Dem Blackout entgehen

Auch im Bereich kritischer (strategischer) Infrastrukturen, wie etwa Energieversorgungsnetzen, kommen mittlerweile die klassischen Technologien und Komponenten aus der IT zum Einsatz. Unterschiedlichste Systeme arbeiten vernetzt, wodurch wechselseitige Abhängigkeiten steigen und diese Bereiche ebenso zunehmend in den Fokus sicherheitsrelevanter Aspekte rücken. Informationssicherheit ist somit auch in diesem Bereich ein wichtiges Thema und speziell als systemrelevant klassifizierte Unternehmen müssen ganz besonderes Augenmerk auf ihre Cyber Security und Unangreifbarkeit legen.

• Welche Bedrohungspotenziale bzw. Herausforderungen gibt es?
• Wie können heute Vorkehrungen für morgen getroffen werden?
• Welche Rolle spielen die ISO 27001, ISO 27019, NIS-Gesetz und Informationssicherheitsmanagementsysteme?

Diesen und mehr Fragen widmen wir uns in diesem Artikel und möchten Ihnen einen kompakten Überblick geben!

Bedrohungen – was auf uns zukommen kann

Zu kritischen Infrastrukturen gehören u. a. jene Organisationen, die eine wesentliche Bedeutung für die Aufrechterhaltung wichtiger, gesellschaftlicher Funktionen haben und deren Störung schwerwiegende Auswirkungen auf Gesundheit, Sicherheit oder das allgemeine Wohl haben könnte, wie beispielsweise Energiewirtschaft, Stromversorgung oder Trinkwasserversorgung, um nur einige zu nennen. Ein möglicher Angriff könnte hier eine Kettenreaktion auslösen – denn beispielsweise ohne funktionierende Stromversorgung wird auch eine Kommunikation von Notdiensten, wie etwa Rettung oder Feuerwehr, kaum aufrecht zu erhalten sein.

Aufgrund des hohen Stellenwerts in der Gesellschaft müssen Betreiber solcher wesentlichen Dienste ein Mindestmaß an IT-Sicherheitsanforderungen erfüllen. Sogenannte Unternehmensblackouts, also plötzliche, länger andauernde Strom- bzw. Infrastrukturausfälle, sind aktuell in aller Munde und Szenarien, die sich weder Unternehmen noch Privatpersonen wünschen. Kommt es jedoch zu einem Produktionsstillstand bei etwa Energieerzeugern Energielieferanten, kann eine stabile Energieversorgung nicht mehr gewährleistet werden. Selbstverständlich sind nicht nur Unternehmen der Energiewirtschaft im Fokus bezüglich Blackouts anfällig für Blackouts – sondern sämtliche kritische Infrastrukturen eines Wirtschaftsraums.

Während Störungen, die umweltbedingt oder technischer Natur sind, oft bereits mittels Notfallplänen, Krisenteams und Übungsszenarien im Sinne eines Business Continuity Managementsystems (BCM) nach der ISO 22301 abgedeckt sind, ist das Ausmaß von Blackouts durch Cyberattacken schwer greifbar. Die zunehmende Digitalisierung schafft somit neue potenzielle Einfallstore – eine Sensibilisierung aller Mitarbeitenden ist notwendig.

Die Rolle von Normen und Standards

Wie für sämtliche Unternehmen und Organisationen ist die ISO 27001 auch im Falle der Energiewirtschaft der internationale Standard für Informationssicherheit.

Speziell für den Energiesektor ist aber die Subnorm ISO 27019 das Add-On zur ISO 27001. Inhaltlich adressiert sie Sicherheitsmaßnahmen für die Steuerungs- und Überwachungssysteme in den Bereichen Erzeugung, Übertragung und Verteilung von Elektrizität, Gas und Wärme ebenso wie auch unterstützende Prozesse und Technologien der IT-Sicherheit. Eine Zertifizierung gibt die Sicherheit, dass entsprechende Maßnahmen für eine sichere Energieversorgung getroffen werden.

Zum Schutz kritischer Infrastrukturen bzw. wesentlicher Dienste in Bereichen wie Energie, Verkehr oder Finanzen trat in Österreich 2019 zudem das NIS-Gesetz (NISG) und die NIS-Verordnung für Netz- und Informationssystemsicherheit (NISV) als nationale Umsetzung der EU-NIS-Richtlinie (aus dem Jahr 2016) in Kraft. Das NISG bzw. die NISV fordert Sicherheitsmaßnahmen, die aufgrund von Risikoanalysen einzuführen und mittels kontinuierlichen Verbesserungsprozessen auf dem neuesten Stand der Technik zu halten sind. Prinzipiell sind die Forderungen auch durch die ISO 27001 abgedeckt – dennoch sind die NIS-Sicherheitsmaßnahmen zum Teil noch detaillierter dargelegt. Dementsprechend ist eine Überprüfung nach NISG für bereits nach ISO 27001 zertifizierte Unternehmen deutlich müheloser zu bewerkstelligen. Die CIS ist qualifizierte Stelle (QaSte) für Überprüfungen nach dem NISG §17.

Darüber hinaus existiert speziell für die Energiewirtschaft Deutschlands das Energiewirtschaftsgesetz (EnWG) mit dem dazugehörigen IT-Sicherheitskatalog gemäß EnWG §11, welches zusätzliche Anforderungen für Energieanlagen und –netze definiert.

CIS bietet auch Zertifizierungen nach dem deutschen Energiewirtschaftsgesetz EnWG §11.

Informationssicherheitmanagementsysteme helfen, Risiken frühzeitig zu erkennen und gleichzeitig Gegenmaßnahmen zu implementieren. Außerdem wird Kunden und weiteren Stakeholdern ein Nachweis darüber gegeben, dass wichtige Anforderungen an die Informationssicherheit erfüllt werden.

Der Trend geht nicht nur hin zu mehr Vernetzung von Technologien und Prozessen – auch integrierte Managementsysteme, die Informationssicherheit, IT-Service-Management oder Qualität vereinen, spielen eine immer wichtigere Rolle. Viele Normen und Standards lassen sich „aus einer Hand“ kombinieren und Synergien durch die Systemintegration nutzen.

Was es noch zu tun gibt

Wir verlassen uns tagtäglich darauf, Strom aus Steckdosen, Wasser aus dem Wasserhahn oder Bargeld aus Banken bzw. Geldautomaten zu bekommen – Was uns allen höchst selbstverständlich erscheint, ist dennoch keine Selbstverständlichkeit. Mit dem zunehmenden Einzug der IT in sämtliche Geschäftsprozesse werden diese nicht nur schneller und wichtiger für das Funktionieren unserer Gesellschaft, sondern auch verwundbarer.

Das Risiko eines Unternehmensblackouts ist nicht unwahrscheinlich. Auch wenn es nicht zum Worst-Case kommt, Betriebsunterbrechungen oder Produktionsausfälle können immer Folgen, in Form von höheren Kosten haben – sei es für Imageverlust, durch verlorenen Umsatz, Ersatzansprüche von Geschäftspartnern oder die Wiedergutmachung eben dieser Ausfälle. Kein Grund jedoch, in Angst und Schrecken zu verfallen: auch mit systemischem Ansatz und gutem Plan können Ausfälle nicht gänzlich ausgeschlossen werden, es kann jedoch zumindest sichergestellt werden, die real gewordene Krisen rasch beseitigen zu können.