IT-Sicherheit bei Energieversorgern: KRITIS im Visier von Cyberkriminellen
Betreibende von Kritischen Infrastrukturen (KRITIS) sind nicht erst seit gestern auf dem Radar von Cyberkriminellen und damit besonders gefährdet: 2021 standen sie erneut stark im Visier von Cyberkriminellen, wie aus dem jüngst veröffentlichten Cybercrime-Bericht des Bundeskriminalamtes hervorgeht.
Obendrein warnte erst kürzlich die US-Cybersicherheitsbehörde CISA vor Hackern, die mit hoch entwickelten Werkzeugen versuchen würden, Steuerungsanlagen von Betreibenden kritischer Infrastrukturen (KRITIS) zu übernehmen. Es sei möglich, dass die Cyberkriminellen volle Kontrolle über die Steuerungs- und Kontrollanlagen mehrerer Hersteller erhielten. Die Werkzeuge der Hacker würden mehrere Komponenten umfassen, mit denen kritische Gerätschaften sowie Funktionen lahmgelegt werden könnten.
„Die Warnung der US-Behörden erfolgte präventiv. Einen erhöhten Grund zur Beunruhigung gibt es derzeit nicht. Eine Analyse der Hacking-Werkzeuge durch das Cybersecurity-Unternehmen Dragos ergab, dass die Hacking-Tools noch nicht eingesetzt wurden“, beruhigt IT-Sicherheitsexpertin Patrycja Schrenk. Die Geschäftsführerin der PSW GROUP ( www.psw-group.de ) setzt jedoch nach: „Dennoch sind KRITIS, allen voran Energieversorger, im Visier von Cyberkriminellen. Es ist also notwendig, sich ein realistisches Bild möglicher Gefahren zu machen und die empfohlenen Sicherheitsmaßnahmen dringend umzusetzen.“
Energieversorger haben es mit zahlreichen möglichen Bedrohungen zu tun: Umweltaspekte sowie technische Störungen sind zwei von ihnen. Für gewöhnlich stehen Notfallpläne bereit, sodass Energieversorger zügig zum Normalbetrieb zurückkehren können. Anders sieht es bei Angriffen auf die IT- sowie Kommunikationsstrukturen aus: Wenngleich Angriffe aus den vergangenen Jahren für Aufsehen sorgten, werden die Bereiche IT-Sicherheit, Informationstechnik, Informationssicherheit und Datenschutz oft nicht ausreichend berücksichtigt. „Das liegt einerseits an schwer änderbaren Aspekten wie der Tatsache, dass aufgrund langer Laufzeiten Anlagen technisch hinter dem Stand der aktuellen Technik stehen. So machen beispielsweise nicht leistungsstarke Steuerungsrechner DDoS-Angriffe leichter. Es liegt aber auch an vermeidbaren Aspekten wie schwachen Passwörtern und mangelnde sicherheitsrelevante Konfigurationen“, so Patrycja Schrenk über die Gründe.
Dennoch sieht es heute schon besser aus als noch vor einigen Jahren: Das IT-Sicherheitsgesetz 2.0 erhöhte die Sicherheit informationstechnischer Systeme bei allen KRITIS-Betreibenden. Für den Energiesektor ist zudem der internationale Standard für Informationssicherheit, die ISO/IEC27001, mit erweiterten Anforderungen relevant. Die Kombination dieser Normen hilft KRITIS-Unternehmen wie Energieversorgern dabei, ein geeignetes Informationssicherheits-Management-System (ISMS) zu etablieren.
„ISMS ist die Summe aller Verfahren und Regeln in einer Organisation, die dazu beitragen, Informationssicherheit zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu optimieren – oder anders ausgedrückt: Mit der Implementierung eines Informationssicherheits-Management-System weisen KRITIS-Betreibende nach, dass sie die an sie gestellten IT-Sicherheitsanforderungen umsetzen. Wenngleich ein ISMS zwar keine Angriffe verhindert, unterstützt es dabei, im Fall der Fälle zügig zu reagieren. Weiter hilft ein ISMS, Risiken schon im Vorfeld zu erkennen, sodass langfristig die IT-Sicherheit in einer Organisation gesteigert werden kann“, verdeutlicht Patrycja Schrenk den Nutzen. Damit sind Informationssicherheit und ein gut implementiertes ISMS Werkzeuge für Energieversorger und andere KRITIS-Betreibende, um branchenspezifischen Standards gerecht zu werden und für eine bestmögliche Sicherheit zu sorgen.