Cyber Security Strategiefelder für EVUs

Die Aufgaben des Chief Information Security Officers (CISO) oder des Informationssicherheitsbeauftragten in einem Energieversorgungsunternehmen entwickeln sich vielfältig. Folgt man nur der Regulierung für deutsche Netzbetreiber, dem IT-Sicherheitskatalog, so steht die Implementierung eines Informationssicherheitsmanagements für den sicheren Netzbetrieb im Vordergrund, also ein Risikomanagementsystem für IKT-Systeme, die unmittelbar für den sicheren Netzbetrieb relevant sind. Dies wird häufig schon als Herausforderung angesehen, ist jedoch im Gesamtkontext der Security-Aufgaben im Cyber-Raum, die auf lebenswichtige Infrastrukturen noch zukommen werden, nur ein Aspekt. Will man sich effektiv auf die Zukunft vorbereiten, so beginnt man am besten bei einer ISMS-Strategie, in der man sich mit den kommenden Herausforderungen auseinandersetzt und zukünftigen Strategiefelder ableitet.

Typische Strategiefelder für ein EVU sind:
• Professionalisierung der Sicherheitsorganisation
• Bewusstseins- und Kompetenzaufbau im Unternehmen
• Cyber-Metriken
• Cyber-Risikosteuerung
• Resiliente Sicherheitsarchitektur
• Cyber-Response und Cyber-Verteidigung

Professionalisierung der Sicherheitsorganisation
Eine Professionalisierung der Sicherheitsorganisation geht einher mit der Auswahl und Eignung der Mitarbeiter im Security-Bereich sowie einer angemessenen Organisation und passender Sicherheitsprozesse. Zur Professionalisierung gehört auch die Integration der Sicherheitsprozesse in die Unternehmensprozesse sowie die Etablierung geeigneter Instrumente zur effizienten Abarbeitung der Sicherheitsprozesse wie z.B. dem Risikomanagement des ISMS. Hierzu existieren heutzutage passgenaue IT-Werkzeuge, die nach Einführung wesentliche Aufgaben des ISMS insbesondere hinsichtlich der Zertifizierung unterstützen. Zum Beispiel lässt sich das im IT-Sicherheitskatalog geforderte IKT-Risikomanagement und die Maßnahmenauswahl und -verfolgung komplett Tool-gestützt abbilden.
Inzwischen sind Cyber-Angriffe bekannt, die die Hardware von IKT nutzen und damit für Antiviren-produkte nicht mehr erkennbar sind. Somit ist die Strategie, ausschließlich auf Prävention zu setzen, zum Scheitern verurteilt. Reaktive Prozesse werden wichtiger.

Empfohlene Aufgaben aus diesem Themenfeld sind:
• Automatisierung der Sicherheitsprozesse
• Integration der Sicherheitsprozesse in Unternehmensprozesse
• Weiterentwicklung der Organisation hinsichtlich reaktiver Prozesse

Bewusstseins- und Kompetenzaufbau im Unternehmen
Der Mensch ist Einfallstor und Cyber-Abwehr zugleich. Soll die menschliche Firewall weiterhin eine wichtige Säule der Cyber-Abwehr im Unternehmen bleiben, sind fortlaufende Schulungen und Sensibilisierungen notwendig. Der Kompetenzaufbau bei Personen in sicherheitsrelevanten Funktionen ist geplant durchzuführen, eine ständige Weiterbildung unerlässlich. Insbesondere ist aber auch bei Entscheidern das Verständnis für die Gefährdungslage und den Beitrag der Informationssicherheit zur Sicherung des Unternehmens zu schärfen.

Empfohlene Aufgaben aus diesem Themenfeld sind:
• Fortlaufende Sensibilisierung und Schulung sowie Einbeziehung der Entscheider
• Aus- und Weiterbildung der Mitarbeiter im Security-Bereich
• Auf EVUs spezialisierte Krisenübungen und Cyber-Exercises

Cyber-Metriken
Aus Sicht des Managements stellt sich die Frage, wie gut das eigene Unternehmen im Vergleich zu anderen Unternehmen aufgestellt ist und wo man am besten in Cyber-Sicherheit investiert. Metriken dienen dabei als Maßstab bei der Entscheidungsfindung und als Werkzeug zum Vergleichen von Sicherheitsleistung im eigenen wie in anderen Unternehmen. Deshalb helfen geeignete Metriken in der Informationssicherheit den Entscheidern, einen Maßstab für ihr Handeln zu finden, Entscheidungen objektiv zu treffen und eine Vergleichbarkeit zum Beispiel zwischen Sicherheitslösungen, Organisationsbereichen oder Unternehmen herzustellen. Ein Element zu Entwicklung von Cyber-Metriken sind Prozess-Reifegrade.

Empfohlene Aufgaben aus diesem Themenfeld sind:
• Einführung von Metriken zur Informationssicherheit und IKT-Sicherheit
• Bewertung des Stands der Sicherheit mit Reifegraden
• Visualisierung und Berichtswesen zu Entscheidern

Cyber-Risikosteuerung
Die Risikosteuerung der Cyber-Welt basiert auf einer Identifizierung und Bewertung von Risiken für die betroffenen Geschäftsprozesse des sicheren Netzbetriebs und deren verwendeter IKT. Ein Risiko ist einem Geschäftsprozess zugeordnet, da nur er eine sinnvolle Schadensbewertung machen kann. Die Annahme, die sich im IT-Sicherheitskatalog findet, nämlich einen Schaden für das Unternehmen alleine durch den Ausfall einer Komponente zu ermitteln, ist bei Netzbetreibern nicht anwendbar.
Risiko ist allgemein definiert als Eintrittswahrscheinlichkeit einer Gefährdung für einen Unternehmenswert, multipliziert mit der Auswirkung bei Eintritt dieser Gefährdung. Besondere Bedeutung bekommt die Gefährdungseinschätzung und die Ableitung geeigneter Maßnahmen zur Risikoreduktion entlang der geforderten ISO-Standards. Dies ist sehr oft eine persönliche Einschätzung von Mitarbeitern. Eine Herausforderung ist somit, diese Ergebnisse über die verschiedenen Zertifierungszeiträume nachvollziehbar zu gestalten, insbesondere bei Personalwechsel. Kommt es zu Vorfällen in der Zukunft, müssen ggfs. die Entscheidungen und die zu Grunde gelegenen Einschätzungen nachweisbar sein.
Ein weiterer Aspekt ist die Schwierigkeit, Eintrittswahrscheinlichkeiten für Gefährdungen zu ermitteln. Die Verwendung von Wahrscheinlichkeit ist nur bei einer großen Zahl von unabhängigen und wiederholbaren Ereignissen sinnvoll nutzbar. Dies ist aber bei vorsätzlichen Handlungen nicht gegeben, denn ein Täter handelt individuell und reagiert auf Widerstände und Sicherheitsmaßnahmen. Um dies in die Risikobetrachtung einzubeziehen müssen andere Vorgehensweisen gewählt werden.

Empfohlene Aufgaben aus diesem Themenfeld sind:
• Risikosteuerung auf Unternehmens- und nicht auf IKT- bzw. Komponentenebene
• Langfristige Nachvollziehbarkeit der Ergebnisse der Risikoprozesse
• Gesonderte Betrachtung von vorsätzlich schädigenden Handlungen im Cyber-Raum

Resiliente Sicherheitsarchitektur
Eine resiliente Sicherheitsarchitektur ist dann gegeben, wenn Prävention, Detektion und Reaktion optimal und übergreifend aufeinander abgestimmt und einer realen Bedrohungslage angepasst sind. Dazu sind die Projekte der digitalen Transformation einzubeziehen. Eine Sicherheitsarchitektur schließt die Betrachtung von technischen, organisatorischen und personellen Maßnahmen der logischen und physischen Sicherheit ein, orientiert sich an anerkannten Sicherheitsprinzipien und erlaubt eine Bewertung der Sicherheitsleistung über entsprechende Cyber-Metriken.
Der aus dem IT-Sicherheitskatalog bekannte Stand der Technik wird allgemein als Umsetzung der ISO-Normen 27002 und 27019 verstanden. Diese spiegeln jedoch nur ein allgemeines Sicherheitsniveau wider, das sich aber nicht im Gleichschritt mit der wachsenden Bedrohungslage weiterentwickelt. Da Stand der Technik ein juristisch gebräuchlicher Begriff ist, ist er mit Vorsicht zu genießen. Bei einem Vorfall in der Zukunft, bei dem es zu einem juristischen Verfahren kommt, würde ein unabhängiger Gutachter die Implementierung der Schutzmaßnahmen gegen die zu diesem Zeitpunkt bestehende Bedrohungslage bewerten. Ein statisches Sicherheitskonzept oder statische Maßnahmenumsetzung entlang des ISO 27000-Standards sind deshalb nicht ausreichend und bergen eine juristische und eine reale Gefahr. Um Sicherheit nach Stand der Technik umzusetzen muss eine Anpassung des eigenen Sicherheitsniveaus an das sich ständig verändernde Bedrohungsniveau stattfinden, um in der Zukunft hinsichtlich Haftungsfragen und realen Gefahren gewappnet zu sein und eine resiliente Sicherheitsarchitektur aufrecht zu erhalten.
Ein relevantes Element zur Erreichung der Resilienz im sicheren Netzbetrieb ist der Umgang mit IKT-Schwachstellen und IKT-Vorfällen, insbesondere bei der Sekundärtechnik. Vom Gesetzgeber wird ein unverzügliches Handeln erwartet. Unverzüglich heißt: ohne eigenes Verschulden. Dies kann so ausgelegt werden, dass man sehr zeitnah über Schwachstellen informiert sein und sich mit Vorfällen beschäftigen muss, sich also weiterbilden muss, um selbst Sachverhalte erkennen und bewerten zu können, sofort entscheiden und damit unverzüglich handeln zu können.

Empfohlene Aufgaben aus diesem Themenfeld sind:
• Entwicklung einer übergreifenden, ganzheitlichen und messbaren Sicherheitsarchitektur
• Anpassung des Sicherheitsniveaus entlang der sich verändernden Bedrohungssituation
• Fokus auf Sicherheit in der IKT-Lieferkette
• Teilnahme an Information Sharing- und Threat Intelligence-Prozessen

Cyber-Response und Cyber-Verteidigung
Eine weitere Herausforderung ist das Erkennen von Angriffen. Hierzu kommen mehr und mehr Lösungen auf den Markt, auch bekannt als OT-Security. OT steht für Operational Technology und meint industrielle Steuerungssysteme, bei Netzbetreibern also die Sekundärtechnik. Stichwort für die Überwachung dieser Umgebungen auf Angriffe ist das SOC, das Security Operation Center. Solche Center existieren schon in anderen Sektoren, die mit digitalen Werten umgehen wie z.B. der Telekommunikation, sind jedoch im Energiesektor noch nicht sehr weit verbreitet und auch schwierig zu implementieren, da hier die cyber-physische Welt der Energieversorgung abgebildet werden muss. Es gibt jedoch internationale Forschungsinstitute, die sich diesem Thema angenommen haben und aktuell Referenzarchitekturen entwickeln.
Werden Angriffe erkannt, ist eine Reaktion zu überlegen. Um situationsangemessene Handlungsfähigkeit zu erreichen, müssen verschiedene Aspekte einbezogen werden. Ein Aspekt ist die Frage, mit welcher Bedrohung man es zu tun hat. Hier ist ein Spektrum vom Skript Kiddy bis hin zu einer terroristischen oder militärischen Aktion denkbar und zu unterscheiden. Dabei ist zu berücksichtigen, dass bei physischen Angriffen von terroristischer oder militärischer Qualität der Staat in der Verantwortung ist und auch über entsprechende Verteidigungsmöglichkeiten verfügt, von der Polizei über SEKs bis zum Militär. Solche Verteidigungsmöglichkeiten stehen auf der Cyber-Seite nicht zur Verfügung. Der Energieversorger ist hier auf sich alleine gestellt und muss die Verteidigung selbst organisieren. In dieser Diskussion gibt es Positionen, die sagen, dass wer sich an so etwas Gefährliches wie das Internet anschließt, muss auch selbst für den nötigen Schutz sorgen.
Cyber-Verteidigung bedeutet eine Vielzahl von Elementen.

Empfohlene Aufgaben aus diesem Themenfeld sind:
• Analyse und Auswertung von Threat Intelligence-Informationen
• Fähigkeit der Situationseinschätzung im Cyber-Angriffsfall
• Echtzeit-Reaktionsfähigkeit
• Aufbau von Notfall- und Krisenstrukturen für digitale Ereignisse.

Für weitere Informationen sprechen Sie Guido Gluschke an (g.gluschke@viccon.de).