Energieunternehmen stehen bezüglich der Cybersicherheit ihrer kritischen Infrastruktur von allen Seiten unter Druck. Der sich zuspitzende Fachkräftemangel steht einer immer dynamischeren Risikolandschaft und weitreichenderen Gesetzgebung gegenüber. Unternehmen müssen trotzdem schnell Wege finden, die eigene OT-Sicherheitskompetenz aufzubauen. 

Author: René Krause, Rhebo GmbH 

Zunahme von Cyberangriffen bedroht OT-Netze

Das potenzielle Risiko für OT-Netze nimmt ganz real zu. Der Cybersicherheitsexperte Paolo Passeri sammelt seit 2011 Berichte zu Cyberangriffen und wertet diese nach betroffenen Sektoren und Angriffsformen aus. Zwischen 2017 und 2022 nahmen demnach Cybervorfälle in den Kernsektoren mit OT-Netzen (u.a. Produktion, Energie, Telekommunikation) von rund 300 auf fast 1.400 pro Jahr zu1 (Abb. 1). Für die ersten drei Quartale im Jahr 2023 zählte er bereits 1.226 Vorfälle. Das entspricht einer Zunahme um 34 % im Vergleich zum Vorjahreszeitraum 2022.

Energieunternehmen werden geopolitisch relevante Ziele 

Im Mai 2023 wurden fast zwei Dutzend Energieversorgungsunternehmen in Dänemark Opfer verschiedener Cyberangriffe, die neue Schwachstellen auf Firewalls ausnutzen. Mehrere Betriebe gingen offline. In mindestens einem Fall wurde die Steuerung der Umspannwerke auf manuellen Betrieb umgestellt.  

Im Februar 2024 wurde die PSI Software, etablierter Zulieferer von Leittechnik-Systemen, Opfer eines Ransomware-Angriffs. Die PSI reagierte als Kritische Infrastruktur schnell und professionell, um Schlimmeres zu verhindern. Zudem können PSI-Kunden den Kern ihrer Leittechnik seit 2023 mit dem netzwerkbasierten Angriffserkennungssystem (NIDS) von Landis+Gyr’s OT-Sicherheitsfirma Rhebo vor Sicherheitsvorfällen schützen2. Dennoch hat der Fall das Potential eines Supply Chain Compromise wie bei Solarwinds 2020, bei dem die eigentlichen Zielunternehmen (u.a. Microsoft und verschiedene US-Behörden) über ein Zuliefer- oder Dienstleistungsunternehmen angegriffen wurden. 

Die OT ist eine Achillesferse 

Die Quelle der meisten Sicherheitsvorfälle fand sich bislang zwar fast ausschließlich in der Unternehmens-IT. Leider bedeutet das jedoch keine Entwarnung für die OT-Netze, denn die OT ist längst keine abgeschottete Insel mehr. Industrielle Anlagen sind eng verzahnt mit der Unternehmens-IT.   

Neben der Verbindung in die IT ist seit eh und je auch die OT selbst die Achillesferse der Cybersicherheit. Die US-amerikanische Cybersecurity & Infrastructure Security Agency (CISA) veröffentlichte 2023 insgesamt 415 Advisories für neu entdeckte Schwachstellen in Steuerungstechnik-Komponenten (ICS advisories).  

Bei Schwachstellenbewertungen in den OT-Netzen von vor allem Verteilnetzbetreibern und Stadtwerken hat Landis+Gyr’s Cybersicherheitsfirma Rhebo im Jahr 2023 durchschnittlich bestehende 26 Risikotypen je OT-Netzwerk identifiziert (Abb. 2). 

NIS2 verschärft den Fachkräftemangel  

Diese großflächige Risikoexposition der OT kollidiert mit dem bestehenden ˗̶  wenn nicht sogar eskalierenden - Fachkräftemangel in der OT-Sicherheit. 

Bereits 2022 hat sich die weltweite Lücke zwischen Bedarf und Angebot an Fachpersonal im Bereich Cybersecurity zum Vorjahr um 26 Prozent vergrößert. 2023 hielt dieser Trend an. In Europa fehlen demnach fast 348.000 Cybersicherheits-Expert:innen. 92 % aller Unternehmen berichtete von fehlender Expertise zu neuen Cyber-Themen in ihren Cybersicherheitsteams.   

Derzeit werden die Bedarfe zwar nicht separat für die Bereiche IT-Sicherheit und OT-Sicherheit ausgewiesen. Der Leidensdruck in der OT-Sicherheit dürfte aber noch einmal höher liegen. Schließlich stellt der Bereich für den Ausbildungsmarkt und die meisten Unternehmen noch ein völlig neues Feld dar. Und NIS2 erhöht den Druck weiter. 

Mit NIS2 steigt mit einem Schlag die Anzahl der gesetzlich zu Cybersicherheit verpflichteten Unternehmen innerhalb der EU auf über 400.000! Allein in Deutschland bedeutet das eine Versechsfachung. Diese Unternehmen müssen binnen kurzer Zeit neues Know How aufbauen und ihr Cybersicherheitsmanagement vor allem auch in die industriellen Infrastrukturen erweitern. Angesichts der gesetzlich verankerten Haftbarkeit der Geschäftsführung bei diesem Thema braucht es effektive, praktische und schnell umsetzbare Lösungsansätze. 

OT-Sicherheit schrittweise ins Unternehmen holen  

Trotz anhaltendem Fachkräftemangel haben Unternehmen dennoch einen effektiven Hebel, ihre OT-Kompetenz durch Managed Services als Training-on-the-Job aufzubauen.  

Im ersten Schritt gilt es, kurzfristig Lücken zu schließen. Externe Expertinnen und Experten übernehmen hierfür den Betrieb der OT-Angriffserkennung, analysieren und bewerten die identifizierten Anomalien und informieren die Verantwortlichen im Unternehmen nebst Empfehlungen für Gegenmaßnahmen. Aufgrund der Empfindlichkeit industrieller Prozesse bleibt die Entscheidung und Durchführung der Gegenmaßnahmen dabei im Hoheitsgebiet des betroffenen Unternehmens. Die Sicherheitsbeauftragten im Unternehmen können aufgrund der Informationen schnell und gezielt reagieren.  

Im zweiten Schritt wird intern eine Position für OT besetzt. Der Betrieb des Angriffserkennungssystems geht damit an das Unternehmen über. Das externe Cybersecurity-Serviceteam steht ab diesem Zeitpunkt als “Sparring-Partner” zur Verfügung. Vom Angriffserkennungssystem in der OT identifizierte Sicherheitsvorfälle oder technische Fehlerzustände werden regelmäßig gemeinsam ausgewertet und Gegenmaßnahmen abgestimmt. Ziel ist der gezielte Wissenstransfer, um das interne Know How kontinuierlich aufzubauen und die Verantwortlichen sattelfest in OT-Sicherheit zu machen.  

Der schrittweise Ansatz nimmt nicht nur den Druck aus der neuen Herausforderung. Durch den Fokus auf Wissenstransfer mit dem Aufbau eigener Kompetenzen, bleibt auch der langfristige Investitionsrahmen planbar. 

CTA: Lesen Sie mehr über die NIS2 Anforderungen in der Operational Technology