Die aktuelle geopolitische Lage macht deutlich: Die Absicherung der Prozessleitsysteme für Energieinfrastrukturen ist mehr denn je von strategischer Bedeutung. Für eine robuste Cybersicherheitsstrategie gelten zwei Grundsätze: „Zero Trust“ und „Defense in Depth“.
„Energieinfrastrukturen werden immer häufiger zur Zielscheibe“ – eine Gefährdung der Versorgungssicherheit.
Im Frühjahr sorgte eine Reihe von Meldungen für Aufregung in der Cybersicherheitsbranche. Am 17. April forderte die US-Regierung über die amerikanische Agentur für Cyber- und Infrastruktursicherheit alle Betreiber:innen kritischer Infrastrukturen auf, die Sicherheit ihrer ICS/SCADA-Systeme und -Netzwerke (Industrial Control Systems/Supervisory Control And Data Acquisition) unverzüglich zu erhöhen, da ein neuer Virus spezifisch auf Industriesysteme abziele.
Einige Tage zuvor hatten die ukrainischen Behörden die erfolgreiche Abwehr eines großangelegten Angriffs auf die Stromversorgung des Landes gemeldet. Die Ukraine verdächtigte sofort den russischen Militärgeheimdienst. „Alle Energieversorger sollten sich mit diesem Angriff befassen und sich fragen, ob das nicht auch in den USA oder anderen Ländern möglich wäre“, erklärte Andrii Bezverkhyi, Gründer und Geschäftsführer von SOC Prime, ein auf Threat Detection spezialisiertes Unternehmen.
„Die Absicherung einer Energieinfrastruktur muss an die jeweilige Strategie, Architektur und Netzwerkumgebung auf Kundenseite abgestimmt sein.”
Vor dem Hintergrund des Ukraine-Kriegs sind nicht nur die Ukraine und die USA potentielle Ziele, sondern alle derzeitigen und zukünftigen NATO-Mitglieder sowie sämtliche Länder, die diese Organisation unterstützen“, so Naiara Pabo Busto, International Business Development Manager von Axians, der ICT-Marke von VINCI Energies.
Energieinfrastruktur an vorderster Front
Sie stellt fest, dass „Energieinfrastrukturen immer häufiger angegriffen werden“ und schlussfolgert daraus, dass „dies Energie- und Versorgungssicherheit bedroht, was wiederum andere Risiken mit sich bringt“. Diese wachsende Bedrohung ruft die vitale Bedeutung der Energieinfrastruktur in Erinnerung – ganz gleich, um welches Land es sich handelt.
Übertragungs- und Verteilnetze nutzen nämlich Betriebstechnologien (OT, Operational Technology) und kritische Kommunikationen (SCADA, Distanzschutz usw.), um die Hard- und Software zur Steuerung von Industrieequipments zu managen.
„Die Digitalisierung des Netzes bringt beispiellose vertriebliche und betriebliche Vorteile, insbesondere die Netzautomatisierung sowie die Integration neuer, mehrwertorientierter Anwendungen. Die Norm IEC 61850* sorgt für Interoperabilität durch Digitalisierung und bringt dadurch beträchtliche Vorteile. Aber Digitalisierung und Standardisierung machen die Systeme auch angreifbarer, weil alle Geräte, Ausrüstungen, Computerprogramme und Prozesse mit dem Netzwerk verbunden sind. Das macht sie empfindlicher für Cyberangriffe“, so Pabo Busto.
Maßgeschneiderte Sicherheit
Zur Absicherung einer Energieinfrastruktur muss diese nicht nur entsprechend resilient sein, sondern es braucht eine profunde Kenntnis der verschiedenen Prozesse, Anlagen und Kommunikationsverbindungen, die dafür benötigt werden, von der Erzeugung bis zum Zähler.
„Die Absicherung einer Energieinfrastruktur muss auf die kundenseitige Strategie, Architektur und Netzwerkumgebung abgestimmt sein“, unterstreicht Pabo Busto. Dafür empfiehlt sie ein schrittweises Vorgehen gemäß geltenden Standards wie z.B. der Norm IEC 62443** und dem Cybersicherheits-Framework des amerikanischen National Institute of Standards and Technology (NIST).
„Der erste Schritt“, erläutert die Axians-Expertin, „besteht im Audit der gesamten Umgebung der Energieinfrastruktur, um sich einen Überblick über das komplette Netz zu verschaffen. Das ist eine riesige Herausforderung, weil viele Ausrüstungen in den Unterwerken veraltet sind und es keinerlei Möglichkeit gibt, ihre Sicherheit zu verbessern (etwa durch Verschlüsselung, Passwortschutz usw.).”
Zwei strategische Säulen
Eine solide Cybersicherheitsstrategie für robustere, sicherere Energieinfrastrukturen ruht auf zwei Säulen: „Zero Trust“ und „Defense in Depth“.
„‚Zero Trust‘ bedeutet, dass ausdrücklich nur bekannte und zugelassene IoT- und OT-Geräte sowie der Datenaustausch zwischen deren Nutzer:innen erlaubt sind“, erläutert Pabo Busto. „‚Defense in Depth‘ ist ein Konzept, das ursprünglich aus dem Militär stammt. Es wurde erfolgreich auf die Cybersicherheit umgelegt und nutzt zahlreiche Mechanismen und Schutzbarrieren, um kritische Daten, Hardware und Kommunikationen abzusichern. Die ‚Defense in Depth‘ liefert Redundanz- und Resilienzmechanismen, um eine große Bandbreite an Cyberangriffen abweisen zu können.”
Dazu Laurent Chilaud, Leiter Entwicklung & Engineering bei SDEL Contrôle Commande (VINCI Energies – Omexom): „Dieser umfassende Schutz besteht aus mehreren, aufeinanderfolgenden Schichten, um mögliche Angriffe zu erschweren. Dabei kann eine Vielzahl von Lösungen eingesetzt werden: Firewall-Systeme, IDS/IPS (Intrusion Detection/Protection Probes), Role Based-Access Control, VLAN, Verschlüsselung.“ Allerdings erinnert der Experte daran, dass „vorab unbedingt eine Kosten-Risikenanalyse durchgeführt werden muss, damit das System so effizient wie möglich gestaltet werden kann“.
* Internationaler Kommunikationsstandard für intelligente elektronische Geräte in elektrischen Schaltanlagen.
** Empfohlene Standards für Cybersicherheit in Industrieanlagen.
14/12/2022
