Axpo ist die grösste Schweizer Produzentin von erneuerbarer Energie. Mit über 5 000 Mitarbeitenden entwickelt sie in mehr als 30 Ländern Europas, in Asien und in den USA innovative Energielösungen auf Basis modernster Technologien. Wie schützt sich ein Unternehmen dieser Grösse erfolgreich gegen Cyber-Angriffe? Chief Information Security Officer Daniel Gerber gibt Einblicke in das Modell, das die Axpo verfolgt. Herr Gerber, was sind die Herausforderungen der heutigen Bedrohungslage für einen CISO, den Chief Information Security Officer? Daniel Gerber: Viele Unternehmen sind heute noch der Ansicht, dass sie im Bereich der OT – also der Operational Technology bzw. der Prozessinformatik – nicht von Cyber-Crime betro�en wären. Im Bereich der IT – also der Wirtschaftsinformatik – finden weitaus häufiger erfolgreiche Angri�e statt, dort ist man sich der Gefahr bewusster. Vorfälle wie das Blackout in der Ukraine 2015 helfen uns CISOs aber zunehmend, die Notwendigkeit für entsprechende Schutzmassnahen im Bereich der OT zu argumentieren. Die Angreifer arbeiteten sich über mehrere Monate vom Verwaltungsnetz, also der IT, in die Netzleittechnik vor und verursachten einen Stromausfall. Drei Stromversorger und 225 000 Kunden waren betro�en. Als Chief Information Security O�cer ist man verantwortlich, das Unternehmen auch auf solche Szenarien vorzubereiten. Und wie macht man das? Eine erste Grundregel ist, dass man IT und OT strikt trennt und die Netze klar in Zonen segmentiert, in der Fachliteratur «Defense-in- Depth-Strategie» genannt. Zudem schützen wir mit einer mehrschichtigen Cyber-Security-Strategie die Mittel, die zur Ausführung kritischer Geschäftsprozesse notwendig sind. Diese Cyber-Security-Strategie akzeptiert, dass es keinen vollständigen Schutz gegen Cyber- Bedrohungen geben kann. Stattdessen ist man sich der eigenen Verwundbarkeit bewusst und entwickelt Strategien und Massnahmen: Um die eigene Exposition gegenüber Cyber-Risiken zu identifizieren, sich bestmöglich dagegen zu schützen, Sicherheitsverletzungen zu erkennen, darauf zu reagieren und schnellstmöglich wieder den Normalzustand zu erreichen. Das Business möchte sich vernetzen, um e�zienter arbeiten zu können. Die Kollaboration mit Teams soll einfacher sein. Das macht man dann auch, und das führt unweigerlich zu einer Aufweichung dieser Defense-in-Depth- Strategie. Die klassische Prävention – dass ich eine Mauer um mich baue und mich einschliesse – fällt dadurch teilweise weg. Auch durch die heute oft angestrebte vorausschauende Wartung bei Kraftwerken und Netzen müssen wir uns ö�nen. Ohne zusätzliche Schutzmassnahmen muss man hier mit einer erhöhten Eintrittswahrscheinlichkeit rechnen. Daher kann ich sagen, das eine tun (strikte Trennung von IT und OT) und das andere auch (IT und OT besser vernetzen). Wie gehen Angreifer dabei vor? Angreifer verfolgen heute einen Business Case. Cyber-Kriminalität ist ja ein Millionen- oder sogar Milliarden- Geschäft. Sie greifen meist nicht gezielt eine Wasserversorgung an. Sie schlagen zu, wenn sie eine Firma finden, die von aussen gesehen mögliche Schwachstellen hat. Sobald Angreifer etwas erpressen können und es Geld gibt, machen sie das auch. Das ist exakt das Geschäftsmodell der Mafia, übernommen in Cyber-Crime: Wenn du Schutzgeld zahlst, mache ich nichts. Und falls nicht, mache ich dein Unternehmen kaputt. Die Zeiten der Brechstangen sind vorbei, Angreifer gehen sehr subtil und langsam vor, die Tools dafür →
RkJQdWJsaXNoZXIy NTkxNzY=