Die Hürden für Hacker höher legen

Energieversorger wappnen sich mit immer größerem Aufwand gegen Cyberangriffe

Digitalisierung und Vernetzung kennzeichnen unseren Alltag. Damit steigt das Risiko, Opfer eines Cyberangriffs zu werden. Das gilt für Privatpersonen ebenso wie für Unternehmen. Der deutschen Industrie entsteht durch Cyber-Kriminalität – also durch Straftaten, die in der Anonymität der fast grenzenlosen Online-Welt geschehen – Schäden im Umfang von jährlich rund 43 Milliarden Euro, schätzt der Branchenverband Bitkom. Auch Energieversorger wie innogy werden immer öfter zum Ziel solcher Attacken. Sie ziehen alle Register, um Hackern stets eine Nasenlänge voraus zu sein.

Absolute Sicherheit ist Illusion – Angreifern die Arbeit erschweren

Wer kennt das nicht? Da trudelt die E-Mail eines vermeintlich bekannten Absenders ins Postfach ein, schnell draufgeklickt zum Drüberlesen – und schon nimmt das elektronische Unheil seinen Lauf. Plötzlich zickt der PC, es „ruckelt“ auf dem Bildschirm oder schlimmer noch: Nichts geht mehr und es erscheint womöglich eine Nachricht, die zur Zahlung einer stattlichen Menge an Bitcoins auffordert, um wieder Zugriff auf den Rechner zu bekommen. Was für den durchschnittlichen Computernutzer ein großes Ärgernis ist, könnte für Staat und Wirtschaft zur Zerreißprobe werden: Etwa, wenn die Energieversorgung einer ganzen Region als Folge eines Cyberangriffs ausfällt. 

„Absolute Sicherheit im IT-Bereich gibt es leider nicht. Aber die Hürden für Angreifer lassen sich stetig höher legen“, beschreibt Hildegard Müller, Vorstand Netz & Infrastruktur der innogy, die Herausforderung. Es ist wie beim Rennen zwischen Hase und Igel: Die rund 1.600 Unternehmen der Strom- und Gaswirtschaft, die zu den so genannten Betreibern kritischer Infrastruktur in Deutschland zählen, müssen immer wieder versuchen, schneller oder besser zu sein als die kriminellen Hacker. Denn diese sind findig und meist gut organisiert, wenn es darum geht, einen neuen Weg in die Rechner und Systeme der KRITIS-Betreiber zu suchen. Hinter dem Begriff „Kritische Infrastrukturen“ (= KRITIS) verbergen sich in Deutschland Organisationen und Einrichtungen, deren Wirken eine wichtige Bedeutung für das staatliche Gemeinwesen hat. Soll heißen: Fallen sie aus oder ist ihre Arbeit beeinträchtigt, können Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten. In Deutschland werden insgesamt neun Sektoren und Branchen den Kritischen Infrastrukturen zugerechnet:


  • Transport und Verkehr (Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik)
  • Energie (Elektrizität, Mineralöl, Gas)
  • Informationstechnik und Telekommunikation (Telekommunikation, Informationstechnik)
  • Finanz- und Versicherungswesen (Banken, Versicherungen, Finanzdienstleister, Börsen)
  • Staat und Verwaltung (Regierung und Verwaltung, Parlament, Justizeinrichtungen, Notfall- und Rettungswesen einschließlich Katastrophenschutz)
  • Ernährung (Ernährungswirtschaft, Lebensmittelhandel)
  • Wasser (Öffentliche Wasserversorgung, öffentliche Abwasserbeseitigung)
  • Gesundheit (Medizinische Versorgung, Arzneimittel und Impfstoffe, Labore)
  • Medien und Kultur (Rundfunk, gedruckte und elektronische Presse, Kulturgut, symbolträchtige Bauwerke)

Unternehmen oder Organisationen, die zu diesem Kreis zählen, müssen daher besondere Sorgfalt an den Tag legen. So sind sie beispielsweise gesetzlich verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um ein definiertes Maß an IT-Sicherheit gewährleisten zu können. Doch was verbirgt sich genau dahinter? Der Gesetzgeber hält sich eher zurück mit konkreten Vorgaben und gibt den Unternehmen lediglich einen Rahmen vor für Schutzmaßnahmen. Sicherheitsvorfälle sind zum Beispiel dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Das BSI wiederum stellt die aus solchen Meldungen gewonnenen Erkenntnisse den Betreibern zur Verfügung. Das ist notwendig für die Unternehmen, um zu lernen, Konsequenzen zu ziehen und weitere Schutzmaßnahmen entwickeln zu können. Der Austausch von Informationen und Erkenntnissen zwischen Behörden und Unternehmen, aber auch der Erfahrungsaustausch innerhalb der Wirtschaft ist daher ein wichtiges Instrument im Wettlauf zwischen Hackern und Datenschützern.

Sicherheitskonzept mit Blick auf Technik, Prozesse und Verhaltensweisen

Das kontinuierliche Analysieren der Gefährdungslage ist jedoch nur ein Baustein im Sicherheitskonzept von innogy. Denn klar ist: Antivirensoftware und Firewalls wehren Schadsoftware ab, sie sind jedoch kein Allheilmittel gegen die zunehmend hochkomplexen und gezielten Cyberattacken. „Wir verfolgen daher einen Rundum-Ansatz und betrachten unter Sicherheitsaspekten nicht nur die Technologie, sondern auch unsere Prozesse und das Verhalten der Beschäftigten“, erläutert Hildegard Müller. Das Team der Konzernsicherheit von innogy hat dazu eine Strategie entwickelt, die das Vorbeugen, Aufspüren und Umsetzen von Gegenmaßnahmen miteinander kombiniert. Bestandteil der Sicherheitskultur sind eine ganze Fülle von vorbeugenden Maßnahmen, um etwa Mitarbeiter und Dienstleister über Gefahrenpotenziale zu informieren: Schulungen, Weiterbildungsmaßnahmen oder beispielsweise simulierte Phishing-Angriffe sensibilisieren für mögliche Gefahren und zeigen, wie man sich im Falle einer Cyber-Attacke verhalten sollte. 

Da Unternehmen wie innogy längst nicht alle technischen Komponenten und Systeme selber entwickeln, liegt auch großes Augenmerk auf der Zusammenarbeit mit Lieferanten und Dienstleistern. Produkte gemeinsam verbessern, lautet das Ziel. In der Praxis funktioniert das leider nicht immer, gelegentlich müssen Anwender und IT-Experten der innogy quasi selber Hand anlegen. Dabei geht es oft um vermeintlich banale Aspekte. So werden beispielsweise Schwachstellen in Programmen nicht immer von den Herstellern sofort beseitigt. Der Wunsch: schnellere Patches! Verbreitet ist auch, Software und Anlagen mit Standard-Passwörtern auszuliefern – und solche Passwörter („1-2-3-4“) bei der Installation nicht zu ändern. Auch dieses Problem lässt sich im Zweifel leicht beheben. Eine weitere Sorge treibt die KRITIS-Betreiber um: Mehr und mehr sind Terroristen, politisch motivierte Täter oder kriminelle Vereinigungen für Cyberattacken verantwortlich. „Die Bekämpfung solcher Gruppen muss hoheitliche Aufgabe bleiben und ist nicht Angelegenheit der Wirtschaft“, stellt Hildegard Müller klar. 

Mit Spannung blickt die Energiewirtschaft derzeit auf ein Vergabeverfahren der Bundesnetzagentur (BNetzA), das für die Sicherheit der Strom- und Gasnetze in Deutschland von hoher Bedeutung ist. Dabei geht es um die künftige Nutzung der 450-Megahertz-Frequenz im Funknetz. Sollte die Energieversorgung zusammenbrechen, müssen Netzbetreiber über Funk miteinander in Verbindung bleiben können. Herkömmliche Telekommunikationsnetze fallen ohne Strom jedoch nach wenigen Stunden aus. Der 450-MHz-Funk könnte dagegen über mehrere Tage hinweg betriebsbereit gehalten werden. Diese Frequenz ist außerdem besonders gut geeignet, um Kellerwände oder Betondecken zu durchdringen (Stichwort: Smart-Meter-Kommunikation!). Derzeit nutzen zwei Unternehmen die 450-MHz-Frequenz, die Lizenz dafür läuft Ende 2020 aus. Es haben sich neben der Energiewirtschaft weitere Interessenten gemeldet, die diese Frequenz künftig nutzen wollen. Die BNetzA prüft derzeit die Bedarfe und will im zweiten Halbjahr 2019 die Modalitäten zur Neuvergabe dieser Lizenzen festlegen. innogy und weitere Netzbetreiber haben großes Interesse daran, die 450-MHz-Funkfrequenz künftig nutzen zu können, um das Sicherheitsniveau im deutschen Stromnetz langfristig weiter zu stärken. 

Inzwischen zahlen sich die Bemühungen um mehr (Cyber-)sicherheit für innogy in mehrfacher Hinsicht aus: Das Unternehmen hat zahlreiche Auszeichnungen erhalten, jüngst zum zweiten Mal den CSO50 Award. Ausruhen kann sich das Team der Konzernsicherheit auf diesen Lorbeeren aber leider nicht …

Worauf jeder PC-Nutzer achten sollte

  • Passwörter einzigartig und so gestalten, dass sie schwer zu erraten sind!

  • Login-Daten oder Passwörter niemals aufschreiben oder weitergeben!

  • PC, Handy oder Tablets niemals ungeschützt liegenlassen!

  • Vorsicht bei Mails oder Anrufen unbekannter Herkunft!

Am 22. Mai in Berlin stellen Hildegard Müller, Vorstand Netz & Infrastruktur der innogy SE und Florian Haacke, Leiter Konzernsicherheit, das Sicherheitskonzept der innogy vor. Gemeinsam mit Volker Wagner, Vorstandsvorsitzender des Bundesverbandes Allianz für Sicherheit in der Wirtschaft (ASW) und Gästen aus Politik und Wirtschaft diskutieren sie beim innogy Talk darüber, wie die Cybersicherheit zu stärken ist.

Ihr innogy Politik-Team

Haben Sie eine Frage?

Erfahren Sie mehr

Innovation und Technik

Unser Engagement für neue Produkte, Geschäftsmodelle und Technologien

Nachhaltigkeit

Projekte

Mehrwert für unsere Kunden