Nein zur digitalen Mafia

Axpo ist die grösste Schweizer Produzentin von erneuerbarer Energie. Mit über 5'000 Mitarbeitenden entwickelt sie in mehr als 30 Ländern Europas, in Asien und in den USA innovative Energielösungen auf Basis modernster Technologien. Wie schützt sich ein Unternehmen dieser Grösse erfolgreich gegen Cyber-Angriffe? Chief Information Security Officer Daniel Gerber gibt Einblicke in das Modell, das die Axpo verfolgt.

Daniel Gerber: Viele Unternehmen sind heute noch der Ansicht, dass sie im Bereich der OT – also der Operational Technology bzw. der Prozessinformatik – nicht von Cyber-Crime betroffen wären. Im Bereich der IT – also der Wirtschaftsinformatik – finden weitaus häufiger erfolgreiche Angriffe statt, dort ist man sich der Gefahr bewusster. Vorfälle wie das Blackout in der Ukraine 2015 helfen uns CISOs aber zunehmend, die Notwendigkeit für entsprechende Schutzmassnahen im Bereich der OT zu argumentieren. Die Angreifer arbeiteten sich über mehrere Monate vom Verwaltungsnetz, also der IT, in die Netzleittechnik vor und verursachten einen Stromausfall. Drei Stromversorger und 225'000 Kunden waren betroffen. Als Chief Information Security Officer ist man verantwortlich, das Unternehmen auch auf solche Szenarion vorzubereiten.

«Angegriffen wird, was schlecht geschützt ist. Was das ist, ist Angreifern egal.»

Daniel Gerber, Chief Information Security Officer (CISO), Axpo

Eine erste Grundregel ist, dass man IT und OT strikt trennt und die Netze klar in Zonen segmentiert, in der Fachliteratur «Defense-in-Depth-Strategie» genannt. Zudem schützen wir mit einer mehrschichtigen Cyber-Security-Strategie die Mittel, die zur Ausführung kritischer Geschäftsprozesse notwendig sind. Diese Cyber-Security-Strategie akzeptiert, dass es keinen vollständigen Schutz gegen Cyber-Bedrohungen geben kann. Stattdessen ist man sich der eigenen Verwundbarkeit bewusst und entwickelt Strategien und Massnahmen: Um die eigene Exposition gegenüber Cyber-Risiken zu identifizieren, sich bestmöglich dagegen zu schützen, Sicherheitsverletzungen zu erkennen, darauf zu reagieren und schnellstmöglich wieder den Normalzustand zu erreichen.

Das Business möchte sich vernetzen, um effizienter arbeiten zu können. Die Kollaboration mit Teams soll einfacher sein. Das macht man dann auch, und das führt unweigerlich zu einer Aufweichung dieser Defense-in-Depth-Strategie. Die klassische Prävention – dass ich eine Mauer um mich baue und mich einschliesse – fällt dadurch teilweise weg. Auch durch die heute oft angestrebte vorausschauende Wartung bei Kraftwerken und Netzen müssen wir uns öffnen. Ohne zusätzliche Schutz­massnahmen muss man hier mit einer erhöhten Eintritts­wahr­scheinlich­keit rechnen. Daher kann ich sagen, das eine tun (strikte Trennung von IT und OT) und das andere auch (IT und OT besser vernetzen).

Angreifer verfolgen heute einen Business Case. Cyber-Kriminalität ist ja ein Millionen- oder sogar Milliarden-Geschäft. Sie greifen meist nicht gezielt eine Wasserversorgung an. Sie schlagen zu, wenn sie eine Firma finden, die von aussen gesehen mögliche Schwachstellen hat. Sobald Angreifer etwas erpressen können und es Geld gibt, machen sie das auch. Das ist exakt das Geschäftsmodell der Mafia, übernommen in Cyber-Crime: Wenn du Schutzgeld zahlst, mache ich nichts. Und falls nicht, mache ich dein Unternehmen kaputt.

Die Zeiten der Brechstangen sind vorbei, Angreifer gehen sehr subtil und langsam vor, die Tools dafür sind hochgradig automatisiert. Dabei gibt zwei Strategien, mit denen man rechnen muss: ‹Nord-Süd› und ‹Ost-West›. Der Nord-Süd-Ansatz ist der klassische Cyberangriff. Der Hacker klopft im Internet an, hangelt sich durch die IT durch bis er in die OT kommt, und stellt z. B. in einem ungenügend geschützten Unterwerk den Strom ab. Ein anderes Szenario stellt der Ost-West-Angriff dar: Dieser ist cyber-physisch. Ein Angreifer geht vor Ort in das Kraftwerk oder das Unterwerk hinein und versucht mit seinem mitgebrachten Equipment von diesem Punkt aus andere Bereiche anzugreifen.

Unser Modell nennt sich «Axpo Adaptive Cyber Security Framework». Dabei lehnen wir uns an die Gartner Adaptive Security Infrastructure an und orientieren uns am NIST-Framework. Diese beiden Ansätze sind fast deckungsgleich. Bei Gartner kommt die Grundlage etwas zu kurz, bei NIST hingegen die Vorhersage. Unser Framework baut auf fünf Bereiche: Grundlage, Vorhersage, Prävention, Detektion und Reaktion. Darüber hinweg läuft ein kontinuierliches Security Monitoring, das Menschen, Prozesse und Technologie betrachtet.

Seit dem Geschäftsjahr 2014/2015 verfolgen wir unsere IT-Security-Strategie 1.0, die vor allem auf die Vorhersage und präventive Schutzmassnahmen baut, welche laufend optimiert und ausgebaut werden.

Prävention hängt sehr stark mit den Menschen zusammen. Unsere Mitarbeitenden absolvieren deshalb periodisch verpflichtende Trainings. Sie lernen das ABC des Cyber-Crime, die ‹Dos und Don’ts›. Das ist das A und O – ‹People, Process und Technology›, genau in dieser Reihenfolge. Ein Phishing-Angriff richtet sich an eine Person, nicht an eine Maschine. Darum heisst es bei uns auch «People is key». Wir machen auch Veranstaltungen mit Live-Hacking und stellen White-Hat-Hacker an, um das relativ abstrakte Cyber-Thema volkstümlich näher zu bringen. Da entsteht eine ganz andere Wahrnehmung. Dabei ist es auch wichtig, in einer Sprache zu sprechen, die ein nicht technologieaffines Publikum versteht.

Mit dem Geschäftsjahr 2018/2019 haben wir die Cyber Security Strategie 2.0 gestartet. Diese setzt vor allem auf die Sektoren Detektion und Reaktion. Wir verfolgen damit das Ziel, einen Angriff entlang der ‹Cyber Kill Chain› frühzeitig zu erkennen und ihn bereits im Keim zu ersticken. Wir haben sowohl bei der Wirtschafts- als auch bei der Prozessinformatik jeden Layer in sich zoniert und in jeder Zone ‹Alarmanlagen› installiert. In solch segmentierten Netzwerken müssen sich Angreifer von Zone zu Zone vorarbeiten. Wenn man weiss, wo der Alarm war, dann kann man gezielter darauf reagieren.

Zur Detektion sammeln wir zusätzlich noch Log-Files von verschiedenen Quellen wie Firewalls, E-Mails, Server, legen sie zentral ab, und versuchen mit Auswertungen Muster zu erkennen. Das ist im Grunde ähnlich wie das heute z. B. Kreditkarten-Unternehmen tun, um verdächtige Transaktionen zu erkennen und zu stoppen.

Eine reine Prävention durch eine Firewall und einen Virenscanner ist auch für kleine Unternehmen heute nicht mehr ausreichend. Das hat auch der Bund mit dem IKT-Minimalstandard klar gemacht, der sowohl an grosse als auch kleine Unternehmen in der Schweiz gerichtet ist. Auch darin werden Detektionsmassnahmen empfohlen.

Die erste und dringendste Empfehlung ist meines Erachtens jedoch, Sicherheitspatches zu installieren, und zwar auf den im Internet exponierten Systemen zuerst. Über 90 % der Angriffe finden über Softwarelücken statt, weil Systeme nicht rechtzeitig gepatcht wurden. An der frühzeitigen Installation solcher Patches führt einfach kein Weg vorbei. Bei Systemen, welche nicht gepatcht werden dürfen oder können, empfehle ich, diese durch eine geschickte Netzwerk-Zonierung aus dem Cyber-Schussfeld zu nehmen. Kleinen Unternehmen rate ich, z.B. den Heise Security Feed (www.heise.de/security/alerts) zu abonnieren. Und durch Dritte regelmässig die Sicherheit prüfen zu lassen, um die ‹eigene Blindheit› auszuschliessen. Besser solche Prozesse optimieren, als gleich grosse Alarmanlagen anzuschaffen. Wenn das Zusammenspiel aus Menschen und Prozessen nicht funktioniert, nützt auch die beste Alarmanlage nichts.

Die Cyber Security Strategie 2.0 hebt uns auf ein neues Maturitätslevel im Bereich der Cyber-Sicherheit. Wir wurden in einem Benchmark vom Unternehmen Ernst & Young zwar bereits über dem Branchen-Mittel europäischer Energieunternehmen beurteilt. Unser Ziel ist jedoch klar: eine Best-Practice-Maturität, um in diesem Bereich zu den Top-5 der Schweizer Gross­energie­unternehmen zu gehören. Wir wollen nicht im Median schwimmen. Wir wollen top sein. Punkt.

Herzlichen Dank für das Gespräch.