Bewusstsein schaffen
IT-Sicherheit beim Energieversorger
Anlagen der Energiewirtschaft gehören zu den kritischen Infrastrukturen der Landesversorgung – und benötigen damit aus Sicht der IT-Sicherheit besondere Aufmerksamkeit. Sie gegenüber unbefugten Zugriffen zu schützen ist in der schnelllebigen IT-Welt besonders anspruchsvoll. Wir haben uns mit Beat Baumgartner, ehemals Head Network & Security bei der AXPO WZ-Systems AG, unterhalten.
Der Computerwurm Stuxnet zielte im Juni 2010 darauf ab, Steuerungssysteme von Industrieanlagen zu sabotieren. Spätestens seit diesen Angriffen ist wohl den Meisten bewusst, wie unmittelbar Bedrohungen auch in einem solchen Umfeld sein können.
Herr Baumgartner, acht Jahre später, welche Herausforderungen gilt es (immer noch) zu bewältigen?
Damals wie heute geht es zunächst einmal immer darum, sich Klarheit über «sein System» zu verschaffen. Dazu hilft es, die gesamte Infrastruktur in Sicherheitszonen einzuteilen und zu beurteilen, welche Bedeutung die einzelnen Bereiche für den Betrieb haben. Dann kann man alle in der Prozesskette involvierten Teilsysteme einem Security Assessment unterziehen und entsprechend behandeln. Die Kontinuität sichert idealerweise ein Team, das explizit für die IT-Sicherheit zuständig ist. Bei Axpo wurde die Wichtigkeit rund um die Sicherheit der Systeme von kritischen Infrastrukturen bereits früh erkannt und so wurden auch entsprechende Massnahmen eingeleitet.
«Jeder Betreiber einer kritischen Infrastruktur ist aufgefordert, eine Risikoanalyse des gesamten Systems zu machen.»
In Produktionsanlagen, wie einem Kraftwerk, sind vor allem zwei Herausforderungen im Zusammenhang mit der IT-Sicherheit zu lösen: Zum einen gilt es, die Funktion «Sicherheit» an der Schnittstelle von «Betriebstechnik» (OT, Operational Technology) und «Informationstechnik» (IT, Information Technology) zu klären. Die «Security», also der Schutz vor unberechtigten Zugriffen von aussen, hat in der reinen OT eine weit geringere Gewichtung als «Safety», also Betriebssicherheit und Personenschutz, oder die Verfügbarkeit der Anlage. Man muss im Notfall einen Maschinenbefehl manuell «überstimmen» können, auch wenn ein Benutzer das Passwort gerade nicht parat hat. Isoliert aus Sicht der IT-Sicherheit stellt so etwas natürlich ein Problem dar. Solche Zusammenhänge müssen dann über andere Regeln oder über Umsysteme abgefangen werden, mit dem Ziel die Angriffsfläche so gering wie möglich zu halten.
Zum anderen sehen wir, dass die Anforderungen an die Datenvernetzung zunehmen. Früher waren die Teilsysteme autonom, abgekapselt. Da gab es kaum systemübergreifenden Datenaustausch. Heute will jedes Element mit jedem kommunizieren, man benötigt Protokolle für Leitsysteme, will im Büro einen Bericht ausdrucken, möchte Statistiken auswerten und nach aussen geben, bspw. an Behörden. So wächst eben die OT- und die IT-Welt zusammen, und da schwappen die Gefahren über. Das Problem ist dabei oftmals das fehlende Bewusstsein für diesen Unsicherheitsfaktor bei den Anwendern.
«Technik bietet einen gewissen Schutz, das Verhalten des Menschen ist jedoch oftmals das Entscheidende.»
Wie erreichen Sie diese Aufmerksamkeit bei den Nutzern bzw. Bedienern?
Kommunikation und nochmals Kommunikation, interne Kampagnen, Schulungen. Natürlich ist das immer eine Kapazitätsfrage. Wir nutzen einfach jede Gelegenheit, das Bewusstsein für IT-Sicherheit zu steigern. Bei Neuinvestitionen in die Betriebstechnik ist unser Team von Anbeginn involviert. Da können wir Zusammenhänge aufzeigen, und bereits in einer frühen Phase Verständnis schaffen.
Können wir mit der IT-Sicherheit überhaupt schneller sein, als neue Bedrohungen entstehen?
Es ist und bleibt eine grosse Herausforderung für alle, mit den Technologien der Angreifer Schritt zu halten. Aus meiner Sicht ist es deshalb ausserordentlich wichtig, die Zusammenarbeit unter Fachleuten zu fördern, damit ein Know-how-Austausch stattfinden kann. Eine Chance dafür sind die Roundtables der Melde- und Analysestelle Informationssicherung MELANI. Dort informiert man proaktiv und kann nach einem Vorfall die Erfahrungen des Betroffenen nutzen.
Weiter erachte ich es als sinnvoll eine für die IT-Sicherheit zuständige Abteilung bzw. ein «Security Operations Center» unternehmensübergreifend in einem Verbund zu führen.
«Mit zusammengeführter Erfahrung und Kompetenz ist es möglich schneller und effizienter zu reagieren.»
Gibt es rechtliche Rahmenbedingungen?
In Bezug auf die Umsetzung der IT-Sicherheit gibt es keine gesetzlichen Vorgaben. Seitens des Regulators besteht auch keine Verpflichtung, Vorfälle zu melden. Es gibt jedoch Branchenempfehlungen für Energieversorger, bei welchen Axpo WZ–Systems AG federführend bei der Erstellung mitwirkte.
«Der Ruf allein nach Standards ist nicht sehr zielführend. Die Frage ist doch: Kann ein Standard alles abdecken – oder muss man alles abdecken, was der Standard sagt? Gefragt ist, was relevant ist.»
Am Ende liegt oft der Fokus zu sehr auf der Einhaltung des Standards oder sogar der «Zertifizierbarkeit». Nicht selten verliert man dabei den Fokus auf das, was geschützt werden soll.
Und woran orientiert sich die AXPO WZ-Systems?
Es gibt wie erwähnt Branchenempfehlungen – seitens des Verbands Schweizerischer Elektrizitätsunternehmen SEV. Und es gibt eine Reihe von Standards, die Orientierung geben. Die IEC 27000 und die IEC 62433 liefern beispielsweise einen guten Rahmen. Wir schauen ebenso, was das Bundesamt für Sicherheit in der Informationstechnik BSI in Deutschland empfiehlt, oder was andere Best-Practice-Ansätze bieten. Gefragt ist, was relevant ist. Und das heisst eben immer: Wie interpretieren wir solche «Standards» in Bezug auf eine bestimmte Komponente? Solche Zusammenhänge sind in den Standards nicht explizit beschrieben und erfordern deshalb grosse Erfahrung der Security Teams.
Das klingt aber nicht gerade einfach.
Stimmt, das ist natürlich ein Dilemma: IT-Sicherheit verlangt Know-how, die Technologien sind teuer. Für kleine Unternehmen ist das oftmals eine grosse Schwierigkeit. Ich denke, in diese Bresche springen jetzt zumindest die Branchenverbände mit der Beschreibung der «Minimalstandards», die auch den kleineren Betreibern eine Hilfe sein können.
Letztlich ist ein sehr tiefes Verständnis des Gesamtsystems notwendig, um beurteilen zu können, was welchen Einfluss worauf hat. Das hat dann mit der eigentlichen Funktionalität eines einzelnen Geräts fast nichts mehr zu tun. Dabei sind wir auf Informationen seitens der Systemhersteller angewiesen, auf was man aufpassen muss und wo Verwundbarkeiten bereits entdeckt wurden. Auch hier ist Know-how-Transfer sehr wichtig.
Wie gehen Systemlieferanten Ihrer Ansicht nach mit ihrer Verantwortung um?
Die allermeisten nehmen ihren Teil der Verantwortung bereits sehr gut wahr. Eines prägt jedoch unsere Branche besonders: Die lange Nutzungsdauer der Geräte. Wie kann man die Anlagen in der schnelllebigen IT-Welt sichern? Ein IT-System hält keine 15 Jahre, ein OT-System schon. Oft sogar noch länger. In der IT-Welt gibt es längst kein Windows™ XP mehr, in der OT schon. Betriebstechnik zu tauschen ist mitunter sehr kostenintensiv. So gesehen ist die Langlebigkeit der Geräte eine der grössten Problemstellungen im Sicherheitskonzept.
Deshalb werden sich auch die Argumente für ein Investitionsgut ändern müssen: Die Zuverlässigkeit eines Gerätes wird zukünftig nicht mehr von der Lebensdauer eines Kugellagers bestimmt, sondern von der langfristigen Härtungsmöglichkeit seiner IT. Dabei sind wir darauf angewiesen, dass sich die Hersteller dieser Problematik annehmen.
Im Unternehmen muss man Sicherheit schlussendlich über die richtige Segmentierung lösen und besonders kritische Geräte durch eine vorgelagerte Instanz schützen. Damit ist klar, dass ein Hersteller ohne IT-Kompetenz langfristig nicht bestehen kann. Die Sicherheitsthematik muss noch mehr in den Vordergrund rücken. Das Argument der Langlebigkeit eines Systems bleibt nach wie vor wichtig. Aber vor allem muss ein Hersteller dies heute auch auf der Software-Ebene garantieren können. Und nicht nur, dass die Hardware für 15 Jahre ausgelegt ist.
Zusammengefasst?
Werde dir bewusst, dass IT-Sicherheit nicht von alleine geschieht. Analysiere dein System, schau, wo die Lücken sind und schliesse diese von innen nach aussen. Was die Technik betrifft, aber vor allem auch den Menschen. IT-Sicherheit von 0 auf 100 geht nicht, also mache das Schritt für Schritt. Damit wächst dann die Akzeptanz. Letztlich ist das alles auch ein Lernprozess.
Und ja: Das Schlimmste ist sicher, nichts zu tun.
Herzlichen Dank für das Gespräch.
