Herr Davidson, was sind aktuell die größten Schmerzpunkte bei der IT-Sicherheit bei KRITIS-Betreibern bzw. An welchen Stellen sind Netzbetreiber besonders verwundbar?
Ryan Davidson, Cyber Arena Manager bei DNV: Aktuell gibt es viele neue Gesetze, Verordnungen und Leitfäden, die entweder kürzlich veröffentlicht wurden oder sich noch im Entwurfsstadium befinden. Unter Netzbetreibern herrscht daher große Unsicherheit darüber, was eigentlich genau vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als zuständige Behörde zu erwarten ist. Es gibt zahlreiche Themen, die für Betreiber kritischer Infrastrukturen äußerst herausfordernd sind und für die es kaum schnelle oder einfache Lösungen gibt. Dazu zählt zum Beispiel das Management von Cyberrisiken, die von Dritten in der Lieferkette ausgehen und somit scheinbar außerhalb der eigenen Verantwortung liegen. Auch die Suche, Rekrutierung und Bindung qualifizierter Fachkräfte für Cybersicherheit ist eine zentrale Herausforderung, die insbesondere für kleine Versorger nahezu unlösbar erscheint.
Aber es gibt auch eine gute Nachricht: Neue, strengere Regularien und die zunehmende Einführung von Zertifizierungen im Bereich der Cybersicherheit erleichtert es Betreibern, Risiken entlang der gesamten Lieferkette zu minimieren. Dies gilt im Übrigen nicht nur für Hard- und Software, sondern auch für Dienstleistungen, die zunehmend auf die Bedürfnisse von KRITIS-Betreibern zugeschnitten sind.
Ein Faktor, den man in diesem Zusammenhang immer wieder erwähnen sollte, ist die menschliche Komponente. Nach wie vor sind 95 Prozent der Vorfälle im Zusammenhang mit Cybersicherheit auf menschliches Versagen zurückzuführen. Daher ist es entscheidend, das Bewusstsein aller Beschäftigten für Cybersicherheit kontinuierlich zu schärfen und regelmäßiges, praxisorientiertes Handlungstraining durchzuführen.
Ryan Davidson, Cyber Arena Manager bei DNV
Findet eine Zunahme der Angriffe statt? Ist der Netzbereich auch betroffen?
Absolut! Wenn man sich die Daten verschiedener Organisationen wie des BSI oder der Agentur der Europäischen Union für Cybersicherheit (ENISA) anschaut ist zweifelsfrei nachzuweisen, dass die Häufigkeit von Angriffen auf kritische Infrastrukturen in den letzten zehn Jahren stetig zugenommen hat. Laut aktuellen Zahlen des BSI wurden im zweiten Quartal 2024 allein in der Energiebranche 39 Cyber-Vorfälle gemeldet. Das Stromnetz war dabei leider eine der am häufigsten angegriffenen kritischen Infrastrukturen. Die Bedrohungslage kann man dabei bereits als akut einschätzen. Immerhin sehen bereits heute von staatlichen Hackern entwickelte Schadsoftware, die auf Protokolle abzielt, die allein für die Steuerung der Stromnetze verwendet werden. Das heißt, hier wird gezielt nach besonders verwundbaren Zielen gesucht, die nicht nur die Betreiber, sondern auch unsere Gesellschaft empfindlich treffen könnten. Besorgniserregend dabei ist, dass solche Software auch bei Angriffen auf das ukrainische Stromnetz eingesetzt wurde, um die landesweite Stromversorgung gezielt zu unterbrechen.
Die Zunahme der Angriffe ist dabei kein rein europäisches Phänomen, sondern lässt sich leider auch in anderen westlichen Ländern wie den USA seit einigen Jahren deutlich beobachten.
Die Angriffe betreffen nicht nur Stromnetze, sondern auch Gas, Wasser, Abwasser und ÖPNV. Gibt es hier auch vermehrt Angriffe, müssen hier Besonderheiten beachtet werden?
Die kurze Antwort: ja, unbedingt. Keine Branche und kein Unternehmen ist gegen Angriffe gefeit, vor allem nicht diejenigen, die für eine funktionierende Gesellschaft von entscheidender Bedeutung sind. Aus allen der von Ihnen genannten Bereiche werden Angriffe gemeldet, und jedes Unternehmen ist dabei ein wenig anders aufgestellt und arbeitet mit unterschiedlichen technischen Mitteln und Einschränkungen.
Das Ziel von Cybersicherheit besteht darin, Angriffe zu verhindern und im Fall eines Falls die Auswirkungen bestmöglich zu begrenzen. Wie dies genau zu bewerkstelligen ist, variiert von System zu System und erfordert eine enge Zusammenarbeit der Bereiche Cybersicherheit, Technik und Betrieb.
Wir sind der Auffassung, dass bekannte Cyber-Prinzipien in jeder Branche ein wenig anders anzuwenden sind, um die in der Praxis oft sehr unterschiedlichen Voraussetzungen zu berücksichtigen und gleichzeitig den Worst Case effektiv zu verhindern. Egal ob es sich dabei um einen Stromausfall aufgrund massiver Spannungs- oder Frequenzstörungen im Stromnetz oder einen Brand in einem Kraftwerk handelt – wir dürfen das Zusammenspiel zwischen den verschiedenen Akuteren und die Bedeutung eines jeden Einzelnen dabei nicht vernachlässigen.
DNV bietet mit der Cyber Arena eine Trainingsumgebung an, in der Hackerangriffe für kritische Infrastrukturbetreiber simuliert werden können, um den Umgang damit in einem geschützten Rahmen zu erproben. Können Sie schildern, was hier getestet wird und wie?
Wir sind überzeugt, dass man den Umgang mit Risiken im Bereich der Cybersicherheit idealerweise nicht in Onlineschulungen oder über reinen Frontalunterricht vermitteln sollte. Unser Ansatz verfolgt das Ziel, die Teilnehmerinnen und Teilnehmer in unseren Trainings aktiv zu beteiligen und herauszufordern. In unserem Trainingszentrum haben wir daher eine Modellinfrastruktur aufgebaut, die ein kleines Kraftwerk mit dazugehörigem IT-Netzwerk und weiterer Betriebstechnik realitätsgetreu abbildet. Dieses Modell wird von mehreren Controllern bzw. speicherprogrammierten Steuerungen (SPS) gesteuert, die dann im Rahmen des Trainings live von Hackern angegriffen werden. Die Teilnehmerinnen und Teilnehmer haben dabei nicht nur die Aufgaben, das Netzwerk und die zugehörigen Systeme zu überwachen, sondern auch den Angriff zu erkennen und letztendlich erfolgreich abzuwehren, um den externen Zugriff bestmöglich einzuschränken. Sie werden damit gewappnet, Angriffe frühzeitig zu erkennen und das potentielle Schadensmaß unverzüglich zu begrenzen.
Diese Trainingsumgebung bietet die einmalige Möglichkeit, einen echten Angriff auf ein reales System aus erster Hand zu erleben, ohne dass es dabei zu negativen Folgen kommen kann. Wir legen großen Wert darauf herstellerunabhängige Herangehensweisen zu vermitteln. Natürlich kann diese Trainingsumgebung auch individuell angepasst werden, jedoch zeigt unsere Erfahrung, dass dies in den meisten Fällen gar nicht erforderlich ist. Die Trainingsinhalte werden durch die angewandte Methodik sehr anschaulich vermittelt und viele Prinzipien lassen sich recht auf den Arbeitsalltag transferieren. Wir zielen damit auf die Stärkung der beruflichen Handlungskompetenz ab.
Könnten Sie ein Beispiel eines Szenarios geben, das ein Netzbetreiber bei Ihnen erprobt?
Wir verwenden zum Beispiel ein Angriffsszenario, bei dem sich die Hacker über eine Schwachstelle in einem Router mit Internetzugang einen Zugriff auf das IT-Netzwerk verschaffen. Die Hacker übernehmen dann einen VPN-Client, um weiter in das Netzwerk einzudringen. In diesem Szenario werden dadurch Betriebsmittel in der Modellumgebung gezielt manipuliert, um einen hypothetischen Schaden anzurichten.
Die anschließende Fehlersuche mit Alarmen im Hintergrund erzeugt eine bewusste Stresssituation, die aus unserer Sicht in einer aufschlussreichen und einprägsamen, aber auch positiven Trainingserfahrung resultiert.
Ein weiters Szenario, welches wir entwickelt haben, fokussiert sich auf die Resilienz von Computersystemen durch einfache Maßnahmen wie die Deaktivierung ungenutzter Dienste. In einem Beispiel zeigen wir, wie ein scheinbar harmloser Webserver als Angriffsvektor genutzt werden kann und daher aktiviert werden sollte. Solche Webserver werden oft bereits von den Herstellern vorinstalliert, um die Benutzerfreundlichkeit ihrer Software zu erhöhen, stellen aber ein zunehmendes Risko für die Systemresilienz dar. Wir schaffen also ein Verständnis für die grundsätzlichen Risiken und mögliche Einfallstore für Angreifer.
Gerade Sicherheitsexperten, die mit solchen Prozessen bislang wenig Berührungspunkte hatten, profitieren von einem solchen Training erfahrungsgemäß besonders stark. Natürlich passen wir unsere Szenarien stets auf den Reifegrad der Teilnehmer an, damit niemand über- oder unterfordert wird.
Was ändert sich mit NIS 2 für KRITIS Betreiber?
Das sogenannte NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz tritt zwar voraussichtlich erst 2025 in Kraft, bringt einige wesentliche Änderungen insbesondere für Netzbetreiber mit sich. Der Anwendungsbereich der Richtlinie wird dabei noch einmal erweitert, und umfasst zukünftig auch Netzbetreiber, die bisher möglicherweise nicht unter die NIS-Richtlinie fielen. Die Cybersicherheit soll dadurch in der gesamten europäischen Union gestärkt und die Resilienz kritischer Infrastrukturen erhöht werden. Übrigens sind im Gesetzentwurf keine Übergangfristen enthalten. Wir empfehlen allen Betroffenen daher, die verbleibende Zeit zur Umsetzung von Risikomanagementmaßnahmen nach § 30 nutzen. Dazu gehören ausdrücklich auch Schulungen im Bereich der Cybersicherheit.
Zusätzlich gelten Netzbetreiber zukünftig strengere Sicherheitsanforderungen und erweiterte Meldepflichten für Sicherheitsvorfälle. Ein besonders wichtiger Aspekt des neuen Gesetzes ist die vorgesehene Haftbarkeit der Geschäftsführung. Diese kann dann persönlich haftbar gemacht werden, wenn sie ihre Pflichten zur Gewährleistung der Cybersicherheit nicht erfüllt. Kurz gesagt: Die Geschäftsführung muss sicherstellen, dass alle erforderlichen Sicherheitsmaßnahmen implementiert und regelmäßig überprüft werden. Wir empfehlen daher allen Netzbetreibern und deren Geschäftsführung, sich dringend über die neuen Anforderungen zu informieren und frühzeitig entsprechende Maßnahmen zur Sicherstellung der Compliance einzuleiten.
Die DNV Cyber Arena ist in diesem Kontext unsere Antwort auf diese verschärften Anforderungen. Die Trainings richten sich deshalb auch nicht nur an IT- oder nur an Betriebspersonal, sondern gerade auch an das Management und Sicherheitsverantwortliche aus KRITIS-Unternehmen.
Hintergrund Cyber Arena
Die Cyber Arena von DNV umfasst Trainings für Beschäftigte aller Ebenen, vom Einstiegs-Level und technisch nicht versiertem Personal bis hin zu erfahrenen Cybersicherheitsexpertinnen und -experten. Das Kursangebot umfasst aktuell die Einführungen in die OT-Cybersicherheit, OT-Cyber-Strategien für das Management sowie OT Cyber Security Essentials für technisches Personal. Die praktischen Trainings umfassen sowohl individuelle Übungen als auch das Live-Szenario eines Cyberangriffs im Team. Die Übungen umfassen Aktivitäten wie die Analyse des Netzwerkverkehrs, grundlegende Forensik, Malware-Analyse und mehr. Außerdem stehen mehrere Live-Angriffsszenarien zur Verfügung, bei denen die Teilnehmerinnen und Teilnehmer als Team arbeiten, um einen ferngesteuerten Red-Team-Hacker aufzuspüren und dann auf ihn zu reagieren.
