Die Energiewende erfordert verstärkte Cybersicherheit. Aktuell ist die Gewährleistung von Cybersicherheit für Unternehmen ein kostenintensiver und komplexer Prozess, und oft fehlen die Erfahrungen und das Know-how. Die vom BMWK geförderte „Branchenplattform Cybersicherheit in der Stromwirtschaft“ bringt Akteure der Strom-, Digital- und Cybersicherheitswirtschaft zusammen, um Lösungsansätze gemeinsam zu entwickeln, Erfahrungen zu teilen und das gewonnene Wissen in der Öffentlichkeit zu kommunizieren. Im Rahmen der Branchenplattform hat die dena in Kooperation mit der Gesellschaft für Informatik e.V und den Branchenplattform-Partnern die “Themenroadmap der Branchenplattform Cybersicherheit in der Stromwirtschaft” veröffentlicht. Friederike Wenderoth (Teamleiterin Energieinfrastruktur) und Marius Dechand (Senior Experte Digitale Technologien) erklären die sieben Handlungsfelder, die in der Studie identifiziert wurden und als besonders relevant für die Stromwirtschaft eingestuft werden.
Welche Themen bewegen die Stromwirtschaft?
Eine Wissensbasis zur Klassifizierung von Bedrohungen und Angriffen schaffen
Bereits bestehende Frameworks zur Klassifizierung von Angriffen, wie das MITRE ATT&CK Framework oder das Cyber Kill Chain Framework bieten sehr umfassende Informationen zu Cyberangriffen. Eine stromwirtschaftsspezifische Aufbereitung dieser Informationen kann den Zugang dazu erheblich erleichtern. Dabei können auch bereits bestehende stromwirtschaftsspezifische Informationen aufgenommen werden.
Herausforderungen vernetzter OT-Systeme auch im Hinblick auf die Sektorenkopplung angehen
Während die IT (Information Technology) insbesondere für den Geschäftsbetrieb genutzt wird, beschreibt OT (Operation Technology) Hardware und Software für das elektrische Messen, Steuern und Regeln im Netzbetrieb. Die zunehmende Digitalisierung und die Vernetzung von OT-Systemen können unternehmerische Vorteile und eine größere Flexibilität hervorbringen, aber auch neue Cybersicherheitsanforderungen.
Führungskräfte sensibilisieren
Mit der Umsetzung der NIS2-Richtlinien (EU-Richtlinie zur Stärkung der Cyberresilienz) - soll Cybersicherheit zur Chefsache gemacht werden. Allerdings ist die Wahrnehmung der Befragten, dass dies als Motivation für Führungskräfte oftmals nicht ausreicht, um größere Budgets für Cybersicherheitsmaßnahmen bereitzustellen. Eine wichtige Ursache ist vor allem die Undurchsichtigkeit der Kosten von Cybersicherheit und den verschiedenen Komponenten, verbunden mit Schwierigkeiten bei der Ressourcenabschätzung für umfassende Security. Der Stromsektor als kritische Infrastruktur muss zwar bereits vermehrt Anforderungen erfüllen, aber Cybersicherheit ist mehr als Dienst nach Vorschrift, da täglich neue Technologien entwickelt und Schwachstellen gefunden werden.
Test- und Weiterbildungsmöglichkeiten ausbauen
Regelmäßige Cybersicherheitsübungen, der Ausbau von Testmöglichkeiten für das Zusammenspiel von IT- und OT-Systemen, sowie Testlabore zur Einbindung neuer Software in eine realitätsnahe Testumgebung bieten einen substanziellen Mehrwert zur Stärkung der Resilienz von Unternehmen. Dieses Angebot kann durch eine Konzeptentwicklung stromwirtschaftsspezifischer Weiterbildungen oder Cybersicherheitsübungen, sowie einer Sammlung von Anforderungen an Testlabore spezifiziert und erweitert werden.
Transparenz in der Gesetzgebung erhöhen
Es gibt ein umfassendes Regelwerk von Vorschriften für die Anforderungen an die Cybersicherheit von Betreiber Kritischer Infrastrukturen. Allerdings werden diese von verschiedenen Institutionen mit unterschiedlichen Rollen erarbeitet. Außerdem existiert eine Vielzahl von Organisationen, die Handlungsempfehlungen erarbeiten, Informationen bereitstellen oder einen Erfahrungsaustausch zu Cybersicherheit anregen.
Die Harmonisierung von Zertifizierungen vorantreiben
Die Gesetzgebung gibt Betreibern Kritischer Infrastrukturen vor, welche Sicherheitsanforderungen sie zu erfüllen haben. Diese Anforderungen müssen nicht nur umgesetzt, sondern ihre Erfüllung muss auch nachgewiesen werden. Zertifizierungen ermöglichen es Unternehmen, durch unabhängige Prüfung nachzuweisen, dass sie die Anforderungen erfüllen. Da das Bundesamt für Sicherheit in der Informationstechnik (BSI) offenlässt, wie diese Nachweise konkret aussehen können, gibt es verschiedene Nachweisverfahren, die sich nach etablierten internationalen Standards (ISO/IEC) richten. Die bestehende Komplexität bei Zertifikaten und Nachweisverfahren führt zu einem hohen Aufwand, die passenden Formate herauszusuchen und zu vergleichen.
Gemeinsam aus Cyberattacken lernen
Der Austausch über Cyberattacken bietet ein enormes Potenzial zur Steigerung der Resilienz des Energiesektors. Eine institutionalisierte Plattform für sowohl brancheninterne, vertrauensvolle Austausche, sowie öffentlicher Erfahrungsberichte können einen strukturellen Rahmen für einen kollaborativen Umgang mit Cyberattacken bieten.
Entwicklung der Themenroadmap: Kooperation stärkt Cybersicherheit
In einem sechs-Monaten kooperativen Prozess mit den Akteuren der Branchenplatform wurden die Themen und Handlungsfelder identifiziert. Die Methodik umfasste Recherche, Umfragen und einen abschließenden Workshop mit Stakeholdern im Bereich IT-Sicherheit im Energiesektor. Ziel der Prozess war die unterschiedlichen Perspektiven und Herausforderungen der diversen Akteure zu berücksichtigen.
Im Prozess wurde das Framework der European Union Agency for Cybersecurity (ENISA) genutzt, um die identifizierten Themen zu strukturieren. Dieser Framework bietet einen Rahmen, mit dem EU-Mitgliedsstaaten ihre nationalen Cybersicherheitsstrategien selbst bewerten können. Die Aufgaben und Ziele, die die ENISA für Akteure der Europäischen Union übernimmt bzw. verfolgt, ähneln zu großen Teilen denen, die mit der Branchenplattform Cybersicherheit für die Stromwirtschaft in kleinerem Rahmen erreicht werden soll. Daher wurden die identifizierten Themen in den Hauptclustern Governance, Standards im Bereich der Cybersicherheit, Kapazitätsaufbau und Sensibilisierung, Gesetze und Bestimmungen sowie Zusammenarbeit organisiert.
Ausblick 2024
Im weiteren Verlauf der Branchenplattform wurden die Themen mit dem Partnerkreis gemeinsam priorisiert und ein Arbeitsprogramm abgeleitet. Zu den resultierenden Themenmodulen werden Workshops und Veranstaltungen geplant und auch ausführlichere Studien erstellt.
Aktuell startet in der Branchenplattform außerdem die Studie „CyberFit: Führungskräfte im Stromsektor für Investitionen sensibilisieren“. Dieser Leitfaden wird Führungskräfte ohne technischen Hintergrund mit den erforderlichen Investitionen sowie ihren Verantwortlichkeiten nach den aktuellen Gesetzesänderungen unterstützen.
Veranstaltungstipp
2. Forum Cybersicherheit in der Stromwirtschaft, im Future Energy Lab, Berlin, 4. September 2024.