- Media & News /
- News /
- Interviews /
- „Verfügbarkeit ist das höchste Gut jeder Kritischen Infrastruktur“
„Verfügbarkeit ist das höchste Gut jeder Kritischen Infrastruktur“
Interview mit Lara Berdelsmann, Informationssicherheitsbeauftragte der GASCADE Gastransport GmbH sowie Leiterin des UP KRITIS Branchenarbeitskreis Gas
© LARA BERDELSMANN, Informationssicherheitsbeauftragte für Informationstechnologie & Cybersicherheit der GASCADE Gastransport GmbH sowie Leiterin des UP KRITIS Branchenarbeitskreis Gas
Unsere Gasversorgung ist als Kritische Infrastruktur eingestuft und als solche auch immer wieder bevorzugtes Ziel verschiedenster Cyberangriffe. Im Interview spricht Lara Berdelsmann darüber, welchen Herausforderungen sich Gasversorger tagtäglich stellen müssen, was die neu eingeführten Regularien bewirken und worauf Unternehmen achten können, wenn sie die Cybersicherheit ihrer Infrastruktur verbessern wollen.
gwf: Die Cybersicherheit Kritischer Infrastrukturen wird immer wieder als sehr verwundbar und nicht ausreichend geschützt charakterisiert. Würden Sie dem so zustimmen?
Berdelsmann: Nein, dem würde ich aus mehreren Gründen so nicht zustimmen! Ich kann zwar im Wesentlichen nur den Gassektor beurteilen und teilweise noch den Strombereich, aber unsere kritischen Unternehmen sind nun schon seit einiger Zeit nach der KRITIS-Verordnung als kritische Infrastruktur eingestuft und entsprechend verpflichtet, den sicheren Transport von Gas zu gewährleisten und dazu vielfältige Sicherheitsmaßnahmen umzusetzen.
gwf: Was heißt das?
Berdelsmann: Das heißt z. B. im Gassektor, dass alle Netzbetreiber verpflichtet sind, einen Mindeststandard an Sicherheitsmaßnahmen nach dem IT-Sicherheitskatalog der Bundesnetzagentur umzusetzen, ein Informationssicherheitsmanagementsystem (ISMS) einzuführen und dauerhaft zu betreiben und dieses auch zertifizieren zu lassen. Diese Zertifizierungsbzw. Nachweispflicht besteht bereits seit Anfang 2018. Dabei müssen die Zertifizierungen regelmäßig wiederholt und nachgewiesen werden. Wir, die GASCADE, sind gegenüber der Bundesnetzagentur zum Nachweis verpflichtet. Der ganze Vorgang ist damals über das erste IT-Sicherheitsgesetz, dass im Juni 2015 verabschiedet wurde ins Rollen gekommen. Die Bundesregierung wollte Horrorszenarien vorbeugen, wonach Hacker z. B. große Energieversorger angreifen und somit die Stromnetze deutscher Großstädte lahmlegen könnten. Beschleunigend hat hier sicher auch der bislang folgenreichste Angriff auf den Bundestag Anfang 2015 gewirkt. Dabei musste man feststellen, dass es durchaus Nachhol- und Regelbedarf zur IT-Sicherheit gibt, seitens der Behörden und auch bei unseren kritischen Infrastrukturen. Seitdem hat sich dann aber eine ganze Menge getan in Sachen IT-Sicherheit.
gwf: Gibt es also keinen Grund zur Sorge, was die Sicherheit der kritischen Infrastruktur der Gasversorgung betrifft?
Berdelsmann: Doch, es gibt immer einen Grund zur Sorge hinsichtlich der Lage. Die Lage ist das ausschlaggebende und diese muss als angespannt betrachtet werden. Wobei die Bedrohungen von verschiedensten Akteuren ausgehen – von politisch motivierten Akteuren bis zu Angreifern, die sich z. B. durch den Einsatz von Verschlüsselungssoftware einen monetären Vorteil erpressen wollen. Kurz: Die Lage ist angespannt, aber die Sicherheitsmaßnahmen sind gut.
gwf: Welche Auswirklungen hat der russische Angriffskrieg zusätzlich auf die Sicherheitslage?
Berdelsmann: Das Angreifermodell ändert sich permanent und passt sich recht agil der Situation an. Dabei ist der Angreifer natürlich im Vorteil, denn er muss letztlich nur DIE eine gravierende Schwachstelle finden, während wir als Security-Beauftragte und IT- Verantwortliche mit unseren Sicherheitskonzepten und den implementierten Schutzmaßnahmen stets alle Bereiche abdecken müssen. Vor dem Krieg wurde von den Angreifern die Corona-Situation ausgenutzt. Es war ja allgemein bekannt, dass viele Mitarbeiter nun vorwiegend aus dem Homeoffice arbeiten, also verändern sich auch die Angriffsmethoden. So werden Attacken über thematisch passende Phishing- E-Mails lanciert und vermehrt an Mitarbeiter im Homeoffice adressiert, verbunden mit dem Ziel, dort auf private Netzwerk- und Internetanbindungen zu stoßen, die aufgrund des niedrigeren Schutzniveaus leichter angreifbar sind. Seit dem Kriegsbeginn im letzten Jahr hat sich auch die Quantität der Angriffsversuche enorm gesteigert. Wir detektieren seit Februar 2022 ein drei- bis vier-fach erhöhtes Angriffsvolumen auf unsere Security-Systeme. Dabei ist selten klar, von welcher Seite die Angriffe kommen und welchem Zweck sie dienen.
gwf: Sie können also nicht nachvollziehen, wer hinter den Attacken steckt?
Berdelsmann: Nein, das können wir nicht klar sagen, denn selbst wenn wir die Geolokationen anhand der IP-Adresse zuordnen können, so sind diese meist flüchtig und werden nur kurz verwendet. Es handelt sich häufig um Adressen von Cloud-Ressourcen, also Diensten, die dafür gedacht sind, von vielen gemeinsam genutzt zu werden. Die Adressen, die wir detektieren können, werden per Blacklist-Verfahren ausgeschlossen. Zusätzlich werden die zentralen Schutzsysteme permanent und automatisiert durch die Hersteller mit Informationen zu neuen Angreiferadressen und Methoden „gefüttert“, so dass die allermeisten Angriffsversuche bereits vor internen Netzbereichen erkannt und weggeblockt werden. Aus diesen Millionen an Angriffsversuchen und Adressen, die auf unserem System aufschlagen, ergibt sich für uns ein Lagebild, allerdings haben wir nicht die Möglichkeiten, alle Angriffe nachzuverfolgen oder zu identifizieren.
gwf: Werden die Angriffe in einer Behörde registriert?
Berdelsmann: Wir arbeiten mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen und wir sind meldeverpflichtet für Störungen und Angriffe auf ITK-Systeme, die zu einer Einschränkung der kritischen Infrastruktur führen können. Diese Meldungen sind unverzüglich abzusetzen und werden beim BSI im nationalen IT-Lagezentrum 24x7 aufgenommen. Dort wird die Lage bewertet, Kontakt mit dem meldenden Unternehmen aufgenommen, Anweisungen gegeben und wenn nötig auch weitere Maßnahmen zur Eindämmung des Vorfalls ergriffen.
gwf: Welche Mechanismen können die Gasversorger zukünftig noch verbessern, um die Sicherheit ihrer digitalen Systeme zu erhöhen?
Berdelsmann: Ich denke, das müsste eher vorgelagert, vor der Sicherheitsstruktur des Unternehmens geschehen, also im Bereich der Internetprovider und Telekommunikationsanbieter. Die Befugnisse des BSI wurden mit dem IT-Sicherheitsgesetz 2.0 dahingehend weiter ausgebaut, dass es zukünftig proaktiv agieren kann, z. B. durch den Einsatz von Systemen und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden. Wir werden sehen, wie da der Ausbau erfolgen wird, aber in diesem vorgelagerten Bereich könnte man ansetzen, damit der Angriff erst gar nicht in die kritischen Unternehmen gelangt. Auch im Bereich der Strafverfolgung gibt es sicher noch deutliches Verbesserungspotenzial – die Aufklärungsquote erscheint mir mit weniger als 30 %1 recht niedrig und das Dunkelfeld dürfte überdurchschnittlich groß sein, da die meisten Delikte nicht zur Anzeige kommen („bringt ja eh nichts“).
gwf: Welche Maßnahmen wurden bereits getroffen, um die Sicherheitssysteme allgemein zu stabilisieren?
Berdelsmann: Wir sind ja im privatwirtschaftlichen Sektor unterwegs, d. h. jedes Unternehmen muss seine eigenen Sicherheitsvorkehrungen und Maßnahmen treffen und entsprechend investieren. Die Verpflichtung auf die Umsetzung des IT-Sicherheitskatalogs hat dazu geführt, dass die IT-Sicherheit in den Unternehmungen nun in einem Managementsystem betrachtet wird. Gemanagte IT-Sicherheit bedeutet dauerhafte Präsenz der Thematik, wiederkehrende Prozesse und damit Kontinuität und stetige Verbesserung.
gwf: Wo werden welche Investitionen notwendig?
Berdelsmann: Ab Mai 2023 sind Betreiber von Energieversorgungsnetzen und alle weiteren Betreiber von kritischen Infrastrukturen verpflichtet, Systeme zur Angriffserkennung einzusetzen und dies gegenüber dem BSI nachzuweisen. Diese neue Pflicht wurde aus der letzten Bearbeitung des IT-Sicherheitsgesetzes heraus festgelegt und im EnWG niedergeschrieben. Auch wir müssen demzufolge dem BSI gegenüber nachweisen. Ganz konkret bedeutete dies weitere Investitionen in technische Lösungen in den Betriebsumgebungen sowie vor allem zusätzliche Dokumentationsund Auditaufwände.
gwf: Wie funktioniert das System zur Angriffserkennung und wo setzt es an?
Berdelsmann: Systeme zur Angriffserkennung nach EnWG sollen in der Lage sein, Bedrohungen fortwährend zu identifizieren, zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorsehen. Dazu müssen sie Daten aus dem laufenden Betrieb kontinuierlich, automatisch erfassen und auswerten. Wir sprechen also eher von einem System aus verschiedenen technischen Lösungen in Kombination mit organisatorischen Maßnahmen und geeigneten Prozessen. Dazu gehört mindestens, dass alle sicherheitskritischen Systeme und Applikationen, wie beispielsweise Firewalls, Antivirus- Systeme oder auch Authentifizierungsdienste ihre Livedaten an ein zentrales Logmanagement bzw. ein Security Incident Event Management (SIEM) senden, so dass dort sicherheitskritische Ereignisse und Bedrohungen erkannt und alarmiert werden können, aber auch, dass diese Events von geschultem Personal analysiert und in angemessener Weise behandelt werden. Es braucht also technische Lösungen, geschultes Security Personal und regelmäßig beübte Incident Response Prozesse.
gwf: Gibt es da verschiedene Möglichkeiten?
Berdelsmann: Die Alarmierungen über sicherheitskritische Ereignisse werden in einem Security Operations Center bearbeitet. Je nach Ausrichtung und Unternehmensgröße kann ich ein SOC intern aufbauen oder auch externe Dienstleister in Anspruch nehmen.
gwf: Welche technischen Bereiche der Gasinfrastruktur sind für Cyberangriffe besonders empfänglich?
Berdelsmann: Als Frage stellt sich hier zuerst wieder: Was ist mein Ziel als Angreifer? Will ich die Gasinfrastruktur in ihrer Produktivität stören oder habe ich etwas anderes im Sinn? Die meisten Angriffe sind nicht gezielt. Die Angreifer feuern auf alles, was sie erreichen, und wenn sie Glück haben, können sie Zugangsdaten erbeuten oder auch einen Verschlüsselungstrojaner ausrollen und damit ihr Erpressungsgeld einfordern. Das ist das Gros der Fälle, die wir aktuell sehen. Geht es dagegen ganz gezielt um die Störung der betrieblichen Abläufe in den Operational Technology-Umgebungen, dann reden wir über gut vorbereitete Aktionen. In diesen OT-Netzen sind sämtliche Systeme der produktionsnahen Steuerungen beheimatet. Hier steht die Verfügbarkeit im Vordergrund und es werden sehr spezielle Komponenten betrieben, deren Laufzeiten auf deutlich mehr als zehn Jahre ausgelegt sind. Das bedeutet im Umkehrschluss auch, dass viele Regelprozesse, wie beispielsweise ein technisches Schwachstellenmanagement und Wartungszyklen ganz anderen Intervallen unterliegen als in IT-Umgebungen. Auch durch diese Umstände haben OT-Netze einen erhöhten Schutzbedarf und sollten nie direkt aus dem Internet erreichbar sein. Verfügbarkeit ist das höchste Gut jeder Kritischen Infrastruktur und der Selbstzweck einer kritischen Unternehmung ist es, dafür zu sorgen, dass diese Verfügbarkeit geschützt wird.
gwf: Welche Rolle spielen die Mitarbeiter in Ihrem Unternehmen?
Berdelsmann: Unsere Mitarbeiter sind sehr wichtig, sie sind unsere besten Detektoren für die Sicherheitslage in unserem direkten unternehmerischen Umfeld. Gibt es Sicherheitsvorfälle in anderen Häusern oder wurde einer unserer Lieferanten das Opfer eines Angriffs? Solche Informationen erhalten wir häufig über unsere Mitarbeiter. Und natürlich ist der Mitarbeiter derjenige, der im Zweifelsfall die Schadsoftware nicht herunterlädt, weil er entsprechend geschult und aufmerksam ist.
gwf: Können Sie eine typische akute Notfallsituation beschreiben?
Berdelsmann: Keine akute Notfallsituation, aber ein ganz aktuelles einfaches Beispiel: Wir haben E-Maileingänge von einem Dienstleister, mit dem wir sehr eng zusammenarbeiten. Unsere Mitarbeiter leiten uns E-Mails mit „komischen Anhängen“ zur Überprüfung weiter. Schnell erkennen unsere Security Analysten, dass das Postfach des Absenders kompromittiert wurde, d.h. jemand mit schlechten Absichten hat die Kontrolle über das Postfach gewinnen können und nutzt nun die bestehenden Kommunikationswege. Das sehen wir leider aktuell häufig. Denn viele Unternehmen wandern mit ihren E-Mailkonten inzwischen in die Cloud und vergessen dabei, dass dieses E-Mailkonto damit eigentlich direkt öffentlich zugänglich ist. Wurde mit dem Gang in die Cloud außerdem versäumt eine Multifaktor-Authentifizierung einzuführen, also die Abfrage eines weiteren Sicherheitsmerkmals zusätzlich zu einem Passwort, so ist die Wahrscheinlichkeit groß, dass das E-Mailkonto bald übernommen wird, insbesondere wenn einfache Passwörter nicht systemseitig verhindert werden. Angreifer nutzen dann gerne bereits bestehende Kontakte und Kommunikationswege, um weitere Anmeldedaten zu erlangen. Das kann ganz schnell gehen: Auf eine bestehende E-Mail-Kommunikation wird mit weiteren präparierten E-Mails geantwortet und schon hat man weitere Kontodaten und Passwörter erbeutet… Die Vorgehensweise ist eigentlich immer dieselbe oder zumindest sehr ähnlich!
gwf: Und wie steuern Sie als Unternehmen dagegen?
Berdelsmann: Wir haben gecheckt, was wir an E-Maileingängen von dem betroffenen Dienstleister erhalten haben. Dann wurde geprüft, welche Anhänge dabei waren und ob diese durchgelassen wurden oder bereits von unserem System als schadhaft erkannt und abgefangen wurden. In diesem Fall war es so. Nichts ist durchgegangen und alles konnte abgefangen werden. Von unserer Seite also „business as usual“. Das ist ein ganz klassisches Beispiel und kommt eher häufig vor. Aber es ist natürlich auch eine Frage der Reputation: Wenn der Sicherheitsvorfall auch eine Auswirkung auf uns haben könnte, möchten wir gerne wissen und informiert werden, was passiert ist. Wir gehen in Kontakt mit den betroffenen Unternehmen, wir erhalten weitere Informationen und beleuchten die Lage – so können wir dem Unternehmen nach Bereinigung der Situation wieder vertrauen.
gwf: Sie sind auch die Leiterin des Branchearbeitskreis Gas des UP KRITIS. Was ist der UP KRITIS?
Berdelsmann: Der UP KRITIS ist eine Public Private Partnership, dort arbeiten die Betreiber Kritischer Infrastrukturen, die Vertreter der Behörden und unserer Verbände zusammen, um gemeinsam einen Beitrag zum Schutz der kritischen Infrastrukturen zu leisten und erhebliche Störungen zu vermeiden. Es ist ein freiwilliger Zusammenschluss, d. h. als KRITIS Unternehmen kann man die Aufnahme beantragen, muss aber nicht, man kann aber sehr davon profitieren – so sehe ich das zumindest. Seit 2016 gibt es den Branchenarbeitskreis Gas, den ich leite. Wir haben uns im Energiesektor dazu entschlossen, die verschiedenen Energiebereiche in eigenen Arbeitskreisen zu behandeln, da sich unsere Prozesse und Rahmenbedingungen doch zu sehr unterscheiden, als dass man ihnen in einem einzigen Branchenarbeitskreis gerecht werden würde.
gwf: Wer sitzt in den Branchenarbeitskreisen?
Berdelsmann: Da sitzen die Vertreter der staatlichen Stellen: das BMWK (Bundesministerium für Wirtschaft und Klimaschutz), das BBK (Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe), die Bundesnetzagentur und die kritischen Unternehmen – in unserem Fall sind das die Ferngasnetzbetreiber, die Verteilnetzbetreiber und auch die Speicherbetreiber sowie unsere Verbände. Wir arbeiten insbesondere eng zu den Themen der Informationssicherheit und IT zusammen. Eine branchenübergreifende Zusammenarbeit findet darüber hinaus in den Themenarbeitskreisen des UP KRITIS statt, z. B. gibt es einen Arbeitskreis zu Übungen oder auch zur Szenariobasierten Krisenvorsorge. Als wichtiges Gremium sei noch der UP KRITIS Rat genannt, der von hochrangigen Wirtschaftsvertretern aus den verschiedenen Sektoren sowie den Präsidenten des BBK und des BSI besetzt wird. Der Wirtschaftsbeirat, der sich wiederum aus den Vertretern der Wirtschaft des Rates zusammensetzt, vertritt die politische Stimme des UP KRITIS nach außen und hat die Möglichkeit bei Gesetzesänderungen eine entsprechende Stellungnahme einzubringen, wie zum IT-Sicherheitsgesetz 2.0 und dann auch zum KRITIS Dachgesetz.
gwf: Was ist das KRITIS Dachgesetz?
Berdelsmann: Wir haben ja bereits das IT-Sicherheitsgesetz 2.0, dass seit Mai 2021 die deutsche Kritis-Regulierung von 2015 nochmal erweitert und speziell die Informationssicherheit betrifft. Das KRITIS Dachgesetz soll zusätzlich die physische Sicherheit und Resilienz von KRITIS-Betreibern stärken und Anforderungen aus der CER-Richtlinie der EU in nationales Recht umsetzen. Welche Anforderungen genau auf uns zukommen werden, ist aktuell noch nicht bekannt. Aber für uns als Betreiber ist es ein großes Anliegen, dass Nachweispflichten und Zertifizierungspflichten besser miteinander harmonisieren. Deshalb ist es sehr begrüßenswert, dass wir über den UP KRITIS eine Möglichkeit zur Stellungnahme haben und uns dazu äußern können.
gwf: Inwiefern betrifft Sie auch die neu verabschiedete NIS2-Richtlinie für Netz- und Informationssysteme in der EU?
Berdelsmann: Ja, die betrifft uns auch. EU NIS2 ist der europäische Rahmen für Betreiber Kritischer Infrastrukturen und legt Cyber Security Mindeststandards in der EU fest. Die neue EU NIS 2-Richtlinie muss, wie auch die EU CER, bis Oktober 2024 in nationales Recht überführt werden – zusammen mit weiteren Neuerungen möglicherweise als IT-Sicherheitsgesetz 3.0. Weitere Anpassungen oder Verordnungen wird es aber sicherlich geben müssen. Im europäischen Vergleich, denke ich, sind wir in Deutschland insgesamt schon ganz gut aufgestellt. Zusätzlichen Anforderungen aus der neuen NIS-Richtlinie sehe ich für unsere Branche recht gelassen entgegen, da ist eher geringerer Anpassungsbedarf zu erwarten.
gwf: Arbeitet UP KRITIS auch international mit vergleichbaren Kooperationen zusammen?
Berdelsmann: UP KRITIS ist eine rein deutsche Partnerschaft. Aber es gibt auf Europäische Ebene die ENISA, das ist die Behörde „Agentur der Europäischen Union für Cybersicherheit“, diese hat ähnlich wie bei uns das BSI größere Befugnisse. Zukünftig soll auch die Kooperation und der Informationsaustausch innerhalb der EU und zwischen den Behörden stark zunehmen, und auch nationale Informationen über grenzüberschreitenden Risiken stärker ausgetauscht werden. Denkbar wäre sicher auch eine stärkere Vernetzung der nationalen „Cyber Incident Response Teams“. Dabei handelt es sich um Teams von Sicherheitsexperten und IT-Fachleuten, die für die Behörden an der Lösung von konkreten Sicherheitsvorfällen mitwirken.
gwf: Es scheint sehr sinnvoll, dass die europäischen Infrastrukturen zukünftig gemeinsam betrachtet werden sollen…
Berdelsmann: Ja, das passiert aber auch bereits jetzt schon. Die NIS hat eigene Kriterien, wie sie europäische Infrastrukturen als kritisch einstuft, was uns auch betrifft. Über die europäischen Regulierungen müssen wir uns in Deutschland ja auch an den internationalen Normen orientieren und können unsere Regularien nicht nur mit nationalen Standards aufstellen. Bei uns in der Branche wurde die ISO 27001 als führende Norm umgesetzt, dazu ergänzend die ISO 27019 für den Energiebereich. Das sind unsere Normen, nach denen wir unsere Informationssicherheitssysteme managen und zertifizieren lassen, und damit sind wir wohl auf dem richtigen Weg, wenn wir internationale Standards anwenden wollen und Vergleichbarkeit anstreben.
gwf: Gibt es von Ihrer Seite Verbesserungsvorschläge für UP KRITIS?
Berdelsmann: Die internationale Zusammenarbeit gerne ausbauen und auch national den Bekanntheitsgrad erhöhen, insbesondere die politische Stimme des UP KRITS würde ich persönlich gerne häufiger hören. Auch eine frühestmögliche Einbindung zu Referententwürfen der Bundesminsterien wäre zu begrüßen, damit wir als Betreiber der Kritischen Infrastrukturen die Chance zur Stellungnahme haben.
gwf: Denken Sie, dass die Gasversorger noch besser zur IT-Sicherheit informiert werden könnten oder sind alle ausreichend informiert?
Berdelsmann: Es gibt immer wieder Gremien, wo man erstaunt ist, wie wenig inhaltlich bei den Unternehmen bisher angekommen ist. Und gerade für kleine Versorger gibt es auch manchmal sehr viel zu beachten – insbesondere, wenn sie auch noch Wasserversorger und Stromversorger sind. Die Unternehmen können unter Umständen unter drei Regulierungen fallen, haben aber nicht die personelle Ausstattung, um das alles zu bearbeiten. Der Schutz der Kernprozesse der Kritischen Infrastrukturen muss im Fokus der Cybersicherheit stehen. Ein weiterer Verbesserungsansatz in der Zusammenarbeit wäre also die Frage: „Was kann man vereinheitlichen, damit zusätzliche KRITIS Regulierungen nicht über unterschiedliche staatliche Stellen Nachweise für die Erfüllung von nahezu gleichen Anforderungen über Meldestellen und Kommunikationswege erhalten wollen. Eine Harmonisierung wäre hier sehr wichtig. Denn letztendlich wollen wir ja alle das IT-Sicherheitsniveau hochhalten. Damit es aber auch gerade die kleineren Betreiber schaffen, muss es handhabbar bleiben.
gwf: Vielen Dank für das Gespräch!
gwf: Die Cybersicherheit Kritischer Infrastrukturen wird immer wieder als sehr verwundbar und nicht ausreichend geschützt charakterisiert. Würden Sie dem so zustimmen?
Berdelsmann: Nein, dem würde ich aus mehreren Gründen so nicht zustimmen! Ich kann zwar im Wesentlichen nur den Gassektor beurteilen und teilweise noch den Strombereich, aber unsere kritischen Unternehmen sind nun schon seit einiger Zeit nach der KRITIS-Verordnung als kritische Infrastruktur eingestuft und entsprechend verpflichtet, den sicheren Transport von Gas zu gewährleisten und dazu vielfältige Sicherheitsmaßnahmen umzusetzen.
gwf: Was heißt das?
Berdelsmann: Das heißt z. B. im Gassektor, dass alle Netzbetreiber verpflichtet sind, einen Mindeststandard an Sicherheitsmaßnahmen nach dem IT-Sicherheitskatalog der Bundesnetzagentur umzusetzen, ein Informationssicherheitsmanagementsystem (ISMS) einzuführen und dauerhaft zu betreiben und dieses auch zertifizieren zu lassen. Diese Zertifizierungsbzw. Nachweispflicht besteht bereits seit Anfang 2018. Dabei müssen die Zertifizierungen regelmäßig wiederholt und nachgewiesen werden. Wir, die GASCADE, sind gegenüber der Bundesnetzagentur zum Nachweis verpflichtet. Der ganze Vorgang ist damals über das erste IT-Sicherheitsgesetz, dass im Juni 2015 verabschiedet wurde ins Rollen gekommen. Die Bundesregierung wollte Horrorszenarien vorbeugen, wonach Hacker z. B. große Energieversorger angreifen und somit die Stromnetze deutscher Großstädte lahmlegen könnten. Beschleunigend hat hier sicher auch der bislang folgenreichste Angriff auf den Bundestag Anfang 2015 gewirkt. Dabei musste man feststellen, dass es durchaus Nachhol- und Regelbedarf zur IT-Sicherheit gibt, seitens der Behörden und auch bei unseren kritischen Infrastrukturen. Seitdem hat sich dann aber eine ganze Menge getan in Sachen IT-Sicherheit.
gwf: Gibt es also keinen Grund zur Sorge, was die Sicherheit der kritischen Infrastruktur der Gasversorgung betrifft?
Berdelsmann: Doch, es gibt immer einen Grund zur Sorge hinsichtlich der Lage. Die Lage ist das ausschlaggebende und diese muss als angespannt betrachtet werden. Wobei die Bedrohungen von verschiedensten Akteuren ausgehen – von politisch motivierten Akteuren bis zu Angreifern, die sich z. B. durch den Einsatz von Verschlüsselungssoftware einen monetären Vorteil erpressen wollen. Kurz: Die Lage ist angespannt, aber die Sicherheitsmaßnahmen sind gut.
gwf: Welche Auswirklungen hat der russische Angriffskrieg zusätzlich auf die Sicherheitslage?
Berdelsmann: Das Angreifermodell ändert sich permanent und passt sich recht agil der Situation an. Dabei ist der Angreifer natürlich im Vorteil, denn er muss letztlich nur DIE eine gravierende Schwachstelle finden, während wir als Security-Beauftragte und IT- Verantwortliche mit unseren Sicherheitskonzepten und den implementierten Schutzmaßnahmen stets alle Bereiche abdecken müssen. Vor dem Krieg wurde von den Angreifern die Corona-Situation ausgenutzt. Es war ja allgemein bekannt, dass viele Mitarbeiter nun vorwiegend aus dem Homeoffice arbeiten, also verändern sich auch die Angriffsmethoden. So werden Attacken über thematisch passende Phishing- E-Mails lanciert und vermehrt an Mitarbeiter im Homeoffice adressiert, verbunden mit dem Ziel, dort auf private Netzwerk- und Internetanbindungen zu stoßen, die aufgrund des niedrigeren Schutzniveaus leichter angreifbar sind. Seit dem Kriegsbeginn im letzten Jahr hat sich auch die Quantität der Angriffsversuche enorm gesteigert. Wir detektieren seit Februar 2022 ein drei- bis vier-fach erhöhtes Angriffsvolumen auf unsere Security-Systeme. Dabei ist selten klar, von welcher Seite die Angriffe kommen und welchem Zweck sie dienen.
gwf: Sie können also nicht nachvollziehen, wer hinter den Attacken steckt?
Berdelsmann: Nein, das können wir nicht klar sagen, denn selbst wenn wir die Geolokationen anhand der IP-Adresse zuordnen können, so sind diese meist flüchtig und werden nur kurz verwendet. Es handelt sich häufig um Adressen von Cloud-Ressourcen, also Diensten, die dafür gedacht sind, von vielen gemeinsam genutzt zu werden. Die Adressen, die wir detektieren können, werden per Blacklist-Verfahren ausgeschlossen. Zusätzlich werden die zentralen Schutzsysteme permanent und automatisiert durch die Hersteller mit Informationen zu neuen Angreiferadressen und Methoden „gefüttert“, so dass die allermeisten Angriffsversuche bereits vor internen Netzbereichen erkannt und weggeblockt werden. Aus diesen Millionen an Angriffsversuchen und Adressen, die auf unserem System aufschlagen, ergibt sich für uns ein Lagebild, allerdings haben wir nicht die Möglichkeiten, alle Angriffe nachzuverfolgen oder zu identifizieren.
gwf: Werden die Angriffe in einer Behörde registriert?
Berdelsmann: Wir arbeiten mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen und wir sind meldeverpflichtet für Störungen und Angriffe auf ITK-Systeme, die zu einer Einschränkung der kritischen Infrastruktur führen können. Diese Meldungen sind unverzüglich abzusetzen und werden beim BSI im nationalen IT-Lagezentrum 24x7 aufgenommen. Dort wird die Lage bewertet, Kontakt mit dem meldenden Unternehmen aufgenommen, Anweisungen gegeben und wenn nötig auch weitere Maßnahmen zur Eindämmung des Vorfalls ergriffen.
gwf: Welche Mechanismen können die Gasversorger zukünftig noch verbessern, um die Sicherheit ihrer digitalen Systeme zu erhöhen?
Berdelsmann: Ich denke, das müsste eher vorgelagert, vor der Sicherheitsstruktur des Unternehmens geschehen, also im Bereich der Internetprovider und Telekommunikationsanbieter. Die Befugnisse des BSI wurden mit dem IT-Sicherheitsgesetz 2.0 dahingehend weiter ausgebaut, dass es zukünftig proaktiv agieren kann, z. B. durch den Einsatz von Systemen und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden. Wir werden sehen, wie da der Ausbau erfolgen wird, aber in diesem vorgelagerten Bereich könnte man ansetzen, damit der Angriff erst gar nicht in die kritischen Unternehmen gelangt. Auch im Bereich der Strafverfolgung gibt es sicher noch deutliches Verbesserungspotenzial – die Aufklärungsquote erscheint mir mit weniger als 30 %1 recht niedrig und das Dunkelfeld dürfte überdurchschnittlich groß sein, da die meisten Delikte nicht zur Anzeige kommen („bringt ja eh nichts“).
gwf: Welche Maßnahmen wurden bereits getroffen, um die Sicherheitssysteme allgemein zu stabilisieren?
Berdelsmann: Wir sind ja im privatwirtschaftlichen Sektor unterwegs, d. h. jedes Unternehmen muss seine eigenen Sicherheitsvorkehrungen und Maßnahmen treffen und entsprechend investieren. Die Verpflichtung auf die Umsetzung des IT-Sicherheitskatalogs hat dazu geführt, dass die IT-Sicherheit in den Unternehmungen nun in einem Managementsystem betrachtet wird. Gemanagte IT-Sicherheit bedeutet dauerhafte Präsenz der Thematik, wiederkehrende Prozesse und damit Kontinuität und stetige Verbesserung.
gwf: Wo werden welche Investitionen notwendig?
Berdelsmann: Ab Mai 2023 sind Betreiber von Energieversorgungsnetzen und alle weiteren Betreiber von kritischen Infrastrukturen verpflichtet, Systeme zur Angriffserkennung einzusetzen und dies gegenüber dem BSI nachzuweisen. Diese neue Pflicht wurde aus der letzten Bearbeitung des IT-Sicherheitsgesetzes heraus festgelegt und im EnWG niedergeschrieben. Auch wir müssen demzufolge dem BSI gegenüber nachweisen. Ganz konkret bedeutete dies weitere Investitionen in technische Lösungen in den Betriebsumgebungen sowie vor allem zusätzliche Dokumentationsund Auditaufwände.
gwf: Wie funktioniert das System zur Angriffserkennung und wo setzt es an?
Berdelsmann: Systeme zur Angriffserkennung nach EnWG sollen in der Lage sein, Bedrohungen fortwährend zu identifizieren, zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorsehen. Dazu müssen sie Daten aus dem laufenden Betrieb kontinuierlich, automatisch erfassen und auswerten. Wir sprechen also eher von einem System aus verschiedenen technischen Lösungen in Kombination mit organisatorischen Maßnahmen und geeigneten Prozessen. Dazu gehört mindestens, dass alle sicherheitskritischen Systeme und Applikationen, wie beispielsweise Firewalls, Antivirus- Systeme oder auch Authentifizierungsdienste ihre Livedaten an ein zentrales Logmanagement bzw. ein Security Incident Event Management (SIEM) senden, so dass dort sicherheitskritische Ereignisse und Bedrohungen erkannt und alarmiert werden können, aber auch, dass diese Events von geschultem Personal analysiert und in angemessener Weise behandelt werden. Es braucht also technische Lösungen, geschultes Security Personal und regelmäßig beübte Incident Response Prozesse.
gwf: Gibt es da verschiedene Möglichkeiten?
Berdelsmann: Die Alarmierungen über sicherheitskritische Ereignisse werden in einem Security Operations Center bearbeitet. Je nach Ausrichtung und Unternehmensgröße kann ich ein SOC intern aufbauen oder auch externe Dienstleister in Anspruch nehmen.
gwf: Welche technischen Bereiche der Gasinfrastruktur sind für Cyberangriffe besonders empfänglich?
Berdelsmann: Als Frage stellt sich hier zuerst wieder: Was ist mein Ziel als Angreifer? Will ich die Gasinfrastruktur in ihrer Produktivität stören oder habe ich etwas anderes im Sinn? Die meisten Angriffe sind nicht gezielt. Die Angreifer feuern auf alles, was sie erreichen, und wenn sie Glück haben, können sie Zugangsdaten erbeuten oder auch einen Verschlüsselungstrojaner ausrollen und damit ihr Erpressungsgeld einfordern. Das ist das Gros der Fälle, die wir aktuell sehen. Geht es dagegen ganz gezielt um die Störung der betrieblichen Abläufe in den Operational Technology-Umgebungen, dann reden wir über gut vorbereitete Aktionen. In diesen OT-Netzen sind sämtliche Systeme der produktionsnahen Steuerungen beheimatet. Hier steht die Verfügbarkeit im Vordergrund und es werden sehr spezielle Komponenten betrieben, deren Laufzeiten auf deutlich mehr als zehn Jahre ausgelegt sind. Das bedeutet im Umkehrschluss auch, dass viele Regelprozesse, wie beispielsweise ein technisches Schwachstellenmanagement und Wartungszyklen ganz anderen Intervallen unterliegen als in IT-Umgebungen. Auch durch diese Umstände haben OT-Netze einen erhöhten Schutzbedarf und sollten nie direkt aus dem Internet erreichbar sein. Verfügbarkeit ist das höchste Gut jeder Kritischen Infrastruktur und der Selbstzweck einer kritischen Unternehmung ist es, dafür zu sorgen, dass diese Verfügbarkeit geschützt wird.
gwf: Welche Rolle spielen die Mitarbeiter in Ihrem Unternehmen?
Berdelsmann: Unsere Mitarbeiter sind sehr wichtig, sie sind unsere besten Detektoren für die Sicherheitslage in unserem direkten unternehmerischen Umfeld. Gibt es Sicherheitsvorfälle in anderen Häusern oder wurde einer unserer Lieferanten das Opfer eines Angriffs? Solche Informationen erhalten wir häufig über unsere Mitarbeiter. Und natürlich ist der Mitarbeiter derjenige, der im Zweifelsfall die Schadsoftware nicht herunterlädt, weil er entsprechend geschult und aufmerksam ist.
gwf: Können Sie eine typische akute Notfallsituation beschreiben?
Berdelsmann: Keine akute Notfallsituation, aber ein ganz aktuelles einfaches Beispiel: Wir haben E-Maileingänge von einem Dienstleister, mit dem wir sehr eng zusammenarbeiten. Unsere Mitarbeiter leiten uns E-Mails mit „komischen Anhängen“ zur Überprüfung weiter. Schnell erkennen unsere Security Analysten, dass das Postfach des Absenders kompromittiert wurde, d.h. jemand mit schlechten Absichten hat die Kontrolle über das Postfach gewinnen können und nutzt nun die bestehenden Kommunikationswege. Das sehen wir leider aktuell häufig. Denn viele Unternehmen wandern mit ihren E-Mailkonten inzwischen in die Cloud und vergessen dabei, dass dieses E-Mailkonto damit eigentlich direkt öffentlich zugänglich ist. Wurde mit dem Gang in die Cloud außerdem versäumt eine Multifaktor-Authentifizierung einzuführen, also die Abfrage eines weiteren Sicherheitsmerkmals zusätzlich zu einem Passwort, so ist die Wahrscheinlichkeit groß, dass das E-Mailkonto bald übernommen wird, insbesondere wenn einfache Passwörter nicht systemseitig verhindert werden. Angreifer nutzen dann gerne bereits bestehende Kontakte und Kommunikationswege, um weitere Anmeldedaten zu erlangen. Das kann ganz schnell gehen: Auf eine bestehende E-Mail-Kommunikation wird mit weiteren präparierten E-Mails geantwortet und schon hat man weitere Kontodaten und Passwörter erbeutet… Die Vorgehensweise ist eigentlich immer dieselbe oder zumindest sehr ähnlich!
gwf: Und wie steuern Sie als Unternehmen dagegen?
Berdelsmann: Wir haben gecheckt, was wir an E-Maileingängen von dem betroffenen Dienstleister erhalten haben. Dann wurde geprüft, welche Anhänge dabei waren und ob diese durchgelassen wurden oder bereits von unserem System als schadhaft erkannt und abgefangen wurden. In diesem Fall war es so. Nichts ist durchgegangen und alles konnte abgefangen werden. Von unserer Seite also „business as usual“. Das ist ein ganz klassisches Beispiel und kommt eher häufig vor. Aber es ist natürlich auch eine Frage der Reputation: Wenn der Sicherheitsvorfall auch eine Auswirkung auf uns haben könnte, möchten wir gerne wissen und informiert werden, was passiert ist. Wir gehen in Kontakt mit den betroffenen Unternehmen, wir erhalten weitere Informationen und beleuchten die Lage – so können wir dem Unternehmen nach Bereinigung der Situation wieder vertrauen.
gwf: Sie sind auch die Leiterin des Branchearbeitskreis Gas des UP KRITIS. Was ist der UP KRITIS?
Berdelsmann: Der UP KRITIS ist eine Public Private Partnership, dort arbeiten die Betreiber Kritischer Infrastrukturen, die Vertreter der Behörden und unserer Verbände zusammen, um gemeinsam einen Beitrag zum Schutz der kritischen Infrastrukturen zu leisten und erhebliche Störungen zu vermeiden. Es ist ein freiwilliger Zusammenschluss, d. h. als KRITIS Unternehmen kann man die Aufnahme beantragen, muss aber nicht, man kann aber sehr davon profitieren – so sehe ich das zumindest. Seit 2016 gibt es den Branchenarbeitskreis Gas, den ich leite. Wir haben uns im Energiesektor dazu entschlossen, die verschiedenen Energiebereiche in eigenen Arbeitskreisen zu behandeln, da sich unsere Prozesse und Rahmenbedingungen doch zu sehr unterscheiden, als dass man ihnen in einem einzigen Branchenarbeitskreis gerecht werden würde.
gwf: Wer sitzt in den Branchenarbeitskreisen?
Berdelsmann: Da sitzen die Vertreter der staatlichen Stellen: das BMWK (Bundesministerium für Wirtschaft und Klimaschutz), das BBK (Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe), die Bundesnetzagentur und die kritischen Unternehmen – in unserem Fall sind das die Ferngasnetzbetreiber, die Verteilnetzbetreiber und auch die Speicherbetreiber sowie unsere Verbände. Wir arbeiten insbesondere eng zu den Themen der Informationssicherheit und IT zusammen. Eine branchenübergreifende Zusammenarbeit findet darüber hinaus in den Themenarbeitskreisen des UP KRITIS statt, z. B. gibt es einen Arbeitskreis zu Übungen oder auch zur Szenariobasierten Krisenvorsorge. Als wichtiges Gremium sei noch der UP KRITIS Rat genannt, der von hochrangigen Wirtschaftsvertretern aus den verschiedenen Sektoren sowie den Präsidenten des BBK und des BSI besetzt wird. Der Wirtschaftsbeirat, der sich wiederum aus den Vertretern der Wirtschaft des Rates zusammensetzt, vertritt die politische Stimme des UP KRITIS nach außen und hat die Möglichkeit bei Gesetzesänderungen eine entsprechende Stellungnahme einzubringen, wie zum IT-Sicherheitsgesetz 2.0 und dann auch zum KRITIS Dachgesetz.
gwf: Was ist das KRITIS Dachgesetz?
Berdelsmann: Wir haben ja bereits das IT-Sicherheitsgesetz 2.0, dass seit Mai 2021 die deutsche Kritis-Regulierung von 2015 nochmal erweitert und speziell die Informationssicherheit betrifft. Das KRITIS Dachgesetz soll zusätzlich die physische Sicherheit und Resilienz von KRITIS-Betreibern stärken und Anforderungen aus der CER-Richtlinie der EU in nationales Recht umsetzen. Welche Anforderungen genau auf uns zukommen werden, ist aktuell noch nicht bekannt. Aber für uns als Betreiber ist es ein großes Anliegen, dass Nachweispflichten und Zertifizierungspflichten besser miteinander harmonisieren. Deshalb ist es sehr begrüßenswert, dass wir über den UP KRITIS eine Möglichkeit zur Stellungnahme haben und uns dazu äußern können.
gwf: Inwiefern betrifft Sie auch die neu verabschiedete NIS2-Richtlinie für Netz- und Informationssysteme in der EU?
Berdelsmann: Ja, die betrifft uns auch. EU NIS2 ist der europäische Rahmen für Betreiber Kritischer Infrastrukturen und legt Cyber Security Mindeststandards in der EU fest. Die neue EU NIS 2-Richtlinie muss, wie auch die EU CER, bis Oktober 2024 in nationales Recht überführt werden – zusammen mit weiteren Neuerungen möglicherweise als IT-Sicherheitsgesetz 3.0. Weitere Anpassungen oder Verordnungen wird es aber sicherlich geben müssen. Im europäischen Vergleich, denke ich, sind wir in Deutschland insgesamt schon ganz gut aufgestellt. Zusätzlichen Anforderungen aus der neuen NIS-Richtlinie sehe ich für unsere Branche recht gelassen entgegen, da ist eher geringerer Anpassungsbedarf zu erwarten.
gwf: Arbeitet UP KRITIS auch international mit vergleichbaren Kooperationen zusammen?
Berdelsmann: UP KRITIS ist eine rein deutsche Partnerschaft. Aber es gibt auf Europäische Ebene die ENISA, das ist die Behörde „Agentur der Europäischen Union für Cybersicherheit“, diese hat ähnlich wie bei uns das BSI größere Befugnisse. Zukünftig soll auch die Kooperation und der Informationsaustausch innerhalb der EU und zwischen den Behörden stark zunehmen, und auch nationale Informationen über grenzüberschreitenden Risiken stärker ausgetauscht werden. Denkbar wäre sicher auch eine stärkere Vernetzung der nationalen „Cyber Incident Response Teams“. Dabei handelt es sich um Teams von Sicherheitsexperten und IT-Fachleuten, die für die Behörden an der Lösung von konkreten Sicherheitsvorfällen mitwirken.
gwf: Es scheint sehr sinnvoll, dass die europäischen Infrastrukturen zukünftig gemeinsam betrachtet werden sollen…
Berdelsmann: Ja, das passiert aber auch bereits jetzt schon. Die NIS hat eigene Kriterien, wie sie europäische Infrastrukturen als kritisch einstuft, was uns auch betrifft. Über die europäischen Regulierungen müssen wir uns in Deutschland ja auch an den internationalen Normen orientieren und können unsere Regularien nicht nur mit nationalen Standards aufstellen. Bei uns in der Branche wurde die ISO 27001 als führende Norm umgesetzt, dazu ergänzend die ISO 27019 für den Energiebereich. Das sind unsere Normen, nach denen wir unsere Informationssicherheitssysteme managen und zertifizieren lassen, und damit sind wir wohl auf dem richtigen Weg, wenn wir internationale Standards anwenden wollen und Vergleichbarkeit anstreben.
gwf: Gibt es von Ihrer Seite Verbesserungsvorschläge für UP KRITIS?
Berdelsmann: Die internationale Zusammenarbeit gerne ausbauen und auch national den Bekanntheitsgrad erhöhen, insbesondere die politische Stimme des UP KRITS würde ich persönlich gerne häufiger hören. Auch eine frühestmögliche Einbindung zu Referententwürfen der Bundesminsterien wäre zu begrüßen, damit wir als Betreiber der Kritischen Infrastrukturen die Chance zur Stellungnahme haben.
gwf: Denken Sie, dass die Gasversorger noch besser zur IT-Sicherheit informiert werden könnten oder sind alle ausreichend informiert?
Berdelsmann: Es gibt immer wieder Gremien, wo man erstaunt ist, wie wenig inhaltlich bei den Unternehmen bisher angekommen ist. Und gerade für kleine Versorger gibt es auch manchmal sehr viel zu beachten – insbesondere, wenn sie auch noch Wasserversorger und Stromversorger sind. Die Unternehmen können unter Umständen unter drei Regulierungen fallen, haben aber nicht die personelle Ausstattung, um das alles zu bearbeiten. Der Schutz der Kernprozesse der Kritischen Infrastrukturen muss im Fokus der Cybersicherheit stehen. Ein weiterer Verbesserungsansatz in der Zusammenarbeit wäre also die Frage: „Was kann man vereinheitlichen, damit zusätzliche KRITIS Regulierungen nicht über unterschiedliche staatliche Stellen Nachweise für die Erfüllung von nahezu gleichen Anforderungen über Meldestellen und Kommunikationswege erhalten wollen. Eine Harmonisierung wäre hier sehr wichtig. Denn letztendlich wollen wir ja alle das IT-Sicherheitsniveau hochhalten. Damit es aber auch gerade die kleineren Betreiber schaffen, muss es handhabbar bleiben.
gwf: Vielen Dank für das Gespräch!
Foto: @ GASCADE Gastransport GmbH