Ob in Unternehmen oder Privathaushalten, ohne Öl, Gas oder Strom geht – nichts. Kaum eine Branche ist für die wirtschaftliche und gesellschaftliche Ordnung so wichtig wie die Energiewirtschaft. Störungen der Energieversorgung können schwerwiegende Konsequenzen haben. Besonders bedrohlich wird die Situation dadurch, dass mit der fortschreitendenden Digitalisierung die Zahl der Angriffsvektoren für Hackerangriffe kontinuierlich steigt.
In unserem aktuellen Blogbeitrag zeigen wir auf:
- Wo Energieversorger beim Thema Digitalisierung stehen
- Welchen konkreten Gefahren Energieversorger durch die Digitalisierung ausgesetzt sind
- Mit welchen Anwendungen sich Energieversorger gegen Hackerattacken schützen können
In Deutschland gibt es mehr als 2.000 Unternehmen am Energiemarkt. Was sie verbindet ist die Tatsache, dass nahezu alle Anbieter mitten in der digitalen Transformation stecken, die der zuständige Bundesverband als zentralen Motor für die Zukunft erachtet.
Die Vorteile hiervon sind vielfältig: Mit Hilfe digitaler Anwendungen können unter anderem Effizienzsteigerungen bei der Energieversorgung erzielt, Abrechnungsmodelle für Verbraucher transparenter gestaltet und zahlreiche weitere Anwendungsszenarien optimiert werden. Internet of Things, Smart Grid, Blockchain oder auch Smart Meter stehen stellvertretend für die Entwicklung, die die Energiebranche auf neue Füße stellt. Im Durchschnitt erwarten die Branchenunternehmen laut Bundesverband in den nächsten drei Jahren ein Umsatzwachstum von mehr als zehn Prozent pro Jahr für digitalbasierte Produkte und Dienstleistungen.
Jedoch steigt mit der zunehmenden Zahl digitaler Anwendungen auch die Zahl der Angriffsvektoren für Hackerangriffe. Insbesondere durch Industrie 4.0, also das Zusammenwachsen der traditionellen Betriebstechnik mit Systemen der Informations- und Kommunikationstechnologien, entstehen neue Angriffsflächen, von denen man jetzt schon weiß, dass sie nicht ausreichend geschützt sind. Die Tatsache, dass Hardware-Systeme in Kraftwerken eine hohe Lebensdauer haben und unter anderem aus Kostengründen nicht einfach gegen modernere, sicherere Komponenten ausgetauscht werden können, verbessert die Voraussetzungen nicht.
Wie bedroht Energieversorger von Hackerangriffen bereits sind, das hat unlängst der Cyberangriff auf die Stadtwerke in Wismar gezeigt. Hackern war es gelungen, ins Netzwerk einzudringen und System- sowie Kundendaten zu verschlüsseln. Nur mit Mühe konnte der Notbetrieb aufrechterhalten werden.
Andere Beispiele haben wiederum gezeigt, dass die Auswirkungen noch wesentlich dramatischer sein können. Der Worst Case ereignete sich im Dezember 2015 in der Ukraine, als bei einem Cyberangriff auf die Energieinfrastruktur des Landes rund eine Viertelmillion Ukrainer für mehrere Stunden im Dunkeln saßen, da mehrere Stromversorger komplett lahmgelegt wurden. Im Mai 2021 griffen Cyberkriminelle die größte US-Pipeline der Vereinigten Staaten an und verursachten im gesamten Nordosten eine vorübergehende Öl-Knappheit.
In beiden Fällen hatten sich Cyberkriminelle in die IT-Systeme gehackt, Systeme bzw. Daten verschlüsselt und so versucht, durch den Einsatz von Ransomware Lösegelder zu erpressen.
Im Wesentlichen existieren also zwei Angriffsszenarien, die in unterschiedlichen Zusammenhängen denkbar sind:
- Abfangen und Verfälschen von Daten, Missbrauch von sensiblen Kundendaten (Datenschutz- und Privacy-Problematiken)
- Sabotage des Energienetzes (Probleme im sicheren Netzbetrieb)
Um Kundendaten vor unbefugten Zugriffen zu schützen und um eine Versorgung von Wirtschaft und Bevölkerung mit Energie sicherzustellen, verlangt das Bundesamt für Sicherheit in der Informationstechnik (BSI) – zuständig für Fragen der IT-Sicherheit in der öffentlichen Verwaltung, in Unternehmen und für Privatanwender – dezidierte IT-Security-Vorkehrungen:
- Benennung eines Informationssicherheits-Beauftragten, der gewährleisten soll, dass die IT-Systeme jederzeit angemessen geschützt sind und somit das angestrebte Niveau in der Daten- sowie Informationssicherheit aufrechterhalten wird.
- Einführung eines Informationssicherheits-Managementsystems mit grundlegenden Verfahren und Regeln zur Gewährleistung der Informationssicherheit samt Zertifizierung nach ISO 27001.
10 TIPPS ZUM SCHUTZ VOR RANSOMWARE
Laden Sie jetzt unsere Tippliste kostenfrei herunter.
Erhöhung der Security-Anforderungen mit IT-Sicherheitsgesetz 2.0
Aufgrund der zunehmenden Gefahr hat das für das BSI zuständige Bundesministerium des Innern, für Bau und Heimat (BMI) das „Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz 2.0) auf den Weg gebracht, das unter anderem vier wesentliche Neuerungen für KRITIS-Einrichtungen wie Energieversorger vorsieht.
- Einsatz vertrauenswürdiger KRITIS-Komponenten: Neben KRITIS-Betreibern müssen zukünftig auch Zulieferer und Hersteller von KRITIS-Kernkomponenten die Standards des BSI erfüllen und nachweisen.
- Ausdehnung der Befugnisse des BSI: Das BSI kann in Zukunft bereits im Verdachtsfall eines unzureichenden Schutzes öffentlicher IT-Systeme von KRITIS-Betreibern eigenständig und ohne vorherige Ankündigung Maßnahmen zur Aufspürung von Sicherheitslücken umsetzen.
- Erhöhung der Bußgelder: Wie auch bei der Datenschutz-Grundverordnung wird das bislang maximale Bußgeld bei unzureichendem Schutz von 100.000 Euro auf 20.000.000 Euro oder vier Prozent des weltweiten Unternehmensumsatzes erhöht. Außerdem wird die Liste der Tatbestände erweitert, bei denen ein Bußgeld verhängt werden kann.
- Einführung einer Angriffserkennung: KRITIS-Betreiber müssen mit Inkrafttreten des IT-Sicherheitsgesetz 2.0 eine Angriffserkennung umsetzen und damit sicherstellen, dass sie neben einer Anti-Viren-Lösung und einer Firewall zusätzlich ein System implementieren, welches sie automatisiert und in Echtzeit über Sicherheitsausfälle informiert.
Fazit
Insgesamt zeigt sich also, dass die sicherheitstechnischen Anforderungen an Energieversorger steigen. Die Vorgabe eines Systems der automatisierten Angriffserkennung durch das IT-Sicherheitsgesetz 2.0 können sie beispielsweise durch SCUDOS von Allgeier CyRis erfüllen.
SCUDOS erkennt, visualisiert und kontrolliert, welche Geräte mit dem eigenen Netzwerk verbunden sind. Die umfangreichen Möglichkeiten der Netzwerktransparenz und Topologisierung helfen Energieversorgern, den strengen Vorgaben des Gesetzgebers gerecht zu werden.
Parallel zum Schutz der Infrastruktur muss auch immer sichergestellt werden, dass die Sicherheit vertraulicher Informationen im Unternehmen etwa in Form von Dokumenten, Standard-Datenformaten (z. B. EDIFACT) und E-Mails gewährleistet ist. Denn der Verlust hochsensibler Dokumente mit geheimen Inhalten zu Sicherheitskonzepten, mit Schwachstellenanalysen oder Ähnlichem kann fatale Folgen haben. So ist zum Beispiel für den Austausch von EDIFACT-Daten nicht nur die Verschlüsselung als solche, sondern auch der Einsatz kryptografischer Verfahren vorgeschrieben.
Hierfür bietet Allgeier CyRis seine Speziallösungen julia mailoffice und emily an. Für die sichere Kommunikation bietet julia mailoffice als virtuelle Poststelle einen Komplett-Schutz als serverbasierte Lösung zum Ver- und Entschlüsseln von E-Mails, dem sicheren Austausch von EDIFACT-Daten sowie zur zentralen Signatur und Signaturprüfung. emily unterstützt Unternehmen unter anderem beim sicheren Datenaustausch, der beispielsweise in der Projektarbeit unerlässlich ist.
Die vom BSI dezidiert verlangte Benennung eines ausgebildeten Informationssicherheits-Beauftragten sowie die Einführung eines Informationssicherheits-Managementsystems gehören ebenso zum Portfolio von Allgeier CyRis.
Sie haben Fragen zum Thema IT-Sicherheit für Energieversorger?
Mit dem umfassenden Portfolio an IT-Security-Produkten sowie Beratungs- und Serviceleistungen ist Allgeier IT optimaler Ansprechpartner, wenn es um die Sicherheit der IT geht.
