Herr Haacke, zuletzt gab es sehr kritische Medienberichte zu Hackerangriffen auf Stromnetze. Es heißt, erfolgreiche Angriffe und Blackouts seien durchaus realistisch. Wie bewertet Innogy die Sicherheit der deutschen Netze, ist ein Angriff, etwa wie in der Ukraine, auch in Deutschland möglich?
Florian Haacke: Bei Experten der Cybersicherheit hat in den letzten Jahren ein Umdenken stattgefunden. Unsere Bemühungen konzentrieren sich heute viel mehr auf die Erhöhung der Widerstandsfähigkeit, als auf die ausschließliche Prävention. Dieser Wandel hat sich vollzogen, da auch hochkritische, staatliche Organisationen und Betreiber kritischer Infrastrukturen immer wieder erfolgreich angegriffen werden.
Wie sieht es bei Innogy selbst aus, gab es hier schon bösartige Hackerangriffe auf Energienetze?
Uns sind bislang im Bereich der Energienetze noch keine Cyber-Sicherheitsvorfälle bekannt.
Innogy plant ja, Netzbetreibern ein Cyber-Sicherheitstraining gemeinsam mit der israelische Firma Cyber-Gym Europe anzubieten. Wie lange soll die Ausbildung für Mitarbeiter von EVU dauern?
Das kann man nicht pauschal beantworten. Da alle Trainings individuell zugeschnitten werden, hängt die Dauer von den jeweils spezifischen Bedürfnissen ab. Alle Trainings bestehen üblicherweise aus zwei Teilen. Zunächst lernen die Teilnehmer, wie sie Cyber-Angriffe erkennen und abwehren können. Anschließend schärfen wir das Bewusstsein für die Verwundbarkeit des eigenen Unternehmens. Trainingsteilnehmer erkennen Schwachstellen in den eigenen Systemen und Prozessen.
Dadurch verbessern wir den Reifegrad der Cybersicherheit des Unternehmens – und zwar nachhaltig. Bei einem regelmäßigen Training, beispielsweise einmal jährlich, können die erzielten Verbesserungen erneut getestet werden. Da das Trainingsprogramm kontinuierlich überarbeitet und an den neuesten Technologien und Angriffen ausgerichtet wird, erzielen regelmäßig teilnehmende EVUs eine kontinuierliche Verbesserung. Dies entspricht den Forderungen des IT-Sicherheitskatalog und der Methodik eines Informationssicherheits-Managementsystems.
Was wird konkret auf dem Trainings-Plan stehen?
Unser Trainingszentrum wird eine Vielzahl an Trainingsformaten anbieten. Das Portfolio reicht von mehrstündigen Awareness-Schulungen des Managements, über Workshops für SCADA-Administratoren und Incident Response Trainings. Unser Highlight ist sicherlich das 5-tägige ICS/SCADA Cyber Incident Response Training. Hier lernen die Teilnehmer in einer der eigenen Infrastruktur nachempfunden Umgebung, wie sie einen Cyberangriff abwehren.
Als Standort für das Trainingszentrum fiel die Wahl auf Frankfurt am Main…
Frankfurt ist geografisch und verkehrstechnisch innerhalb Deutschlands wegen seiner zentralen Lage aus unserer Sicht eine sehr gute Wahl. Außerdem ist Frankfurt der Sitz der Syna, dem Verteilnetzbetreiber unseres Tochterunternehmens Süwag.
Sie arbeiten mit dem israelischen Unternehmen Cybergym zusammen, wie kam es zu dem Kontakt?
Für uns war klar: Wir wollen das Trainingszentrum gemeinsam mit einem kompetenten Partner umsetzen, um möglichst schnell starten zu können und gleichzeitig ein Top-Niveau zu bieten.
Nach einer intensiven Analyse des Marktes und verschiedener global operierender Anbieter haben wir uns dann für Cybergym entschieden. Besonders gut gefallen hat uns, dass dort die Trainings individuell an den Bedarf lokaler Energieversorger und Netzbetreiber angepasst werden können. Ein weiterer Grund für die Wahl des Partners war, dass in der Cybergym-Methodik der Netzbetrieb nicht nur simuliert wird, sondern die in der Praxis eingesetzten Systeme und Komponenten physisch nachgebaut werden. Durch diese sehr realitätsnahe Trainingsumgebung entsteht der optimale Trainingseffekt.
Was sind für Sie die größten Risikofaktoren, damit es zu einem erfolgreichen Hackerangriff kommen kann?
Der Faktor Mensch ist sicherlich eine der am häufigsten ausgenutzten Schwachstellen bei Cyber-Angriffen. Sowohl in der Energieerzeugung als auch im Netzbetrieb gibt es einen weiteren Faktor, der einen erfolgreichen Cyber-Angriff begünstigt: Prozesskritische Anlagen mit Laufzeiten von über 20 Jahren verfügen nur stark eingeschränkt über Fähigkeiten zur Erkennung oder zur Abwehr von Cyber-Angriffen. Das erhöht den Druck auf die Sicherheitsexperten der Netzbetreiber zusätzlich, denn sie müssen in diesem erschwerten Umfeld die Widerstandsfähigkeit des EVUs sicherstellen. Somit haben sowohl Cybergym als auch Innogy ein gemeinsames Ziel: die Fähigkeiten unserer Mitarbeiter und unserer Kunden zu verbessern, die Bedrohungen aus dem Cyber-Raum erfolgreich abzuwehren.
War es eigentlich ein Zufall, dass die Bekanntgabe zu dem Cyber-Sicherheitstraining am gleichen Tag stattfand wie die Veröffentlichung des Hackerangriffs auf die EnBW Tochter Netcom BW?
Auch wenn das natürlich zeitlich gut zusammengepasst hat, war das reiner Zufall. Die Kooperationsvereinbarung und der Termin der Bekanntgabe unseres Trainingszentrums waren bereits lange vor diesen Veröffentlichungen geplant. Aber der Hackerangriff hat noch einmal demonstriert, wie wichtig es ist, dass sich die Betreiber von kritischen Infrastrukturen mit diesen komplexen Herausforderungen auseinandersetzen.
Die Fragen stellte Stephanie Gust
Florian Haacke ist Head of Group Security bei Innogy. Das Unternehmen will noch im Laufe dieses Jahres die Sicherheitstrainings in Frankfurt am Main starten.
