Warum Cybersicherheit in jedem Bereich des Stromnetzes mitgedacht werden muss, welche Angriffe am wahrscheinlichsten sind, und worauf es ankommt, wenn eine Attacke erfolgt ist, erklärt Dr. Stephan Beirer vom Informationssicherheits-Beratungsunternehmen GAI NetConsult im Interview.
Hackerangriffe auf Stromnetze sind ein beliebtes Motiv in Romanen und Filmen. Wie schätzen Sie die Bedrohungslage ein?
Die Bedrohung ist durchaus real und hat nach meiner Einschätzung in den letzten Jahren auch zugenommen. Das erkennt man nicht nur an verschiedenen Medienberichten, wie zum Beispiel über die Angriffe in der Ukraine an Weihnachten 2015 und 2016, als bei bis zu 700.000 Haushalten für Stunden der Strom ausfiel. Indikatoren dafür sind insbesondere auch die konkreten nicht öffentlichen Warnungen der Sicherheitsbehörden an die Betreiber. Solche Warnungen werden nicht ohne Grund ausgesprochen.
Welche Arten von Angriffen halten Sie für am wahrscheinlichsten?
Wenn wir von gezielten Angriffen reden, sind das Szenarien, in denen ein Angreifer konkret versucht, steuernd in die Versorgung einzugreifen, zum Beispiel indem er unautorisierte Schalthandlungen auslöst. Sollte ein solcher Angriff auf die Netzinfrastruktur erfolgreich sein, würde es im schlimmsten Fall zu einem Versorgungsausfall kommen. Da derzeit auch vermehrt Schnittstellen zu Endverbrauchern geschaffen werden – die Stichworte hier sind Smart Metering, also intelligente Stromzähler, Steuerboxen und Elektromobilität –, ist zukünftig auch mit Angriffen auf die beim Verbraucher verbaute Technik und seine persönlichen Daten zu rechnen.
Welche Akteure haben Interesse an groß angelegten Attacken?
Die größte Bedrohung geht nach derzeitigem Kenntnisstand von staatlichen oder halbstaatlichen Akteuren aus. Diese verfügen über die notwendigen umfassenden Ressourcen, um einen solchen komplexen Angriff durchzuführen. Ebenso sind Erpressungsszenarien durch die organisierte Cyberkriminalität denkbar. Auch wenn die Medien häufig über die Möglichkeit terroristischer Attacken auf unsere Stromnetze berichten, halte ich diese Gefahr derzeit für relativ unwahrscheinlich. Der klassische Hacker wiederum, ein technikbegeisterter Anwender, ist eher im Umfeld der Endverbraucher-Schnittstellen relevant.
Welche Maßnahmen sind auf Hard- und Softwareseite nötig, um einen Schutz gegen derartige Angriffe aufzubauen?
Hard- und Software müssen heutzutage immer gemeinsam betrachtet werden. Leider ist es auch für die Netzinfrastruktur nicht mit einzelnen Maßnahmen getan. Hier müssen Hersteller und Betreiber Hand in Hand arbeiten und Maßnahmen aus diversen Themenbereichen umsetzen.
Dazu gehören zum Beispiel ein gut geregelter Zugangs- und Zugriffsschutz, Schadsoftwareschutz insbesondere für PC-basierte Systeme sowie die Netzwerkzonierung , damit im Fall eines Angriffs nicht gleich das gesamte Netzwerk kompromittiert werden kann. Zudem sollten ausschließlich Systeme genutzt werden, für die der Security-Support verfügbar ist. Darauf aufbauend müsste ein angepasstes Patch-Management umgesetzt werden, das sich um die Aktualisierung der Software kümmert.
<Netzwerkzonierung>
Unterteilung eines Netzwerks in unterschiedliche Bereiche, die durch gesicherte Schnittstellen miteinander verbunden sind.
<Patch>
Softwareprogramm, das die in einem Programm enthaltenen und entdeckten Fehler beheben soll. Patch-Management bezeichnet das geplante Vorgehen zur Anwendung von Patches.
<Härtung>
Prozess, der die Sicherheit eines Systems erhöht, indem nur die tatsächlich benötigten Features genutzt und für die Anwendung unnötige Dienste deaktiviert sowie sicherheitserhöhende Optionen aktiviert werden.
Die Härtung aller Systemkomponenten, also die Deaktivierung nicht benötigter Dienste und Funktionen, kann die Sicherheit zusätzlich erhöhen, ebenso wie die Nutzung sicherer Netzwerkprotokolle für Parametrierung und Management von Komponenten. Aufseiten der Betreiber ist der Aufbau einer Sicherheitsorganisation unabdingbar und Komponentenhersteller müssen eine sichere und robuste Implementierung gewährleisten.
Wie wichtig ist es, alle Komponenten auf dem aktuellen Stand zu halten?
Moderne Komponenten erfordern eine umfangreiche und häufig auch komplexe Software- und Firmwareinstallation. Diese Software enthält nicht komplett vermeidbare Programmierfehler, die sich als Sicherheitslücken manifestieren können. Die können harmlos, aber auch hochkritisch sein und somit die sichere Komponentenfunktion gefährden.
Deshalb müssen die Hersteller Sicherheitslücken der Komponentensoftware identifizieren, zum Beispiel indem sie Lücken in Drittkomponenten aktiv tracken. Bekannte Schwachstellen müssen je nach Kritikalität im Rahmen von Release-Upgrades oder in dringenden Fällen auch durch Emergency-Patches behoben und den Kunden zur Verfügung gestellt werden.
Für den Betreiber ist ein Wartungsvertrag notwendig, damit er überhaupt über Lücken informiert wird und Updates erhalten kann. Das sogenannte Patch-Management sollte dann risikobasiert erfolgen. Nicht jeder Betreiber hat dieselben Sicherheitsanforderungen, ebenso sind die Lücken nicht in jeder Umgebung ausnutzbar. Sollte ein akutes Risiko über einem vorab definierten Schwellenwert vorliegen, muss die Softwarekorrektur, auch Patch genannt, nach den erforderlichen Tests zeitnah ausgerollt werden. Für weniger kritische Patches wird die Installation üblicherweise in ein zyklisches Wartungsfenster verschoben.
Wie können Betreiber ihre Mitarbeiter vorbereiten?
Da sind Mitarbeiterschulungen essenziell. Bei Netzwerk- oder Komponentenverantwortlichen gehören dazu natürlich die Grundlagen der Informationssicherheit und der notwendigen Technologien. Anwender aus anderen Bereichen benötigen zunächst sogenannte Awareness-Schulungen, die das Bewusstsein dafür schärfen, was überhaupt typische Sicherheitsprobleme sind, wie ein Angriff aussehen und wie er erkannt werden könnte. Ganz praktische Fragen sind auch wichtig, zum Beispiel: Wie muss ich mit meinem Parametrierlaptop umgehen? Darf ich einen fremden USB-Stick anschließen? Welche Art von potenziellen
Sicherheitsvorfällen muss ich melden?
Wie können Netzbetreiber die Sicherheit ihrer Systeme testen?
Die Selbstüberprüfung ist ein wichtiger Bestandteil eines funktionierenden Sicherheitsmanagement-Prozesses. Die Prüfungen können dabei unterschiedlicher Natur sein. So kann die Einhaltung von ISMS- und Normvorgaben im Rahmen von organisatorischen Audits geprüft werden. Die konkrete sicherheitstechnische Realisierung innerhalb der Infrastruktur wird üblicherweise durch technische Tests verifiziert.
Je nach Zielumgebung gibt es hierzu verschiedene Herangehensweisen. Aufgrund ihrer Kritikalität können produktive Umgebungen üblicherweise nur mit nicht invasiven Prüftechniken, wie einem Konfigurationsreview, getestet werden. In einer isolierten Testumgebung sind tiefer gehende Prüfmethoden möglich. Der in den Medien häufig zitierte Penetrationstest, bei dem der Prüfer ohne konkretes Vorwissen und mit Hackermethoden einen Angriff simuliert, sollte nur nach umfassender Vorplanung und nur an unkritischeren Schnittstellen, zum Beispiel zwischen Büro- und Prozessnetz, angewandt werden. Ein weiteres wichtiges Prüfgebiet sind Abnahmetests, in denen bei Systemerneuerungen oder ‑erweiterungen neben funktionalen Tests auch Sicherheitsprüfungen durchgeführt werden, um die realisierten Sicherheitseigenschaften zu verifizieren.
<Kritikalität>
Die Wichtigkeit eines Systems in Bezug auf die Aufgabe, die es erfüllt.
<Nicht invasive Prüftechniken>
Prüfverfahren, die nicht in das zu prüfende System eingreifen. Werden besonders zur Prüfung von kritischen produktiven Systemen eingesetzt.
Wie kann es gelingen, eine vernünftige Abwägung zwischen Wirtschaftlichkeit und Sicherheit zu finden?
Wie überall im Leben sind auch im Bereich der Informationssicherheit die Kosten ein wesentlicher Faktor. Je nach Kritikalität des Versorgers müssen unterschiedliche Anforderungen erfüllt werden. So muss der Betreiber einer kritischen Infrastruktur schon aus gesetzlichen Gründen deutlich höhere Aufwände in Kauf nehmen als ein kleines Stadtwerk.
Überlegungen zur Wirtschaftlichkeit dürfen sich allerdings nicht nur auf die Sicherheitsmaßnahmen beschränken, sondern müssen den gesamten Anwendungsfall einbeziehen. Ob etwa der Komfort- und Effizienzgewinn eines App-Zugriffs vom Handy auf eine Stationsleittechnik die dann notwendigen umfassenden Sicherheitsmaßnahmen rechtfertigen, muss im Einzelfall entschieden werden.
Die gesamte Digitalisierung der Netze und die damit einhergehende breite Vernetzung sind nur unter Berücksichtigung von umfassenden Sicherheitsmaßnahmen machbar. Es käme auch niemand auf die Idee, ein Auto ohne Bremsen auf den Markt zu bringen.
Und wenn der Hacker erfolgreich war?
Mindestens ebenso wichtig wie vorbeugende Maßnahmen – unter dem englischen Stichwort „Protect“ – sind Angriffserkennung und Abwehr – Detect, Respond und Recover. Einfach weil Vorbeugemaßnahmen schon aus Kostengründen niemals hundertprozentigen Schutz bieten können. Ein Betreiber muss deshalb darauf vorbereitet sein, ein Sicherheitsproblem wie einen Angriff oder eine umfassende Infrastrukturstörung frühzeitig zu erkennen und einzudämmen sowie von einem definierten Notbetrieb wieder in den Normalbetrieb überzugehen. Hierzu sind entsprechende Vorbereitungen und Notfallpläne notwendig.
Wie wird sich das Thema Cybersicherheit in Stromnetzen künftig weiterentwickeln?
Informationssicherheit hat sich in den letzten Jahren von einem Spezialproblem zu einem Thema entwickelt, das die gesamte technisierte Gesellschaft durchdringt und somit natürlich auch alle automatisierten Industriebranchen, insbesondere aber die Energieversorgung. In Zukunft werden sowohl Hersteller als auch Betreiber versuchen, standardisierte Lösungskonzepte zu entwickeln und umzusetzen. Da sich aber in der IT- und Steuerungstechnik immer komplexere Anwendungsszenarien ergeben und auch die Angreifer neue Methoden entwickeln, wird das Thema nicht an Bedeutung verlieren. Ich mache mir persönlich keine Sorgen, dass ich in zehn Jahren keinen Job mehr habe.
Mehr Informationen
Cybersecurity @ MR
Bei MR wird das Thema Cybersicherheit bei allen Komponenten von Anfang an mitgedacht und umgesetzt. Dafür arbeitet MR kontinuierlich an einer hohen Produktsicherheit, optimiert stetig seine Prozesse in Hinsicht auf die Sicherheit und pflegt ein umfangreiches Risikomanagement. Ein bei MR eigens gegründetes Cybersecurity-Emergency-Response-Team (CERT) ist zentraler Ansprechpartner für alle Fragen rund um das Thema IT-Security. Die MR-Spezialisten beraten die Kunden und sind von Anfang an in die Entwicklung eines Produkts eingebunden. Dabei legen sie unter anderem fest, welche Normen und Richtlinien für ein entsprechendes Vorhaben zu berücksichtigen sind.
Mission: Cybersicherheit
GAI NetConsult GmbH ist ein unabhängiges Beratungsunternehmen mit dem Fokus auf Informationssicherheit. Ein Tätigkeitsschwerpunkt ist die Projektarbeit für industrielle IT-Sicherheit, insbesondere auch im Bereich der Energieversorgung. Darüber hinaus beschäftigt sich das Unternehmen auch im Normungs- und Verbandsumfeld umfassend mit der Thematik. Eine Reihe wesentlicher deutscher und internationaler Branchenempfehlungen und Standards wie das BDEW/OE-Whitepaper oder die ISO/IEC 27019 beruht auf der Arbeit von GAI NetConsult GmbH.