19 Oct 2023
Kritische Infrastrukturen in der Energieversorgung - Anforderungen an die Cyber Security
Autoren: Reto Amsler / Peter Müller
Die Welt im Wandel
Kritische Infrastrukturen wie Stromnetze, Wasserversorgungssysteme, Verkehrsleitsysteme und industrielle Steuerungssysteme sind zunehmend mit dem Internet verbunden. Dadurch erhöht sich das Risiko von Cyberangriffen durch böswillige Akteure, einschliesslich staatlich unterstützter Gruppen, Hackerkollektiven oder Cyberkriminellen. Um diese Angriffe abzuwehren und Schäden zu minimieren, ist eine robuste Cyber Security unerlässlich.
Gesellschaft
Für das tägliche Funktionieren der Gesellschaft ist das tadellose Funktionieren der kritischen Infrastruktur von entscheidender Bedeutung. So besteht beispielsweise eine grosse Abhängigkeit von einer kontinuierlichen Energieversorgung. Die letzten Jahre haben eindrücklich aufgezeigt, dass wir uns mit uns bisher kaum bekannten Themen wie einer drohenden Strommangellage oder einer Verknappung der Gasreserven konfrontiert sahen.
Neben den Auswirkungen von geopolitischen Einflüssen haben Veränderungen durch die Industrie 4.0, mit Aspekten wie der besseren Vernetzung und Digitalisierung der Produktionsumgebungen. Auch die Automatisierung wird in Zukunft noch viel mehr an Bedeutung gewinnen. Durch all diese Veränderungen sehen wir uns auch vermehrt mit neuen Bedrohungen konfrontiert.
Wirtschaft
Gesellschaft
Für das tägliche Funktionieren der Gesellschaft ist das tadellose Funktionieren der kritischen Infrastruktur von entscheidender Bedeutung. So besteht beispielsweise eine grosse Abhängigkeit von einer kontinuierlichen Energieversorgung. Die letzten Jahre haben eindrücklich aufgezeigt, dass wir uns mit uns bisher kaum bekannten Themen wie einer drohenden Strommangellage oder einer Verknappung der Gasreserven konfrontiert sahen.
Neben den Auswirkungen von geopolitischen Einflüssen haben Veränderungen durch die Industrie 4.0, mit Aspekten wie der besseren Vernetzung und Digitalisierung der Produktionsumgebungen. Auch die Automatisierung wird in Zukunft noch viel mehr an Bedeutung gewinnen. Durch all diese Veränderungen sehen wir uns auch vermehrt mit neuen Bedrohungen konfrontiert.
Wirtschaft
Auch aus wirtschaftlicher Sicht können kritische Infrastrukturen einen vulnerablen Bereich darstellen. Ein Angriff auf diese Systeme kann zu erheblichen finanziellen Verlusten führen, die sich auf Unternehmen, Branchen und sogar ganze Volkswirtschaften auswirken können. Der Schutz vor Cyberangriffen ist daher für die Aufrechterhaltung der wirtschaftlichen Stabilität und des Wohlstands von grosser Bedeutung.
Kritische Infrastrukturen müssen rund um die Uhr betriebsbereit sein. Ein erfolgreicher Cyberangriff kann zu Ausfällen führen, die zu Unterbrechungen von Dienstleistungen, Produktionsverzögerungen oder anderen schwerwiegenden Konsequenzen führen. Durch die Implementierung einer starken Cyber Security können solche Ausfälle vermieden oder zumindest minimiert werden, um die Betriebskontinuität sicherzustellen.
Politik
Politik
In vielen Ländern gibt es Vorschriften und Standards, die die Cyber Security in kritischen Infrastrukturen regeln, um die Resilienz der kritischen Infrastrukturen gegenüber Cyberangriffen zu erhöhen. Die Einhaltung dieser Vorgaben ist notwendig, um einen einheitlichen Grundschutz über alle kritischen Sektoren einhalten zu können. Ausserdem gilt es den rechtlichen Anforderungen zu genügen, mögliche Strafen zu vermeiden und das Vertrauen der Öffentlichkeit aufrechtzuerhalten.
Cyber Security in der Energieversorgung
Cyberbedrohungen sind ein neues Kapitel welche als Energieversorger aktiv gemanagt werden müssen, um eine sichere und unterbrechungsfreie Energieversorgung in der Schweiz gewährleisten zu können. Dies bedingt aber das Umdenken einer gesamten Branche hin zu einem aktiven Riskmanagement im Bereich der Informationssicherheit.
Dazu gehören insbesondere auch die kritischen OT-Infrastrukturen, bei welchen heute oftmals noch das Thema stiefmütterlich behandelt wird. Dafür gibt es mehrere Gründe. Einer davon ist das fehlende Bewusstsein oder Wissen über die Gefahren in Bezug auf die Informationssicherheit und OT-Sicherheit. Weitere Gründe sind fehlende Zuständigkeiten und fehlende Vorgaben, auf welche sich gerade auch kleinere Energieunternehmen abstützen können.
Hier zeigt sich jedoch eine klare Tendenz der Unterstützung durch Verbände und Behörden. Insbesondere durch das BWL, welches zusammen mit den kritischen Teilsektoren IKT-Minimalstandards erarbeitet und den Unternehmen damit eine Wegleitung bietet, das eigene Unternehmen gegenüber Cyberbedrohungen resilienter zu machen. (einfügen Link zum BWL IKT-Minimalstandards).
Des Weiteren gibt es einen politischen Willen, verbindliche Vorgaben für kritische Infrastrukturen im Bereich Informationssicherheit zu definieren. Das BFE ist da ein Vorreiter im Stromsektor. Auf Basis des IKT-Minimalstandards definiert das BFE-Maturitätswerte welche Energieunternehmen anhand ihrer Kritikalität in Bezug des IKT-Minimalstandards zu erfüllen haben.
Diese Werte sollen mit der Revision des Strom VG Mitte 2024 verpflichtend werden. Die Unternehmen müssen dann in einem Self-Assessment ihre erreichte Maturität zu den eingeforderten Subkategorien des IKT-Minimalstandards ausweisen und der ELCOM als überprüfende Instanz melden.
Der VSE arbeitet eng mit dem BFE zusammen, um einen Leitfaden für die Energiebranche zu erstellen, welcher beschreibt, was die zu erfüllenden Anforderungen sind, und wie diese effizient angegangen werden und mit zielführenden Massnahmen umgesetzt werden können. Einige der wichtigen Domänen, welche durch die Unternehmen hierbei adressiert werden müssen, sind:
- Die Sicherheitsorganisation
- Das Assetmanagement
- Das Risikomanagement
- Eine Sichere Netzwerk- und Systemarchitektur
- Die Befähigung und Schulung der Mitarbeiter
- Die Erkennung und Behandlung von Sicherheitsvorfällen
Haben Sie Fragen dazu? Wir freuen uns auf einen Anruf (062 874 30 00) oder eine Email ([email protected]) von Ihnen.