Zum Hauptinhalt springen
28.02.24 Digitalisierung Digitalisierung & Innovation vorantreiben

Wie Cybersicherheit branchenübergreifend gestärkt wird

Marius Dechand, Senior Experte Digitale Technologien, und Friederike Wenderoth, Teamleiterin Energieinfrastruktur, über Cybersicherheit bei den Stromnetzen.

Marius Dechand, Senior Experte Digitale Technologien und Friederike Wenderoth, Teamleiterin Energieinfrastruktur

Die Energiewende erfordert verstärkte Cybersicherheit. Aktuell ist die Gewährleistung von Cybersicherheit für Unternehmen ein kostenintensiver und komplexer Prozess, und oft fehlen die Erfahrungen und das Know-how. Die vom BMWK geförderte „Branchenplattform Cybersicherheit in der Stromwirtschaft“ bringt Akteure der Strom-, Digital- und Cybersicherheitswirtschaft zusammen, um Lösungsansätze gemeinsam zu entwickeln, Erfahrungen zu teilen und das gewonnene Wissen in der Öffentlichkeit zu kommunizieren. Im Rahmen der Branchenplattform hat die dena in Kooperation mit der Gesellschaft für Informatik e.V und den Branchenplattform-Partnern die “Themenroadmap der Branchenplattform Cybersicherheit in der Stromwirtschaft” veröffentlicht. Friederike Wenderoth (Teamleiterin Energieinfrastruktur) und Marius Dechand (Senior Experte Digitale Technologien) erklären die sieben Handlungsfelder, die in der Studie identifiziert wurden und als besonders relevant für die Stromwirtschaft eingestuft werden.

Welche Themen bewegen die Stromwirtschaft?

Eine Wissensbasis zur Klassifizierung von Bedrohungen und Angriffen schaffen

Bereits bestehende Frameworks zur Klassifizierung von Angriffen, wie das MITRE ATT&CK Framework oder das Cyber Kill Chain Framework bieten sehr umfassende Informationen zu Cyberangriffen. Eine stromwirtschaftsspezifische Aufbereitung dieser Informationen kann den Zugang dazu erheblich erleichtern. Dabei können auch bereits bestehende stromwirtschaftsspezifische Informationen aufgenommen werden.

Herausforderungen vernetzter OT-Systeme auch im Hinblick auf die Sektorenkopplung angehen

Während die IT (Information Technology) insbesondere für den Geschäftsbetrieb genutzt wird, beschreibt OT (Operation Technology) Hardware und Software für das elektrische Messen, Steuern und Regeln im Netzbetrieb. Die zunehmende Digitalisierung und die Vernetzung von OT-Systemen können unternehmerische Vorteile und eine größere Flexibilität hervorbringen, aber auch neue Cybersicherheitsanforderungen.

Führungskräfte sensibilisieren

Mit der Umsetzung der NIS2-Richtlinien (EU-Richtlinie zur Stärkung der Cyberresilienz) -  soll Cybersicherheit zur Chefsache gemacht werden. Allerdings ist die Wahrnehmung der Befragten, dass dies als Motivation für Führungskräfte oftmals nicht ausreicht, um größere Budgets für Cybersicherheitsmaßnahmen bereitzustellen. Eine wichtige Ursache ist vor allem die Undurchsichtigkeit der Kosten von Cybersicherheit und den verschiedenen Komponenten, verbunden mit Schwierigkeiten bei der Ressourcenabschätzung für umfassende Security. Der Stromsektor als kritische Infrastruktur muss zwar bereits vermehrt Anforderungen erfüllen, aber Cybersicherheit ist mehr als Dienst nach Vorschrift, da täglich neue Technologien entwickelt und Schwachstellen gefunden werden.

Test- und Weiterbildungsmöglichkeiten ausbauen

Regelmäßige Cybersicherheitsübungen, der Ausbau von Testmöglichkeiten für das Zusammenspiel von IT- und OT-Systemen, sowie Testlabore zur Einbindung neuer Software in eine realitätsnahe Testumgebung bieten einen substanziellen Mehrwert zur Stärkung der Resilienz von Unternehmen. Dieses Angebot kann durch eine Konzeptentwicklung stromwirtschaftsspezifischer Weiterbildungen oder Cybersicherheitsübungen, sowie einer Sammlung von Anforderungen an Testlabore spezifiziert und erweitert werden.

Transparenz in der Gesetzgebung erhöhen

Es gibt ein umfassendes Regelwerk von Vorschriften für die Anforderungen an die Cybersicherheit von Betreiber Kritischer Infrastrukturen. Allerdings werden diese von verschiedenen Institutionen mit unterschiedlichen Rollen erarbeitet. Außerdem existiert eine Vielzahl von Organisationen, die Handlungsempfehlungen erarbeiten, Informationen bereitstellen oder einen Erfahrungsaustausch zu Cybersicherheit anregen.

Die Harmonisierung von Zertifizierungen vorantreiben

Die Gesetzgebung gibt Betreibern Kritischer Infrastrukturen vor, welche Sicherheitsanforderungen sie zu erfüllen haben. Diese Anforderungen müssen nicht nur umgesetzt, sondern ihre Erfüllung muss auch nachgewiesen werden. Zertifizierungen ermöglichen es Unternehmen, durch unabhängige Prüfung nachzuweisen, dass sie die Anforderungen erfüllen. Da das Bundesamt für Sicherheit in der Informationstechnik (BSI) offenlässt, wie diese Nachweise konkret aussehen können, gibt es verschiedene Nachweisverfahren, die sich nach etablierten internationalen Standards (ISO/IEC) richten. Die bestehende Komplexität bei Zertifikaten und Nachweisverfahren führt zu einem hohen Aufwand, die passenden Formate herauszusuchen und zu vergleichen.

Gemeinsam aus Cyberattacken lernen

Der Austausch über Cyberattacken bietet ein enormes Potenzial zur Steigerung der Resilienz des Energiesektors. Eine institutionalisierte Plattform für sowohl brancheninterne, vertrauensvolle Austausche, sowie öffentlicher Erfahrungsberichte können einen strukturellen Rahmen für einen kollaborativen Umgang mit Cyberattacken bieten.

Publikation

Entwicklung der Themenroadmap: Kooperation stärkt Cybersicherheit

In einem sechs-Monaten kooperativen Prozess mit den Akteuren der Branchenplatform wurden die Themen und Handlungsfelder identifiziert.  Die Methodik umfasste Recherche, Umfragen und einen abschließenden Workshop mit Stakeholdern im Bereich IT-Sicherheit im Energiesektor. Ziel der Prozess war die unterschiedlichen Perspektiven und Herausforderungen der diversen Akteure zu berücksichtigen.

Im Prozess wurde das Framework der European Union Agency for Cybersecurity (ENISA) genutzt, um die identifizierten Themen zu strukturieren. Dieser Framework bietet einen Rahmen, mit dem EU-Mitgliedsstaaten ihre nationalen Cybersicherheitsstrategien selbst bewerten können. Die Aufgaben und Ziele, die die ENISA für Akteure der Europäischen Union übernimmt bzw. verfolgt, ähneln zu großen Teilen denen, die mit der Branchenplattform Cybersicherheit für die Stromwirtschaft in kleinerem Rahmen erreicht werden soll. Daher wurden die identifizierten Themen in den Hauptclustern Governance, Standards im Bereich der Cybersicherheit, Kapazitätsaufbau und Sensibilisierung, Gesetze und Bestimmungen sowie Zusammenarbeit organisiert.

Ausblick 2024

Im weiteren Verlauf der Branchenplattform wurden die Themen mit dem Partnerkreis gemeinsam priorisiert und ein Arbeitsprogramm abgeleitet. Zu den resultierenden Themenmodulen werden Workshops und Veranstaltungen geplant und auch ausführlichere Studien erstellt.

Aktuell startet in der Branchenplattform außerdem die Studie „CyberFit: Führungskräfte im Stromsektor für Investitionen sensibilisieren“. Dieser Leitfaden wird Führungskräfte ohne technischen Hintergrund mit den erforderlichen Investitionen sowie ihren Verantwortlichkeiten nach den aktuellen Gesetzesänderungen unterstützen.