet auf Tagungen oder Kongressen der Energiebranche immer mal wieder Live-Hackings an. Mit welchem Ziel?

Die Sensibilität der Nutzer ist am besten über das Schaffen von Betroffenheit zu erreichen, was über die Live-Hacking-Veranstaltungen besonders gut klappt. Man muss die Akzeptanz für Sicherheitsmaßnahmen erhöhen.

Wie lässt sich das erreichen?

Dazu sind zielgruppenspezifische Informationen unerlässlich. Etwa für die Geschäftsleitung, für Ingenieure und Techniker oder IT-Verantwortliche. Das Bewusstsein für Sicherheit ist bei den Beschäftigten unterschiedlich stark ausgeprägt. Hier setzen wir mit unseren Security Awareness Aktivitäten an. hd

Erschienen in Ausgabe: Nr. 06 /2018

Schlagworte