Datenschutz, Informations- und IT-Sicherheit: Das sind brennende Themen f\u00fcr s\u00e4mtliche Branchen, besonders jedoch f\u00fcr Betreibende kritischer Infrastrukturen (KRITIS). Deshalb gibt es f\u00fcr diese Unternehmen besondere Auflagen \u2013 das sch\u00fctzt sie einerseits gut, andererseits sind die KRITIS-Unternehmen auf dem Radar Cyberkrimineller und dadurch besonders gef\u00e4hrdet. In unserem heutigen Beitrag gehen wir auf eine aktuelle Warnung der US-Cybersicherheitsbeh\u00f6rde CISA ein, die die IT-Sicherheit bei Energieversorgern betrifft, diskutieren Bedrohungspotenziale f\u00fcr die Energiewirtschaft und werfen einen Blick auf das IT-Sicherheitsgesetz 2.0. Nach dem Lesen dieses Beitrags k\u00f6nnen Sie besser einsch\u00e4tzen, wie stark KRITIS derzeit gef\u00e4hrdet sind.<\/p>\n
Die US-Cybersicherheitsbeh\u00f6rde CISA warnte j\u00fcngst vor b\u00f6swilligen Hackern, die mit hoch entwickelten Werkzeugen versuchen w\u00fcrden, Steuerungsanlagen von Betreibenden kritischer Infrastrukturen (KRITIS) zu \u00fcbernehmen. Es sei m\u00f6glich, dass die Cyberkriminellen volle Kontrolle \u00fcber die Steuerungs- und Kontrollanlagen (ICS\/ SCADA) mehrerer Hersteller erhielten. Systeme der Unternehmen Onron sowie Schneider Electric und Server mit der Open Platform Cummunications Unified Architecture (OPC UA) seien laut der Warnung betroffen. Die Werkzeuge der Hacker w\u00fcrden mehrere Komponenten umfassen, mit denen kritische Ger\u00e4tschaften, aber auch Funktionen lahmgelegt werden k\u00f6nnten.<\/p>\n
Das Cybersecurity-Unternehmen Dragos beteiligte sich an der Analyse der Hacking-Werkzeuge<\/a>. Nachdem diese \u201ePipedream\u201c getauft wurden, konnten sie der Gruppe \u201eChernovite\u201c zugeordnet werden. Bislang, so sei man sich sicher, wurden die Hacking-Tools noch nicht eingesetzt, sodass die Warnung pr\u00e4ventiv erfolge. Dragos-Chef Robert Lee erkl\u00e4rte gegen\u00fcber der Nachrichtenagentur Reuters zudem, dass die angreifbaren Anlagen in verschiedenen Industriebereichen Einsatz f\u00e4nden, besonders jedoch Anlagen der Fl\u00fcssiggas- sowie Stromerzeugungsbranche gef\u00e4hrdet seien. Betreibende kritischer Infrastrukturen, besonders jedoch der Energiesektor, wurden von den US-Beh\u00f6rden aufgefordert, bereits zusammengetragene Ma\u00dfnahmen dringend umzusetzen.<\/p>\n Energieversorger haben es mit zahlreichen m\u00f6glichen Bedrohungen zu tun: Umweltaspekte sowie technische St\u00f6rungen sind zwei von ihnen, die jedoch oft vorhersagbar sind. F\u00fcr gew\u00f6hnlich stehen Notfallpl\u00e4ne bereit, sodass Energieversorger z\u00fcgig zum Normalbetrieb zur\u00fcckkehren k\u00f6nnen. Anders sieht es bei Angriffen auf die IT- sowie Kommunikationsstrukturen aus: Wenngleich Angriffe aus den vergangenen Jahren f\u00fcr Aufsehen sorgten, werden die Bereiche IT-Sicherheit, Informationstechnik, Informationssicherheit und Datenschutz oft nicht ausreichend ber\u00fccksichtigt.<\/p>\n Das liegt einerseits an schwer \u00e4nderbaren Aspekten wie der Tatsache, dass aufgrund langer Laufzeiten Anlagen technisch hinter dem Stand der aktuellen Technik stehen. So machen beispielsweise nicht leistungsstarke Steuerungsrechner DDoS-Angriffe leichter. Es liegt aber auch an vermeidbaren Aspekten wie schwachen Passw\u00f6rtern und mangelnde sicherheitsrelevante Konfigurationen. Unser Beitrag \u201eSchutz kritischer Infrastrukturen: Kl\u00e4rwerk vollst\u00e4ndig gehackt\u201c<\/a> zeigt diese Punkte deutlich auf.<\/p>\n Dabei sieht es heute schon besser aus als noch vor einigen Jahren: Das IT-Sicherheitsgesetz 2.0 vom Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI)<\/a> erh\u00f6hte die Sicherheit informationstechnischer Systeme bei KRITIS-Betreibenden. Wir berichteten \u00fcber das IT-SiG 2.0 bereits in unserem Beitrag \u201eIT-Sicherheitsgesetz 2.0: KRITIS ausreichend sch\u00fctzen\u201c<\/a>. Unser Beitrag \u201eKRITIS & IT-Sicherheit: BSI aktualisiert Hilfestellungen\u201c<\/a> spendiert Ihnen weitere Informationen \u00fcber die Hilfe, die das BSI gibt. F\u00fcr den Energiesektor als Teil der KRITIS-Betreibenden ist der internationale Standard f\u00fcr Informationssicherheit, n\u00e4mlich die ISO\/IEC27001<\/a>, mit erweiterten Anforderungen des IT-Sicherheitskatalogs (vgl. ISO\/IEC27019) relevant.<\/p>\n Die Kombination dieser Normen hilft KRITIS-Unternehmen wie Energieversorgenden dabei, ein geeignetes Informationssicherheits-Management-System (ISMS) zu etablieren. Als ISMS bezeichnet man die Summe aller Verfahren und Regeln in einer Organisation, die dazu beitragen, Informationssicherheit zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu optimieren. ISMS weisen nach, dass die Anforderungen, die an KRITIS-Betreibende gestellt werden, umgesetzt wurden. Damit die Informationssicherheit mithilfe eines ISMS nachhaltig gesteigert werden kann, empfiehlt sich Unterst\u00fctzung durch eine:n Informationssicherheitsbeauftragte:n (ISB)<\/a>.<\/p>\n Die Warnung der US-Beh\u00f6rden erfolgte pr\u00e4ventiv \u2013 einen erh\u00f6hten Grund zur Beunruhigung gibt es nicht. Dennoch sind KRITIS wie Energieversorgende \u2013 wie auch viele andere Bereiche und Branchen \u2013 im Visier von Cyberkriminellen. Es ist also notwendig, sich ein realistisches Bild m\u00f6glicher Gefahren zu machen \u2013 beispielsweise mit dem Lesen von Sicherheitsmeldungen, wie wir es Ihnen im Beitrag \u201eMalware Report: Sicherheitsstudien zu Malware\u201c<\/a> empfohlen haben.<\/p>\n Ein ISMS verhindert zwar keine Angriffe, unterst\u00fctzt Sie jedoch dabei, im Fall der F\u00e4lle z\u00fcgig(er) reagieren zu k\u00f6nnen. Weiter hilft ein ISMS, Risiken schon im Vorfeld zu erkennen, sodass Sie langfristig die IT-Sicherheit in Ihrer Organisation steigern k\u00f6nnen \u2013 nat\u00fcrlich nur, wenn diese Risiken dann auch behandelt werden. Damit sind Informationssicherheit im Zusammenspiel mit einem gut implementierten ISMS Werkzeuge f\u00fcr Energieversorgende und andere KRITIS-Betreibende, um branchenspezifischen Standards gerecht zu werden und f\u00fcr eine bestm\u00f6gliche Sicherheit zu sorgen.<\/p>\n Haben Sie Fragen zur IT-Sicherheit bei Energieversorgern oder zum Implementieren eines ISMS? Nehmen Sie einfach Kontakt<\/a> zu uns auf \u2013 unsere zertifizierten Expert:innen stehen Ihnen mit Rat und Tat zur Seite.<\/p>\nIT-Sicherheit bei Energieversorgern: Bedrohungspotenziale<\/h3>\n
IT-SiG erh\u00f6hte IT-Sicherheit bei Energieversorgern<\/h3>\n
IT-Sicherheit bei Energieversorgern: Besteht akute Gefahr?<\/h2>\n