Cybersicherheit

IT-Sicherheitsgesetz 2.0: Wenn auch kleine Stadtwerke KRITIS werden

Mit dem IT-Sicherheitsgesetz 2.0 und der KRITIS-Verordnung 2.0 sehen sich zahlreiche Unternehmen der Tatsache gegenüber, dass ihre Anlagen nun als Kritische Infrastrukturen gelten – und sie damit weiteren Regelungen unterliegen. Bei Versorgungsunternehmen ist besonders die Energieerzeugung betroffen: Galt vorher ein Schwellenwert von 420 Megawatt, sind es nun nur 36 Megawatt. Waren zuvor also selbst große Windparks an Land außen vor, fallen nun geschätzt 140 neue Betreiber in der Stromerzeugung mit ihren Anlagen in den KRITIS-Bereich.

Das bedeutet für diese, dass sie strenge Maßnahmen umsetzen müssen: Zuallererst gilt es, ein Information Security Management System (ISMS) nach ISO 27001 einführen, mehr Informationen dokumentieren, in den meisten Fällen ihre Prozesse anpassen, Ansprechpartnerinnen und Ansprechpartner für das Bundesamt für Sicherheit in der Informationstechnik (BSI) benennen und Meldepflichten erfüllen. Als registrierter KRITIS-Betreiber durchlaufen sie hierfür eine Zertifizierung, die regelmäßig überprüft wird.

Auch für diejenigen, die schon vorher KRITIS-Betreiber waren, verschärft das IT-Sicherheitsgesetz 2.0 die Regelungen. Es kommen neue Meldepflichten hinzu – und ein System zur Angriffserkennung, das kontinuierlich den Netzwerkverkehr analysieren und Bedrohungen mittels Mustern erkennen kann, ist nun explizit vorgeschrieben.

Herausforderungen für Betreiber: Angriffserkennungssystem & fehlendes Know-how

Betreiber sehen sich zwei wesentlichen Herausforderungen gegenüber: Zum einen sind die Anforderungen hoch, an einigen Stellen hingegen fehlt die Konkretisierung. So ist für das Angriffserkennungssystem (IDS) etwa dessen Funktion skizziert. Es gibt aber keine Vorgabe, welche konkreten Systeme diesen Regelungen entsprechen, also wie leistungsstark sie sein müssen.

Ähnlich gelagert ist die Anforderung, nur validierte kritische Komponenten in KRITIS-Anlagen einzusetzen. Aktuell finden Erzeuger in der Energie- und Wasserversorgung weder spezifische Regelungen noch Whitelists, welche Technologien verbaut werden dürfen.

Die zweite Herausforderung: Vielen Mitarbeiterinnen und Mitarbeitern fehlt das Hintergrundwissen, um mit den neuen Anforderungen umgehen zu können – und auch zu erkennen, welche einfachen Schritte für mehr Sicherheit sie gehen können. Denn die Terminologie und Themenwelt der IT ist den Anlagen- und OT-Profis schlicht nicht vertraut. In der Vergangenheit gehörte sie oftmals weder zu ihrer Ausbildung noch zu ihrem Arbeitsfeld.

Anforderungen in die Praxis übersetzen

Um Unternehmen sowie ihre Mitarbeiterinnen und Mitarbeiter hier zu unterstützen, bietet das Lernlabor Cybersicherheit deshalb das Seminar „IT-Sicherheit für die Energie- und Wasserversorgung“ an. Das Seminar vermittelt den Teilnehmenden, was die Sicherheitsverordnungen und gesetzlichen Vorgaben für sie konkret bedeuten – mit einem vorgeschalteten E-Learning zur eigenen Erschließung der Thematik, die im Seminar dann kompakt heruntergebrochen wird: Was bedeuten diese Regelungen für mich? Welche Maßnahmen sollte ich nun umsetzen?

Zwei Drittel des Seminars widmen sich dem Praxisteil: Auf einer Schulungsplattform führen die Teilnehmenden selbst Angriffe durch. So erleben sie, wie leicht kleine Skripte technische Protokolle attackieren können und so Systeme ausschalten, blockieren und schlimmstenfalls beschädigen.

Daran anschließend folgt das praktische Durchspielen von Verteidigungsmaßnahmen, damit die Teilnehmenden konkret erleben, wie sie durch Monitoring Angriffe erkennen, potentielle Schwachstellen identifizieren und die Risiken für einen Angriff abschätzen können. Daraus lässt sich ableiten, welche Verteidigungsmaßnahmen zu ergreifen und wo Lücken zu schließen sind.

Auf diese Weise erleben die Teilnehmenden direkt, wie real die Bedrohungsszenarien sind und was erhöhte Sicherheit für ihren Arbeitsalltag bedeutet. Denn auch bei Versorgern, die in ihrem Netzbereich schon vorher KRITIS-Regelungen unterlagen, findet sich oft bei den Verantwortlichen der Erzeugungsanlagen wenig Bewusstsein dafür, wie gefährdet sie sind. Doch je vernetzter Anlagen funktionieren, umso mehr bedrohen Risiken aus der IT-Welt auch den OT-Bereich.

Bewusstsein hilft, Sicherheit zu schaffen

Die Energiebranche mit ihren Erzeugungsanlagen und Versorgungsnetzen ist aufgrund ihrer hohen Bedeutung für die Wirtschaft ein beliebtes Angriffsziel für Cyberkriminelle. Und wo früher Opfer gezielt herausgepickt wurden, ist heute der Rollout in die Fläche gang und gäbe. Es ist also nur eine Frage der Zeit, bis eine Anlage attackiert wird. Umso wichtiger ist die Vorbereitung darauf – im gesamten Unternehmen. Denn wenn alle Mitarbeiterinnen und Mitarbeiter mögliche Bedrohungen, aber auch Gegenmaßnahmen verstehen, wenn IT-, Security- und OT-Experten miteinander in einer Sprache sprechen, dann können sie viel schneller Probleme erkennen und beseitigen.

Autor: Marcel Kühne, M.Sc., Wissenschaftlicher Mitarbeiter in der Abteilung Kognitive Energiesysteme (KES), Gruppe IT-Sicherheit für Energie- und Wasserversorgung am

Fraunhofer IOSB, Institutsteil Angewandte Systemtechnik (AST)

Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht.