:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sichere Prozessnetzwerke für Energieversorger Kritische Infrastrukturen vor Hackern schützen
Um zum intelligenten Stromnetz zu werden, erfordert das Smart Grid den zunehmenden Einsatz von IP-basierter Informationstechnik. Das birgt Gefahren: Die Prozessnetzwerke von Energieversorgern sind zunehmend mit Cyber-Kriminalität konfrontiert. Gefragt ist deshalb eine gut konzeptionierte Sicherheitsarchitektur.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5e/af/5eaffc9135b35/se-insider-logo-2019.png "SE_Insider-Logo_2019.png (Vogel IT-Medien)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Für die intelligenten Energienetze von heute – so genannte Smart Grids – ist die Informationstechnik die Voraussetzung. So wurde die Trennung von Netzbetrieb und Energievertrieb durch moderne, IP-basierte IT- und Telekommunikationssysteme überhaupt erst möglich.
Im Moment ist es vor allem die Energiewende, die den Einsatz von Informations- und Kommunikationstechnologie (IKT) in der Branche weiter vorantreibt. So nutzen beispielsweise Netzbetreiber das Internet, um die Einspeisung von EEG-Anlagen (Erneuerbare-Energien-Gesetz) wie Windkraftwerke zu steuern, da diese Verbindung aus Kostengründen für sie sehr attraktiv ist. Für die Prozessnetzwerke der Energieversorger bringt diese Öffnung nach außen neue Bedrohungen mit sich.
Die vom Bundesamt für Sicherheit in der Informationstechnologie (BSI) als „Kritische Infrastrukturen“ eingestuften Netzwerke sind der Gefahr von Cyber-Angriffen ausgesetzt. Dass Energieversorger ganz besonders im Visier von Hackern sind, zeigt auch eine aktuelle Untersuchung des Ponemon Institute. Die Studie „Cost of Cyber Crime“ kommt zu dem Ergebnis, dass Energie und Versorgung der Bereich ist, dem in Deutschland im Jahr 2013 gemessen an den Kosten der höchste Schaden durch Cyber-Kriminalität entstanden ist.
Welche Folgen solche Angriffe haben können, zeigen zwei Fälle aus der jüngeren Vergangenheit. Im April 2014 beauftragten die Stadtwerke Ettlingen im Landkreis Karlsruhe einen professionellen Hacker damit, Schwachstellen in ihrem IT-Netzwerk aufzudecken. Ergebnis: In nur zwei Tagen gelang es ihm, die Kontrolle über die Leitwarte zu übernehmen. Mit nur wenigen Mausklicks hätte er so in der Stadt den Strom abstellen können – 40.000 Einwohner wären davon betroffen gewesen.
Kein Test sondern ein Ernstfall war dagegen, was eine IT-Sicherheitsfirma Ende Juni 2014 aufdeckte: Eine Hacker-Gruppe, die auf breiter Front die westliche Energiewirtschaft im Visier hat. Mit Hilfe von Schadsoftware, so die Sicherheitsfirma, sei es der Gruppe auch bereits gelungen Infrastruktur zu sabotieren. So sei sie in der Lage gewesen, die Energieversorgung in mehreren europäischen Ländern erheblich zu stören. Die Schadsoftware wurde zwar nach ihrer Entdeckung neutralisiert, dennoch könnten die Hacker nach wie vor im Besitz wichtiger Passwörter sein.
Vorgaben für sichere Prozessnetzwerke
Es verwundert kaum, dass sich die Bedrohungen für Prozessnetzwerke auch in diversen Sicherheitsnormen, -gesetzen und -empfehlungen niederschlagen, die in jüngster Vergangenheit entstanden sind und derzeit noch entstehen. Dazu zählt etwa der Entwurf für ein neues IT-Sicherheitsgesetz, der unter anderem Anforderungen an den Schutz Kritischer Infrastrukturen enthält.
Ebenfalls als Entwurf liegt der IT-Sicherheitskatalog der Bundesnetzagentur vor, der die Einführung eines Informationssicherheits-Management-Systems gemäß der nationalen und internationalen Normen ISO/IEC 27002 und ISO/IEC TR 27019 vorsieht. Darüber hinaus hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit dem "ICS Security Kompendium" ein Grundlagenwerk für die IT-Sicherheit in Automatisierungs-, Prozesssteuerungs- und Prozessleitsystemen (Industrial Control Systems) veröffentlicht.
Zentrale Leitlinie für den Schutz von Prozessnetzwerken in der Energiebranche ist derzeit das Whitepaper „Anforderungen an sichere Steuerungs- und Telekommunikationssysteme„ des BDEW (Bundesverband der Energie- und Wasserwirtschaft). Es fasst die aktuellen Notwendigkeiten zusammen und leitet daraus Vorgaben für das Design sicherer Prozessnetzwerke ab. Dazu wurden drei wesentliche Grundsätze herausgearbeitet:
1. Minimal-Need-To-Know-Prinzip: „Jede Komponente und jeder Benutzer erhält nur die Rechte, die für die Ausführung einer Aktion nötig sind. So werden z.B. Anwendungen und Netzwerk-Dienste nicht mit Administratorprivilegien, sondern nur mit den minimal nötigen Systemrechten betrieben.“ Dasselbe ergibt sich aus dem Prinzip auch für Firewall-Regeln: Source, Destination und Ports sind granular einzutragen. Außerdem müssen komplette Netzwerkfreigaben genauer betrachtet und ihre Risiken bewertet werden.
2. Defence-In-Depth-Prinzip: „Sicherheitsrisiken werden nicht durch einzelne Schutzmaßnahmen angegangen, sondern durch die Implementierung gestaffelter, auf mehreren Ebenen ansetzender und sich ergänzender Sicherheitsmaßnahmen begrenzt.“ Aus diesem wichtigsten der drei Prinzipien ergibt sich die Anforderung, das Prozessnetzwerk in Sicherheitszonen einzuteilen.
3. Redundanz-Prinzip: „Das System ist so ausgelegt, dass der Ausfall einzelner Komponenten die sicherheitsrelevanten Funktionen nicht beeinträchtigt. Das Systemdesign verringert die
Wahrscheinlichkeit und die Auswirkungen von Problemen, die durch das uneingeschränkte Anfordern von Systemressourcen wie z.B. Arbeitsspeicher oder Netzwerkbandbreite entstehen (sog. Resource-Consumption- oder DoS-Angriffe).
Schutzbedarf der Informationen bewerten
Um in ihren Prozessnetzwerken die Vorgaben des BDEW erfüllen zu können, sollten Energieversorger eine umfassende und detaillierte Risikobetrachtung durchführen. Eine wertvolle Hilfe kann dabei ein spezialisierter IT-Dienstleister bieten. Dabei werden zunächst eine IT-Landkarte erstellt, sämtliche Betriebsabläufe wie zum Beispiel Schaltbefehle, Parameteränderungen oder Firmware-Updates unter die Lupe genommen, und der Schutzbedarf der von ihnen genutzten Informationen nach drei wesentlichen Gesichtspunkten bewertet:
- Vertraulichkeit. Wie problematisch wäre eine Veröffentlichung der Daten?
- Integrität. Wie gefährlich wäre eine Verfälschung der Informationen? Liefert beispielsweise eine EEG-Anlage fehlerhafte Werte an die Leitstelle, führt dies zu falschen Schaltungen, was wiederum schwere Auswirkungen wie Netzschwankungen haben kann.
- Verfügbarkeit. Wie kritisch wäre es, wenn die Daten nicht zur Verfügung stehen? Bei größeren Anlagen etwa benötigt die Leitstelle unbedingt bestimmte Daten, um Strom zu- oder abschalten zu können.
Die so ermittelten Kritikalitäten müssen dann noch mit einer Bedrohungspotenzial-Bewertung hinsichtlich der Eintrittswahrscheinlichkeit kombiniert werden, um das benötigte Sicherheitsniveau für die jeweiligen Betriebsabläufe beziehungsweise deren Informationen feststellen zu können.
Daraus wiederum lässt sich dann ein passgenaues Security-Design ableiten, das gezielte Schutzmaßnahmen in das Prozessnetzwerk einbaut. Dazu zählen etwa eine zentrale Überwachung, physikalischer Schutz, eine Whitelist, Vorkehrungen für Authentifizierung, Autorisierung und Accounting, Intrusion-Detection-Systeme, Verschlüsselungsmethoden, ein Event-Management oder ein Patch-Management.
Dabei sollte die Netzwerk-Architektur – so wie vom Defence-In-Depth-Prinzip gefordert - in verschiedene Zonen eingeteilt werden, die jeweils eigene Sicherheitsmaßnahmen aufweisen und durch Gateways getrennt sind. Eine solche Aufteilung sorgt für Übersichtlichkeit der Kommunikationswege und erhöht die Sicherheit durch mehrere Maßnahmen. Eventuelle Bypässe werden schnell erkannt, und es lassen sich Abschaltszenarien für den Notfall erarbeiten. So lässt sich beispielsweise ermitteln, welches Kabel gezogen werden muss, um einen erfolgten Cyber-Angriff sofort einzudämmen und Schlimmeres zu verhindern.
Besondere Vorkehrungen benötigen die im freien Feld stehenden Schaltschränke von EEG-Anlagen. Um Schutz vor Kriminellen zu bieten, müssen sie zusätzlich zu den logischen auch mit physischen Schutzmaßnahmen ausgestattet werden. Dabei sollten die Hürden für einen Einbruch so hoch wie möglich gesetzt werden. Deshalb empfiehlt es sich, hier so viele Maßnahmen wie wirtschaftlich vertretbar sind, einzusetzen.
Erweiterte Meldepflicht für Energieversorger
Zu den gesetzlichen Auflagen für Energieversorger könnte auch bald eine erweiterte Meldepflicht zählen. So enthält der Entwurf des neuen IT-Sicherheitsgesetzes Regelungen für Unternehmen, die von einem Cyber-Angriff betroffen sind – darunter die Vorschrift, schwerwiegende Vorfälle zu melden. Zu den Branchen, für die diese Pflicht bindend sein soll, zählt unter anderem das Energiewesen.
Angesichts der Bedeutung dieses Themas sind für die Zukunft umfassende Auswertungs-Tools, wie beispielweise SIEM-Lösungen (Security Information and Event Management) zu erwarten. Erste wirkungsvolle Ansätze eines solchen Systems können aber bereits heute mit ganz konventionellen Mitteln realisiert werden – so wie dies beispielsweise prego services in einem aktuellen Projekt getan hat.
Auf Basis von Syslog-Filtern werden E-Mails und SMS-Benachrichtigungen erzeugt, die die Zentrale über relevante Ereignisse informieren. Erfährt die Leitstelle auf diesem Weg beispielsweise, dass der Türöffner eines Schaltschranks aufgebrochen wurde und treten zusätzliche Indizien, Alarme oder Ereignisse auf, ist die Wahrscheinlichkeit, dass es sich um einen Sicherheitsvorfall handelt, sehr hoch.
So viel zu den technischen Möglichkeiten. Wie immer beim Thema IT-Sicherheit gilt aber auch beim Schutz von Prozessnetzwerken: Die Technik ist nur die halbe Miete, denn genauso wichtig sind die Mitarbeiter. Ein Sicherheitskonzept steht und fällt mit seiner Umsetzung durch alle Beteiligten.
Vor allem wenn die Anwender einbezogen werden, erhöht sich der Schutz vor Angriffen um ein Vielfaches. Deshalb sollten Energieversorger ihre Mitarbeiter unbedingt dafür sensibilisieren, mögliche Bedrohungen zu erkennen und den Folgen von Angriffen vorzubeugen.
(ID:43034329)
:quality(80)/images.vogel.de/vogelonline/bdb/1946000/1946093/original.jpg "Ein anspruchsvoller Rechtsrahmen soll in Europa den Schutz des Cyberspace steigern. Die großflächige Abhängigkeit europäischer Firmen von der Versorgung mit kritischen Komponenten aus Drittstaaten erschwert den Erhalt der Konformität. Abhilfe sollen neue legislative Initiativen schaffen. (viperagp - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1932300/1932370/original.jpg "Während die Fertigungsindustrie offensichtlich an der Spitze der Gefährdungsliste steht, zeigt der TXOne Cybersecurity-Bericht auch einen Anstieg der CVEs, die für Angriffe auf zahlreiche andere Branchen verwendet werden können. (Gorodenkoff - stock.adobe.com)")