Blackout-Schutz, Teil 2

5 zentrale Punkte wie man ein smartes Power Grid absichert

| Autor / Redakteur: Gianluca De Lorenzis* / Rainer Graefen

Hackerangriffe auf das deutsche Stromnetz: Gerade regionale Anbieter sind häufig nur unzureichend gegen Cyberangriffe geschützt.
Hackerangriffe auf das deutsche Stromnetz: Gerade regionale Anbieter sind häufig nur unzureichend gegen Cyberangriffe geschützt. (Bild: Pixabay / CC0)

Digitalisierte Energienetze werden schnell zum Einfallstor für Cyberattacken. Gerade regionale Anbieter sind häufig nicht vor Hackern geschützt. Damit solche Szenarios nicht in Deutschland eintreten, müssen Netzbetreiber dringend ihre Konzepte zur IT-Sicherheit überarbeiten.

Um dennoch eine wirksame Sicherheitsinfrastruktur aufzubauen, sollte man bei der Planung der Sicherheitskonzepte fünf zentrale Punkte beachten:

  • 1. Zukunftssicher planen: Die Grundlage eines effektiven Sicherheitskonzepts bildet zunächst eine umfassende Situationsanalyse, welche den individuellen Schutzbedarf der unterschiedlichen Geschäftsbereiche sowie potenzielle Schwachstellen in der Netzwerkinfrastruktur identifiziert.
  • 2. Dazu sollten sämtliche Anwendungen, Systeme und deren Verbindungen, die von Angriffen betroffen sein könnten und die Versorgung gefährden, in einem Netzstrukturplan zusammengefasst werden. Wichtig dabei: Ein solcher Plan sollte auch zukünftige Anforderungen berücksichtigen und im Einklang mit der Unternehmensstrategie stehen – etwa im Hinblick auf eine geplante Öffnung des Netzes für Smart Home Anwendungen.
  • 3. Neben technischen Aspekten umfasst die Situationsanalyse allerdings auch die Sichtung und Überprüfung der personellen und finanziellen Ressourcen sowie der Rollenbeschreibungen und Verantwortlichkeiten im Unternehmen. Auf dieser Basis können im nächsten Schritt konkrete Schutz- bzw. Abwehrmaßnahmen definiert und ein belastbarer Investitionsrahmen festgelegt werden.
  • 4. Szenarios durchspielen: Der ermittelte Schutzbedarf in den einzelnen Bereichen bildet die Basis für eine konkrete Sicherheitsstrategie für das Gesamtunternehmen. Hierbei sollte man sich allerdings nicht nur auf den technologischen Aufbau der Sicherheitsinfrastruktur konzentrieren. Genauso wichtig ist es, Cyberangriffe als Szenario oder Simulation durchzuspielen und darüber festzulegen, welche Prozesse im Rahmen eines Notfall-Maßnahmenplans greifen müssen.
  • 5. Dies beginnt mit dem Aufbau eines funktionierenden Monitoring-Systems, durch das Anomalien im Netz möglichst früh erkannt und entsprechende Schutzmaßnahmen rechtzeitig eingeleitet werden können. Vor allem der enge Austausch mit den Behörden, wie etwa der Bundesnetzagentur, ist hierbei ein entscheidendes Erfolgskriterium. Darüber hinaus legt der Maßnahmenplan Eskalationsstufen sowie konkrete Handlungsanweisungen und Rollenzuteilungen für den Fall eines tatsächlichen Cyberangriffs fest.
  • 6. Dies umfasst die Einleitung von Schutzmaßnahmen – etwa die Abkopplung einzelner Bereiche vom Unternehmensnetz – ebenso wie Meldepflichten in- und außerhalb des Unternehmens, bis hin zur PR-Strategie, also dem kommunikativen Umgang mit einem solchen Vorfall in der Öffentlichkeit; das gilt insbesondere dann, wenn die Bevölkerung direkt von einem Vorfall betroffen ist, etwa bei einem flächendeckenden Stromausfall. Ziel ist die Entwicklung eines Gefahrenabwehrplans nach dem Vorbild von Militär und Katastrophenschutz, der im Ernstfall effiziente und effektive Handlungsabläufe sicherstellt.
  • 7. Netzwerksicherheit nach außen erweitern: Eine besondere Herausforderung bei der Absicherung von modernen Energienetzen ist die Erosion der klassischen, zentral gesteuerten IT-Infrastruktur hin zu heterogenen Systemen. Durch die zunehmende Zahl dezentraler, vernetzter Energieerzeugungseinheiten, die an das zentrale Strom- oder Gasnetz angebunden sind, erweitert sich das Handlungsfeld der Schutzmaßnahmen hin zur Geräte-Peripherie.
  • 8. Energieversorgungsunternehmen müssen dieser Entwicklung Rechnung tragen, indem sie die Sicherheit der von ihnen eingesetzten Komponenten erhöhen und die Zugänge zu ihrem Zentralnetz besser kontrollieren. Unter dem Stichwort Edge-Security sollten IT-Verantwortliche die gesamte Sicherheitsarchitektur sowie die dazugehörigen Maßnahmen anpassen, weg von „Schützen und Verteidigen“ hin zu „Eindämmen und Kontrollieren“.
  • 9. Wie das konkret aussehen kann, zeigen beispielsweise die Empfehlungen des ICS-Cert, einer Einheit des US-Heimatschutzministeriums für Cybersicherheit bei ICS-Systemen als Reaktion auf den Hackerangriff in der Ukraine. [6] Demnach wird empfohlen Steuerungsnetzwerke von unsicheren Netzen isolieren, vor allem vom Internet. Zudem sollten Betreiber solcher Anlagen alle nicht benötigten Ports schließen und alle nicht benötigten Dienste abschalten.
  • 10. Zudem sollte der Fernzugriff auf die Systeme, wo immer möglich, begrenzt werden. Durch die Einrichtung einer Datendiode (One-way-Gateway) kann verhindert werden, dass beispielsweise Steuerbefehle von einem Netz mit niedrigem Schutzbedarf (Office-Netz) in ein Netzwerk mit hohem Schutzbedarf (ICS-Netz) übertragen werden. Auf der anderen Seite kann bei umgekehrter Positionierung der Abfluss von vertraulichen Informationen aus einem Netzwerk mit hohem Schutzbedarf verhindert werden.
  • 11. Professionelle Hilfe annehmen: Gerade kleinere Netzbetreiber, wie etwa Stadtwerke oder andere regionale Anbieter, verfügen oft nicht über ausreichende personelle oder finanzielle Ressourcen, um den Auf- und Ausbau ihrer Sicherheitsinfrastruktur komplett in Eigenregie zu stemmen. Alleine bei der verpflichtenden Einführung des ISMS müssen Unternehmen mit einer Dauer von 12 bis 18 Monaten und einem Investitionsvolumen von weit über 100.000 Euro rechnen.
  • 12. Zudem fehlt in zahlreichen Betrieben das nötige Fachwissen im Bereich IT-Sicherheit, um entsprechende Sicherheitskonzepte tatsächlich umzusetzen und langfristig zu unterhalten. Ein entsprechender Know-how-Transfer kostet viel Zeit, die Unternehmen angesichts der drohenden Gefahr nicht haben. Der Aufbau eines Sicherheitskonzepts ohne fremde Hilfe ist daher etwa so, als würde man versuchen sich selbst das Schwimmen beizubringen, während man bereits im Wasser treibt.
  • 13. Noch bevor Unternehmen teure Investitionen zum Aufbau von Teams und Techniken tätigen, sollten sie daher genau prüfen, welche Elemente in der Sicherheitsinfrastruktur an externe Dienstleister ausgelagert werden können. Ein Beispiel ist der Cloud-basierte Notfallwiederherstellungsdienst Azure Site Recovery von Microsoft.
  • 14. Statt des Aufbaus eines zweiten, physischen Datencenters, können Workloads darüber in der Cloud gespiegelt und bei Ausfällen automatische wiederhergestellt werden. Zudem werden sämtliche Daten verlässlich verschlüsselt. Der Aufwand, um einen gleichwertigen Schutz ausschließlich mit eigenen Mitteln zu realisieren wäre extrem hoch.
  • 15. Faktor Mensch berücksichtigen: Neben den technischen Voraussetzungen für den Schutz ihrer Systeme, müssen Unternehmen im Energiesektor auch auf Ebene der eigenen Mitarbeiter ansetzen. Denn, nach wie vor sind Social Engineering Methoden der beliebteste und meist auch der effektivste Weg, um in ein abgesichertes Netzwerk einzudringen.
  • 16. So auch im Fall der ukrainischen Stromnetzbetreiber: Dort setzten die Hacker laut US-Heimatschutzministerium Spear Phishing E-Mails ein, um die Systeme mit einem Malware-Toolkit zu infizieren und sich Zugangsberichtigungen zu den Steuerungseinheiten zu beschaffen. Das Programm war in einem manipulierten Word-Dokument enthalten, das als E-Mail des ukrainischen Parlaments getarnt war.
  • 17. Das Beispiel macht deutlich, wie wichtig es ist, auch Mitarbeiter außerhalb der IT-Abteilungen durch regelmäßige Schulungen und verbindliche unternehmensweite Vorgaben für den Umgang mit nicht vertrauenswürdigen Quellen zu sensibilisieren.
  • 18. Anhaltspunkte für den richtigen Umgang mit sicherheitsrelevanten Unternehmensdaten liefern dabei existierende Regelwerke, wie das BDSG oder der IT-Grundschutzkatalog des BSI. Um sowohl den technischen Entwicklungen, als auch den neuen gesetzlichen Vorgaben Rechnung zu tragen, sollten solche Mitarbeitertrainings und -schulungen laufend angeboten und regelmäßig aktualisiert werden.

Fazit: Der flächendeckende Stromausfall in der Ukraine zeigt exemplarisch das Risiko und die fatalen Folgen von Cyberangriffen auf das Energienetz. Um einen ähnlichen Fall in Deutschland zu verhindern, müssen Unternehmen ihre Sicherheitskonzepte sowohl prozessual, als auch technologisch an die Anforderungen moderner, intelligenter Stromnetze anpassen.

Die Umsetzung des ISMS alleine reicht hierfür nicht aus. Vielmehr müssen Unternehmen technische Maßnahmen ergreifen und entsprechendes Know-how aufbauen bzw. zukaufen, um auch zukünftig vor Angriffen auf das Smart Grid geschützt zu sein. Hierbei ist auch der Staat gefordert, Unternehmen beim Aufbau einer entsprechenden Sicherheitsinfrastruktur noch stärker zu unterstützen – sei es durch Expertenwissen oder finanzielle Subventionen.

Referenzen

[1] Transforming the Nation's Electricity System-The Second Installment of the Quadrennial Energy Review – Bericht des US-Energieministeriums, 2017[2] The road to resilience: Managing cyber risks – Studie des Weltenergierats in Kooperation mit Swiss Re und Marsh & McLennan, 2016[3] Annual Incident Reports 2014 – Bericht der Europäische Agentur für Netz- und Informationssicherheit (enisa), 2015[4] Wie wir Wasserwerke im Internet entdeckten – Beitrag der Aktivistengruppe internetwache.org, 2016[5] Informationssicherheit: Sind die Energieversorger schon ISMS-ready? – Studie der Unternehmensberatung Axxcom, 2016[6] Cyber-Attack Against Ukrainian Critical Infrastructure – Bericht des US-Heimatschutzministeriums zum Vorfall in der Ukraine

* Gianluca De Lorenzis ist Gründer und CEO der FGND Group und arbeitet seit mehr als 20 Jahren als Management Consultant, Projektmanager, Entwickler und Infrastruktur-Spezialist in der IT-Branche. Diesen Beitrag haben wir von unserem Partnerportal Elektronik Praxis übernommen.

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44687255 / Compliance)