Risikofaktor Smart Grid

„Nichts funktioniert ohne Strom“

Christian Götz, Director of Pre-Sales DACH bei Cyberark, erklärt im Interview, welche Defizite bei der IT-Sicherheit im Energiesektor vorhanden sind und wie sich diese aufarbeiten lassen.

„Nichts funktioniert ohne Strom“

„Den Energieversorgern ist durchaus bewusst, welche Verantwortung sie für das Thema Sicherheit haben“, sagt Christian Götz.

ITD:Herr Götz, wie würden Sie den derzeitigen Digitalisierungsgrad des deutschen Energiesektors einordnen?
Christian Götz:
In der Energiebranche finden wir einen hohen Digitalisierungsgrad vor und die IT hat hier natürlich eine entscheidende Bedeutung. Damit einhergehend wird auch das Thema IT-Sicherheit immer wichtiger. Im Energiesektor gibt es noch immer eine extreme Zweiteilung zwischen der Office-IT, die für die Verwaltung, Administration und Außenkommunikation genutzt wird, und der Betriebstechnik (OT), die für die Stromerzeugung erforderlich ist. Kraftwerke sind nach wie vor Meisterwerke des Maschinenbaus und der Elektrotechnik, aber man darf die Rolle der IT nicht vernachlässigen. Medien, Literatur und auch das Film-Business zeigen immer wieder Blackout-Szenarien, was passieren kann, wenn Hacker in diese Netzwerke eindringen. Mit Blick auf die Digitalisierung muss man sich so langsam von der Idee verabschieden, dass noch immer eine hermetische Trennung, also ein Air Gap, zwischen Office- und Produktions-IT existiert. 

ITD: Wo gibt es Vorreiter und wo besteht noch Nachholbedarf? 
Götz:Zunächst müssen Energieversorger akzeptieren, dass ein solches Air Gap nicht mehr existiert: Die Betriebstechnik wird über IT gesteuert. Zudem steht ein Kraftwerk nicht isoliert für sich, auch wenn es autark funktionieren muss, doch einige Überwachungs- und Steuerfunktionen werden zentral geregelt. Da das Geschäft auch zunehmend multinational wird – große Stromkonzerne expandieren in andere Regionen oder akquirieren kleinere Unternehmen – entsteht letztendlich ein komplexes Etwas, das schwer zu durchschauen ist. Und schließlich kommen zum klassischen Kraftwerksbetrieb heute auch noch alternative Formen der Energiegewinnung, die die Versorger miteinbeziehen müssen.

Kraftwerke sind Vorreiter bei den Themen Ausfallsicherheit und Katastrophenszenarien. Diese sind sehr tief in der DNA von Energieanbietern verankert. Sie stellen sich natürlich die Frage, was getan werden muss, um unter nahezu allen Umständen weiter produzieren und Energie liefern zu können. Das bringt auch bei der IT-Sicherheit Herausforderungen mit sich, denn das benötigte Equipment wird in allen Kraftwerken gebraucht. Ein zentraler Schutz reicht nicht, da ein Kraftwerk völlig autark arbeiten können muss.

Auch wenn Energieunternehmen beim Einsatz spezieller Schutztechniken Vorreiter sind, sehen wir Nachholbedarf vor allem im Bereich der Absicherung der Systeme. Energieunternehmen setzen häufig keine fortschrittlichen Methoden ein – ganz im Gegenteil. Anlagen in Kraftwerke haben eine Laufzeit von 20 bis 25 Jahren, teilweise sogar noch länger. Auch wenn Steuerungsanlagen modernisiert werden, müssen die Anbieter häufig weiterhin auf veraltete Sicherheitskonzepte und unzureichende Sicherheitstechnik setzen. Damit nimmt man sich die Möglichkeit, aktuelle Schutzmaßnahmen und Lösungen zur Sicherung der IT-Systeme eins zu eins auf Kraftwerksysteme anzuwenden. Das liegt allerdings auch daran, dass wir es in den Kraftwerken mit einer Vielzahl von proprietären Systemen zu tun haben, die so in der Office-IT nicht gängig sind.

ITD: Welche neuen Gefahren bringen intelligente Stromnetze und die damit einhergehenden Technologien wie das Smart Metering konkret mit sich?
Götz:
Hier müssen wir die ganze Kette vom Erzeuger bis zum Verbraucher im Blick haben. Ein Smart Meter beim Endkunden zum Beispiel ist ein Gerät, das sendet und empfängt. Es kommuniziert mit einer zentralen Stelle und braucht damit auch einen Netzwerkzugang. Die Frage, die sich stellt, ist natürlich folgende: Inwieweit kann jemand diese Kommunikation missbrauchen, um über das Gerät in das Netzwerk einzudringen?

Wenn man sich die Stromnetze und die Steuerung ansieht, findet die Verteilung auf einer logischen Ebene statt. Schaltzentralen sind überall dort, wo Übergänge existieren. So entstehen Angriffspunkte, die die Energieversorger kennen und regelmäßig auditieren müssen. Das funktioniert über Red-Team-Events oder Penetrationstests. Red-Teaming ist in diesem Fall ein richtiger Ansatz, denn man untersucht in regelmäßigen Abständen, welche Angriffsziele und -Vektoren es gibt und was darüber wirklich erreicht werden kann.

ITD: Wie können Energieversorger ihre digitalen Infrastrukturen vor potenziellen Angriffen schützen?Götz:An sich gibt es hier keinen Unterschied zu anderen Branchen, es wird moderne IT-Sicherheitstechnik benötigt. Den Energieversorgern ist durchaus bewusst, welche Verantwortung sie für das Thema Sicherheit haben, nicht zuletzt dadurch, dass sie Teil der Kritischen Infrastrukturen sind. Nichts funktioniert ohne Strom, egal ob es der Krankenhausbetrieb ist oder eine Melkmaschine. Der Energiesektor ist in einem Industriestaat die initiale Kritische Infrastruktur, die wir benötigen, um produzieren und leben zu können.  

Auch wenn es die hermetische Trennung zwischen Produktions- und Office-IT nicht mehr gibt, müssen Energieversorger klar zwischen den einzelnen Bereichen und Risikozonen unterscheiden. Man muss Übergänge genau überwachen und konkrete Vorstellungen haben, über welche Protokolle und Wege kommuniziert wird. 

In den vergangenen Jahren ist ein neuer Unterzweig in der IT-Sicherheit entstanden, der sich verstärkt auf OT konzentriert. Hier sind konkrete Lösungen für die Absicherung von Industrieanlagen und Steuerungssystemen für Maschinen und Kraftwerke entstanden. Es ist wichtig, dass sich der Energiesektor öffnet und in der Betriebstechnik auch IT-Sicherheitsideen aufgreift, also weg geht von der rein physikalischen Sicherheit.

ITD: Wie wirkt sich der KRITIS-Status der Energieversorger auf die Anforderungen an die IT-Sicherheit aus? 
Götz:Das Bewusstsein für die Verantwortung, die sie als Versorger haben, ist in den Unternehmen gestiegen, das Thema IT-Sicherheit ist zur Chefsache geworden. Die Herausforderung bei KRITIS-Unternehmen ist allerdings, dass das IT-Sicherheitsgesetz Forderungen stellt, aber nur bedingt Anhaltspunkte gibt, welche konkreten Maßnahmen umzusetzen sind. Das ist auch gar nicht möglich, denn die Facetten für die einzelnen Branchen bei KRITIS sind zu umfangreich und erschweren eine Konkretisierung. KRITIS ist zudem eher auf die Dokumentationspflicht und das Reporting ausgelegt.

Hier hilft nur eines: Die Versorger müssen sich möglichst zeitnah einen Überblick über den Status der eigenen Systeme verschaffen und dürfen sich nicht zurücklehnen, nach dem Motto: Da ist ja noch nie etwas passiert. Andererseits machen wir immer wieder die Erfahrung, dass Unternehmen die Erwartung haben, dass sich Probleme durch den Einsatz von Technologie automatisch lösen. Das ist aber nur teilweise der Fall, und Unternehmen müssen deshalb, trotz neuer Systeme und Lösungen, immer proaktiv nach Schwachstellen suchen, die Schutzeinrichtung am Laufen halten und nach veränderten Bedrohungsszenarien Ausschau halten. 

ITD: Wiegen die Vorteile von intelligenten Stromnetzen das steigende Gefahrenpotenzial durch die zunehmende Vernetzung Ihrer Meinung nach auf?
Götz:
Auf jeden Fall. Die zunehmende Automatisierung und Digitalisierung sorgen dafür, dass wir den Strom intelligent transportieren, auch mit Blick auf erneuerbare Energien. Zudem brauchen wir Konzepte, dass wir Strom, der aktuell nicht benötigt wird, temporär speichern können. KI ist hier aber lediglich ein Werkzeug, das uns dabei unterstützt, Steuersoftware, Methoden und Algorithmen leistungsfähiger zu machen, gepaart mit der Rechenleistung, die wir zur Verfügung haben. Ich sehe in dem Einsatz von KI kein erhöhtes Risiko. Natürlich muss man die Steuersoftware so programmieren, dass sie ein möglichst störungsfreies Ergebnis liefert. 

IT-Director: Welche Motivation steckt hinter Cyberattacken auf Energieversorger?
Götz:
Der Blick fällt vor allem auf das Thema „Cyberwarfare“. Kriege werden in Zukunft nicht mehr primär auf dem Schlachtfeld gewonnen, sondern mit Angriffen auf die Kritische Infrastruktur eines Landes, allen voran eben auf die Energie-Infrastruktur. Solche Szenarien lösen schwerwiegende Folgen aus. Ein Beispiel sind die Angriffe auf die Ukraine Ende 2015 und Ende 2016. Große Teile des Landes waren für mehrere Stunden vom Stromnetz getrennt. Diese Stromausfälle hatten nicht nur erhebliche Auswirkungen auf die Wirtschaft, sondern vor allem auch auf die Zivilbevölkerung. 

Bildquelle: Cyberark

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok