Wie sich Unternehmen für einen möglichen Cyberangriff wappnen können

Der verlässliche Betrieb moderner Energienetze stellt hohe Anforderungen an die Kommunikations- und Steuerungsinfrastrukturen. Bei Stromnetzen ist dies im Kontext von Energiewende und Dekarbonisierung von überragender Relevanz. So erfordert die dezentrale Erzeugung und Einspeisung erneuerbarer Energien mit hohen wetterbedingten Schwankungen auch eine entsprechend umfangreiche Nutzung von Stromspeicheranlagen und einen Redispatch konventioneller Kraftwerke, um die Einspeisung und Nutzung von Strom ausbalancieren zu können. Da ein stabiler Netzbetrieb auch Resilienz gegen Störfaktoren und externe Angriffe gewährleisten muss, sind Verschlüsselungs- und Sicherheitsmaßnahmen von höchster Relevanz und sollten entsprechend berücksichtigt werden.

Sichere Digitalisierung – nicht ohne Cybersecurity

In der Studie der Deutschen Energie-Agentur „EnerCrypt – Cyberinnovationen für das sichere Energiesystem der Zukunft“ wurde festgestellt, dass es bereits ein breites Spektrum von Technologien gibt, die die Digitalisierung sicherheitsorientiert unterstützen können.

Damit diese technischen Maßnahmen wirksam eingesetzt werden können, müssen auch entsprechende organisatorische Voraussetzungen etabliert sein. Insbesondere sollten die Rollen und Routinen zur Abwehr von Angriffen definiert und das dafür notwendige Know-how vorhanden und abrufbereit sein. Hierbei unterstützen Schulungen zur Prävention, Tools zur Detektion und Reaktionspläne für die Schadensbegrenzung.

Große Nachfrage im Energiesektor nach Cybersicherheitsübung

Vor diesem Hintergrund erstellte EY in Zusammenarbeit mit der Deutschen Energie-Agentur im Auftrag des Bundesministeriums für Wirtschaft und Klimaschutz eine Cybersicherheitsübung, bei der über 20 Organisationen aus ganz Deutschland im Berliner Future Energy Lab zusammenkamen.

Primär richtete sich die Veranstaltung an verschiedene Netzbetreiber sowie Bundes- und Landesbehörden. Zusätzlich wurden zur technischen Unterstützung Sicherheitsfachleute von Hochschulen, Stromerzeugern und IT-Dienstleistern eingeladen.

Die in Form einer Tabletop-Übung durchgeführte Cybersicherheitsübung diente dazu, den Teilnehmenden Kenntnisse über die möglichen und wahrscheinlichen Angriffsvektoren zu vermitteln und sie damit in die Lage zu versetzen, typische Schwachstellen in ihrem Unternehmen zu identifizieren – und damit die allgemeine Sicherheit zu erhöhen.

Szenarien einer Cyberattacke für Management- und IT-Spezialisten

Für die Sicherheitsübung wurde die Simulation eines Cybervorfalls sowohl auf Management- als auch auf Technikebene entworfen:

• In der Managementvariante lag der Schwerpunkt auf dem Krisenmanagement, dem Stakeholder-Management hinsichtlich typischer und wichtiger Kommunikationswege zwischen den Akteuren sowie auf der Entscheidungsfähigkeit.
• Die technische Variante hingegen zielte darauf, die Angriffskette bestehend aus den Schritten „erkennen“, „eindämmen“ und „antworten“ zu durchlaufen und technische Lösungen zur Behebung zu finden.

Beide Szenarien basierten auf einem fiktiven Unternehmen. Dieses wurde durch einen Phishing-Angriff infiltriert und musste nun mit den darauf folgenden Problemen wie dem Schutz der Daten sowohl der Mitarbeitenden als auch der Kunden, aber auch mit der Aufrechterhaltung und Fortführung des Geschäfts umgehen. Dafür wurden vorab „Injects“ beziehungsweise Vorfälle definiert, um die verschiedenen Lernziele und Informationsinteressen zu bedienen.

Bleibender Nutzen für die Cybersicherheit

Insbesondere stärkte die Übung die Kommunikationsfähigkeit für den Krisenfall und vermittelte entsprechende Rollenbilder und Funktionen. Zudem half EY den Teilnehmenden, sinnvolle Maßnahmen zur Prävention und Reaktion zu erörtern. Hierzu zählte vor allem die Schärfung des Verständnisses für die zur Angriffserkennung und -abwehr sowie zur Schadensbegrenzung erforderlichen Rollen. Auch die konkreten Funktionen dieser Rollen und die zur Funktionserfüllung benötigten Informationen, Kenntnisse und Werkzeuge wurden erläutert und die Zusammenarbeit zwischen diesen Rollen verständlich gemacht. Ein besonderer Schwerpunkt lag auf  den Fähigkeiten zur angemessenen Kommunikation innerhalb und außerhalb der Organisation.