sind hochgradig automatisiert. Dabei gibt zwei Strategien, mit denen man rechnen muss: ‹Nord-Süd› und ‹OstWest›. Der Nord-Süd-Ansatz ist der klassische Cyberangri�. Der Hacker klopft im Internet an, hangelt sich durch die IT durch bis er in die OT kommt, und stellt z. B. in einem ungenügend geschützten Unterwerk den Strom ab. Ein anderes Szenario stellt der Ost-West-Angri� dar: Dieser ist cyber-physisch. Ein Angreifer geht vor Ort in das Kraftwerk oder das Unterwerk hinein und versucht mit seinem mitgebrachten Equipment von diesem Punkt aus andere Bereiche anzugreifen. Haben Sie ein Erfolgsmodell dagegen? Unser Modell nennt sich «Axpo Adaptive Cyber Security Framework». Dabei lehnen wir uns an die Gartner Adaptive Security Infrastructure an und orientieren uns am NIST-Framework. Diese beiden Ansätze sind fast deckungsgleich. Bei Gartner kommt die Grundlage etwas zu kurz, bei NIST hingegen die Vorhersage. Unser Framework baut auf fünf Bereiche: Grundlage, Vorhersage, Prävention, Detektion und Reaktion. Darüber hinweg läuft ein kontinuierliches Security Monitoring, das Menschen, Prozesse und Technologie betrachtet. Seit dem Geschäftsjahr 2014/2015 verfolgen wir unsere IT-Security- Strategie 1.0, die vor allem auf die Vorhersage und präventive Schutzmassnahmen baut, welche laufend optimiert und ausgebaut werden. Prävention hängt sehr stark mit den Menschen zusammen. Unsere Mitarbeitenden absolvieren deshalb periodisch verpflichtende Trainings. Sie lernen das ABC des Cyber-Crime, die ‹Dos und Don’ts›. Das ist das A und O – ‹People, Process und Technology›, genau in dieser Reihenfolge. Ein Phishing-Angri� richtet sich an eine Person, nicht an eine Maschine. Darum heisst es bei uns auch «People is key». Wir machen auch Veranstaltungen mit Live-Hacking und stellen White-Hat-Hacker an, um das relativ abstrakte Cyber-Thema volkstümlich näher zu bringen. Da entsteht eine ganz andere Wahrnehmung. Dabei ist es auch wichtig, in einer Sprache zu sprechen, die ein nicht technologiea�nes Publikum versteht. Mit dem Geschäftsjahr 2018/2019 haben wir die Cyber Security Strategie 2.0 gestartet. Diese setzt vor allem auf die Sektoren Detektion und Reaktion. Wir verfolgen damit das Ziel, einen Angri� INTERVIEW Segmentierung reduziert die Angriffsflächen. Mit individuellen Sicherheitsrichtlinien und massgeschneiderten Regeln für jeden Bereich lassen sich auch Ost-West-Angriffe besser abwehren, weil die Kommunikation zwischen diesen Bereichen gezielter überwacht werden kann. Enterprise Zone Internet Intranet Transfer-Systeme Info-Systeme Prozess-Steuerung Unterwerk Steuerung Kraftwerk Steuerung Krit. Prozess-Steuerung Info-Systeme Netz-Steuerung IT Netzwerk OT Netzwerk Demilitarisierte Zone Manufacturing Zone Cell/Area Zone Nord-Süd Angriff Ost-West Angriff Level 5 Level 4 Level 3 Level 2 Level 1 Level 0 02| 2020 22 | 23 transfer
RkJQdWJsaXNoZXIy NTkxNzY=