Die Digitalisierung und zunehmende Vernetzung aller Versorgungsbereiche stellen den modernen Lebensstandard sicher. Doch so fortschrittlich und effizient die Systeme sind, so anfällig sind sie für Manipulation und Sabotage. Es ist nur ein Szenario unter vielen mit gravierenden Auswirkungen: Die Infrastruktur eines Stromanbieters wird angegriffen, wodurch in den deutschen Großstädten über einen längeren Zeitraum keine Elektrizität zur Verfügung steht. Nahezu alle lebenswichtigen und stromabhängigen Infrastrukturen, von Gesundheitsversorgung bis Transport und Kommunikation, kämen zum Erliegen oder würden sehr stark beeinträchtigt. Schon nach kurzer Zeit würde sich die Situation zu einem lebensbedrohlichen Ausnahmezustand entwickeln.
Zweifellos haben Angriffe auf Energieversorger oder andere kritische Infrastrukturen das Potenzial, die wirtschaftliche Stabilität eines Landes sowie die physische Sicherheit seiner Bürger massiv zu gefährden. Und die Bedrohung ist real: Regelmäßig warnt der Verfassungsschutz vor Cyberkriminellen, die genau diese kritischen Infrastrukturen auch in Deutschland im Visier haben. Die Gefahr kann von Einzelpersonen und Gruppen, privaten Organisationen oder auch ausländischen Geheimdiensten ausgehen – Erpressung, Missbrauch vertraulicher Daten, Industriespionage bis hin zu terroristischen Anschlägen sind nur einige ihrer Motive.
Seit 2015 definiert das IT-Sicherheitsgesetz, welche Wirtschaftsbereiche aufgrund ihrer zentralen Bedeutung für die Bevölkerung als kritische Sektoren gelten und daher besonders gegen Cyber-Angriffe geschützt werden müssen. Hierzu zählen auch Energienetze und -anlagen: Seit Inkrafttreten der KRITIS-Verordnung im Mai 2016 als Teil des IT-Sicherheitsgesetzes müssen Betreiber regelmäßig nachweisen, dass sie angemessene technische und organisatorische Maßnahmen nach dem „Stand der Technik“ ergriffen haben, um ihre Systeme zu schützen. Dies beinhaltet unter anderem die Umsetzung eines Informationssicherheits-Managementsystems, zum Beispiel nach dem international anerkannten Standard ISO/IEC 27001.
Mindeststandard an Sicherheit
Im Rahmen dieses Managementsystems müssen sich Unternehmen systematisch mit allen bestehenden Risiken auseinandersetzen, die wichtigen Unternehmens-Assets und betriebskritischen Systeme definieren und darauf aufbauend Maßnahmen zum Schutz ableiten. Letztlich geht es um den konsequenten Aufbau einer gestaffelten Tiefenverteidigung mit möglichst vielen Schutzwällen. Wichtige Hilfestellungen liefert dabei insbesondere Anhang A der ISO 27001. Die Wirksamkeit der Maßnahmen muss regelmäßig geprüft und im Audit nachgewiesen werden. Unabhängige Prüfstellen unterstützen an dieser Stelle Betreiber bei der Erfassung und Bewertung von Sicherheitsrisiken, prüfen die Einhaltung der Standards und zertifizieren Unternehmen nach ISO 27001.
Energienetzbetreiber, wie Stadtwerke, mussten die entsprechenden Nachweise und Zertifikate gemäß § 11 Absatz 1a Energiewirtschaftsgesetz bereits bis zum 31. Januar 2018 durch spezialisierte Prüfer erbringen. Die Nachweispflicht für Energieanlagenbetreiber gemäß § 11 Absatz 1b beginnt, sobald der entsprechende IT-Sicherheitskatalog des BSI veröffentlicht wird.
Zertifizierung und Nachweisführung
Prüfdienstleister wie TÜV Süd unterstützen KRITIS-Betreiber bei der Nachweisführung, beispielsweise durch eine ISO-Zertifizierung. Die TÜV Süd Akademie bietet zudem ergänzende Schulungsmöglichkeiten im Bereich ISO 27001 sowie auf technischer Ebene an. Die Zertifizierung erfolgt in mehreren Schritten. Zunächst definiert der Betreiber den Geltungsbereich des Informationssicherheits-Managementsystems und erstellt einen Maßnahmenplan. Anschließend wird ein internes Vor-Audit durchgeführt. Dieses ist jedoch für die Nachweisführung nicht ausreichend: Gemäß der international anerkannten Norm können Unternehmen bestimmte Risiken akzeptieren, sofern diese keine größere Gefahr für das Unternehmen darstellen. Dieses Zugeständnis ist jedoch durch die Vorgaben des BSI eingeschränkt. Entscheidend sind nicht nur die Auswirkungen auf das Unternehmen, sondern auch auf die versorgten Personen. Für KRITIS-Betreiber bedeutet das, dass sie neben internen Audits oder Zertifizierungen zusätzlich von einem unabhängigen Prüfer bestätigen lassen, dass die IT-Sicherheitsvorkehrungen dem vom BSI geforderten „Stand der Technik“ entsprechen.
Unternehmen müssen die Ursachen für Schäden, Störungen und Sicherheitsrisiken systematisch erfassen und bewerten. Im Rahmen von Penetrationstests beispielsweise werden Schwachstellen in den getesteten Systemen identifiziert. Darauf folgt eine Ursachenanalyse, da Sicherheitslücken häufig auf eine unterschwellige Prozessschwäche zurückzuführen sind. Wird beispielsweise ein System-Update nicht korrekt ausgeführt, genügt es nicht, die Versäumnisse nachträglich zu bereinigen. Vielmehr gilt es, die Ursache für das fehlerhafte Update aufzudecken und sicherzustellen, dass eine solche Lücke in Zukunft nicht mehr entsteht. Das kann beispielsweise durch Mitarbeiterschulung, Einspielen von Software-Updates oder Abschaltung eines bestimmten Systems geschehen.
Weiterhin können Betreiber die Hilfe von Prüfstellen bei der Planung technischer und organisatorischer Sicherheitsvorkehrungen in Anspruch nehmen. Sie unterstützen beispielsweise bei der Einführung von Erkennungssystemen und Zugangskontrollen sowie von Verfahren für den Notfall und zur Krisenbewältigung. Trotz aller Sicherheitsvorkehrungen bleibt im Arbeitsalltag stets ein gewisses Restrisiko durch Faktoren, die die Unternehmen selbst nur eingeschränkt beeinflussen können – das gilt nicht nur für KRITIS-Betreiber.
Schwachstelle Mensch
Eine besonders beliebte Methode für unbefugten Zugriff macht sich die Schwachstelle Mensch zunutze. Beim sogenannten „Social Engineering“ erhalten Mitarbeiter in der Regel Phishing-E-Mails, die Versprechungen oder Androhungen enthalten. Geht man nun von einem organisierten Angriff auf eine kritische Infrastruktur durch einen ausländischen Geheimdienst aus, sind Phishing-Mails durch ihren professionellen Aufbau häufig nicht mehr als solche erkennbar. Sie wirken seriös, werden häufig arglos geöffnet, um die Aufforderungen darin zu befolgen.
Durch gezielte Aufklärung und technische Vorgaben lässt sich diese Gefahr zumindest reduzieren. Mitarbeiter müssen für die Bedrohungslage und gängige Methoden von Hackern sensibilisiert werden. Auf technischer Ebene müssen Zugriffsrechte für bestimmte Dokumente, Ordner und Strukturen genau festgelegt und so weit wie möglich limitiert werden.
Die Lieferkette im Fokus
Ein weiteres Risiko geht von externen Geschäftspartnern aus. Lieferanten und Dienstleister haben häufig Zugriff auf Teilbereiche des Unternehmensnetzwerks, wodurch sich günstige Angriffspunkte für Kriminelle ergeben. Im vergangenen Jahr kam es zu mehreren Angriffen, bei denen Unternehmen nicht direkt, sondern über die Lieferkette, beispielsweise über die Nutzung von Drittanbietersoftware, attackiert wurden. KRITIS-Betreiber müssen sich dieser Gefahr mit jedem Schritt bewusst sein. Die ISO 27001 gibt zum Thema Lieferantenauswahl und -monitoring einen verbindlichen Handlungsrahmen vor. Wichtig ist unter anderem, einen klar definierten Zugang sowie standardisierte Verfahren einzurichten, über die Lieferanten und Sub-Lieferanten an das Unternehmensnetzwerk angebunden werden. Bewährt hat sich das Prinzip des geringstmöglichen Zugriffs. Die lange Laufzeit von Energieanlagen bringt weitere Sicherheitsherausforderungen mit sich. Kraftwerke sind in der Regel über mehrere Jahrzehnte hinweg in Betrieb. Unter dieser Voraussetzung wird das Einspielen von Sicherheitsupdates nach einer gewissen Zeit schwierig, weil die veralteten Komponenten nicht immer mit den aktuellen Updates kompatibel sind. Unternehmen müssen sich also Alternativen überlegen, um weiterhin konform zu sein. Eine nachträgliche Erweiterung der Energieanlage darf bei aller Berücksichtigung der Wirtschaftlichkeit nie zu Lasten der Sicherheit gehen. Betreiber sind in der Pflicht, entsprechende Vorkehrungen zu treffen.
Generell ist das IT-Sicherheitsniveau in Deutschland hoch, nicht zuletzt durch die verschärfte Gesetzgebung. Dennoch wäre es fatal, sich auf dem Status Quo auszuruhen, denn die Bedrohungslage entwickelt sich beständig weiter. Auffallend ist vor allem die Professionalisierung der Attacken sowie eine zunehmende Verlagerung in den politischen Raum. Unternehmen, insbesondere Betreiber kritischer Infrastrukturen, müssen sich dieser rasant wachsenden, dynamischen Bedrohungslage anpassen, um nicht schleichend in Rückstand zu geraten. Politik und internationale Organisationen müssen enger zusammenarbeiten als bisher, um Angriffe rechtzeitig erkennen und abwehren zu können. Angesichts der steigenden kriminellen Energie werden bisherige Schutzmaßnahmen nicht mehr ausreichen.