Suchen

Stuxnet und Co. Malware-Schutz im Energiesektor

| Autor / Redakteur: Klaus G. Meckel / Stephan Augsten

Die Energiebranche wähnte sich lange Zeit vor Cyber-Attacken in Sicherheit, doch mit der Vernetzung steigt auch die Gefahr. Prominente Beispiele für Malware-Angriffe sind Stuxnet, Duqu oder Flame. Doch wie kann sich die Energiebranche davor schützen?

Firmen zum Thema

Betriebe aus dem Energiesektor müssen sich zunehmend gegen Angriffe von außen wappnen.
Betriebe aus dem Energiesektor müssen sich zunehmend gegen Angriffe von außen wappnen.
(Bild: Archiv )

Wie real die Bedrohung für die Energiebranche ist, deckt eine Studie des Ponemon-Institutes und Unisys auf. Sie zeigt, dass fast 70 Prozent der befragten internationalen Energie- und Wasserversorger sowie andere Dienstleister für kritische Infrastrukturen in den vergangenen zwölf Monaten mindestens einen sicherheitsrelevanten Vorfall zu vermelden hatten.

Bekannte Industrieangriffe durch Stuxnet und Co. sensibilisierten die Energiebranche ein Stück weit, dennoch sind heute längst nicht alle Anlagen ausreichend geschützt. Das liegt unter anderem daran, dass zwischen herkömmlicher Office-IT und industrieller IT wesentliche Unterschiede bestehen.

Für eine effektive Abwehr von Cyberattacken sind zunächst einmal die spezifischen Eigenheiten der Branche zu beachten: die oft dezentrale Organisation, das daraus entstehende Informationsmanagement sowie die Trennung in Prozesssteuerungs- und IT-Netzwerke.

Nicht über einen Kamm scheren

Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zufolge sind dies die Top-Risiken für industrielle Kontrollsysteme (Industrial Control Systems, ICS):

  • Infektionen mit Schadsoftware über Internet und Intranet,
  • Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware,
  • Social Engineering, menschliches Fehlverhalten und Sabotage,
  • Einbruch über Fernwartungszugänge,
  • mit dem Internet vernetzte Steuerungskomponenten,
  • technisches Fehlverhalten und höhere Gewalt,
  • Kompromittierung von Smartphones im Produktionsumfeld,
  • Kompromittierung von Extranet- und Cloud-Komponenten sowie
  • (D)DoS-Angriffe.

Klingt zunächst nach „ganz normalen“ Bedrohungen. Aber in vier wesentlichen Kategorien unterscheiden sich Office- und Industrie-Infrastrukturen:

1. Virenschutz: Während im Büro etablierte Sicherheitsmechanismen existieren, gilt dies nicht für die industrielle IT. Die Installation von fremder Software ist oftmals nicht erlaubt, außerdem können Online-Updates Probleme bereiten.

2. Verfügbarkeit: In der Office-IT sind kontrollierte Unterbrechungen keine Seltenheit. In der Industrie kosten Verzögerungen und Unterbrechungen hingegen bares Geld. Korrektureinspielungen erfolgen eher selten und werden in längeren Wartungszyklen zusammen mit dem Hersteller ausgeführt.

3. Hardware Lifecycle: Der Lebenszyklus von Hardware-Komponenten liegt in der klassischen IT meist bei wenigen Jahren, in der Industrie-IT kann eine Komponente durchaus 20 bis 25 Jahre im Einsatz sein.

4. Risikobeurteilung: Im Büro liegt der Fokus auf der Vertraulichkeit, Verfügbarkeit und Integrität von Daten, die Industrie muss sich zwangsläufig eher am Schutz von Mensch und Umwelt ausrichten.

Ergänzendes zum Thema
Internationale Sicherheitsmaßnahmen für Energienetzwerke

Anfangs haben die USA Empfehlungen und Initiativen ausgesprochen, angetrieben von den Terroranschlägen des 11. September 2001. Sie weiteten die Richtlinien der NERC CIP (Critical Infrastructure Protection der North American Electric Reliability Corporation) und die NIST 800-Schriften (National Institute of Standards and Technology) aus.

In Europa nahm das Vereinigte Königreich durch Initiativen wie NISCC (National Infrastructure Security Co-ordination Centre) Ausweitungen vor. Zudem haben sich deutsche Initiativen des Bundesverbands der Energie- und Wasserwirtschaft (BDEW) dafür eingesetzt, grundlegende Sicherheitsmaßnahmen für Systeme in Energienetzwerken festzulegen. Sie umfassen z.B. Anforderungen an Datenverschlüsselung, kryptografische Standardverfahren, Anti-Viren- und Malware-Funktionen, sichere Kommunikation zwischen Netzwerken, Revisionen, sichere Netzwerkentwürfe und Anwendungsprotokollstandards.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat außerdem Prozesse und Praktiken für Netzwerksicherheit innerhalb des öffentlichen und privaten Sektors Deutschlands im IT-Grundschutz-Katalog und in den IT-Grundschutz-Standards festgehalten. Auf globaler Ebene ist der einflussreichste Standard wahrscheinlich die ISO/IEC-Normenreihe 27000.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 43223639)