Suchen

Security-Weiterbildungen Energie- und Wasserversorgung: Mehr IT-Sicherheit braucht mehr Know-how

| Autor / Redakteur: Steffen Nicolai & Raphaela Schätz* / Sebastian Human

Auf dem Weg zu zunehmend vernetzten Fabriken und Anlagen gerät auch die kritische Infrastruktur vermehrt ins Visier von Cyber-Angreifern. Weiterbildung für die IT-Sicherheit, beispielsweise in der Energie- und Wasserversorgung, kann hier ansetzen, bevor es zu spät ist.

Firmen zum Thema

Kritische Infrastrukturen wie die Wasser- und Energieversorgung sind potenzielle Ziele für verheerende Cyberangriffe – auch weil das Security-Know-how der Mitarbeiter oft nicht ausreicht.
Kritische Infrastrukturen wie die Wasser- und Energieversorgung sind potenzielle Ziele für verheerende Cyberangriffe – auch weil das Security-Know-how der Mitarbeiter oft nicht ausreicht.
(Bild: gemeinfrei / Pexels )

Bei allen Vorteilen, die die Digitalisierung bringt: Durch die Vernetzung der Infrastrukturen entstehen auch Risiken, weil Geräte, Maschinen, Systeme und Prozesse potenziell angreifbar werden, bei denen eine Attacke vorher schlicht von außen nicht möglich war.
Um von den Vorteilen sicher zu profitieren, ist es daher für alle Branchenfelder wichtig, sich mit IT-Sicherheit zu beschäftigen. Das gilt nicht nur für Unternehmen, deren Netzwerke attackiert werden – es gilt auch für diejenigen, die mit einer anderen Art von Netzwerk arbeiten und Teil der kritischen Infrastruktur sind: die Energie- und Wasserversorger.

Obwohl es in Deutschland noch keine Attacke in der Größenordnung gegeben hat, wie sie die ukrainische Stromversorgung 2015 erlebte, sind Energie- und Wasserversorger sehr wohl im Visier: Bereits 2018 registrierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) 157 Meldungen von Versorgern kritischer Infrastrukturen.

Energie- und Wasserversorger müssen daher ihrer IT-Sicherheit und ihren Informationssicherheitsmanagementsystemen (ISMS) weit mehr Beachtung schenken als bisher. Dabei geht es nicht nur um die technische Absicherung ihrer Systeme. Eine entscheidende Rolle spielen die Mitarbeiter – von den IT-Spezialisten über Fachkräften bis hin zu allen anderen Mitarbeitern. Um sie zu sensibilisieren und mit dem für sie nötigen Know-how auszustatten, empfehlen sich Fort- und Weiterbildungen.

Sicherheit durch Know-how in der Breite

Das notwendige Wissen unterscheidet sich dabei zwar, die Grundzüge sind dennoch für alle Gruppen relevant. Sie sollten allen Mitarbeitern gleichermaßen vermittelt werden. Darüber hinaus empfehlen sich Weiterbildungen, die den jeweiligen Fachkräften vertieft die Kenntnisse vermitteln, die sie in ihren sich verändernden Tätigkeitsprofilen brauchen.
Die Gefahrenlage, aber auch rechtliche Anforderungen, erhöhen den Bedarf der Unternehmen an Experten – die der Markt aber nicht hergibt. Deshalb ist eine Weiterbildung der eigenen Mitarbeiterinnen und Mitarbeiter entscheidend.
Entsprechend sind gute Angebote darauf ausgelegt, dass sich die Lernpfad-Bestandteile modular zusammensetzen lassen. So können Teilnehmerinnen und Teilnehmer die zu ihrem Vorwissen und ihren Aufgaben passenden Seminare wählen – oder Unternehmen auch ganz konkret Fortbildungen auf ihre individuelle Situation zuschneiden lassen.

Das ist aufgrund der Modernisierung und Transformation in diesem Branchenfeld auch notwendig, denn die IT-Sicherheit bei Energie- und Wasserversorgern verändert sich durch die Digitalisierung signifikant: Da ihre Kommunikationsinfrastruktur nun IP-basiert stattfindet – etwa die zwischen Leitstelle und Umspannwerk – müssen auch die Techniker vor Ort wissen, wie sie eine Firewall für ihre Systeme sicher einrichten und konfigurieren können. In der Prozess-IT funktioniert das aufgrund eigener Kommunikationsprotokolle anders als bei der normalen Netzwerksicherheit. Auch Switches müssen anders geschützt werden, weil Angriffe hier nicht nur die Kommunikation, sondern auch die Prozessdaten oder Schaltbefehle betreffen können. Das heißt auch: Unbefugte Schaltbefehle, die Systemabschaltungen auslösen würden, sollten Mitarbeiter im Notfall mit ihrem Wissen stoppen können.

Auch für die Energie- und Wasserversorger gibt es entsprechende Schulungen. Hier erfahren die Teilnehmerinnen und Teilnehmer, welche Angriffsszenarien möglich sind. Anhand vergangener Attacken wird ihnen vermittelt, wie sie ablaufen, woran sie zu erkennen sind – und wie sie sich wappnen können. Denn typische strukturelle Schwachstellen lassen sich schließen. Zudem erfahren sie, welche aktuellen Standards und gesetzlichen Vorgaben Unternehmen einzuhalten haben – und welche Maßnahmen im Notfall zu ergreifen sind.

Andere Elemente der Sicherheit gelten genau wie in sonstigen Wirtschaftsbereichen: Datenschutzthemen etwa, die natürlich auch hier auftreten. Energiedatenmanager arbeiten schließlich in ihrem Alltag mit Kundendaten. Dabei unterliegen sie den Regeln der Datenschutzgrundverordnung zum Umgang mit personenbezogenen Daten.

Praxiserfahrung ist in jedem Falle das A und O. Schulungen der Fraunhofer Academy verpflichten sich beispielsweise der Philosophie, Wissen direkt aus der Forschung so praxisnah wie möglich zu vermitteln. Für die IT-Sicherheit kommt dabei eine mobile Schulungsplattform zum Einsatz, die auch in den jeweiligen Abteilungen für Inhouse-Schulungen eingesetzt wird. Diese Plattform ermöglicht es den Teilnehmern, ihr Wissen für simulierte Angriffszenarien einzusetzen und Abwehrmechanismen zu erproben. Gerade bei komplexen Themen ist die direkte Verbindung mit praktischen Bezügen und dem eigenen Tun nötig, um effektiv Know-how aufzubauen.

Die Mitarbeiter als potenzielle Schwachstelle

Auch Awareness-Maßnahmen zur IT-Sicherheit sollten behandelt werden. Denn wie generell gilt auch in kritischen Infrastrukturen wie der Energie- und Wasserversorgungsbranche: Die Mitarbeiter werden von Angreifern häufig als potenzieller Schwachpunkt gesehen und mit Social-Engineering-Attacken ins Visier genommen. Phishing und Ransomware kommen hier häufig zum Einsatz – und machen es erforderlich, dass die gesamte Belegschaft in der Lage ist, bei Nachrichten zu erkennen, ob es sich um entsprechende Angriffe handelt.

Eine typische Attacke ist in diesem Branchenfeld beispielsweise eine angebliche E-Mail eines Vorgesetzten, die den Empfänger zum Download von Malware verleiten soll. So kann eine klassische Malware-Kampagne auch bei Versorgungsunternehmen Kriminelle zum Erfolg führen. Spezialisierte Trojaner und Viren als Payload können dann vom normalen IT-System des Unternehmens durch die umfassende Vernetzung den kompletten Versorger angreifen.

Eigene Systeme sichern

Für die IT-Sicherheitsbeauftragten, aber auch Fernwirktechniker und alle anderen technischen Mitarbeiter sind darüber hinaus tiefere Kenntnisse erforderlich, um ihre Automatisierungssysteme abzusichern – genau wie das Netzwerk, in das diese integriert sind. Um ein IT-Sicherheitskonzept dort zu implementieren, benötigen Mitarbeiter das Wissen darüber, wie die Kommunikation in ihrem Netzwerk und ihren Systemen funktioniert – und wie Angriffe ablaufen.

Darüber hinaus sollten sich Führungskräfte ebenfalls aktuelles Wissen aneignen. Denn sie müssen Risiken erkennen und bewerten können. Wenn ein Energieunternehmen etwa plant, Smart Metering einzuführen, sollten die Führungskräfte schon früh berücksichtigen, welche Ressourcen und Kompetenzen in diesem Zusammenhang für die IT-Sicherheit benötigt werden – oder welche Sicherheitskonzepte entwickelt und implementiert werden sollten.

Die kritische Infrastruktur in Deutschland ist grundsätzlich gut geschützt. Damit das so bleibt – und Energie- und Wasserversorger sich die Chancen der Digitalisierung sicher erschließen können – sollten sie das richtige Know-how aufbauen.

* Steffen Nicolai arbeitet als Gruppenleiter und stellv. Abteilungsleiter „Energiesysteme“ beim Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung (IOSB) und ist Projektleiter des Lernlabors Cybersicherheit in der Energie- und Wasserversorgung.

* Raphaela Schätz arbeitet als Qualitäts- und Programmmanagerin bei der Fraunhofer Academy für das Lernlabor Cybersicherheit.

(ID:46547714)