Cyber-Attacken auf Energieversorger: Cybersecurity Rating zur Wirksamkeitsmessung der eigenen Sicherheitsmaßnahmen

veröffentlicht am 19. Mai 2020

Für Energieversorger ist es nach Vorfällen wie in Ludwigshafen ein Muss, die eigene Cybersecurity Resilienz zu kennen. Ein dauerhaftes Cybersecurity Rating kann helfen, die Sicherheitsschwächen des eigenen Unternehmens laufend zu beobachten, um entsprechende Gegenmaßnahmen ergreifen zu können. Auch die Resilienz wesentlicher Kooperationspartner kann damit beurteilt werden. Dabei bedient sich das Rating bewusst aus Quellen verfügbarer Daten und öffentlicher Informationen aus dem Internet und kann daher auch auf Dritte angewendet werden.

Die Beurteilung, ob das eigene IT-System der Leitstelle und des Büro-/Verwaltungssystems vor Angriffen Dritter sicher ist, ist vor dem Hintergrund der Komplexität von digitalisierten Geschäftsprozessen und Informationstechnologien nur schwer bis gar nicht möglich. Die zwischenzeitlich sich häufenden Meldungen im Umfeld der Energieversorger zeigt dies sehr eindrücklich. Mit verschiedenen Instrumenten verhelfen sich die Verantwortlichen (Unternehmensleitung, IT-Verantwortliche, Informationssicherheitsbeauftragte, Datenschutzbeauftragte, Revision etc.) nicht zuletzt durch die Einführung eines Informationssicherheitsmanagementsystems nach ISO/IEC 27001, die Grundlage für die Einschätzung zur eigenen Sicherheit abzuleiten. Generell gehören zu den Instrumenten:

Meldungen aus Firewalls, Virenschutzprogrammen, Sandbox-Systemen etc.,
vereinzelt durchgeführte Penetrationstests (z.B. technische Server- oder Web-Tests, Social Engineering-Tests etc.),
auf Stichproben basierende IT-Audits (Prüfung vorhandener Dienstanweisungen, Nachweise über die Wirksamkeit von Rechtekonzepten, etc.) sowie
wie oben erwähnt, die Sicherstellung über entsprechende Sicherheitskonzepte im Idealfall nach gängigen Rahmenwerken wie ISO IEC 27001.

Die Daten und Informationen aus den Instrumenten sind alle sehr relevant. Einzeln betrachtet beinhalten sie jedoch eine der folgenden Schwachstellen:

Schwachstelle: Sie beziehen nur einen Bruchteil des „Cyberraums” in die Betrachtung mit ein.
Schwachstelle: Sie beziehen sich i.d.R. nur auf einen Stichtag und liegen nicht kontinuierlich vor.

Es ist festzuhalten, dass die obigen Instrumente enorm wichtig sind – die Auseinandersetzung mit den vermeintlichen Mängeln sollte jedoch Ansätze zu deren Lösung liefern.

Betroffenheit von Energieversorgern

Gerade kleinere Energieversorger wiegen sich oftmals in falscher Sicherheit und glauben, für Cyberkriminelle entweder nicht interessant zu sein oder kaum Angriffsfläche zu bieten. Dabei stehen Energieversorger, wie die jüngsten Pressemeldungen zeigen, auf der Hitliste von Cyberkriminellen und Hobby Hackern ganz oben. Hierfür gibt es verschiedene Gründe:

Energieversorger betreiben eine kritische Infrastruktur (auch unterhalb der Schwellenwerte der KRITIS-Verordnung fallen). Damit werden sie auch einfacher erpressbar. Zugleich sind sie damit für politisch oder terroristisch motivierte Hacker ein interessantes Ziel. Besonders prekär hierbei: Derartige Angriffe bleiben in aller Regel unentdeckt, da der Hacker zunächst die IT-Systeme infiltriert und dann auf den „großen Moment” wartet.
Der enorm große Datenschatz von Energieversorgern in Form von personenbezogenen Daten und Bankkontodaten ihrer Kunden und Geschäftspartner lässt Begehrlichkeiten aufkommen. Mit der Ausnahme von Online Händlern, die für Angriffe auf ihre modernen IT-Systeme in der Regel deutlich besser gerüstet sind, verfügt kaum eine Branche über derartig umfangreiche Daten wie die Energieversorger. Wo sonst könnte man derart gebündelt die Daten von den Einwohnern einer einzelnen Stadt abgreifen?
Aber auch für Hobby Hacker bietet die exponierte Stellung von Energieversorgern die Öffentlichkeitswirkung, nach der sie in aller Regel streben. Dies hat sich durch die jüngsten Pressemeldungen nochmals bestätigt und schlimmstenfalls sogar verstärkt.

Dabei sind die meisten Energieversorger keinesfalls besser geschützt als andere Unternehmen. Ganz im Gegenteil: Oftmals trifft man bei Energieversorgern auf veraltete (Steuerungs-)Systeme und eine vergleichsweise geringe IT-Awareness. Da haben Cyber-Schurken leichtes Spiel. Und die möglichen Einfallstore für Cyberkriminelle sind mannigfaltig, auch dann wenn der Serverbetrieb auf fremde Rechenzentren ausgelagert ist:

Die Auslagerung auf fremde Rechenzentren stellt per se keinen höheren Schutz dar. Wichtig ist, dass das Rechenzentrum entsprechende Vorkehrungen getroffen hat. Hierüber geben Rechenzentrums-Zertifikate (z.B. IDW PS 951) aber keinerlei Auskunft.
Ob mit oder ohne Auslagerung des Rechenzentrums: Zahlreiche Angriffsflächen für Cyberkriminelle verbleiben ohnehin:

- Von außen eingebrachte Schadsoftware (Trojaner)
- Internetseite (Website)
- Angriffe auf die Cloud
- Ausnutzung von Schwachstellen an Schnittstellen
- Remote Zugriff auf Netzwerke (z.B. Home Office)
- Internet of Things (IoT)

Der Cyberraum

Zunächst ein paar einführende Worte, was mit dem „Cyberraum” gemeint ist und warum i.d.R. heutige Instrumente Lücken aufweisen. Vereinfachend wird bei dem Begriff von Informations- oder IT-Sicherheit der Blick auf das eigene Unternehmen bzw. sogar nur auf die eigene IT geworfen. Das ist nachvollziehbar, da er sich auf einen Bereich bezieht, der selbst verantwortet wird und auf den Einfluss ausgeübt werden kann. Stellt sich aber die Frage, mit wem sich das Unternehmen in digitalem Austausch befindet und wer alles bei digitalen Geschäftsprozessen eine Rolle spielt, dann weitet sich der Blick auf ein sehr komplexes Öko-System aus.

IT-Dienstleister
Agenturen im Umfeld der Internetpräsenz
Beauftragte Rechenzentren
Weitere

"Öffentliche" Daten die von Unternehmen hinterlassen werden

„Öffentliche” Daten, welche die einzelnen Unternehmen im Cyberraum hinterlassen, werden als Spuren zur Beurteilung deren Cybersicherheit genutzt

Wie soll das gehen? Ebenso wie jeder Anwender, der durch die Nutzung von Diensten und Services Spuren im Netz hinterlässt, ist auch ein Unternehmen mit seinen Endgeräten und Servern im Netz nicht unbekannt. Es hat einen Web-Auftritt und bei jedem Besuch einer Webseite werden Basis-Informationen ausgetauscht. I.d.R. handelt es sich hierbei um Informationen, die notwendig sind, um einen reibungslosen Besuch der Website zu gewährleisten. Sie sind daher öffentlich verfügbar. Darin sind üblicherweise Informationen enthalten, nach welchen Sicherheitsstandards der Server der Website kommunizieren möchte. Sind sie veraltet, stellt das eine Sicherheitslücke dar. Ebenso verhalten sich Server für die E-Mail-Kommunikation, Server für mobile Applikationen etc.

Die sog. Risikovektoren (z.B. Verschlüsselung), die aus den öffentlichen Daten und Informationen zu gewinnen sind, lassen sich grob in drei wesentliche Risiko-Kategorien einteilen:

Kompromittierte Systeme
Ist erkennbar, dass Endgeräte oder Server aus dem eigenen Unternehmen mit bekannten Botnetzen kommunizieren und somit das eigenen System kompromittiert wird? Werden Endgeräte oder Server für Spam-Mails missbraucht? Werden eigene Systeme missbraucht, um Schadsoftware zu verteilen?
Anwenderverhalten
Kommunizieren Endgeräte über Kommunikationsprotokolle mit Dritten oder als gefährlich einzustufende Server (Tauschserver etc.) außerhalb des eigenen Unternehmens? Liegt somit der Verdacht nahe, dass eigene Anweisungen und Regelungen missachtet werden? Ist die Gefahr gegeben, dass Daten und Informationen auf diesem Weg weitergeleitet werden? Gibt es in einschlägigen Datenbanken von Sicherheitsinstitutionen Informationen, dass Userkennungen offengelegt wurden?
Sorgfältiger Betrieb von Systemen
Sind die Systeme und Endgeräte, die offiziell mit Dritten kommunizieren (E-Mail-Server, etc.) so eingerichtet, dass auf einen sicheren oder eher unsicheren Betrieb geschlossen werden kann? Werden Best-Practice-Sicherheitsmechanismen (Verschlüsselung, Vermeidung von Man-in-the-Middle etc.), die bei Protokollen erkennbar sind, verwendet?

Alle diese Ergebnisse sind allein durch das Kommunikationsverhalten ableitbar und liefern Hinweise auf die gewählten Schutzmaßnahmen. Die Informationen sind nicht geheim, denn sie sind für die Kommunikation zwischen zwei Systemen notwendig, können aber Rückschlüsse auf die dahinter liegende Organisation von Sicherheitsmaßnahmen liefern. Sie liegen nicht nur dem eigenen Unternehmen, sondern auch den Partnern, die im Geschäftsprozess eine Rolle einnehmen (Kooperationspartner, Dienstleister, Eigen- und Beteiligungsgesellschaften etc.) vor.

Sicherheit aktiv messen und steuern

Durch die Nutzung dieser Informationen ist die Beurteilung des gesamten Cybersecurity-Ökosystems durch die Verantwortlichen möglich. So kommen Sie in Verbindung mit den oben genannten Instrumenten Ihrer Verantwortung näher, für die Überwachung der Wirksamkeit der Sicherheitsmaßnahmen Sorge zu tragen.

Aber noch bedeutsamer ist, dass beim Rating konkreter Handlungsbedarf aus den obigen Kategorien an die Beteiligten formuliert werden kann. So können die Verantwortlichen auch Ihren Pflichten zur Steuerung nachkommen.

Es ergibt sich eine Vielzahl von Steuerungsmöglichkeiten aus Sicht der einzelnen Verantwortlichkeiten:

Der Informationssicherheitsbeauftragte kann die eigenen Sicherheitsmaßnahmen beurteilen, aber auch bei der Auswahl und Überwachung Dritter einwirken.
Der Datenschutzbeauftragte kann nachhalten, ob die technischen und organisatorischen Maßnahmen des Verantwortlichen und die der ausgewählten Auftragsdatenverarbeiter wirksam sind.
Das Management kann das Rating zum Gegenstand der Sparten- und Beteiligungssteuerung machen. Es kann die Anforderungen an einen sicheren Betrieb von digitalen Geschäftsprozessen an dem Rating orientieren.
Die Revision kann auf Basis der Ratings konkreten Handlungsbedarf bei großen Software-Projekten bzw. im laufenden Betrieb formulieren.

Die Ausdehnung der Steuerung und Überwachung über den eigenen Verantwortungsbereich hinaus ist ein enormer Gewinn.

Cybersecurity Rating als kontinuierlicher Service

Ein Mangel steckt in den bisherigen Instrumenten jedoch nach wie vor: Die Zeitpunktbetrachtung. Fast jedes bekannte Instrument (Audit, Penetrationstest etc.) bezieht sich auf einen Zeitpunkt, sodass Aussagen über einen Zeitraum nur bedingt möglich sind.

Die Daten und Informationen zu den beschriebenen Risikovektoren können über einen größeren Zeitraum vorgehalten werden. Das heißt, dass die Information, an welchem Tag eine Kompromittierung eines Endgerätes in den eigenen Reihen stattgefunden hat und ab wann die eigenen Gegenmaßnahmen (Virenscanner, Intrusion Detection and Prevention System etc.) gegriffen haben, erkennbar ist. Das bedeutet, dass nicht nur eine Stichtagsbetrachtung, sondern eine Zeitraumbetrachtung möglich ist. So wird die Wirksamkeit der eigenen Maßnahmen messbar.

Zudem werden auch im Sicherheitsbereich häufig die Dienste Dritter in Anspruch genommen (Managed Security). Aber wer in den eigenen Reihen des Unternehmens kann beurteilen, ob die Dienstleister und Instrumente die richtige Wahl waren und sind? Das Cybersecurity-Rating kann die Dienste bewertbar machen und dient daher als wirksames Werkzeug der Verifizierung.

Wird davon ausgegangen, dass die Handlungsempfehlungen zu den einzelnen Risikovektoren auch umgesetzt werden müssen, ist der Bedarf an „ständiger” Beurteilung gegeben. So wird das Rating zu einem ständigen Monitoring-System, um die Resilienz im Cyberraum zu überwachen.

Unsere Leistungen

Rödl & Partner bietet Ihnen für Ihren Energieversorger

einzelne Einmal-Ratings für das eigene Unternhemen sowie über Ihre wichtigen Gechäftspartner im Cybersecurity-Öko-System,
dauerhafte Ratings sowie
das System in Eigennutzung.

Haben Sie noch offene Fragen zu diesem Thema? Unsere Experten helfen Ihnen gerne weiter!

Anrede

Titel

Vorname

Nachname

Branche

Firma

Straße/Hausnummer

PLZ

Ort

Land

Telefon

E-Mail *

Frage *

Einwilligung *

Ja ich bin damit einverstanden dass Rödl & Partner mir darüber hinaus weitere Informationen über entsprechende Themen (Veranstaltungen Newsletter etc.) per E-Mail oder Post zukommen lässt.

Nein ich möchte lediglich zu meiner Frage kontaktiert werden.

Datenschutzerklärung *

Ich stimme der Nutzung meiner personbezogenen Daten in Rahmen der Datenschutzerklärung ausdrücklich zu.

*

Helfen Sie uns, Spam zu bekämpfen.