Freitag, 22. November 2024

InterviewBasis schaffen für resiliente Systeme

[03.05.2023] Der Schutz Kritischer Infrastrukturen rückt durch die veränderte Sicherheitslage in Europa immer mehr in den Fokus. stadt+werk sprach mit Manuel Atug, Sprecher der AG KRITIS, über resiliente Energiesysteme und die Gefahren durch Cyber-Angriffe.
Manuel Atug

Manuel Atug

(Bildquelle: privat)

Herr Atug, welche Aufgaben und Ziele hat sich die Arbeitsgruppe KRITIS gesetzt?

Die Arbeitsgruppe KRITIS ist eine unabhängige Interessengemeinschaft, die sich dem Schutz Kritischer Infrastrukturen verschrieben hat. Derzeit besteht sie aus 42 Fachleuten, die an der Planung, dem Bau und der Prüfung dieser Infrastrukturen beteiligt sind. Unser Ziel ist es, Kritische Infrastrukturen angemessen zu schützen und im Falle einer Störung reaktiv zu handeln. Dabei arbeiten wir unabhängig von Staat und Wirtschaft, um unsere Expertise und Erfahrung bestmöglich für die Sicherheit der Bevölkerung einzusetzen.

Derzeit ist viel von Resilienz die Rede. Was heißt das im Zusammenhang mit Kritischen Infrastrukturen?

Resilienz bezeichnet die Fähigkeit eines Systems, sich auf unvorhergesehene Ereignisse einzustellen und so widerstandsfähig gegen diese zu sein. Kritische Infrastrukturen, wie beispielsweise das Energiesystem, sind besonders anfällig für Störungen, die zu schwerwiegenden Folgen führen können. Doch durch geeignete Reaktionen und Vorkehrungen können Krisen und Katastrophen vermieden werden. Eine schnelle und effektive Reaktion auf Störungen kann dazu beitragen, dass diese nicht in einer Krise eskalieren. In diesem Sinne sind Störungen in Ordnung, solange sie angemessen gehandhabt werden.

Die Digitalisierung des Energiesystems ist eine Voraussetzung für das Gelingen der Energiewende. Was ist dabei zu beachten?

Eine schlecht umgesetzte Digitalisierung kann das Risiko von Cyber-Sicherheitsvorfällen erhöhen. Besonders bei der Digitalisierung des Energiesystems ist es wichtig, Security by Design und Privacy by Design zu berücksichtigen. Wenn dies vernachlässigt wird, führt das langfristig zu Sicherheitsproblemen. Komponenten wie etwa Smart Meter haben eine lange Lebensdauer von Jahrzehnten. Entscheidungen und Maßnahmen in der IT-Sicherheit und beim Datenschutz können langfristige Auswirkungen haben. Nur wenn wir jetzt die richtigen Entscheidungen treffen, können wir eine sichere und nachhaltige Zukunft für uns und kommende Generationen schaffen.

Worauf kommt es also an?

Wir müssen erkennen, dass mangelnde IT-Sicherheit nicht nur die digitale Welt betrifft, sondern auch Auswirkungen hat auf die physische Welt und damit auf uns Menschen. Die Bedeutung der IT-Sicherheit für den Schutz zukünftiger Generationen wird heute leider oft unterschätzt. Würden wir uns bewusst machen, dass Datenschutz und IT-Sicherheit nicht nur aktuell wichtig sind, sondern auch langfristig nachhaltige Lösungen bieten, hätten diese Themen einen anderen Stellenwert.

Wie können Stadtwerke zum Erfolg der Energiewende beitragen?

Um die Energiewende langfristig erfolgreich umzusetzen, müssen auf Bundes- und Landesebene strategische Entscheidungen getroffen werden, wie die Umstellung auf erneuerbare Energien grundsätzlich ausgerichtet werden soll. Stadtwerke können solche Entscheidungen nicht treffen, aber einfordern. Die Vergangenheit hat allerdings gezeigt, dass politische Entscheidungen nicht immer sinnvoll sind. Ganze Branchen wurden durch falsche Regulierungen fehlgeleitet, und es gibt immer noch Stimmen, die Atomkraftwerke weiterlaufen lassen wollen. Aus KRITIS-Sicht sind zentrale Kraftwerke anfälliger für Angriffe. Angesichts des russischen Angriffskriegs gegen die Ukraine müssen wir die Sicherheit des Energiesystems ernsthaft in Betracht ziehen. Das können Stadtwerke nicht alleine tun. Es bedarf einer Zusammenarbeit zwischen verschiedenen Akteuren, um Kritische Infrastrukturen abzusichern.

Ist es positiv zu bewerten, dass die Resilienz des Gesamtsystems durch die Dezentralität und die damit verbundene Nutzung vieler unterschiedlicher Systeme erhöht wird?

Ein dezentrales Energienetz mit vielen kleinen Einspeisern ist natürlich schwieriger anzugreifen als wenige große Kraftwerke. Wenn allerdings alle Anlagen über die Cloud verbunden sind, reicht es, die zentrale Steuerung anzugreifen. Eine Lösung wäre ein Netz mit vielen dezentralen Kraftwerken, die durch Batteriespeicher als Puffer stabilisiert werden. Solche Szenarien im Energienetz sind noch nicht ausreichend erforscht, da der Fokus offenbar lieber auf Glitzer-Technologien wie künstliche Intelligenz und Blockchain gelegt wird, die jedoch wieder Zentralität und damit weniger Resilienz bedeuten können. Inselnetzwerke könnten eine Alternative bieten, sind jedoch kaum vorhanden und werden weder angeboten noch staatlich gefördert.

Es heißt, der bisherige Schwerpunkt der klassischen IT-Sicherheit müsse zu einem ganzheitlichen Ansatz der Cyber-Sicherheit weiterentwickelt werden. Was bedeutet das?

Die IT-Sicherheit war lange Zeit ein rein technisches Thema, bei dem die IT-Abteilung für die Sicherheit der Systeme zuständig war. Doch diese Herangehensweise reicht heutzutage nicht mehr aus, da neue Bedrohungen wie Phishing aufkommen und IT-Systeme nicht in der Lage sind, solche Angriffe zu verhindern. Deshalb müssen nicht nur die Anwender geschult werden, sondern auch die Hersteller müssen ihre Systeme so gestalten, dass sie vor Angriffen geschützt sind. Um IT-Systeme zu schützen, sind auch organisatorische Maßnahmen wie Richtlinien und Anpassungen der Arbeitsabläufe notwendig, um Sicherheits-Know-how in alle Bereiche zu bringen. Die Verantwortung für die IT-Sicherheit liegt also nicht allein bei der IT-Abteilung, sondern auch die Geschäftsführung ist gefordert, entsprechende Maßnahmen zu ergreifen.

„Einem KRITIS-Betreiber kann es völlig egal sein, wer der Täter ist.“
Die Häufigkeit und Schwere von Cyber-Angriffen auf die IT-Infrastrukturen von Stadtwerken haben zugenommen. Was können kommunale Versorger konkret tun, um ihre IT-Systeme zu schützen?

Die Stadtwerke müssen zunächst erkennen, dass die IT-Sicherheit alle Mitarbeiterinnen und Mitarbeiter betrifft. Die Geschäftsleitung muss den Willen haben, Cyber-Sicherheit umzusetzen und ganzheitlich zu betrachten. Die Mitarbeitenden müssen geschult werden, wie Sicherheitsrisiken minimiert werden können. Und es muss eine positive Fehlerkultur etabliert werden.

Für wie wahrscheinlich halten Sie es, dass ein Cyber-Angriff zu einem Blackout in Deutschland führt?

Ein Blackout ist sehr unwahrscheinlich, ob durch einen Cyber-Angriff oder andere Ereignisse. Dies könnte sich in Zukunft durch eine schlechte Digitalisierung des Energiesystems ändern. Ein Beispiel ist die Fernwartung von Energieanlagen. Ich habe mir das als KRITIS-Auditor angeschaut und muss sagen, es sieht sicherheitstechnisch düster aus. Anstatt die Fernwartung sicher zu machen, wird den KRITIS-Betreibern vorgeschrieben, dass sie Angriffserkennungssysteme einführen müssen. Das kann man machen, wenn man eine sichere Umgebung hat und keine offenen Scheunentore wie bei der Fernwartung. Aber heute ist es einfacher, einen Blackout durch physische Maßnahmen herbeizuführen als durch einen Cyber-Angriff.

War Russlands Krieg gegen die Ukraine hierzulande ein Weckruf für mehr Cyber-Sicherheit?

Im Moment sehe ich keinen Weckruf, außer vielleicht für die Rüstungsindustrie. Im Bereich der Cyber-Sicherheit geht es bei uns darum, wer der Täter war und wie das Lagebild aussieht. Einem KRITIS-Betreiber kann es aber völlig egal sein, wer der Täter ist. Ich kann nur sagen: Egal, ob es eine Ransomware-Bande, ein Cyber-Hooligan oder ein Geheimdienst war, ihr müsst ein Back-up haben. Also: Kümmert euch nicht um Täter oder Lagebilder, sondern schafft die Basis-Infrastruktur für sichere, resiliente IT-Systeme.

Interview: Alexander Schaeff

Im Interview, Manuel AtugManuel Atug ist Gründer und Sprecher der Arbeitsgruppe KRITIS. Beruflich ist er als IT-Sicherheitsberater in einem Beratungshaus tätig und unterstützt Organisationen bei der Einführung von Informationssicherheits-­Management-Systemen. Seine Themenschwerpunkte sind KRITIS, Cyber Resilience sowie Bevölkerungs- und Katastrophenschutz.



Anzeige

Weitere Meldungen und Beiträge aus dem Bereich: Informationstechnik
Metering as a Service bietet Wasserversorgern eine Komplettlösung zur digitalen Messwerterfassung. Foto: iStock

Zenner / EMT: Praxisnähe auf Metering Days

[13.11.2024] Die Unternehmen Zenner International und aktiver EMT werden auch in diesem Jahr an den Metering Days in Fulda teilnehmen. mehr...

Der IT-Anbieter KISTERS belegt Effizienz seiner Maßnahmen für IT-Security mit Zertifizierung nach SOC 2 Typ II und BSI C5 Typ II. Bild: KISTERS

Kisters: IT-Security zertifiziert

[12.11.2024] Kisters belegt Effizienz der Maßnahmen für IT-Security mit Zertifizierung nach SOC 2 Typ 2 und BSI C5 Typ 2. mehr...

Das Bild zeigt das Titelblatt des Leitfadens Künstliche Intelligenz (KI) in Fernwärme.

dena: KI in Fernwärmenetzen

[11.11.2024] Konkrete Handlungsempfehlungen und Praxisbeispiele für eine effizientere und klimafreundlichere Fernwärmeversorgung mithilfe von Künstlicher Intelligenz (KI) hat die dena veröffentlicht. mehr...

Das Bild zeigt ein blau hinterleuchtetes SAP-Logo in einer schwarzen Wabe.
bericht

cortility: IT-Ausblick für 2025

[04.11.2024] Ab 2025 müssen sich die Energieversorger der Herausforderung des Lieferantenwechsels innerhalb von 24 Stunden stellen. Zudem werden dynamische Tarife und zeitvariable Netzentgelte eingeführt – und die Migration auf SAP S/4 HANA steht an. Was bedeutet das für die Prozesse im Stadtwerk? Ein Ausblick des IT-Dienstleisters cortility. mehr...

WAGO: Lösungen für Cybersecurity

[29.10.2024] Unter dem Motto „OPEN. For Smart Industry Solutions“ präsentiert WAGO auf der SPS – Smart Production Solutions in Nürnberg seine neuesten Entwicklungen aus den Bereichen OT-Security und Energiemanagement. mehr...

Somentec: Start einer AS4-Komplettlösung für den Gasmarkt

[28.10.2024] Somentec bringt gemeinsam mit SHERPA-X eine AS4-Komplettlösung für den Gasmarkt auf den Weg. Die praxiserprobte Plattform, die für den sicheren Austausch von B2B-Nachrichten entwickelt wurde, steht Gasversorgern ab sofort zur Verfügung und wird ab dem 1. April 2025 für alle Marktteilnehmer verbindlich. mehr...

Die Aufgabe von SAP Basis ist es

Support: Externe Unterstützung

[14.10.2024] Das IT-Haus cortility bietet Unternehmen der Energiewirtschaft das Dienstleistungspaket SAP Basis Support an. Das Spektrum reicht dabei von der temporären Unterstützung des Kundenteams bis zur Übernahme der Gesamtverantwortung. mehr...

SHERPA-X: AS4-Lösung für den Gasmarkt

[02.10.2024] Im deutschen Gasmarkt startet die Kommunikation über den AS4-Standard. SHERPA-X bietet den Marktteilnehmern mit einer End-to-End-Lösung umfassende Unterstützung, um die Umstellung schnell und effizient zu gestalten. mehr...

SachsenEnergie: GISA unterstützt bei SAP-Systemen

[01.10.2024] Der IT-Dienstleister GISA unterstützt SachsenEnergie bei der Betreuung ihrer SAP IS-U Systeme. Ziel ist es, den Fachbereich von Transformationsprojekten zu entlasten und Prozesse wie Kundenservice, Abrechnung und Marktkommunikation zu optimieren. mehr...

Mit der neue Aus- und Weiterbildungsplattform von Wilken können sich Mitarbeiterinnen und Mitarbeiter von Stadtwerken und Energieversorgern weiterbilden.

Wilken Software Group: Online-Plattform zur Weiterbildung

[01.10.2024] Die Wilken Software Group hat eine neue Aus- und Weiterbildungsplattform für Fachkräfte und Anwender in der Versorgungswirtschaft gestartet. Das Angebot soll Unternehmen dabei unterstützen, sich angesichts steigender Marktanforderungen und des Fachkräftemangels auf regulatorische Veränderungen vorzubereiten. mehr...

SAP will digitale Souveränität stärken und investiert in sichere Cloudlösungen für den öffentlichen Sektor.

SAP: Milliarden für sichere Cloudlösungen

[20.09.2024] In den kommenden zehn Jahren will SAP mehr als zwei Milliarden Euro in die Entwicklung hochsicherer Cloudlösungen für den öffentlichen Sektor und stark regulierte Branchen investieren. mehr...

GISA: BI-Angebot erweitert

[09.09.2024] Der IT-Dienstleister GISA verstärkt sein Angebot im Bereich Business Intelligence (BI). Neben SAP-Lösungen bietet das Unternehmen nun auch BI-Beratung und -Implementierung für Microsoft Power BI, MicroStrategy und Open Source-Technologien an. mehr...

Griechenlands größter Stromversorger PPC setzt auf Kisters-Lösung für Prognose und Beschaffungsvorbereitung.

Kisters: Lösung für griechischen Versorger

[30.08.2024] Die Public Power Corporation (PPC), der größte Energieversorger Griechenlands, hat IT-Lösungen von Kisters implementiert, um seine Handels- und Beschaffungsstrategien auf den Strommärkten zu optimieren. mehr...

Vertragsunterzeichnung: Drei Stadtwerke wollen eine gemeinsame ERP-Plattform einführen.

Saarland: Drei Stadtwerke, eine Plattform

[28.08.2024] Die Stadtwerke Saarlouis, Völklingen und Neunkirchen haben einen Kooperationsvertrag zur Einführung einer gemeinsamen ERP-Plattform unterzeichnet. Ziel ist es, Geschäftsprozesse zu optimieren und flexibler auf Kundenwünsche reagieren zu können. mehr...

Vorstellung der neuen Glasfaser-Ausbaugebiete in Osnabrück.

Osnabrück: Halbzeit beim Glasfaserausbau

[23.08.2024] Für den Glasfaserausbau in Osnabrück ist Halbzeit. Zeit, die Ausbaugebiete für 2025 vorzustellen. mehr...