T-Systems-Claim-Logo
Suchen
Ein ängstlich geweitetes blaues Auge mit lauter Buchstaben und Zahlen um sich herum.

Allianz gegen den Blackout

Wie kann der Energiesektor Bedrohungen durch Hacker künftig entgegenwirken?

Artikel als PDF herunterladen

Der Energiesektor ist weltweit Top 3-Ziel für Cyberkriminelle. Und noch immer sind Stromnetze für Hacker oft leichte Beute. Wie kann der Ansatz integrierter Sicherheit Unternehmen helfen, die mit immer raffinierteren Angriffen und einem Mangel an qualifizierten Sicherheitsexperten zu kämpfen haben? 

Lange Zeit – die Älteren unter uns erinnern sich noch – waren die IT-Teams in Unternehmen vor allem für eine reibungslose Internetverbindung zuständig und sorgten dafür, dass die Mitarbeiter ihre E-Mails pünktlich erhielten. Gleichzeitig kümmerte sich das Personal der Betriebstechnik (OT) um die kritischen Infrastruktursysteme.

Heute, im Jahr 2022, unterliegen die IT- und OT-Prozesse einem drastischen Wandel. Mit vernetzten Geräten, Systemen und dem Industrial IoT (IIoT) wurden die Grenzen zwischen IT und OT verwischt. Alles, was vernetzt werden muss, ist es heute auch (Tendenz steigend). Dadurch werden die Systeme anfälliger für Cyberangriffe – das wissen die Unternehmen, und die Angreifer wissen es noch besser. Anders gesagt: OT und IT sind mittlerweile eng miteinander verbunden – aber wie steht es um die Sicherheit?

Die Unternehmen leisten ihren Beitrag, indem sie in die OT-, IT- und sogar physische Sicherheit investieren. Meistens sind diese Sicherheitssysteme jedoch nicht eng genug miteinander verbunden. Im Falle eines Angriffs verfügt das Unternehmen oft nicht einmal über die Daten, um den Angriff auszuwerten und auf ihn zu reagieren. Dies ist ein typisches Problem bei einem isolierten Ansatz, der die Reaktion in der Regel verzögert und Hackern mehr Raum gibt, sich Zugang zu kritischen Systemen zu verschaffen.

Thomas Tschersich, Chief Security Officer (CSO) der Deutschen Telekom und CEO von Deutsche Telekom Security GmbH, sagt dazu: „Wir müssen uns aus den Unternehmenssilos befreien. In einigen Unternehmen habe ich erlebt, dass ein CSO sich um die IT kümmert, ein anderer CSO um die Sicherheit des Produktionsnetzes und ein Dritter um das Sicherheitspersonal. Sie agieren alle in verschiedenen Silos, und das muss sich ändern. Als CSO haben wir das Privileg, diese Silos zu verbinden, die Sicherheit zu erhöhen und sie besser zu organisieren.“

Aber weshalb integrierte Sicherheit?

In integrierten IT- und OT-Systemen wird der regelmäßige Austausch von Informationen und Daten (unter Verwendung gemeinsamer Tools, Systeme und Plattformen) zur Norm, was die Erkennung ungewöhnlicher Aktivitäten und eine schnellere Reaktion erleichtert und damit das Schadensrisiko bei einem Angriff minimiert.

Auch deshalb setzen bereits viele Unternehmen inzwischen auf den Ansatz der integrierten Sicherheit – wie beispielsweise das ISC (Industrial Security Center), ein integriertes/konvergentes Sicherheitskonzept, das die Telekom Security gemeinsam mit Hitachi Energy und Securitas entwickelt hat.

Doch wie sollte konvergierte oder integrierte Sicherheit aussehen und welchen Zweck muss sie erfüllen? Sicherheitsintegration bedeutet in einfachen Worten, dass Menschen, Prozesse, Systeme und Daten im Rahmen der OT-, IT- und physischen Sicherheit in einer einzigen Betriebsumgebung zusammengefasst werden. Dies gibt den Sicherheitsteams mehr Kontext und erleichtert die Entscheidungsfindung.

Warum kontextbezogene Informationen aber so wichtig sind, macht folgendes Szenario deutlich: Die Kameras eines Umspannwerks zeichnen am Rand des Betriebsgeländes die Bewegungen einer externen, unbekannten Person auf. Gleichzeitig erkennt das Netzwerk des Unternehmens ein neues Gerät, das versucht, sich Zugang zum System zu verschaffen. Wenn diese Vorfälle getrennt betrachtet werden, kann es schwierig sein, eine Verbindung zwischen ihnen herzustellen.

Wenn jedoch die Informationen der Kamera und des Netzwerks kombiniert werden, schaffen sie einen Kontext für die Sicherheitsteams. Könnte es sich möglicherweise um einen versuchten Angriff handeln? Die Standardreaktion des Sicherheitsteams wäre, das neue Gerät zu isolieren und das Verhalten des Unbekannten noch einige Zeit lang zu beobachten. Wenn das Sicherheitsteam weiß, wo sich der Angreifer befindet und wie er agiert – selbst wenn sich die angegriffene Einheit nicht im „Mutterschiff“ befindet – kann es Gegenmaßnahmen ergreifen und z. B. diesen Bereich vom Netz isolieren.

Mit konvergenten Sicherheitssystemen können die Abwehrspezialisten gezielter, schneller und wirkungsvoller reagieren, weil sie die Situation kontextbezogen verstehen.

Pierre-Alain Graf, Cybersecurity Lead bei Hitachi Energy, im Porträt

„Die Ereignisse der jüngeren Vergangenheit machen deutlich, welche Risiken für kritische Infrastrukturen, einschließlich der Stromversorgung, bestehen und unterstreichen gleichzeitig die Notwendigkeit einer branchenweiten Zusammenarbeit, um Vorfälle im Bereich der Cybersicherheit besser zu erkennen und darauf reagieren zu können.“

Pierre-Alain Graf
Cybersecurity Lead bei Hitachi Energy

Angriffsziele weltweit

Reale Vorfälle, die auf isolierte Sicherheitssysteme zurückzuführen sind, gab es schon zu Hauf. Am 23. Dezember 2015 bemerkte einer der Stromnetzbetreiber im Kontrollzentrum Prykarpattyaoblenergo in der Ukraine eine Reihe merkwürdiger Vorgänge auf seinem Computerbildschirm, und im nächsten Moment ging das Umspannwerk offline.

Das Ergebnis? Tausende Einwohner hatten bei eisigen Temperaturen plötzlich keinen Strom mehr und konnten folglich auch ihre Heizungen nicht mehr benutzen. Nachdem sich die Angreifer unbefugt Zugang zum System verschafft hatten, meldeten sie den Betreiber einfach ab. Es gelang ihnen schließlich, etwa 30 Umspannwerke vom Netz zu nehmen, was zu einem massiven Stromausfall in der Westukraine führte, von dem 230.000 Bürger betroffen waren. Nicht nur die Umspannwerke, sondern auch die Verteilerzentren wurden abgeschaltet, so dass auch die Betreiber ohne Strom dastanden.

In diesem spezifischen Fall schienen die Hacker den Angriff über Monate hinweg akribisch geplant zu haben. Sie wussten, dass einige Mitarbeiter remote und ohne Zwei-Faktor-Authentifizierung auf die SCADA-Systeme des Unternehmens zugriffen. Obwohl der Angriff nicht länger als sechs Stunden dauerte, ist er ein typisches Beispiel für einen gut organisierten Angriff auf ein Kraftwerk.

Spätere Untersuchungen ergaben, dass die Betreiber und Mitarbeiter der Anlage Phishing-E-Mails erhalten hatten, die den Hackern später eine Backdoor erstellten. Im nächsten Schritt des Angriffs hackten sie VPNs und verschafften sich so Zugang zu den SCADA-Systemen. Es gab Berichte, wonach eine russische Gruppe für die Angriffe verantwortlich gewesen sein soll.

Im Jahr 2010 wurde die iranische Urananreicherungsanlage in Natanz mit Malware angegriffen. Die speicherprogrammierbare Steuerung (SPS) wurde manipuliert, was zu einer Störung in der Anlage führte. Einige Ermittler machten die Vereinigten Staaten und Israel für die Attacke verantwortlich. 

Einer der berüchtigtsten Angriffe auf kritische Infrastrukturen war der Angriff auf die IT-Systeme der Colonial Pipeline, der den Betrieb im Mai vergangenen Jahres fünf Tage lang lahmlegte.

Wenn man sich die Mehrzahl der weltweiten Angriffe ansieht, wird deutlich, dass Threat Intelligence ein entscheidender Faktor ist: Wenn die Sicherheitsteams zur richtigen Zeit über bessere Informationen verfügen, können diese Angriffe abgeschwächt, wenn nicht sogar ganz verhindert werden.

Pierre-Alain Graf, Cybersecurity Lead bei Hitachi Energy, sagt: „Die Ereignisse der jüngeren Vergangenheit machen deutlich, welche Risiken für kritische Infrastrukturen, einschließlich der Stromversorgung, bestehen und unterstreichen gleichzeitig die Notwendigkeit einer branchenweiten Zusammenarbeit, um Vorfälle im Bereich der Cybersicherheit besser zu erkennen und darauf reagieren zu können.“

Und genau das versucht Sicherheitskonvergenz zu erreichen: Informationen von Kontrollsystemen, Servern und Datenbanken zu sammeln und sie dann an ein einziges Dashboard zu übertragen. Dieses Dashboard ermöglicht es dem Sicherheitsteam, besser zu reagieren, da es über verwertbare Erkenntnisse verfügt.

Würde eine im ersten Schritt nicht identifizierbare Person zum Beispiel an einem Unternehmensstandort versuchen, Remote-Zugriff auf ein SCADA-System in der Anlage zu erhalten, kann das konvergente Sicherheitssystem prüfen, ob es sich tatsächlich um einen Mitarbeiter handelt, der an einem der vertrauenswürdigen Standorte physisch anwesend ist, oder um eine andere Person, die versucht, sich unbefugt Zugang zu verschaffen.

Dies wird überprüft, wenn die Systeme die Datenbank der physischen Sicherheit kontrollieren. Besteht ein Konflikt, löst das System einen Sicherheitsalarm aus, damit das Team auf diesen Vorfall reagieren kann. So funktioniert das integrierte Sicherheitssystem im Wesentlichen.

Dabei ist der Energiesektor nur ein Bereich, dessen kritische Infrastrukturen und deren Schutz in der Regel von übergeordnetem, oft sogar nationalem Interesse ist.

Anders Gustavsson, Leiter des Bereichs Global Connected Solutions bei Securitas, kommentiert: „Kritische Infrastrukturen wie Rechenzentren, Kraftwerke oder Kommunikations-Basisstationen sind durch die zunehmende Konnektivität bedroht. Ein Nachteil der sehr robusten physischen Sicherheit ist, dass Angreifer auf Cyberangriffe zurückgreifen. Heute müssen alle physischen Systeme dringend gegen Cyber-Risiken geschützt werden. Dies unterstreicht die Notwendigkeit, ein Ecosystem Mindset zu entwickeln. Die physische und die Cyberwelt rücken näher zusammen und verflechten sich immer mehr.“

Was genau leistet das ISC?

Unterscheidung zwischen einem typischen Sicherheitsansatz und dem ISC als Schaubild.

Abb. 1: Unterscheidung zwischen einem typischen Sicherheitsansatz und dem ISC.

Mit zunehmender Digitalisierung und dezentralem Arbeiten ist die Sicherheit komplex und die Notwendigkeit, sie im gesamten Unternehmen zu harmonisieren, noch wichtiger geworden. Und genau diesem Ansatz folgt das ISC als integrierter Sicherheitsdienst für die Energiewirtschaft, der von drei führenden Unternehmen in ihren jeweiligen Bereichen angeboten wird – Hitachi Energy (OT-Sicherheit), Telekom Security (Cybersicherheit) und Securitas (physische Sicherheit).

Energie- und Versorgungsunternehmen kann das ISC dabei helfen, ihre kritischen Infrastrukturen vor Cyberangriffen zu schützen. Abgesehen von der Risikoperspektive müssen diese Unternehmen auch Compliance- und Regulierungsstandards erfüllen, wie z. B. die NIST-Frameworks. Das ISC kann auch Unterstützung bei der Einhaltung der Vorschriften leisten.

Da sich das ISC um Sicherheit, Compliance und Digitalisierungsinitiativen kümmert, können sich die Kunden auf ihre Kernkompetenzen konzentrieren. Mit einem integrierten Service wie dem ISC können Unternehmen ihre Sicherheitskultur, ihr Krisenmanagement und ihre Widerstandsfähigkeit verbessern. Mit seinem One-Contact Protection Point ermöglicht das Konzept zudem Kosteneinsparungen, kann verschiedenen Komplexitätsstufen angepasst werden und damit die Betriebsstabilität von Energieunternehmen sicherstellen.

Grundsätzlich erfordern allerdings schon Verwaltung und Management von Sicherheitsmaßnahmen spezielle Expertisen. Da sich die Bedrohungslandschaft ständig weiterentwickelt, braucht beides Fachleute, die mit den Bedrohungen umgehen können. Diese jedoch allein nur zu finden, kann sowohl zeit- als auch kostenintensiv sein. Auf dem Markt herrscht heute ein gravierender Mangel an Sicherheitsexperten. Einem Bericht des Weltwirtschaftsforums zufolge fehlen in der Branche etwa 2,72 Millionen Sicherheitsfachkräfte. 

Sicherheits-Feed

Das ISC Dienstleistungsportfolio in einem Schaubild mit Kreisen dargestellt.

Abb. 2: Das ISC bietet einen einzigen Sicherheits-Feed für drei verschiedene Bereiche mit leistungsstarken Funktionen wie: Vorfallerkennung- und Reaktion, Schwachstellenmanagement, Bedrohungsanalyse, Bestandsregister, Physische Sicherheit & Konfigurationsmanagement sowie Bestands-, Schwachstellen- & Konfigurationsbewertung.

In einem derart angespannten Markt wird es für Energieunternehmen noch schwieriger, den am besten geeigneten Bewerber zu finden und einzustellen. Zudem fallen sonstige Ausbildungskosten und -zeiten an.

Im Ergebnis sollte es für Unternehmen mehr als eine Alternative sein, das Angebot von integrierten Diensten wie dem ISC, die über das richtige Fachwissen, die richtigen Werkzeuge und die nötige Erfahrung verfügen, in näheren Betracht zu ziehen.

Das ISC bietet einen einzigen Sicherheits-Feed für drei verschiedene Bereiche mit leistungsstarken Funktionen wie: Vorfallerkennung- und Reaktion, Schwachstellenmanagement, Bedrohungsanalyse, Bestandsregister, Physische Sicherheit & Konfigurationsmanagement sowie Bestands-, Schwachstellen- & Konfigurationsbewertung.

Das könnte Sie auch interessieren:

Wir freuen uns auf Ihr Projekt!

Gerne stellen wir Ihnen die richtigen Experten zur Verfügung und beantworten Ihre Fragen zur Erstellung, Implementierung und Wartung Ihres Digitalisierungsplans. Sprechen Sie uns an!

Besuchen Sie t-systems.com außerhalb von Germany? Besuchen Sie die lokale Website für weiterführende Informationen und Angebote für Ihr Land.