Die Energiebranche steht vor enormen Herausforderungen, da sie eine Schlüsselrolle für die digitale Wirtschaft spielt. In diesem Kontext wird Cybersicherheit immer wichtiger, da die Notwendigkeit einer sicheren und störungsfreien Stromversorgung noch nie so groß war. Aufgrund ihrer großen Bedeutung üben Versorgungsnetze eine besondere Anziehungskraft auf Cyberkriminelle aus. Durch gezielte Attacken können sie erheblichen Druck erzeugen, um Lösegeld zu erpressen. Auch die Versorgungsanlagen selbst sind untereinander vernetzt und vergrößern die Angriffsfläche auf Information Technology (IT)- und Operation Technology (OT)-Systeme.
Dies hat den Gesetzgeber dazu veranlasst, neue Regularien auf den Weg zu bringen, welche die Sicherheit der Energieversorgung sicherstellen sollen. Mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) und dem Dachgesetz zur Stärkung der physischen Resilienz von Betreibern kritischer Anlagen (KRITIS-Dachgesetz) werden die Anforderungen an Energieversorger weiter verschärft. Doch die Gewährleistung der IT-Sicherheit ist ein äußerst anspruchsvoller Prozess, da sowohl die IT- als auch die OT-Systeme zunehmend komplexer werden.
Hinzu kommt, dass die Kosten für IT-Sicherheitsmaßnahmen nicht immer transparent sind und sehr stark von den unternehmensspezifischen Anforderungen abhängen. Und zu allem Überfluss sorgt der Personalmangel angesichts fehlender Fachkräfte dafür, dass die Einführung umfassender IT-Sicherheitsmaßnahmen schwierig wird. Die Stromwirtschaft muss also vielfältige Herausforderungen meistern, um die eigene Cybersicherheit und damit die Versorgungssicherheit zu gewährleisten. Die Studie „Cyber-Fit: Investitionen in die Cybersicherheit der Stromwirtschaft“ durchgeführt von der Deutschen Energie-Agentur (dena) unter der Mitwirkung von Katerina Simou und Friederike Wenderoth sowie dem Fraunhofer IOSB-AST, vertreten durch Dennis Rösch, M.Sc., André Kummerow, M.Sc., und Thomas Bauer, M.Sc., hat untersucht, wie es um die Bereitschaft zur Umsetzung von IT-Sicherheitsmaßnahmen bei Energieversorgern steht.
Investitionen in Cybersicherheit lohnen sich
Die gute Nachricht lautet: Unter den Geschäftsleitungen in der Energiewirtschaft gibt es eine hohe Awareness für das Thema der IT-Sicherheit. Ihnen ist klar, dass Investitionen in die IT-Security nötig sind, um die Versorgungssicherheit sicherzustellen. Allerdings wurde bei den Befragten auch deutlich, dass viele Geschäftsleiter*innen die Investitionen immer noch in erster Linie als Kostenfaktor betrachten. Eine Beispielsrechnung in der Studie zeigt jedoch, dass sich Investitionen in IT-Sicherheit auszahlen.
Die finanziellen Auswirkungen von IT-Sicherheitsmaßnahmen und die damit verbundenen Investitionseffekte wurden für Unternehmen, die unter die NIS-2-Regelungen fallen, mithilfe des Modells für den Return on Security Investment (RoSI) ermittelt. Sämtliche Kosten – von der Einhaltung eines Mindestniveaus an IT-Sicherheit über Personal- und Bürokratieausgaben bis hin zu den Kosten für regelmäßige Schulungen – wurden herangezogen. Diese Kosten wurden dann mit dem zu erwartenden abgewehrten Gesamtschaden verrechnet. Es zeigte sich: Für wichtige Einrichtungen lohnen sich Security-Investitionen bereits ab dem ersten Jahr und für besonders wichtigen Einrichtungen ab dem zweiten Jahr. Für letztere gelten mit der NIS-2-Richtlinie noch höhere Standards, sodass die Investitionen hier höher sind.
„Die Studie betont die besondere Rolle und Verantwortung der Führungskräfte bei der Umsetzung der Security-Maßnahmen“, sagt Dennis Rösch, Gruppenleiter Elektrische Energiesysteme beim Institutsteil Angewandte Systemtechnik (AST) des Fraunhofer IOSB. „Sie müssen Schwachstellen erkennen, die jeweiligen Maßnahmen anleiten und die Einführung dieser Maßnahmen sicherherstellen. Es reicht bei weitem nicht, allein die Kosten im Blick zu behalten. Zudem müssen Führungskräfte in der Lage sein, Gefahren und Risiken abzuschätzen und die Effektivität der getroffenen Maßnahmen zu bewerten.“
Auch der Gesetzgeber weist den Führungskräften eine besondere Verantwortung zu, die diese nicht einfach auslagern können. Um dieser Verantwortung gerecht zu werden, ist entsprechendes Fachwissen nötig.
Besondere Verantwortung für Führungskräfte
Weiterbildung wird somit zu einem Muss. Neue Vorschriften wie das KRITIS-Dachgesetz verpflichten Führungskräfte dazu, regelmäßig an Schulungen teilzunehmen, um sich in fachlichen Fragen der IT-Sicherheit weiterzubilden. Zwei Bereiche stehen dabei besonders im Fokus: zum einen Schulungen zur Erkennung und Bewertung von Risiken, zum anderen Weiterbildungsmaßnahmen zur Etablierung von Cyber-Resilienz-Strategien. Sie geben den Führungskräften das Werkzeug an die Hand, um die Widerstandsfähigkeit ihrer Organisation gegen Cyberbedrohungen zu stärken.
Insbesondere fachfremde Führungskräfte stehen vor der Herausforderung, erhebliche Wissenslücken zu schließen und sich fundiertes Know-how im Bereich der IT-Sicherheit anzueignen. Doch auch für diejenigen, die bereits über einen technischen Hintergrund verfügen, ist eine kontinuierliche Weiterbildung unerlässlich, um auf dem neuesten Stand zu bleiben. Darüber hinaus ist auch für externes Personal, zum Beispiel Wartungsmitarbeitende von Anlagenherstellern, regelmäßige Qualifizierung entscheidend, um den wachsenden Sicherheitsanforderungen gerecht zu werden.
Die passende Weiterbildung macht den Unterschied
Der Weiterbildungsbedarf ist also enorm. Umso wichtiger ist es, passende Schulungsangebote zu finden. Das große Angebot an Weiterbildungen macht es nicht immer leicht, den Überblick zu behalten.
Führungskräfte und Personalentwickler aus der Energiebranche sollten sich also zunächst nach branchenspezifischen Schulungen umsehen und die eigenen Anforderungen prüfen: Welche Vorschriften müssen eingehalten werden? Wie viele Teilnehmende müssen geschult werden? Welches Vorwissen haben die Schulungsteilnehmenden? Auf dieser Basis kann ein passendes Angebot gesucht werden, entweder als individuelle Weiterbildung oder als Inhouse-Schulung, sofern mehrere Mitarbeitende dieselbe Schulung erhalten sollen.
Mit den Weiterbildungen des Lernlabors Cybersicherheit können sich Führungskräfte das nötige Fachwissen aneignen, um ihrer Verantwortung gerecht zu werden. Das Schulungsangebot reicht von Awareness-Workshops über technisches Intensivtraining bis hin zu weitreichenden Security-Assessments.
Das Lernlabor Cybersicherheit für Energie- und Wasserversorgung baut sein Lernangebot auf drei Säulen auf. Am Beginn steht die Vorlaufforschung, bei der neue Methoden zur Erkennung und Abwehr von Cyberangriffen entwickelt werden. Die Erkenntnisse fließen dann in die Entwicklung von neuen Applikationen und Prototypen ein, die in der Praxis überprüft und validiert werden. Die Ergebnisse finden dann Eingang in unsere Assessments und Schulungen. So profitieren die Teilnehmenden unserer Weiterbildungen aus der Forschung und erhalten Know-how auf dem neuesten Stand der Technik, um Cyberangriffe auf Versorgungsanlagen und IT-Infrastrukturen abzuwehren.
Eine vollständige Übersicht zu den passende Schulungsangeboten für die Energie- und Wasserversorgung finden Sie hier: https://www.cybersicherheit.fraunhofer.de/de/kursangebote/energie–und-wasserversorgung.html
Das Lernlabor Cybersicherheit ist ein Weiterbildungsprogramm, in dem Experten und Expertinnen von Fraunhofer und ausgewählten Fachhochschulen aktuellste Erkenntnisse auf dem Gebiet der Cybersicherheit vermitteln. Fach-und Führungskräfte aus Industrie und öffentlicher Verwaltung können so ihre Kompetenzen zu IT-Sicherheit aktualisieren und spezialisieren. An zahlreichen Standorten in Deutschland erhalten Sie eine kompakte Qualifizierung in hochwertigen Laboren. Die Präsenzphasen der Seminare dauern nur ein bis drei Tage und sind mit Online-Angeboten ergänzt, so dass die Kurse berufsbegleitend belegt werden können.