„Das Thema Cyber­se­cu­rity durch­dringt die gesamte Gesell­schaft. Und Angreifer entwi­ckeln immer neue Methoden.“

Warum Cyber­si­cher­heit in jedem Bereich des Strom­netzes mitge­dacht werden muss, welche Angriffe am wahr­schein­lichsten sind, und worauf es ankommt, wenn eine Attacke erfolgt ist, erklärt Dr. Stephan Beirer vom Infor­ma­ti­ons­si­cher­heits-Bera­tungs­un­ter­nehmen GAI NetCon­sult im Inter­view.


Hacker­an­griffe auf Strom­netze sind ein beliebtes Motiv in Romanen und Filmen. Wie schätzen Sie die Bedro­hungs­lage ein?

Die Bedro­hung ist durchaus real und hat nach meiner Einschät­zung in den letzten Jahren auch zuge­nommen. Das erkennt man nicht nur an verschie­denen Medi­en­be­richten, wie zum Beispiel über die Angriffe in der Ukraine an Weih­nachten 2015 und 2016, als bei bis zu 700.000 Haus­halten für Stunden der Strom ausfiel. Indi­ka­toren dafür sind insbe­son­dere auch die konkreten nicht öffent­li­chen Warnungen der Sicher­heits­be­hörden an die Betreiber. Solche Warnungen werden nicht ohne Grund ausge­spro­chen.

Welche Arten von Angriffen halten Sie für am wahr­schein­lichsten?

Wenn wir von gezielten Angriffen reden, sind das Szena­rien, in denen ein Angreifer konkret versucht, steu­ernd in die Versor­gung einzu­greifen, zum Beispiel indem er unau­to­ri­sierte Schalt­hand­lungen auslöst. Sollte ein solcher Angriff auf die Netz­infrastruktur erfolg­reich sein, würde es im schlimmsten Fall zu einem Versor­gungs­aus­fall kommen. Da derzeit auch vermehrt Schnitt­stellen zu Endver­brau­chern geschaffen werden – die Stich­worte hier sind Smart Metering, also intel­li­gente Strom­zähler, Steu­er­boxen und Elek­tro­mo­bi­lität –, ist zukünftig auch mit Angriffen auf die beim Verbrau­cher verbaute Technik und seine persön­li­chen Daten zu rechnen.

Der promo­vierte Physiker Dr. Stephan Beirer ist bei GAI NetCon­sult GmbH als Team­leiter für das Fach­ge­biet „Infor­ma­ti­ons­si­cher­heit von Prozess­steue­rungs- und Auto­ma­ti­sie­rungs­sys­temen“ zuständig. In dieser Posi­tion berät er insbe­son­dere mitt­lere und große Indus­trie- und Ener­gie­ver­sor­gungs­un­ter­nehmen, Fach­ver­bände sowie Hersteller. (© Tobias Kruse)

Welche Akteure haben Inter­esse an groß ange­legten Atta­cken?

Die größte Bedro­hung geht nach derzei­tigem Kennt­nis­stand von staat­li­chen oder halb­staat­li­chen Akteuren aus. Diese verfügen über die notwen­digen umfas­senden Ressourcen, um einen solchen komplexen Angriff durch­zu­führen. Ebenso sind Erpres­sungs­sze­na­rien durch die orga­ni­sierte Cyber­kri­mi­na­lität denkbar. Auch wenn die Medien häufig über die Möglich­keit terro­ris­ti­scher Atta­cken auf unsere Strom­netze berichten, halte ich diese Gefahr derzeit für relativ unwahr­schein­lich. Der klas­si­sche Hacker wiederum, ein tech­nik­be­geis­terter Anwender, ist eher im Umfeld der Endver­brau­cher-Schnitt­stellen rele­vant.

Welche Maßnahmen sind auf Hard- und Soft­ware­seite nötig, um einen Schutz gegen derar­tige Angriffe aufzu­bauen?

Hard- und Soft­ware müssen heut­zu­tage immer gemeinsam betrachtet werden. Leider ist es auch für die Netz­in­fra­struktur nicht mit einzelnen Maßnahmen getan. Hier müssen Hersteller und Betreiber Hand in Hand arbeiten und Maßnahmen aus diversen Themen­be­rei­chen umsetzen.

Dazu gehören zum Beispiel ein gut gere­gelter Zugangs- und Zugriffs­schutz, Schad­soft­ware­schutz insbe­son­dere für PC-basierte Systeme sowie die Netz­werk­zo­nie­rung , damit im Fall eines Angriffs nicht gleich das gesamte Netz­werk kompro­mit­tiert werden kann. Zudem sollten ausschließ­lich Systeme genutzt werden, für die der Secu­rity-Support verfügbar ist. Darauf aufbauend müsste ein ange­passtes Patch-Manage­ment umge­setzt werden, das sich um die Aktua­li­sie­rung der Soft­ware kümmert.

<Netz­werk­zo­nie­rung>
Unter­tei­lung eines Netz­werks in unter­schied­liche Bereiche, die durch gesi­cherte Schnitt­stellen mitein­ander verbunden sind.

<Patch>
Soft­ware­pro­gramm, das die in einem Programm enthal­tenen und entdeckten Fehler beheben soll. Patch-Manage­ment bezeichnet das geplante Vorgehen zur Anwen­dung von Patches.

<Härtung>
Prozess, der die Sicher­heit eines Systems erhöht, indem nur die tatsäch­lich benö­tigten Features genutzt und für die Anwen­dung unnö­tige Dienste deak­ti­viert sowie sicher­heits­er­hö­hende Optionen akti­viert werden.

Die Härtung aller System­kom­po­nenten, also die Deak­ti­vie­rung nicht benö­tigter Dienste und Funk­tionen, kann die Sicher­heit zusätz­lich erhöhen, ebenso wie die Nutzung sicherer Netz­werk­pro­to­kolle für Para­me­trie­rung und Manage­ment von Kompo­nenten. Aufseiten der Betreiber ist der Aufbau einer Sicher­heits­or­ga­ni­sa­tion unab­dingbar und Kompo­nen­ten­her­steller müssen eine sichere und robuste Imple­men­tie­rung gewähr­leisten.

Wie wichtig ist es, alle Kompo­nenten auf dem aktu­ellen Stand zu halten?

Moderne Kompo­nenten erfor­dern eine umfang­reiche und häufig auch komplexe Soft­ware- und Firmwareinstalla­tion. Diese Soft­ware enthält nicht komplett vermeid­bare Program­mier­fehler, die sich als Sicher­heits­lü­cken mani­fes­tieren können. Die können harmlos, aber auch hoch­kri­tisch sein und somit die sichere Kompo­nen­ten­funk­tion gefährden.

Deshalb müssen die Hersteller Sicherheits­lücken der Kompo­nen­ten­soft­ware iden­ti­fi­zieren, zum Beispiel indem sie Lücken in Dritt­kom­po­nenten aktiv tracken. Bekannte Schwach­stellen müssen je nach Kriti­k­alität im Rahmen von Release-Upgrades oder in drin­genden Fällen auch durch Emer­gency-Patches behoben und den Kunden zur Verfü­gung gestellt werden.

Für den Betreiber ist ein Wartungs­ver­trag notwendig, damit er über­haupt über Lücken infor­miert wird und Updates erhalten kann. Das soge­nannte Patch-Manage­ment sollte dann risi­ko­ba­siert erfolgen. Nicht jeder Betreiber hat dieselben Sicher­heits­an­for­de­rungen, ebenso sind die Lücken nicht in jeder Umge­bung ausnutzbar. Sollte ein akutes Risiko über einem vorab defi­nierten Schwel­len­wert vorliegen, muss die Soft­ware­kor­rektur, auch Patch genannt, nach den erfor­der­li­chen Tests zeitnah ausge­rollt werden. Für weniger kriti­sche Patches wird die Instal­la­tion übli­cher­weise in ein zykli­sches Wartungs­fenster verschoben.

Wie können Betreiber ihre Mitar­beiter vorbe­reiten?

Da sind Mitar­bei­ter­schu­lungen essen­ziell. Bei Netz­werk- oder Kompo­nen­ten­ver­ant­wort­li­chen gehören dazu natür­lich die Grund­lagen der Infor­ma­ti­ons­si­cher­heit und der notwen­digen Tech­no­lo­gien. Anwender aus anderen Berei­chen benö­tigen zunächst soge­nannte Aware­ness-Schu­lungen, die das Bewusst­sein dafür schärfen, was über­haupt typi­sche Sicher­heits­pro­bleme sind, wie ein Angriff aussehen und wie er erkannt werden könnte. Ganz prak­ti­sche Fragen sind auch wichtig, zum Beispiel: Wie muss ich mit meinem Para­me­trier­laptop umgehen? Darf ich einen fremden USB-Stick anschließen? Welche Art von poten­zi­ellen
Sicher­heits­vor­fällen muss ich melden?

Wie können Netz­be­treiber die Sicher­heit ihrer Systeme testen?

Die Selbst­über­prü­fung ist ein wich­tiger Bestand­teil eines funk­tio­nie­renden Sicher­heits­ma­nage­ment-Prozesses. Die Prüfungen können dabei unter­schied­li­cher Natur sein. So kann die Einhal­tung von ISMS- und Norm­vor­gaben im Rahmen von orga­ni­sa­to­ri­schen Audits geprüft werden. Die konkrete sicher­heits­tech­ni­sche Reali­sie­rung inner­halb der Infra­struktur wird übli­cher­weise durch tech­ni­sche Tests veri­fi­ziert.

Je nach Ziel­um­ge­bung gibt es hierzu verschie­dene Heran­gehensweisen. Aufgrund ihrer Kriti­k­alität können produk­tive Umge­bungen übli­cher­weise nur mit nicht inva­siven Prüf­tech­niken, wie einem Konfi­gu­ra­ti­ons­re­view, getestet werden. In einer isolierten Test­um­ge­bung sind tiefer gehende Prüf­me­thoden möglich. Der in den Medien häufig zitierte Pene­tra­ti­ons­test, bei dem der Prüfer ohne konkretes Vorwissen und mit Hacker­me­thoden einen Angriff simu­liert, sollte nur nach umfas­sender Vorpla­nung und nur an unkri­ti­scheren Schnitt­stellen, zum Beispiel zwischen Büro- und Prozess­netz, ange­wandt werden. Ein weiteres wich­tiges Prüf­ge­biet sind Abnah­me­tests, in denen bei System­er­neue­rungen oder ‑erwei­te­rungen neben funk­tio­nalen Tests auch Sicher­heits­prü­fungen durch­ge­führt werden, um die reali­sierten Sicher­heits­ei­gen­schaften zu veri­fi­zieren.

<Kriti­k­alität>
Die Wich­tig­keit eines Systems in Bezug auf die Aufgabe, die es erfüllt.

<Nicht inva­sive Prüf­tech­niken>
Prüf­ver­fahren, die nicht in das zu prüfende System eingreifen. Werden beson­ders zur Prüfung von kriti­schen produk­tiven Systemen einge­setzt.

Wie kann es gelingen, eine vernünf­tige Abwä­gung zwischen Wirt­schaft­lich­keit und Sicher­heit zu finden?

Wie überall im Leben sind auch im Bereich der Infor­ma­ti­ons­si­cher­heit die Kosten ein wesent­li­cher Faktor. Je nach Kriti­k­alität des Versor­gers müssen unter­schied­liche Anfor­de­rungen erfüllt werden. So muss der Betreiber einer kriti­schen Infra­struktur schon aus gesetz­li­chen Gründen deut­lich höhere Aufwände in Kauf nehmen als ein kleines Stadt­werk.

Über­leg­ungen zur Wirt­schaft­lich­keit dürfen sich aller­dings nicht nur auf die Sicher­heits­maß­nahmen beschränken, sondern müssen den gesamten Anwen­dungs­fall einbe­ziehen. Ob etwa der Komfort- und Effi­zi­enz­ge­winn eines App-Zugriffs vom Handy auf eine Stati­ons­leit­technik die dann notwen­digen umfas­senden Sicher­heits­maß­nahmen recht­fer­tigen, muss im Einzel­fall entschieden werden.

Die gesamte Digi­ta­li­sie­rung der Netze und die damit einher­ge­hende breite Vernet­zung sind nur unter Berück­sich­ti­gung von umfas­senden Sicher­heits­maß­nahmen machbar. Es käme auch niemand auf die Idee, ein Auto ohne Bremsen auf den Markt zu bringen.

Und wenn der Hacker erfolg­reich war?

Mindes­tens ebenso wichtig wie vorbeu­gende Maßnahmen – unter dem engli­schen Stich­wort „Protect“ – sind Angriffs­er­ken­nung und Abwehr – Detect, Respond und Recover. Einfach weil Vorbeu­ge­maß­nahmen schon aus Kosten­gründen niemals hundert­pro­zen­tigen Schutz bieten können. Ein Betreiber muss deshalb darauf vorbe­reitet sein, ein Sicher­heits­pro­blem wie einen Angriff oder eine umfas­sende Infra­struk­tur­stö­rung früh­zeitig zu erkennen und einzu­dämmen sowie von einem defi­nierten Notbe­trieb wieder in den Normal­be­trieb über­zu­gehen. Hierzu sind entspre­chende Vorbe­rei­tungen und Notfall­pläne notwendig.

Wie wird sich das Thema Cyber­si­cher­heit in Strom­netzen künftig weiter­ent­wi­ckeln?

Infor­ma­ti­ons­si­cher­heit hat sich in den letzten Jahren von einem Spezi­al­pro­blem zu einem Thema entwi­ckelt, das die gesamte tech­ni­sierte Gesell­schaft durch­dringt und somit natür­lich auch alle auto­ma­ti­sierten Industrie­branchen, insbe­son­dere aber die Ener­gie­ver­sor­gung. In Zukunft werden sowohl Hersteller als auch Betreiber versu­chen, stan­dar­di­sierte Lösungs­kon­zepte zu entwi­ckeln und umzu­setzen. Da sich aber in der IT- und Steue­rungs­technik immer komple­xere Anwen­dungs­sze­na­rien ergeben und auch die Angreifer neue Methoden entwi­ckeln, wird das Thema nicht an Bedeu­tung verlieren. Ich mache mir persön­lich keine Sorgen, dass ich in zehn Jahren keinen Job mehr habe.

Mehr Infor­ma­tionen


Cyber­se­cu­rity @ MR

Bei MR wird das Thema Cyber­si­cher­heit bei allen Kompo­nenten von Anfang an mitge­dacht und umge­setzt. Dafür arbeitet MR konti­nu­ier­lich an einer hohen Produkt­si­cher­heit, opti­miert stetig seine Prozesse in Hinsicht auf die Sicher­heit und pflegt ein umfang­rei­ches Risi­ko­ma­nage­ment. Ein bei MR eigens gegrün­detes Cyber­se­cu­rity-Emer­gency-Response-Team (CERT) ist zentraler Ansprech­partner für alle Fragen rund um das Thema IT-Secu­rity. Die MR-Spezia­listen beraten die Kunden und sind von Anfang an in die Entwick­lung eines Produkts einge­bunden. Dabei legen sie unter anderem fest, welche Normen und Richt­li­nien für ein entspre­chendes Vorhaben zu berück­sich­tigen sind.


Mission: Cyber­si­cher­heit

GAI NetCon­sult GmbH ist ein unab­hän­giges Bera­tungs­un­ter­nehmen mit dem Fokus auf Infor­ma­ti­ons­si­cher­heit. Ein Tätig­keits­schwer­punkt ist die Projekt­ar­beit für indus­tri­elle IT-Sicher­heit, insbe­son­dere auch im Bereich der Ener­gie­ver­sor­gung. Darüber hinaus beschäf­tigt sich das Unter­nehmen auch im Normungs- und Verbands­um­feld umfas­send mit der Thematik. Eine Reihe wesent­li­cher deut­scher und inter­na­tio­naler Bran­chen­emp­feh­lungen und Stan­dards wie das BDEW/OE-White­paper oder die ISO/IEC 27019 beruht auf der Arbeit von GAI NetCon­sult GmbH.


Gleich weitersagen!

Keine Ausgabe mehr verpassen?

Hier geht's zum kostenlosen Abo.