Cybersecurity

Definition

Cybersicherheit ist ein Ensemble von Maßnahmen, dass eine Gefährdung von IT-Infrastruktur beziehungsweise eine Gefährdung eines Unternehmens über die IT-Infrastruktur verhindern soll. Eine Erweiterung dieser Konzepte stellt das Information Security Management System (ISMS) dar. Es handelt sich hierbei um weiter gefasste Schutzmaßnahmen, die auch die Prozesse, die Unternehmensgebäude und Personen gegen Angriffe von außen schützen sollen.

In den letzten Jahren ist die Anzahl von Cyberangriffen signifikant gestiegen. Laut Verizon Data Breach Report kam es 2017 zu mehr als 53.000 Cyberattacken weltweit, von denen über 2.000 Stück erfolgreich waren. Cyberangriffe können entweder direkt mit Hacking-Attacken gegen bestimmte Strukturen geschehen oder aber auch durch Phishing-Versuche, Ransomware-Angriffe sowie über Social Engineering. Allen gemeinsam ist, dass sie die betroffene Infrastruktur oder das betroffene Unternehmen ernsthaft und grundsätzlich gefährden können.

Gerade unter dem Gesichtspunkt, dass Unternehmen in der Energiewirtschaft häufig eine wichtige Rolle in der Grundversorgung spielen und häufig als kritische Infrastrukturen gelten, ist hier besondere Vorsicht wichtig – gerade hinsichtlich der immer weiter fortschreitenden Digitalisierung der Energiewirtschaft. Immer wieder kommt es bei großen Versorgern oder Netzbetreibern zu Angriffsversuchen, die mehr oder weniger erfolgreich sind. Zu größeren Schäden oder gar einem Blackout ist es bis heute in Deutschland aber noch nicht gekommen.

Um zu garantieren, dass das Unternehmen und seine IT-Infrastruktur gegenüber Angriffen von außen geschützt sind, sind im Industriestandard ISO 27001 die Grundlagen für ein Information Security Management System (ISMS) definiert. 
In der Praxis lassen sich die wichtigsten Eigenschaften und Ziele eines ISMS wie folgt definieren:

  1. Das ISMS muss fest im Unternehmen verankert sein. Anforderungen, Befugnisse und Aufgaben werden fest definiert und über eine zentrale Stelle überwacht. 
  2. Die Ziele, die durch das ISMS erreicht werden sollen, müssen kodifiziert und verbindlich festgehalten werden. 
  3. Es müssen Sicherheitsrichtlinien für den sicheren Umgang mit der IT-Infrastruktur, den Unternehmenswerten beziehungsweise den Assets definiert werden. 
  4. Die Anforderungen an die Informationssicherheit gelten auch für den Personalbereich und sollten ebenfalls bei der Einstellung, Einarbeitung sowie Beendigung oder Wechsel des Arbeitnehmers berücksichtigt werden.
  5. Es muss sichergestellt werden, dass das im Unternehmen vorhandene Wissen über IT-Sicherheit dem aktuellen Stand entspricht. 
  6. Um die Aktualität des Wissensstands zu garantieren, sind Fort- und Weiterbildungen des zuständigen Personals wichtig. 
  7. Das angestrebte Niveau der Informationssicherheit soll den aktuellen Bedürfnissen und der potenziellen Gefährdungssituation entsprechen.
  8. Zugänge zur Infrastruktur und die entsprechenden Zugriffsrechte werden strukturiert verwaltet.
  9. Das Unternehmen muss für eine strukturierte Datensicherung sorgen.
  10. Das Unternehmen muss sich auf etwaige Störungen, Ausfälle und Sicherheitsvorfälle im IT-Bereich vorbereiten. 
Drei Bereiche in der Energiewirtschaft haben hinsichtlich Cybersecurity eine besondere Aufmerksamkeit verdient:

Office IT:

Office IT ist das klassische Einfallstor für Cyberangriffe. Phishing-E-Mails oder schadhafte Anhänge sind weitverbreitet und stellen auch heute noch ein entsprechend großes Sicherheitsrisiko dar. Zudem ist es wichtig, die Software auf den Rechnern aller Nutzer aktuell zu halten, um potenzielle Sicherheitslücken zu schließen. Ein stringent umgesetztes IT-Sicherheitskonzept minimiert in diesem Bereich die Risiken.

Leitstelle /Leitsystem:

Das Leitsystem ist für das Monitoring und die Steuerung der einzelnen Anlagen verantwortlich. Hier gilt es sowohl die Verbindung zu den Assets als auch zu den Übertragungsnetzbetreibern zu sichern sowie das Leitsystem selbst gegen Angriffe von außen zu schützen. Um für größtmögliche Sicherheit zu sorgen, sind Office-IT-Systeme und das Leitsystem selbst auch für den Entwickler physikalisch getrennt und nicht über den gleichen Computer erreichbar. So könnten in einem Angriffsfall  zwar die Office-IT-Systeme korrumpiert werden; dieser Angriff hätte aber keine direkten Auswirkungen auf kritische Infrastrukturen wie das Leitsystem. 

Stromhandel:

Auch der Stromhandel bietet theoretisch ein potenziell lohnenswertes Ziel für Cyberangriffe. Auch hier ist es ratsam die Anbindung an die Börse physikalisch von der übrigen Office-IT-Infrastruktur zu trennen. So kann es im Angriffsfall nicht zu Marktverzerrungen, Handelsabbrüchen und entsprechenden Verlusten kommen.