IT-Sicherheit bei Energieversorgern: KRITIS im Visier von Cyberkriminellen

Datenschutz, Informations- und IT-Sicherheit: Das sind brennende Themen für sämtliche Branchen, besonders jedoch für Betreibende kritischer Infrastrukturen (KRITIS). Deshalb gibt es für diese Unternehmen besondere Auflagen – das schützt sie einerseits gut, andererseits sind die KRITIS-Unternehmen auf dem Radar Cyberkrimineller und dadurch besonders gefährdet. In unserem heutigen Beitrag gehen wir auf eine aktuelle Warnung der US-Cybersicherheitsbehörde CISA ein, die die IT-Sicherheit bei Energieversorgern betrifft, diskutieren Bedrohungspotenziale für die Energiewirtschaft und werfen einen Blick auf das IT-Sicherheitsgesetz 2.0. Nach dem Lesen dieses Beitrags können Sie besser einschätzen, wie stark KRITIS derzeit gefährdet sind.

“Pipedream“: CISA warnt vor Cyberangriffen auf KRITIS

Die US-Cybersicherheitsbehörde CISA warnte jüngst vor böswilligen Hackern, die mit hoch entwickelten Werkzeugen versuchen würden, Steuerungsanlagen von Betreibenden kritischer Infrastrukturen (KRITIS) zu übernehmen. Es sei möglich, dass die Cyberkriminellen volle Kontrolle über die Steuerungs- und Kontrollanlagen (ICS/ SCADA) mehrerer Hersteller erhielten. Systeme der Unternehmen Onron sowie Schneider Electric und Server mit der Open Platform Cummunications Unified Architecture (OPC UA) seien laut der Warnung betroffen. Die Werkzeuge der Hacker würden mehrere Komponenten umfassen, mit denen kritische Gerätschaften, aber auch Funktionen lahmgelegt werden könnten.

Das Cybersecurity-Unternehmen Dragos beteiligte sich an der Analyse der Hacking-Werkzeuge. Nachdem diese „Pipedream“ getauft wurden, konnten sie der Gruppe „Chernovite“ zugeordnet werden. Bislang, so sei man sich sicher, wurden die Hacking-Tools noch nicht eingesetzt, sodass die Warnung präventiv erfolge. Dragos-Chef Robert Lee erklärte gegenüber der Nachrichtenagentur Reuters zudem, dass die angreifbaren Anlagen in verschiedenen Industriebereichen Einsatz fänden, besonders jedoch Anlagen der Flüssiggas- sowie Stromerzeugungsbranche gefährdet seien. Betreibende kritischer Infrastrukturen, besonders jedoch der Energiesektor, wurden von den US-Behörden aufgefordert, bereits zusammengetragene Maßnahmen dringend umzusetzen.

IT-Sicherheit bei Energieversorgern: Bedrohungspotenziale

Energieversorger haben es mit zahlreichen möglichen Bedrohungen zu tun: Umweltaspekte sowie technische Störungen sind zwei von ihnen, die jedoch oft vorhersagbar sind. Für gewöhnlich stehen Notfallpläne bereit, sodass Energieversorger zügig zum Normalbetrieb zurückkehren können. Anders sieht es bei Angriffen auf die IT- sowie Kommunikationsstrukturen aus: Wenngleich Angriffe aus den vergangenen Jahren für Aufsehen sorgten, werden die Bereiche IT-Sicherheit, Informationstechnik, Informationssicherheit und Datenschutz oft nicht ausreichend berücksichtigt.

Das liegt einerseits an schwer änderbaren Aspekten wie der Tatsache, dass aufgrund langer Laufzeiten Anlagen technisch hinter dem Stand der aktuellen Technik stehen. So machen beispielsweise nicht leistungsstarke Steuerungsrechner DDoS-Angriffe leichter. Es liegt aber auch an vermeidbaren Aspekten wie schwachen Passwörtern und mangelnde sicherheitsrelevante Konfigurationen. Unser Beitrag „Schutz kritischer Infrastrukturen: Klärwerk vollständig gehackt“ zeigt diese Punkte deutlich auf.

IT-SiG erhöhte IT-Sicherheit bei Energieversorgern

Dabei sieht es heute schon besser aus als noch vor einigen Jahren: Das IT-Sicherheitsgesetz 2.0 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erhöhte die Sicherheit informationstechnischer Systeme bei KRITIS-Betreibenden. Wir berichteten über das IT-SiG 2.0 bereits in unserem Beitrag „IT-Sicherheitsgesetz 2.0: KRITIS ausreichend schützen“. Unser Beitrag „KRITIS & IT-Sicherheit: BSI aktualisiert Hilfestellungen“ spendiert Ihnen weitere Informationen über die Hilfe, die das BSI gibt. Für den Energiesektor als Teil der KRITIS-Betreibenden ist der internationale Standard für Informationssicherheit, nämlich die ISO/IEC27001, mit erweiterten Anforderungen des IT-Sicherheitskatalogs (vgl. ISO/IEC27019) relevant.

Die Kombination dieser Normen hilft KRITIS-Unternehmen wie Energieversorgenden dabei, ein geeignetes Informationssicherheits-Management-System (ISMS) zu etablieren. Als ISMS bezeichnet man die Summe aller Verfahren und Regeln in einer Organisation, die dazu beitragen, Informationssicherheit zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu optimieren. ISMS weisen nach, dass die Anforderungen, die an KRITIS-Betreibende gestellt werden, umgesetzt wurden. Damit die Informationssicherheit mithilfe eines ISMS nachhaltig gesteigert werden kann, empfiehlt sich Unterstützung durch eine:n Informationssicherheitsbeauftragte:n (ISB).

IT-Sicherheit bei Energieversorgern: Besteht akute Gefahr?

Die Warnung der US-Behörden erfolgte präventiv – einen erhöhten Grund zur Beunruhigung gibt es nicht. Dennoch sind KRITIS wie Energieversorgende – wie auch viele andere Bereiche und Branchen – im Visier von Cyberkriminellen. Es ist also notwendig, sich ein realistisches Bild möglicher Gefahren zu machen – beispielsweise mit dem Lesen von Sicherheitsmeldungen, wie wir es Ihnen im Beitrag „Malware Report: Sicherheitsstudien zu Malware“ empfohlen haben.

Ein ISMS verhindert zwar keine Angriffe, unterstützt Sie jedoch dabei, im Fall der Fälle zügig(er) reagieren zu können. Weiter hilft ein ISMS, Risiken schon im Vorfeld zu erkennen, sodass Sie langfristig die IT-Sicherheit in Ihrer Organisation steigern können – natürlich nur, wenn diese Risiken dann auch behandelt werden. Damit sind Informationssicherheit im Zusammenspiel mit einem gut implementierten ISMS Werkzeuge für Energieversorgende und andere KRITIS-Betreibende, um branchenspezifischen Standards gerecht zu werden und für eine bestmögliche Sicherheit zu sorgen.

Haben Sie Fragen zur IT-Sicherheit bei Energieversorgern oder zum Implementieren eines ISMS? Nehmen Sie einfach Kontakt zu uns auf – unsere zertifizierten Expert:innen stehen Ihnen mit Rat und Tat zur Seite.