KRITIS: Cyber Security für Energieversorger

No
12. Juli 2017

Wie sichert man hunderte separate und vernetzte Standorte wie Umschaltanlagen oder Trafohäuschen, mit direktem Zugriff auf das Leitsystem, mit einem kleinen Team ab? Betreiber Kritischer Infrastrukturen (KRITIS), wie Energieversorger, sind per IT-Sicherheitsgesetz gefordert, (Cyber-) Angriffen vorzubeugen und Standards einzuhalten, um ihre Leit- und Steuersysteme und damit die öffentliche Sicherheit zu gewährleisten. Dafür gilt es gründlich zu analysieren, Schwachstellen zu erkennen und Maßnahmen zu definieren. Aber was heißen diese Forderungen konkret?

Sogenannte OT-Netzwerke („Operational Technology“) waren und sind oft immer noch auf Funktion, Versorgungssicherheit und Safety (nicht Security) getrimmt. Dass die Systeme und Netze der OT ein Teil der IT sind, den es zu pflegen und zu warten gilt, haben sowohl die Betreiber der OT-Netzwerke als auch die IT-Abteilung der Unternehmen lange Zeit vernachlässigt – und damit die Security. So existiert zum Beispiel relativ selten ein strukturiertes Nutzer- und Passwortmanagement. Zudem ist ein geregelter Patch-Zyklus, wie er in der IT üblich ist, oft nur rudimentär vorhanden. Beide Probleme sind häufig bedingt durch den fehlenden Support seitens der Hersteller von Leit- oder Steuersystemen.

Aber nicht nur die Hersteller, auch die Betreiber sind beim Thema IT-Sicherheit oft nicht auf dem aktuellen Stand der Technik. Bei vielen der Leit- und Steuersysteme wird auf eine Antivirenlösung verzichtet, da Viren-Scanner häufig die sehr hardwarenahe Steuersoftware fälschlicherweise als Schadsoftware identifiziert und geblockt haben. Ebenso sind die in der IT gängigen Intrusion-Detection- oder Intrusion-Prevention-Systeme selten anzutreffen, da nur sehr wenige dieser Geräte die industriellen Spezialprotokolle ausreichend beherrschen.

All dies macht deutlich, vor welch großer Aufgabe die Versorger stehen, um die abstrakten Forderungen des IT-Sicherheitsgesetzes zu erfüllen, die von KRITIS-Betreibern bis 2018 bzw. 2019 gefordert werden. Ziel ist es, einen geregelten und strukturierten Betrieb zu gewährleisten, bei dem die IT-Sicherheit ein elementarer Bestandteil aller Prozesse und Entscheidungen ist. Maßgeblich dafür ist auch die Erstellung von Konzepten, Betriebshandbüchern und Leitlinien, unter besonderer Berücksichtigung der Spezifika des Leit- und Steuersystems. Dabei ist gelebte IT-Sicherheit nicht nur ein „Papiertiger“, sondern verlässliche Grundlage für die tägliche Arbeit und erleichtert diese sogar oftmals. Entscheidend ist, dass Mitarbeiter von sich aus erkennen, welche Konsequenzen ihr Tun für die IT-Sicherheit ihrer kritischen Prozesse hat.

Kritische Infrastruktur müssen hierzulande so geschützt werden, dass es keinem Angreifer – seien es Einzelpersonen, terroristische Gruppen oder auch Staaten – leichtfällt, diese effektiv anzugreifen oder auszuschalten. Das IT-Sicherheitsgesetz sieht dafür im Notfall auch finanzielle Sanktionen für die Betreiber vor.

Mehr Informationen zu Cyber Security

Unser Beratungs- und Lösungsangebot zu KRITIS für Energievesorger
KRITIS@Energy

Best Practices, Analysen und Handlungsempfehlungen für Entscheider
Bestellen Sie den Managementkompass Cyber Security

 

Haben Sie noch Fragen?
Sprechen Sie uns an ...

Torben Klagge
Tel.: +49 40 22703-0
it-security@soprasteria.com