Die komplexe Infrastruktur eines EVU umfasst mitunter hunderte verteilte Anlagen, die angegriffen werden können. Umso wichtiger ist es, durchgängig Sichtbarkeit herzustellen
Auf den ersten Blick ändert das aktualisierte IT-Sicherheitsgesetz (IT-SIG 2.0) für Energieversorgungsunternehmen (EVU) nicht viel. Die IT-Systeme auf Unternehmensebene werden vielerorts schon seit Jahren per Firewalls und Security-Informationen-and-Event-Management-Systemen (SIEM) überwacht und weitgehend geschützt. Viele Unternehmen sind nach der internationalen Norm ISO 27000 zertifiziert oder auf dem Weg dorthin.
Netzleittechnik rückt in den Fokus
Die Stolpersteine finden sich in den weiteren Ausführungen zum IT-SIG 2.0 sowie in den Ergänzungen zum Gesetz über die Elektrizitäts- und Gasversorgung (EnWG). In den Erläuterungen zum angepassten § 8a des IT-SIG 2.0 findet sich die Forderung, das System zur Angriffserkennung solle die Kommunikationstechnik »möglichst umfassend schützen«.
Konkreter wird es im neuen Abschnitt 1d zum § 11 des EnWG. Dort werden Betreiber kritischer Infrastrukturen verpflichtet: »[...] in ihren informationstechnischen Systemen, Komponenten oder Prozessen, die für die Funktionsfähigkeit der von ihnen betriebenen Energieversorgungsnetze oder Energieanlagen maßgeblich sind, in angemessener Weise Systeme zur Angriffserkennung einzusetzen. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorsehen. Dabei soll der Stand der Technik eingehalten werden.«
Die Funktionsfähigkeit der Energieversorgungsnetze wird vor allem über die Leitwarte und die nachgelagerten Netzwerke in den einzelnen Standorten, Umspannwerken und Ortsnetzen sichergestellt (Bild 1). Damit muss ein System zur Angriffserkennung explizit die Netzleittechnik und Fernwirktechnik (nachfolgend OT für Operational Technology) berücksichtigen. Mehr noch: Das System muss kontinuierlich und automatisch Bedrohungen in den industriellen Netzwerken erkennen und melden sowie die Abwehr ermöglichen.
OT ist das Herz des Betriebs
Bislang herrscht Dunkelheit in den meisten OT-Netzen. Maximal bewahrt eine Firewall die industriellen Prozesse vor den einfachsten und in der Regel bekannten Angriffsszenarien. Die vergangenen Jahre haben gezeigt, dass Angreifer mehr Know-how und Ressourcen mitbringen, als jede IT-Abteilung. Für den Blackout in Kiew im Jahr 2016 bauten die Angreifer über elf Monate unbehelligt ihre Präsenz innerhalb des Netzwerks des EVU Ukrenergo auf. Beim Solarwinds-Vorfall im Jahr 2020 nutzten die Angreifer die Lieferkette, um zu den eigentlichen Zielen (unter anderem Microsoft, Regierungsbehörden) zu gelangen. Nutzer der Ransomware Darkside, die im April 2021 einen Teil der Infrastruktur des US-amerikanischen Pipeline-Betreibers Colonial lahmlegte, erlangten den initialen Zugriff auf ein Netzwerk unter anderem über eine (mittlerweile gepatchte) Zero-Day-Schwachstelle und über Perimeter-Infrastrukturen. Nicht nur fällt es EVU aufgrund der Systemstabilität schwer, Schwachstellen schnell zu schließen. Sie betreiben mit Umspannwerken, Erneuerbare-Energien-Anlagen und lokalen Ortsnetzen auch eine Vielzahl an ferngesteuerten Perimeter-Infrastrukturen.
Die genannten Vorfälle verdeutlichen zwei Sachverhalte:
- Erfolgreiche Angriffe mit bislang unbekannten Angriffsmustern und Schadsoftware nehmen zu.
- Die OT muss integraler Bestandteil der Cybersicherheitsstrategie werden.