Versorgungssicherheit im Angesicht von Cyberkriminalität – Interview mit Dr. Götz Brühl, Geschäftsführer der Stadtwerke Rosenheim

Download PDF

(c) Stadtwerke Rosenheim

Verschafft sich ein Hacker Zugang zum Energieversorgungssystem, kann es sehr schnell ungemütlich werden. So wie in der Ukraine, wo Ende 2015 in hunderten von Städten mit einem Mal der Strom ausging. Hundertausende von Menschen waren damals stundenlang ohne Strom. In Deutschland sind derartige erfolgreiche Infrastruktur-Angriffe (noch) nicht verzeichnet – das bedeutet aber nicht, dass es an Versuchen mangeln würde. Ganz im Gegenteil. Mit Hackerangriffen haben Infrastruktur-Betreiber häufig zu tun. 2017 war der Internet-Anbieter Netcom BW Ziel eines Hackerangriffs, bei dem sich sogar Zugang zum Netz verschafft wurde; der Angriff konnte aber glücklicherweise zu einer frühen Phase abgewehrt werden.

Im Rahmen unseres Parlamentarischen Abends am 4. 11.2019 werden wir über die Themen IT-Sicherheit und Cyberangriffe bei kritischen Infrastrukturen mit Experten aus der Politik, den relevanten Behörden und der Wirtschaft diskutieren. Dazu gehört auch Dr. Götz Brühl, Geschäftsführer der Stadtwerke Rosenheim.

Energieblog: Sehr geehrter Herr Dr. Brühl, in den letzten Monaten hat es einige kritische Situationen im deutschen Stromnetz gegeben. Den Begriff „Blackout“ hört man wieder häufiger in der öffentlichen Diskussion. Wie stabil und sicher sind die deutschen Energienetze?

Brühl: Durch die zunehmend digital abgewickelten Prozesse und den hohen Vernetzungsgrad steigt die Gefahr von Cyberattacken auf die Strom- und Gasinfrastruktur und somit für einen Blackout. Wir befinden uns im Wettrüsten mit sehr kreativen Angreifern, deren Methoden und technischen Hilfsmittel immer rafinierter werden. Der bisherige Trend zu mehr Vernetzung muss von uns allen ernsthaft hinterfragt werden. Das Energiesystem muss auch bei Ausfall digitaler Steuerungen in seinem Kern weiter funktionieren. Die „Handebene“ zur Notfallbewältigung darf uns nicht verloren gehen.

Energieblog: Kritische Infrastrukturen sind ein besonders sensibles Ziel für Cyberangriffe, da deren Ausfall das Gemeinwohl empfindlich stören würde. Nun gibt es ja einige regulatorische Vorkehrungen, die die Schutzmechanismen für diese Infrastrukturen vorgeben. Die Erwartungen der Verwaltung an die Branche werden durch die fortschreitende Digitalisierung weiter steigen. Wie beurteilen Sie das Zusammenspiel mit den Behörden?

Brühl: Die Zusammenarbeit, wie wir sie sehen, funktioniert gut. Die Energie- und Wasserversorgung sind ein Eckpfeiler der Daseinsvorsorge. Die Vorgaben aus dem IT-Sicherheitsgesetz zur Zertifizierung kritischer Infrastrukturen sind sinnvoll und zielen in die richtige Richtung. Das Thema wird stärker in das Bewusstsein der Verantwortlichen gebracht – schon daher leistet es einen wichtigen Beitrag zur Informationssicherheit. Als Betreiber kommunizieren wir hier sehr offen mit den Behörden und nehmen auch an Kooperationen wie UP-KRITIS des Bundesamtes für Sicherheit in der Informationstechnik (BSI) teil, bei der Betreiber kritischer Infrastruktuen, Verbände und zuständige staatliche Stellen näher zusammengebracht werden. Hier geht es vor allem um aktuelle Lagebilder, Gefahrenmeldungen und Informationen zu konkreten Vorfällen im Bereich der Cyberkriminalität und nicht zuletzt um den Abgleich getroffener Maßnahmen. Durch vorgeschriebene Zertifizierungen bekommen wir regelmäßig einen Spiegel vorgehalten. Nach den Erfahrungen der letzten Jahre sind diese weitgehend praxisorientiert gestaltet, sodass wir den höheren Aufwand als wichtige Qualitätssicherung unserer eigenen Prozesse, Organisation und Infrastruktur sehen.

Energieblog: Gibt es Nachbesserungsbedarf durch den Gesetzgeber?

Brühl: Aus unserer Sicht ist ein starres Abarbeiten umzusetzender Pflichtmaßnahmen der falsche Ansatz, weil Effekte oft am Ziel vorbeigehen, schnell veraltet sind und erhebliche, teils unnötige Kosten verursachen. Anzustreben ist daher ein individueller und risikozentrierter Ansatz. Es gilt also eine sinnvolle Abwägung zwischen dem Implementierungsaufwand einer Sicherheitsmaßnahme, dem tatsächlichen Risiko und dem Umfang der erzielten Gefahrenabwehr zu finden. Im IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA) ist dies bereits gut umgesetzt. Hier steht eine fortlaufende individuelle Risikoanalyse als zentraler Bestandteil eines Informationssicherheits-Managementsystems (ISMS) im Vordergrund. Bei der Gesetzgebung sollten die Vorgaben eher in Richtung individuelles, schnelles und flexibles Risikomanagement gehen, um die Unternehmen zur Eigenverantwortlichkeit anzuhalten.

Energieblog: Wie sorgen Sie in Ihrem Versorgungsgebiet dafür, dass das Licht nicht ausgeht? Investieren Sie auch in innovative Technologien, um die IT-Sicherheit weiter zu entwickeln?

Brühl: Wir setzen hier darauf, potentielle Gefahren aus dem „Office-Netz“ von den kritischen Bereichen wie Netzsteuerung, Erzeugung und Datacenter fernzuhalten, also die Netzwerke sauber zu segmentieren und – wo immer möglich – physisch ganz zu trennen. Das „Office-Netz“ kann auch bei immer aktueller technischer Ausstattung nicht mehr als sicher betrachtet werden. Zuviele Einfalltore gibt es, die akute Risiken darstellen können. Darum gehen wir bewusst hier wieder einen Schritt zurück, nämlich Vernetzungen, die über die Jahre hinzugebaut wurden, zu hinterfragen und an kritischen Punkten gezielt wieder aufzubrechen. Natürlich ist das immer eine individuelle Abwägung und kann ein Stück weit ein Verzicht auf so manche Bequemlichkeit sein. Gezielte Medienbrüche erhöhen nach unserer Auffassung hier die Sicherheit erheblich. Darunter verstehen wir zum Beispiel streckenweise auf das IP (Internet Protokoll) zu verzichten und ggf. alte Bussysteme zu erhalten. Zusätzlich setzen wir innovative Technologien wie beispielsweise Anomalieerkennungssysteme in internen Netzbereichen ein. Das hilft uns einerseits das Verhalten im Netzwerk noch besser zu verstehen und erlaubt uns andererseits in Echtzeit zu erkennen, wenn es Abweichungen von der Normalität gibt. Das wichtigste bleibt aber wohl der nicht ganz neue Grundsatz „teile und herrsche“.

Energieblog: Mit wie vielen Angriffen haben die Stadtwerke Rosenheim im Schnitt zu tun, lässt sich das quantifizieren?

Brühl: Es ist schon ordentlich was los an unseren externen Gateways. Die Anzahl der Attacken variiert stark, wobei es Tage gibt an denen einige Hundertmal von außen intensiver angeklopft wird, vermutlich überwiegend automatisiert und auf Basis von krimmineller Energie.

Viele Angriffsmethoden entziehen sich sehr geschickt automatisierbaren Schutzeinrichtungen. Wie zahlreiche Fälle zeigen, beginnt der allergrößte Teil der Angriffe mit einer Phishing- oder gar einer Spear-Phishing-E-Mail. Diese Angriffe sind mittlerweile sehr ausgefeilt und bedienen sich pychologischer Tricks. Sie sind äußerst schwer zu erkennen und mit technischen Systemen quasi nicht zu verhindern. Als wesentlichen Faktor gilt es daher die „Human-Firewall“ nämlich die Mitarbeiter zu sensibilisieren und zu stärken.

Energieblog: IT-Sicherheit ist ja ein Thema, das sich ständig weiterentwickelt. Spielen hier auch Kooperationen mit anderen Netzbetreibern eine Rolle, um hier up to date zu bleiben und Synergien zu heben?

Brühl: Wir tauschen uns regelmäßig mit anderen Netzbetreibern, Stadtwerken und über Branchenverbände aus. Das ist natürlich sehr wertvoll und liefert Inputs, die wir bei uns verarbeiten können. Die Beurteilung der spezifischen Risiken und die Planung zielführender Maßnahmen nimmt einem jedoch niemand ab. Diese müssen im Tagesgeschäft eines jeden Unternehmens etabliert sein. Hierzu sind qualifizierte und motivierte Mitarbeiter und kurze und schnelle Wege ebenso entscheidend wie der Grundsatz für die IT-Systeme „Sicherheit vor Verfügbarkeit“, das heißt lieber eine kurze „Downtime“ als ein kontaminiertes System.

Energieblog: Sehr geehrter Herr Dr. Brühl, herzlichen Dank für das Gespräch.