Autoren:
Josef Güntner, Senior Expert IT-Sicherheit, TÜV Süd Industrie Service
Andreas Michael, Industrial IT Security Expert, TÜV Süd Industrie Service
Jens Gerlach, Fachgruppenverantwortlicher Automatisierungs- und Elektrotechnik, Ontras Gastransport
Sven Kalmeier, Fachverantwortlicher Planung/Technologie, Ontras Gastransport
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ruft wegen der politischen Lage zu erhöhter Wachsamkeit hinsichtlich möglicher Cyberangriffe auf. Das gilt insbesondere für die Betreiber kritischer Infrastrukturen wie von Versorgungsnetzen.
Safety und Security müssen dabei zwingend gemeinsam betrachtet werden, um etwaige Wechselwirkungen zu betrachten. TÜV SÜD hat dafür ein ganzheitliches Konzept zur Risikobewertung entwickelt und mit dem Fernleitungsbetreiber Ontras Gastransport GmbH erstmals in der Praxis umgesetzt.
Gesetzlicher Hintergrund
Im April letzten Jahres wurde das IT-Sicherheitsgesetz 2.0 verabschiedet. Am 1. Januar 2022 trat die „Zweite Verordnung zur Änderung der BSI-Kritisverordnung" in Kraft. Damit stehen zahlreiche Versorgungsunternehmen vor der Herausforderung, dass ihre Anlagen nun als kritische Infrastrukturen (KRITIS) gelten.
Damit müssen sie nun strengere Auflagen erfüllen. Um die Anlagensicherheit zu gewährleisten, verlangt der Gesetzgeber unter anderem ein Information Security Management System (ISMS). Zudem gelten die normativen Anforderungen der DIN ISO/IEC 27001, die durch die DIN ISO/IEC 27019 erweitert wurde.
Das Energiewirtschaftsgesetz (EnWG) gibt zusätzlich vor, dass zum Schutz der Energieversorgungsnetze ein Katalog mit Sicherheitsanforderungen der Bundesnetzagentur (BNetzA) eingehalten und dies auch dokumentiert wird.
Allerdings wird das Thema Cybersicherheit noch nicht überall in der Branche in seiner ganzen Tragweite wahrgenommen. Und das, obwohl bekannte Schwachstellen wie „Log4Shell“ in weit verbreiteter Software als Einfallstore für Cyberangriffe dienen können und deshalb vom BSI als extrem kritische Bedrohungen eingestuft werden.
Die Cybersicherheit einer Gas-Druckregel- und Messanlage bewerten
Ontras Gastransport GmbH aus Leipzig betreibt im Osten Deutschlands ein Gas-Fernleitungsnetz mit etwa 450 Kopplungspunkten und 7.700 Kilometern Länge. Dem Unternehmen war frühzeitig bewusst, dass für eine umfassende Risikobetrachtung sowohl die eingesetzten Datenverarbeitungssysteme (Information Technology, IT) als auch die Hard- und Software zum Betrieb der Anlagen (Operational Technology, OT) kombiniert betrachtet werden müssen.
Dazu wurde durch den TÜV SÜD ein ganzheitlicher Ansatz, aufbauend auf dem Schutz der Anlagen vor unerlaubtem Zugriff (Security) als auch der Sicherheit von Menschen, Sachwerten und Umwelt (Safety) entwickelt.
Zusammenspiel zwischen Security und Safety
Das Konzept der integrierten Risikobeurteilung, das klassische Safety- und Cybersecurity-Aspekte miteinander verzahnt, wurde erstmals bei Ontras bei einer Gas-Druckregel- und Messanlage (GDRMA) erprobt.
Zuerst erfassten die Experten dazu den Ist-Zustand und führten bereits vorhandene Safety-Risikobeurteilungen mit den Bewertungen aus dem ISMS zusammen. Untersucht wurde vor allem, wie gut das Zusammenspiel zwischen den Bereichen Security und Safety bereits funktionierte und wo noch Optimierungsbedarf bestand.
Enhanced Risk Assessment (ERA) im Einsatz
Schutzziele, Gefahrenpotenziale und Schwachstellen wurden anschließend in Workshops herausgearbeitet. Nach der Analyse der Cyberrisiken bestimmten Expertenteams, welche Lösungen zur Verringerung spezifischer Risiken zielführend sind, ohne damit an anderer Stelle neue Risiken zu generieren. Zur Risikoanalyse der Gasdruckregel- und Messanlage nutzten die Experten von TÜV SÜD und Ontras das „Enhanced Risk Assessment“ (ERA).
Abschließend wurde eine Dokumentation erarbeitet, die unter anderem aufzeigt, welche Risiken und Schnittstellen betrachtet werden müssen, wenn künftig Anlagenkomponenten getauscht oder hinzugefügt werden. Wichtig für eine erfolgreiches Sicherheitsmanagement ist vor allem eine reibungslose Kommunikation zwischen den für die beiden Bereiche Safety und Security verantwortlichen Mitarbeitern und ein gemeinsames Verständnis der wechselseitigen Einflüsse.
Auch einfache Maßnahmen können zum Erfolg führen
Wirksame Gegenmaßnahmen zur Erhöhung der Cybersicherheit müssen nicht zwangsläufig mit großem Aufwand und Nachrüstungen der IT bzw. OT-Systeme verbunden sein. Das hat die ganzheitliche Risikobeurteilung der Gasdruckregel- und Messanlage bei ONTRAS gezeigt.
Hier wirkt sich die Nutzung bestimmter mechanischer Komponenten positiv auf das Sicherheitsniveau der Cybersecurity aus.
Da diese Komponenten nicht vernetzt sind, führt der Einsatz zu keinen zusätzlichen Cybersecurity-Risiken und schützt damit die Anlage vor Fehlfunktionen infolge möglicher Cybermanipulationen. Auch Versorger und Dienstleister für Strom, Gas, Wasser und Wärme können so Teile ihrer Safety-Schutzmaßnahmen zugleich dafür nutzen, Cyberrisiken zu reduzieren.
Fazit
Das ERA von TÜV SÜD hilft, die Safety- und Cybersecurity-Risiken systematisch zu bewerten und daraus wirksame Maßnahmen zur Steigerung des Schutzniveaus abzuleiten. Diese sind oft überraschend einfach und ressourceneffizient umsetzbar.
Voraussetzung ist, dass das Thema Security von der Geschäftsführung initiiert und entschlossen vorangetrieben wird. Die flexible Methode ist auch auf weitere Branchen, Unternehmen und Anlagen übertragbar, die nicht zur kritischen Infrastruktur zählen. (sg)
