Cybersicherheit per Design
Energieversorger müssen sich intensiver denn je mit dem Thema Cybersicherheit beschäftigen. Die letzten Jahre haben gezeigt: Blackouts können zur Realität werden. Aber auch von regulatorischer Seite wächst der Druck, sich dem Thema zu widmen. Wichtig ist: Man muss Sicherheit Schritt für Schritt angehen. Nur so kann man das Ziel schlussendlich erreichen.
Schutzprüfsysteme stellen einen möglichen Angriffsvektor dar. Schafft es ein:e Angreifer:in beispielsweise, das Gerät zu kapern, können im schlimmsten Fall durch ausgegebene Spannungen und Ströme aktive Komponenten einer Schaltanlage beschädigt und ein Stromausfall provoziert werden. Lässt sich auf dem Gerät eines Dienstleisters Schadsoftware ausführen, kann sie bequem mit dem Gerät von Anlage A nach Anlage B transportiert werden – wie mit einem USB-Stick. Das ist wahrscheinlich das relevanteste Angriffsszenario. Aber eben nur eines von vielen.
Wir haben deshalb ein ganzes Set an Maßnahmen im CMC 500 vereint, mit denen wir versuchen, das Einschleusen von Schadsoftware in kritische Infrastrukturen bestmöglich zu vermeiden. Denn der ‚Weakest Link of the Chain‘ bestimmt das Maß der Cybersicherheit. Bildlich gesprochen: Es nützt nichts, wenn man ein hohes Tor aus Eisen vor dem Haus hat, und als Zaun rundherum eine kleine Hecke.
Mit einer Threat-Risk-Analyse identifizierten und bewerteten wir zudem mögliche Angriffsszenarien, im Fokus standen die Anforderungen unserer Kund:innen. Wir gingen dabei auch immer davon aus, dass gewisse Informationen der Systeme bekannt sind, und haben uns dann angesehen, ob es möglich ist, anzugreifen. Dieser ‚White Box Approach‘ bringt deutlich mehr Schutz, als die Sicherheit darauf zu bauen, dass Informationen geheim gehalten werden können.
Unser unternehmensweites Cybersicherheits-Konzept sorgt für ‚Security by Design‘. Damit lief die Entwicklung der Maßnahmen nach klaren Regeln ab. Der dabei verfolgte Secure-Software-Development-Life-Cycle(SSDLC)-Prozess berücksichtigt auch den Umgang mit potenziellen Schwachstellen. Das ist nicht zuletzt deshalb wichtig, weil wir zahlreiche Open-Source-Pakete in unserer Software verwenden. Und wenn die Lizenz es verlangt, publizieren wir auch deren Quelltext. Wir überprüfen deshalb in regelmäßigen Zeitabständen, ob unsere Produkte von potenziell gefährlichem Code betroffen sind, ob sich dadurch eine Lücke für einen Angriff ergeben kann, und was mit einem erfolgreichen Angriff erreichbar wäre. Und dann definieren wir Maßnahmen, mit denen die Attacken bestmöglich abgewehrt werden können.
Unser Team hat eine Lösung geschaffen, die sich wirklich zeigen lässt. Vor allem auch im Bereich der Cybersicherheit. Darauf bin ich wirklich stolz.
Weitere Beiträge:
1: Zukunftssicher? Herausforderung angenommen!
2: Cybersicherheit per Design
3: Arbeitssicherheit darf kein Zufall sein
4: Alles gepackt!?