• Projekte & Cases

Die „dunkle Seite“ des Cyber-Space: Strategien zum Schutz vor Hackerangriffen

Russische Hacker attackieren deutsche Stromnetze“: Diese Schlagzeile war im Sommer 2018 überall in den Nachrichten und hat viele Menschen aufgeschreckt. Zu dieser Zeit war ich gerade für innogy Consulting auf dem Projekt JEDI mit dem Ziel der Verbesserung der Cyber-Sicherheit bei innogy eingesetzt und habe mit Thomas Krauhausen, dem Head of Cyber Security bei innogy, darüber gesprochen, wie wir unser Unternehmen vor Cyber-Angriffen schützen können. So viel vorab: Ganz so galaktisch, wie sich das Projekt JEDI anhört, ist es in Wahrheit gar nicht und selbst für Leser ohne umfassende IT-Kenntnisse ein spannendes Thema:

David Gölz: Ich muss gestehen: Bevor ich angefangen habe, auf dem Cyber Sicherheit Projekt JEDI zu arbeiten, kannte ich deine Rolle des Head of Cyber Security gar nicht. Vielleicht könntest du denjenigen, denen es ebenso geht, kurz beschreiben, was deine Aufgaben sind?

Thomas Krauhausen: Meine Teams und ich sind dafür verantwortlich, innogy vor sämtlichen IT-Gefahren zu schützen. Dazu gehören Bedrohungen von außen wie z. B. durch Hackerangriffe aber auch von innen, z. B. durch die beabsichtige oder unbeabsichtigte Weitergabe von Unternehmensinformation nach außen.

David Gölz: Zum Thema Hackerangriffe: Im Sommer hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor russischen Hackerangriffen auf deutsche Energieversorger gewarnt. Wie hat innogy auf diese Nachricht reagiert und was bedeutet das für uns?

Thomas Krauhausen: Mit unseren Stromnetzen betreiben wir eine sogenannte kritische Infrastruktur, der eine große Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen zukommt. Aufgrund dieser großen Verantwortung haben wir grundsätzlich hohe Anforderungen an unsere IT-Sicherheit. Die Nachricht im Sommer war für uns zu diesem Zeitpunkt keine neue Information, da wir hierzu schon seit über einem Jahr mit dem BSI im Austausch standen und seitdem unsere Sicherheitsmaßnahmen weiter ausgebaut haben. Dies lässt sich anhand unserer Zertifizierung nach dem IT-Sicherheitskatalog nachverfolgen, die in Deutschland für Energieversorger verpflichtend ist. Wir sind also vorbereitet und wurden von der Nachricht nicht überrascht. Diese wurde lediglich erst damals von den Behörden der Öffentlichkeit bekannt gemacht.

David Gölz: Und wurde innogy bereits von Hackern angegriffen?

Thomas Krauhausen: Wir haben eine spezielle Einheit von Cyber-Sicherheitsexperten – das Cyber Analysis and Incident Response Team, das kontinuierlich unser IT-Netzwerk überwacht und verdächtige Aktivitäten identifiziert. Bisher haben diese keine größeren Hacking-Angriffe festgestellt. Dennoch muss man sich bewusst sein, dass wir täglich mit kleineren Angriffen konfrontiert sind. Dabei muss man aber zwischen verschiedenen Arten von Hackerangriffen unterscheiden und sollte nicht bei jeder Nachricht in Panik verfallen.

David Gölz: Welche Arten von Hackerangriffen gibt es und wie unterscheiden sich diese?

Thomas Krauhausen: Grundsätzlich kann man vereinfacht zwischen drei Stufen von Hackerangriffen auf Energieversorgungsunternehmen unterscheiden:

  • Stufe 1: Zugriff auf das Unternehmens-IT-Netzwerk
    Hierbei handelt es sich um Angriffe, die auf unsere firmeneigenen E-Mail-Accounts, Server oder Websites abzielen. Diese Angriffe beschränken sich aber auf die IT-Netzwerke für Bürokommunikation (E-Mail, Internetauftritt usw.) und betreffen nicht die speziell abgetrennten IT-Netzwerke zum Betrieb der Stromnetze. Beispiele hierfür sind Phishing-E-Mails oder infizierte Websites im Rahmen klassischer Cyber-Kriminalität oder Wirtschaftsspionage, von der große Unternehmen täglich betroffen sind.

  • Stufe 2: Zugriff auf die IT-Netzwerke zur Steuerung der Stromnetze
    In diesem Fall gelingt es den Angreifern, in die speziellen IT-Netzwerke einzudringen, die zur Steuerung der Stromnetze genutzt werden. Auch wenn die Angreifer Zugriff auf die Steuerungsnetzwerke bekommen, so sind sie in dieser Stufe nicht in der Lage, den Betrieb der Stromnetze signifikant zu stören. Da verschiedenste, automatisierte Sicherheitsmechanismen die Stabilität der europaweit verbundenen Netze sicherstellen. Bisher gibt es nur wenige Fälle in den USA, in denen es Angreifern gelang, in die operativen Steuerungsnetze von Netzbetreibern einzudringen – gleichzeitig ist die Dunkelziffer aber sehr hoch.

  • Stufe 3: Koordinierter Angriff auf die Stromnetze mit physischen Auswirkungen
    Im schlimmsten Fall sind Hacker in der Lage, die Stromnetze umfangreich zu stören. Die Angreifer haben dann sozusagen „die Hand am Schalter“ der Netzsteuerungssysteme. Im bisher ersten und einzigen bestätigten Fall eines durch Hacker ausgelösten Blackouts in der Ukraine im Jahr 2015 und im Jahr 2016 mussten die Angreifer manuell dutzende Leistungsschalter in drei verschiedenen Einrichtungen im Land über Fernzugriffe öffnen.


Wir bei innogy überwachen, analysieren und reporten die Aktivitäten in unseren Systemen sehr detailliert. So messen wir die Anzahl sicherheitsrelevante IT-Vorfälle, das heißt Situationen in denen Angreifer versuchen Zugang zu unseren Systemen zu bekommen (vor Stufe 1). Bei Bedrohungen die Cyber forensischen Analysen erfordern (Stufe 1-3), setzen wir unsere Experten ein, um die Störungen IT-technisch zu analysieren, Schwachstellen zu identifizieren und Gegenmaßnahmen zu entwickeln. Ab Stufe 2 sprechen wir von Meldepflichtigen Ereignissen nach deutschem IT Sicherheitsgesetz, da diese Einfluss auf kritische Infrastruktur haben oder haben können. Diese hatten wir bei innogy bisher nicht.

David Gölz: Nicht jeder Angriff auf Energieversorger bedeutet also automatisch eine Gefahr für die Stromnetze. Was macht also innogy, um die verschiedenen Stufen und insbesondere den schlimmsten Fall zu verhindern?

Thomas Krauhausen: Neben verschiedenster technischer Schutzmaßnahmen ist es wichtig, unsere Mitarbeiter weiterzubilden. Hierfür werden wir im 1. Halbjahr 2019 ein hochmodernes Trainingscenter eröffnen, die CyberRange-e. In diesem werden wir unsere Mitarbeiter mit sogenannten War Gameing-Methoden schulen. Dieses ermöglicht simulierte Angriffe gegen das Stromnetz in der realen Umgebung einer Trainingsschaltwarte. So werden die Mitarbeiter trainiert, Bedrohungen rechtzeitig zu erkennen. Sie können die passenden Schutz- und Abwehrmaßnahmen testen, den Ernstfall einer Cyber-Attacke in unterschiedlicher Intensität üben und in einem echten Notfall schnell und zielgerichtet reagieren. Insgesamt sind unsere IT-Netzwerke zur Steuerung der Stromnetze bereits sehr gut geschützt. Um die Sicherheit weiter zu erhöhen, verbessern wir aktuell den Schutz unseres klassischen Firmen-IT-Netzwerkes, da hier der Großteil aller Angriffe erfolgt – wie erwähnt unter anderem durch Phishing Mails oder Schadsoftware auf Websites.

David Gölz: Welche Maßnahmen treffen wir, um die Sicherheit des IT-Netzwerkes zu verbessern?

Thomas Krauhausen: Wir treiben verschiedenste Projekte voran, um die Sicherheit zu erhöhen. In den häufigsten Fällen ist das menschliche Verhalten die größte Gefahr für Angriffe, z. B. wenn unbekannte USB-Sticks benutzt oder Anhänge und Links in unbekannten E-Mails geöffnet werden. Um unsere Kollegen und Kolleginnen zu informieren und für Cyber-Sicherheit zu sensibilisieren, haben wir die Human Firewall Campaign gestartet: Unter anderem versenden wir dabei im Rahmen der Kampagne harmlose Phishing Mails an Kollegen, um diese zu schulen, sie als solche zu identifizieren.

David Gölz: Die Mitarbeiter für das Thema zu sensibilisieren, leuchtet ein. Natürlich denkt man bei Cyber-Sicherheit aber auch immer an IT. Was wird in diesem Bereich gemacht?

Thomas Krauhausen: Natürlich, die IT-Sicherheit ist neben dem menschlichen Verhalten der wichtigste Pfeiler unserer Cyber-Sicherheit. Um diese weiter zu verbessern, haben wir zu Beginn des Jahres ein großes Projekt in enger Zusammenarbeit mit der IT und mit Unterstützung durch innogy Consulting gestartet.

David Gölz: Ich selbst war ja Teil des Teams und habe euch bei der Steuerung des Programms unterstützt. Kannst du Außenstehenden erklären, wofür das Projekt JEDI steht?

Thomas Krauhausen: Der Begriff JEDI steht für Joint Enterprise Defence Initiative. Aus unserer Sicht ein ganz passender Name, stehen die JEDI doch im Film für die gute Seite in einem ewig dauernden Kampf gegen das Böse. Auch das Internet und die exponentiell zunehmende Vernetzung aller Dinge führen zu großen Vorteilen, aber eben auch zu neuen Angriffsvektoren, die eine nie dagewesene Dynamik und ein erhebliches Schadenspotenzial mit sich bringen. Mit dem JEDI Programm haben wir uns zum Ziel gesetzt, den messbaren Reifegrad der Cyber-Sicherheit mit zehn verschiedenen Initiativen zu verbessern, um auf die stetig ansteigenden und immer komplexeren digitalen Angriffe zu reagieren. Diese Initiativen beschäftigen sich mit Themen wie sichere Software-Entwicklung, Sicherheit von mobilen Geräten oder der sicheren Nutzung von Cloud-Diensten.

David Gölz: Wir sind im Projekt in sehr vielen Bereichen aktiv. Was sind konkrete Ergebnisse, die die Initiativen bereits umgesetzt haben, um die Sicherheit für innogy zu erhöhen?

Thomas Krauhausen: Trotz hoher Komplexität haben wir durch das JEDI-Programm bereits viele Maßnahmen umgesetzt und setzen agile Arbeitsmethoden ein, um Minimum Viable Products schnellstmöglich zu implementieren – wie etwa verschiedene Softwarelösungen, die konzernweit eingeführt wurden. Die eine Software hilft beispielsweise, das Öffnen von bösartigen Links und Anhängen in Emails zu vermeiden, während eine andere Lösung Smartphones und Tablets gegen Datenverlust oder Datendiebstahl schützt. Eine weitere Maßnahme im Rahmen des Projektes ist die Durchführung von Penetrationstests und Angriffssimulationen, in denen wir mit sogenannten White Hackern zusammenarbeiten, um Schwachstellen zu identifizieren und zu beheben, bevor diese ausgenutzt werden können. Zusätzlich werden wir in den nächsten Monaten unsere Entwickler in Bootcamps zum Thema sichere Software-Entwicklung weiterbilden und die Kooperation mit einem externen Dienstleister ausbauen, der uns im Falle eines großen Cybersicherheits-Vorfalls unterstützen kann.

David Gölz: Ich sehe, wir haben bereits einiges erreicht und haben noch weitere Verbesserungen unserer Cyber-Sicherheit geplant. Danke für das Interview, Tom, und weiterhin viel Erfolg beim Kampf gegen die „dunkle Seite“ des Cyber-Space.

Weiterempfehlen
  • Facebook
  • Twitter
  • LinkedIn
  • Xing

Ein Artikel von

David Gölz Consultant
Ihre berufliche Zukunft bei innogy Consulting Sie suchen eine neue Herausforderung mit einem Consulting Job in der Energiewirtschaft? Erfahren Sie mehr über die Perspektiven für Absolventen bei innogy Consulting.
Aktuelle Stellenangebote Sie möchten wie David Gölz spannende Projekte selbst mitgestalten? Finden Sie in unseren Stellenangeboten Ihren passenden Einstieg.

Ähnliche Artikel