Cyber-Security muss auf einer neuen Ebene stattfinden
Präsident Joe Biden musste am 9. Mai 2021 den nationalen Notstand für die USA erklären. Und das wegen eines kompromittierten Passwortes für ein altes Mitarbeiterkonto für den Fernzugang auf das IT-System der größten Kraftstoff-Pipeline der USA, Colonial Pipeline. Da nicht klar war, wie groß der Schaden durch die Ransomware-Attacke war, hatte das Unternehmen seine Anlagen vorsorglich selbst heruntergefahren. Es kam zu Kraftstoffengpässen an Tankstellen der Ostküste der USA, ein Flughafen machte dicht, Flüge fielen aus und die Panik führte zu Hamsterkäufen. Nach ein paar Tagen war der Spuk vorbei. Doch dieser Fall hat deutlich gemacht, wie verheerend Cyber-Angriffe auf unsere kritische Infrastruktur (KRITIS) sein können und was sie für eine Kette auslösen (können).
Mit Digitalisierung und Vernetzung nimmt die Gefahr zu
Ein weiteres Beispiel: 2020 wurde der sogenannte Solarwinds Hack bekannt. Weltweit waren mehr als 18.000 Unternehmen und Behörden betroffen, sogar Teile des Pentagon sowie Unternehmen der kritischen Infrastruktur. Einfallstor war ein verseuchtes Update der Solarwinds-Software Orion. Versicherer nennen das einen „Cyber-Hurricane“, einen Angriff auf zahlreiche Unternehmen durch gemeinsam genutzte Infrastruktur. Die Beispiele zeigen: Cyberkriminelle werden immer professioneller und laut Bundesamt für Sicherheit in der Informationstechnik (BSI) werden vermehrt Techniken und Methoden verwendet, die zuvor nur bei strategisch ausgerichteten Spionage-Angriffen bekannt waren. Auch für Systeme der kritischen Infrastruktur gilt: Mit zunehmender Digitalisierung und Vernetzung nimmt die Gefahr zu, dass ein Cyberangriff Auswirkungen hat, die jede und jeder spürt. Autor Marc Elsberg mit seinen Blackout-Szenarien in seinem Bestseller lässt grüßen.
Homeoffice als Schwarzer Schwan für IT-Security
Letztes Beispiel: Die pandemiebedingte Homeoffice Situation für Unternehmen war für viele IT-Abteilungen wie ein Schwarzer Schwan. Plötzlich arbeiteten tausende Mitarbeiter:innen von zuhause und mussten über das öffentliche Internet auf die internen Systeme zugreifen. In einer unbeständigen, unsicheren, komplexen und mehrdeutigen (VUCA-)Welt und angesichts der aktuellen Bedrohungslage sind Krisen, Großschadenslagen oder Katastrophen ausgelöst durch Cyberangriffe noch mehr zu erwarten als in der Vergangenheit. Erfolgreiche Angriffe, aber auch technische oder menschliche Fehler (wie bei Facebook im Oktober 2021 passiert) werden sich nicht verhindern lassen. Solche „schwarzen Schwäne“ bzw. WorstWorst Case Szenarien sind heutzutage wahrscheinlicher geworden.
Die Antwort: Cyber-Resilienz
Unsere Antwort als Verantwortliche für die Cyber-Security auf die aktuellen Entwicklungen: Die Entwicklung einer Cyber-Resilienz. Für das World Economic Forum bezieht sich Cyber-Resilienz auf die Fähigkeit von Organisationen, eine „Langzeitstrategie zur Widerstandsfähigkeit von technischen Systemen in Bezug auf Cyber-Ereignisse“ zu entwickeln. Auf EU-Ebene sind schon entsprechende Verordnungen und Gesetze für kritische Infrastrukturen in Vorbereitung bzw. verabschiedet. Cyber-Resilienz in kritischen Infrastrukturen wird eine entscheidende Voraussetzung für die Aufrechterhaltung der Versorgungssicherheit sein.
Stärkere Integration als Weg zur Cyber-Resilienz
Was kann nun pragmatisch die Basis sein für solch eine Langzeitstrategie? Wie können Sicherheitsverantwortliche vorgehen? Bei der EnBW haben wir uns mit der Cyber-Resilienz ein neues langfristiges Zielbild gegeben und dabei berücksichtigt, wohin sich das EnBW Geschäft entwickeln will. Agilität, Integration, Ganzheitlichkeit, Out-of-theBox-Denken und Handlungsfähigkeit sind für unseren Ansatz nur einige Stichworte. Dabei ist eines gesetzt: Die Fortführung der Absicherung der Industrieanlagen und kritischen Infrastrukturen. Dazu zählen insbesondere das Management von Risiken zur Informationssicherheit (ISMS) und eine Cyber-Abwehr durch Systeme zur Angriffserkennung, die per IT-Sicherheitsgesetz festgelegt sind. Die nächste Stufe der Verbesserung ist das Management von Cyber-Risiken und den Erhalt der Handlungsfähigkeit durch eine ganzheitlichere Sicht und einen flexibleren Ansatz. Der Weg dazu ist eine noch stärkere Integration mit Business Continuity Prozessen und dem Krisenmanagement für den Bereich der digitalen Systeme, sprich Cyber. Resiliente Enterprise Architekturen flankieren diesen Ansatz in der technischen Umsetzung. Die ganzheitliche, gemeinsame Risikosicht und die Steigerung der Handlungsfähigkeit entwickeln sich während der Reise und zeigen den weiteren Weg.
Cyber-Resilienz Governance
Im ersten Schritt ist der Rahmen im Unternehmen festzulegen, müssen die Verantwortlichkeiten geklärt und insbesondere die Steuerung für eine Cyber-Resilienz Governance definiert werden. Die ganzheitliche Betrachtung der Cyber-Risiken erfolgt durch eine enge Verzahnung bzw. der Integration von Informationssicherheit (ISMS) und Cyber Business Continuity. Die EnBW hat daher kürzlich die Governance für beide Themen beim Chief Information Security Officer (CISO) angesiedelt. Die Handlungsfähigkeit kann noch erhöht werden, wenn die Cyber-Abwehr ein Teil der Notfall- und Krisenorganisation des Konzerns wird. Bei der EnBW ist der CISO deshalb Teil des Konzern-Krisenstabs und damit direkte Schnittstelle zur Cyber-Abwehr Organisation.
Cyber Business Continuity
Zweiter Schritt ist die risikobasierte Ausrichtung zur Cyber-Resilienz über das Cyber Business Continuity Management. Dieser Blick ist umfassender als beim ISMS, weil der Blickwinkel erweitert wird auf notwendige Maßnahmen, um bei großen Cyberangriffen widerstandsfähiger und handlungsfähiger zu sein. Hierbei wird über den Kern der reinen Leistungserbringung kritischer Infrastrukturen noch stärker hinausgeschaut bzw. Beteiligte stärker eingebunden. Gerade die Abhängigkeit bzw. Verfügbarkeit von externen Dienstleistern oder Behörden in einer Cyber-Großschadenslage ist eine generelle Herausforderung. Ein wichtiger Faktor, um Cyber-Resilienz zu erreichen, ist die Einbindung der Mitarbeitenden im Unternehmen. Die Durchführung von Awareness-Aktionen und Übungen sind ein gutes Mittel, um die Aufmerksamkeit zu erhalten und die Belegschaft mit den Prozessen vertraut zu machen.
Cyber-Abwehr und Krisenmanagement
Im nächsten Schritt sollte die Cyber-Abwehr stärker in die üblichen Notfall- und Krisenprozesse integriert werden. Das erfolgt über den konzernweiten Cyber-Sicherheitsvorfallsprozess, der vom EnBW Cyber Emergency Response Team (EnBW CERT) gesteuert wird. Damit arbeiten im Krisenfall die Mitarbeiter:innen der kritischen Infrastruktur und der Cyber-Abwehr noch enger Hand in Hand und können ihr Wissen schneller austauschen, um größeren Schaden abzuwenden und schnell Gegenmaßnahmen einzuleiten. Frühzeitige Erkennung von Angriffen, Fehlern etc. sowie Informationen über die Lage und Mittel zur Reaktion darauf sind weiterhin die Basis für die Handlungsfähigkeit. Über den EnBW Full Kritis Service werden auch externen Kunden Dienstleistungen zur Cyber-Abwehr bereitgestellt.
Cyber-Resilienz by Design – Resiliente Enterprise Architekturen
Im vierten und letzten Schritt – Cyber-Resilienz by Design – ist es notwendig, sichere, integrative und agile technische Architekturen aufzubauen, um Erkennungs-, Widerstands- und Wiederherstellungsfähigkeiten zu verbessern. Die ganzheitliche Sicht und Transparenz ist eine Herausforderung in Anbetracht des Zusammenwachsens digitaler Systeme aus IT, IoT und kritischer Infrastruktur sowie Cloud-Services. Zusammenfassend lässt sich festhalten: Die vom BSI im Lagebericht 2021 als „angespannt bis kritisch“ eingeschätzte Lage bestätigt den Trend der vergangenen Jahre, in denen die Gefahr von Cyberangriffen kontinuierlich zugenommen hat. Machen wir uns nichts vor: Die Bedrohungen und Unwägbarkeiten werden weiter zunehmen. Deshalb mein Appell, insbesondere in Unternehmen der kritischen Infrastruktur dem Thema Cyber-Security einen größeren Stellenwert einzuräumen und zur Chefsache zu machen. Das umfassende Konzept der Cyber-Resilienz bietet die Chance, Unternehmen besser zu schützen, früher zu reagieren und im Krisenfall schneller Lösungen zu finden. ■