Über alle Grenzen

Dossier

Digitalisierung, Smart Grid, Smart Meter – das Stromnetz verändert sich und wird damit angreifbarer. Der Gesetzgeber hat Maßnahmen ergriffen, die die Branche nun mit der ISO 27001 umsetzen muss. Doch Hacker machen nicht an der Grenze halt.

27. November 2017

Kommentar

Schon angeschnallt? - IT-Sicherheit und die Bürokratie

Dass ein Gurt die Gefahr verringert, bei einem Unfall zu sterben, ist heute jedem klar. Eine einfache Maßnahme. Trotzdem hat sich früher kaum jemand angeschnallt – ein Gurt ist unbequem, schränkt die Bewegung ein und es kostet Zeit, ihn anzulegen. Dass IT-Sicherheit wichtig ist, würde auch jeder unterschreiben.

Aber brauchen wir so viel Bürokratie dafür? Kritiker bemängeln, dass ein Zuviel davon nötige proaktive Maßnahmen verhindert oder verlangsamt. Andererseits besteht trotz des Bewusstseins für Sicherheit eine gewisse Sorglosigkeit, sagen andere. Das zeigt etwa Wannacry: Die Patches waren längst da, sie hätten nur geladen werden müssen.

Keine Frage, Bürokratie kann ein Hemmschuh sein. Aber sie kann – sinnvoll eingesetzt für ein Mindestmaß an Sicherheit sorgen. Was hält uns davon ab, den Gurt anzulegen?

Marie Christin Wiens

»In den vergangenen beiden Jahren hat mehr als jedes zweite Unternehmen einen Cyberangriff festgestellt. Der Schaden quer durch alle Branchen wird auf 55 Milliarden Euro geschätzt«, so ZVEI-Präsident Michael Ziesemer auf dem VDE/ZVEI-Symposium Mikroelektronik. »Cybersicherheit ist der Schlüssel dafür, dass Menschen Vertrauen in die Digitalisierung fassen, statt sie als Bedrohung zu erleben.«

Dass es noch Handlungsbedarf gibt, zeigt der Accenture Security Index 2017. Accenture hat für den Benchmark 2.000 Sicherheitsexperten in Unternehmen mit einem Jahresumsatz von mehr als einer Milliarde US-Dollar befragt. Die Ergebnisse der Umfrage in 15 Ländern und über 12 Branchen hinweg wurden zusammen mit Oxford Economics analysiert.

Laut dem Index verfügt nur jede dritte Organisation über die Fähigkeit, Bedrohungen sensibler Bestandteile ihres Geschäfts effektiv zu überwachen.

Beim Wettlauf noch abgehängt

»Mit Blick auf die Cybersicherheit haben wir inzwischen einen Wendepunkt erreicht«, so Marius von Spreti, Leiter von Accenture Security in Deutschland, Österreich und der Schweiz. »Zwar haben sich viele Organisationen im Verlauf der letzten Jahre deutlich stärker abgesichert, die Maßnahmen reichen aber noch lange nicht aus, um mit der rasant wachsenden Professionalisierung hoch motivierter Angreifer Schritt zu halten.«

Besonders großer Nachholbedarf besteht laut den Ergebnissen bei deutschen Unternehmen. Die Firmen rangieren an drittletzter Stelle des globalen Rankings, gleichauf mit Australien. Großbritannien steht mit Frankreich an der Spitze des Ländervergleichs, Brasilien und Japan belegen den dritten und vierten Platz, die USA landen auf Platz fünf.

Dabei passiert durchaus etwas in Deutschland: 2012 wurde die Allianz für Cybersicherheit gegründet, eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Wir haben mit dem IT-Sicherheitsgesetz, das im Juli 2015 in Kraft getreten ist, einen einheitlichen Rechtsrahmen.

Dieses verlangt bundesweit von Betreibern kritischer Infrastruktur, dass Cybersicherheitsvorfälle gemeldet werden müssen. Auch müssen die Betreiber künftig nach ISO 27001 zertifiziert sein, also ein Information Security Management System (ISMS) implementiert haben, um Cyberrisiken im Unternehmen zu managen.

»Dabei müssen sie Sicherheitsstandards einhalten, die das BSI noch festlegen muss. Internationale Standards, wie die IEC 62443, legen schon heute Maßstäbe hinsichtlich Systemsicherheit fest«, so Dr. Volker Distelrath, Chief Product & Solution Security Officer, Siemens-Division Energy Management.

Für die Kleinen

Die Herausforderung für viele EVU sei der Aufbau eines effizienten Risikomanagements, also eines ISMS, mit einem angemessenen Schutzkonzept für kritische Systeme. »Dabei reicht es nicht aus, einmalig in Schutzkonzepte zu investieren: Wirksame Schutzkonzepte müssen permanent an die aktuelle Bedrohungslage angepasst werden. Dies bedarf regelmäßiger Investitionen in Personal, Prozesse sowie in Hard- und Software.«

Gerade für kleine Institutionen aus Wirtschaft und Verwaltung ist die Umsetzung eines ISMS und besonders die Erarbeitung eines IT-Sicherheitskonzepts sehr schwierig, so Professor Marian Margraf, Abteilungsleiter Secure System Engineering am Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC).

»Hierfür wird Expertise aus unterschiedlichen Bereichen, nicht nur aus der IT-Sicherheit, sondern auch Arbeitsorganisation und nicht zuletzt Benutzbarkeit, benötigt.« In dem Projekt Mosaik verfolgen die Forscher etwa den Ansatz, Unternehmen eine modellbasierte Sicherheitsanalyse zu ermöglichen.

»Wir stellen ihm auf ihn zugeschnittene Fragen zu seiner Sicherheit. Dabei haben wir im Vorfeld schon analysiert, welche Fragen ihm nicht mehr gestellt werden müssen. So muss er sich nicht durch den umfangreichen und komplexen BSI-Grundschutzkatalog wühlen.« Das koste Zeit und gehe auch auf Kosten der Sicherheit.

»Wir tun also zwei Dinge: Erstens befähigen wir die Mitarbeiter dazu, die Sicherheitslage einzuschätzen«, also Sicherheitslücken und Einfallstore zu erkennen. »Zweitens zeigen wir Wege auf, wie diese zu schließen sind.« Ziel sei, jeder möglichen Bedrohung effektive Gegenmaßnahmen entgegenzustellen.

EU-weites Frühwarnsystem wäre gut

Und wie schaut es mit der Sicherheit der Stromnetze im Vergleich mit anderen Ländern aus? »Die deutschen Stromnetzbetreiber haben über die gesetzlichen Vorgaben einen einheitlichen Rahmen, der ihnen hilft, das Thema angemessen zu adressieren. Auch in anderen Ländern sind Betreiber von kritischen Infrastrukturen sehr stark aktiv«, berichtet Distelrath.

»Ein Thema, das wir in Deutschland und Europa stärker adressieren könnten, ist der Austausch von Informationen zu Angriffen, sozusagen ein Frühwarnsystem, um sich proaktiv zu schützen. So etwas gibt es bereits in Teilbereichen, ist aber noch nicht systematisch in der Breite verfügbar.«

Die internationale Zusammenarbeit sei extrem wichtig, betont der Experte weiter. »Besonders auf europäischer Ebene, wo wir ein verbundenes elektrisches Netz haben, bedarf es gegenseitiger Unterstützung.«

Die EU-Richtlinie zur Netz- und Informationssicherheit (NIS-Direktive) verbessere den Austausch zwischen den Staaten, um sich besser gegen Cyberangriffe zu schützen und sich gegenseitig zu unterstützen.

Aber auch der direkte Austausch zwischen Betreibern sei wichtig. »Hier gibt es relevante regionale Ansätze über sogenannte Information Sharing and Analysis Center, kurz ISAC. Aber auch auf europäischer Ebene macht das Sinn.« Siemens habe gemeinsam mit Partnern eine Initiative gegründet, um diesen Austausch mit dem European Energy ISAC auch länderübergreifend zu ermöglichen.

Bei internationalen und europäischen Kooperationen müsse mehr geschehen, so auch Margraf. Aber man habe nicht nur eine stark fragmentierte Versorgerlandschaft mit vielen regionalen Anbietern in Deutschland, sondern europaweit.

»Zudem ist beispielsweise weder das Stromnetz noch das IT-Netz Teil der europäischen Infrastruktur, wie das zum Beispiel das Straßennetz ist. Hier gilt es also, auf politischer Ebene noch einige Hausaufgaben zu machen.« Aus Security-Sicht könne man natürlich nicht darauf warten und müsse den Versorgern schon heute Lösungen anbieten.

Die zunehmende Digitalisierung und der Einsatz intelligenter Systeme machen das Stromnetz angreifbarer für Hacker. »Stromnetze sind nicht dafür entwickelt worden, vernetzt zu sein. Eine der größten Herausforderungen ist sicherlich, die Verfügbarkeit zu garantieren«, so der Experte vom AISEC.

»Aber auch der Datenschutz spielt, dank der geplanten Mehrwerte, die durch Smart Meter umgesetzt werden sollen, eine immer größere Rolle.«

Die Kette breche immer am schwächsten Glied. »Es ist also unumgänglich, nach einem etablierten Vorgehensmodell die notwendigen Maßnahmen herzuleiten, um eine ganzheitliche Sicht auf die Dinge zu bekommen. Schnell zusammengesuchte Einzelmaßnahmen helfen in der Regel nicht.« Bei einer ganzheitlichen Umsetzung gelte es, die Energieversorger ausreichend zu unterstützen. »Für diese ist es schwer, alle notwendigen Sicherheitsmaßnahmen abzuleiten und umzusetzen.«

In dem Projekt Security Management as a Service der Freien Universität Berlin wird derzeit ein Angebot erarbeitet, das branchenabhängig IT-Sicherheitsmaßnahmen auswählt, die die IT-Infrastruktur der Unternehmen schützt.

»Ausgehend von der Idee, dass EVU dieselben Geschäftsprozesse umsetzen und damit ähnliche IT-Infrastrukturen betreiben, können die ersten Schritte bei der Erarbeitung eines IT-Sicherheitskonzepts für diese Unternehmen gleichzeitig durchgeführt werden«, erläutert Margraf. Das Projekt unterstützt nicht nur bei der Umsetzung der Maßnahmen, sondern auch bei der Aufrechterhaltung im laufenden Betrieb.

Der Endkunde und seine Rolle

Distelrath sieht vor allem in zwei Bereichen Gefahren für das Stromnetz, auf die es zu reagieren gilt: Zum einen gehen Hacker den vermeintlich einfachsten Weg und nutzen bestehende und bekannte Schwachstellen aus. »Durch ein aktives Patch-Management können sich Unternehmen relativ gut gegen Angriffe absichern.« Grundsätzlich zu empfehlen sei, engen Kontakt mit seinem Hersteller zu pflegen und Sicherheitslücken zügig zu schließen.

»Auf jeden Fall sollte man notwendige Maßnahmen ergreifen, um sich gegen ein mögliches Ausnutzen von bekannten Sicherheitslücken zu schützen. Am Ende führt aber kein Weg an einem Patch-Management vorbei.« Im Falle eines aktiven Angriffes benötige man ein Expertenteam, das schnell reagieren kann. Dazu gehören auch verfügbare Notfallpläne, wie in ISO 27001 gefordert. »Wichtig ist auch das regelmäßige Training der Experten.«

Der zweite Bereich betrifft Risiken, die nicht in der Kontrolle der Betreiber liegen. »Beispielsweise steigt die Anzahl der Teilnehmer im Netz, wie durch Photovoltaik-Anlagen, E-Mobility oder Smart Home-Lösungen. Dies eröffnet weitere Möglichkeiten für Hacker und kann die Netzstabilität auch von außen beeinträchtigen.«

Cyberangriffe, die viele Endkunden zeitgleich betreffen, können dann auch zu Störungen im Energienetz führen. »Hier sind derzeit Regierungen und Verbände in der Diskussion, wie man auch im Consumerbereich die Sicherheit verbessern kann, wie beispielsweise mit dem EU Cybersecurity Act.« mwi

 

Erschienen in Ausgabe: Nr. 10/2017

Schlagworte