Vertraulichkeit versus Verfügbarkeit – das Dilemma bei der Auswahl von Sicherheitslösungen für Steuernetze der EVUs allein durch deren IT- Fachleute.
OT- Spezialisten müssen viel stärker und früher in den Entscheidungsprozess einbezogen werden - sonst ist ein Scheitern vorprogrammiert.
Es ist quasi eine Binsenweisheit: Cyberangriffe nehmen stetig zu und die Methoden werden perfider. Vor allem kritische Infrastrukturen stehen mehr denn je im Fokus, denn die potenziellen Schäden können verheerend sein.
Während einige Ländern ihre gesetzlichen Vorgaben verschärfen, arbeiten auf europäischer Ebene Energieversorger verstärkt zusammen, um schnell Informationen über mögliche Angriffe auszutauschen. Dies geschieht getreu dem Motto „time is money“ – hier aber besser übersetzt mit „Schnelligkeit garantiert Helligkeit“.
Dazu werden Sicherheitslösungen benötigt, die auf die Belange der OT-Netze* der Energieversorger abgestimmt sind; seien es Schwachstellendatenbanken, die aktuelle Informationen über die eingesetzten Schutz- und Leittechnikkomponenten enthalten oder Monitoring-Systeme, die akkurat und schnell die spezifischen Protokolle analysieren können.
Gute und erprobte Lösungen für die IT bedeutet längst nicht, dass sie sich auch für die OT eignen. Der „One size fits all“-Ansatz ist hier nicht das Gebot der Stunde.
Die Bedingung ist klar: Geeignete Lösungen zum Schutz vor Cyber-Attacken schnellst möglich zu etablieren. Doch warum scheitern immer wieder Projekte, die es zum Ziel haben, die Cyber Security in den OT- Netzen der EVUs zu verbessern, z. B. durch Etablierung von Systemen zur Angriffserkennung (Intrusion Detection Systeme (IDS))?
Das liegt zum einen daran, dass die OT und die IT im übertragenen Sinne unterschiedliche Sprachen sprechen und grundsätzlich andere Anforderungen an die Systeme haben. In der Office-IT ist es völlig normal, Datenpakete zwischenzuspeichern, zu analysieren und gegebenenfalls gar nicht auszuliefern oder zur Prüfung zurückzuhalten, um den potentiellen Schadcode vor Auslieferung des gesamten Datenpakets zu entfernen. In den meisten Fällen bemerkt der Empfänger einer Emailnachricht es nicht einmal, dass sie ein paar Minuten später ausgeliefert worden ist.
Die gleiche Vorgehensweise in den Steuernetzen (OT- Netzen) der EVUs hätte unter Umständen fatale Folgen, da dadurch ein zeitkritisches Signal wie z.B. Schutzauslösungen stark verzögert oder Informationen nicht übertragen würden. Das hätte verheerende Folgen für die Sicherheit des Netzes und der Versorgung.
Ein Blocken des Datenverkehrs ist hier im Gegensatz zur IT absolut unerwünscht - komplett passiv und rückwirkungsfrei agierende Systeme sind ein Muss.
Andererseits liegt in vielen Unternehmen die Verantwortung zur Auswahl von Cybersicherheits-Lösungen häufig noch komplett bei der IT. Die OT wird oft spät oder auch gar nicht involviert, da die Prozesse dies dort immer noch nicht vorsehen.
In der Konsequenz führt dies nicht selten dazu, dass z.B. Schutztechniker:innen in den EVUs mit Systemen arbeiten müssen, die nicht ihren Anforderungen entsprechen. Es entsteht Frustration und dies ist letztlich nicht förderlich für die dringend notwendige enge Zusammenarbeit zwischen dem OT-Fachpersonal und den Mitarbeiter:innen der IT-SOCs (Security Operations Center), wo die Alarme auflaufen, korreliert und forensisch bearbeitet werden.
Dies ist eine völlig kontraproduktive Herangehensweise für eine schnelle Klärung des Vorfalls und für die Akzeptanz des eingeführten Systems. Nicht selten führt es zum Scheitern kompletter Projekte.
Um dies zu verhindern, kommt der Wahl der geeigneten Lösung grosse Bedeutung zu. Es ist wichtig, das interne OT- Fachpersonal sowie allenfalls weitere OT-Spezialistinnen und -Spezialisten frühzeitig einzubinden. Diese können dann gemeinsam mit den IT-Abteilungen Testprozeduren zur Auswahl der geeigneten Produkte entwickeln. Mittels einer fachgemässen Evaluation wird sichergestellt, dass die realen Anforderungen der Schutz- und Leittechnik bestmöglich abgedeckt sind.
Das Ziel ist und bleibt der bestmögliche Schutz der kritischen Infrastruktur.
Autor:
Thomas Friedel
Cyber Security Expert
T +49 9131 9073 5241
thomas.friedel@omicronenergy.com
*OT: Operational Technology - in diesem Zusammenhang sind hier die Netzwerke für die Betriebs- und Automatisierungstechnik der EVUs gemeint
