Cybersecurity in EVU

Die ElCom hat einen Bericht über die Situation von 92 Schweizer Energieversorgern bezüglich ihrer Cybersecurity 2019 erstellt und Empfehlungen erarbeitet.

Auszug aus dem ElCom-Bericht «Cyber-Sicherheit 2019»

Durch Eigenverbrauch und -produktion, virtuelle Speicher und Kraftwerke wird die Energieversorgung zunehmend dezentraler und die Systemführung komplexer. Um diese Komplexität zu beherrschen und die wirtschaftlichen Chancen dieser Entwicklung zu nutzen, setzen die Energieversorger zunehmend informationstechnologische Mittel ein. Dies bedeutet nicht nur Internet of Things, Big Data oder Blockchain-Applikationen, sondern auch die informationstechnologische Vernetzung von Unterwerken, Trafostationen und Messstellen. Verstärkt wird diese Entwicklung mit der im Stromversorgungsgesetz (StromVG) vorgeschriebenen Einführung von intelligenten Messsystemen (Smart Meter). Die Stromnetze werden zunehmend durch intelligente Informations- und Kommunikationstechnologien gesteuert und überwacht. Diese Systeme bieten dem Netzbetreiber mehr Steuerungsmöglichkeiten und ermöglichen einen effizienteren Systembetrieb sowie die Möglichkeit neue Dienstleistungen anzubieten. Aufgrund der zunehmenden informationstechnologischen Vernetzung steigt aber auch das Risiko, dass zum Beispiel Hacker in das Stromnetz eindringen und die Verfügbarkeit, Integrität oder Vertraulichkeit der Daten verletzen. Betrifft ein solcher Vorfall die IT, kann dies zu einem erheblichen finanziellen Schaden und vor allem zu einem Reputationsverlust für den betroffenen Netzbetreiber führen. Ist hingegen die Operational Technology (OT), die Betriebstechnologie, von einem Cyber-Vorfall betroffen, kann dies im Extremfall zu einem grossflächigen Stromausfall mit Verletzten oder sogar Toten sowie Umweltschäden führen. Somit wird die Cyber-Sicherheit ein zentrales Thema zur Gewährleistung einer sicheren Stromversorgung.

Der ElCom obliegt gemäss Artikel 22 Absatz 3 StromVG die Überwachung der Elektrizitätsmärkte im Hinblick auf eine sichere und erschwingliche Versorgung in allen Landesteilen. In Bezug auf die Cyber-Sicherheit bedeutet dies, dass die Netzbetreiber in der Lage sein müssen, die Lieferung an Nachlieger und Endkunden sicherzustellen und dass aufgrund eines Cyber-Vorfalles die Systemstabilität der Schweiz nicht gefährdet wird.

Um sich einen Überblick über die Situation zu verschaffen, hat die ElCom entschieden, die 92 grössten Netzbetreiber zu ausgewählten organisatorischen und technischen Cyber-Sicherheitsmassnahmen zu befragen. Im Fokus der Befragung standen einerseits organisatorische Fragen zum Risikomanagement, zur Sensibilisierung der Mitarbeitenden oder zum Umgang mit externen Dienstleistern. Andererseits wurden grundlegende technische Fragen zur Netzwerkarchitektur und zur Erkennung von Cyber-Vorfällen erhoben. Bei der Erarbeitung und Auswertung der Fragebogen orientierte sich die ElCom an bestehenden Standards, Empfehlungen und Branchendokumenten.

Gestützt auf die Ergebnisse der Umfrage, ist für die ElCom die Verbesserung der organisatorischen Massnahmen zentral: insbesondere die Erarbeitung von Richtlinien in den Bereichen Detektion und Vorfallsbewältigung, Schulungs- und Sensibilisierungsprogramme in Bezug auf die OT sowie die Begleitung und Überwachung von Wartungsarbeiten an kritischen Applikationen, sowohl vor Ort als auch über einen Fernzugriff.

Bei den technischen Massnahmen erwartet die ElCom, dass die OT-Infrastruktur entsprechend dem aktuellen Stand der Technik geschützt wird und im Idealfall von der IT-Infrastruktur getrennt ist. Sollten diese Infrastrukturen nicht getrennt sein, sind Verbindungen entsprechend zu schützen und die OT-Systeme regelmässig auf Sicherheitslücken zu testen.

Zudem sollte zur Erkennung von Cyber-Vorfällen insbesondere der OT-Netzwerkverkehr aufgezeichnet und überwacht werden. Im Zentrum der Massnahmen sollen dabei immer die Sicherstellung der Systemstabilität und die Lieferung an die Nachlieger sowie Endkunden stehen.

Aus den genannten Gründen erwartet die ElCom eine effiziente und risikobasierte Umsetzung der Branchendokumente «ICT Continuity», «Handbuch Grundschutz für Operational Technology in der Stromversorgung» und «Richtlinien für die Datensicherheit von intelligenten Messsystemen» des Verbandes Schweizerischer Elektrizitätsunternehmen gemäss dem Leitfaden «Schutz kritischer Infrastrukturen» des Bundeamtes für Bevölkerungsschutz. Weiter begrüsst die ElCom im Sinne der Subsidiarität die Bestrebungen, ein Branchen-CERT aufzubauen.

Fazit

Wie eingangs erwähnt, müssen die Netzbetreiber ein sicheres (Strom-)Netz gewährleisten. Dies betrifft auch den Schutz des (Strom-)Netzes vor Cyber-Risiken. Dieses Risiko nimmt zu, je stärker ein Netzbetreiber informationstechnologisch vernetzt ist. Aufgrund der zunehmenden Digitalisierung und dem geplanten Smart Meter Rollout wird die bereits starke informationstechnologische Vernetzung der Netzbetreiber (vgl. Kapitel 2.1) in Zukunft weiter zunehmen. Dadurch wird auch die Angriffsfläche für Cyber-Vorfälle grösser. Als Folge davon steigt die Bedeutung der Cyber-Sicherheit mit steigender Digitalisierung und informationstechnologischer Vernetzung an.

Die ElCom beleuchtet in diesem Bericht nicht den Zustand der gesamten Cyber-Sicherheitsmassnahmen der Netzbetreiber, sondern nur ausgewählte Elemente. Eine gesamte Analyse würde zu weit führen. Die hier gemachten Aussagen und Empfehlungen beziehen sich daher nur die betrachteten Themengebiete. Dabei orientiert sich die ElCom an bestehenden Standards, Empfehlungen und Branchendokumenten.

3.1 Organisatorische Massnahmen

Bei den organisatorischen Massnahmen lassen sich zusammenfassend folgende Punkte festhalten:

  • Der Cyber-Sicherheit wird die nötige Aufmerksamkeit geschenkt, da diese entweder in der Geschäftsleitung oder zumindest in einem speziellen Gefäss thematisiert wird. So werden auch die Sicherheitsmassnahmen situativ und grösstenteils sogar zyklisch angepasst. Dies ist insbesondere bei der historisch gewachsenen starken Vernetzung der Netzbetreiber zentral.
  • Bezüglich der Erarbeitung von sicherheitsrelevanten Richtlinien und Massnahmen bei der OT sieht die ElCom Handlungsbedarf. Hier verfügen nicht alle Netzbetreiber über entsprechende Richtlinien, insbesondere in den Bereichen der Detektion und Vorfallsbewältigung (Incident Response).
  • Aufgrund der Resultate sind nur wenige Netzbetreiber bereits zertifiziert oder streben eine Zertifizierung an. Dies ist aus Sicht der ElCom unproblematisch, da eine effektive Cyber-Sicherheit auch ohne Zertifikat möglich ist und ein Zertifikat im Gegenzug nicht immer eine effektive Cyber-Sicherheit bedeutet.
  • Damit die Lieferung auch bei einem Cyber-Vorfall gesichert ist, müssen die Systeme redundant ausgelegt oder ein manueller Workaround vorbereitet sein. Es gibt Netzbetreiber, welche keine redundanten Systeme oder manuelle Workarounds haben. Hier besteht aus Sicht der ElCom Nachholbedarf, damit im Ereignisfall die Stromlieferung sichergestellt werden kann.
  • Weiter betreiben wenige Netzbetreiber ein eigenes CERT oder SOC. Häufiger wird diese Dienstleistung durch einen externen Dienstleister ergänzt oder ganz übernommen. Sehr selten ist eine Kooperation unter Netzbetreibern. Hier ist festzuhalten, dass es aus ökonomischen Überlegungen nicht effizient ist, dass jeder Verteilnetzbetreiber ein eigenes CERT betreibt.
  • Ein Grossteil der Netzbetreiber meldet vorgefallene Cyber-Vorfälle, insbesondere an MELANI. Dies ermöglicht es, das Lagebild der Cyber-Vorfälle im Elektrizitätsbereich bei MELANI aktuell zu halten.
  • Ebenso führt rund die Hälfte der befragten Netzbetreiber Schulungs- und Sensibilisierungsprogramme sowohl für IT wie auch für OT durch. 21 Netzbetreiber führen jedoch keine Schulungsprogramme durch. Vor dem Hintergrund, dass die meisten Cyber-Vorfälle durch ein menschliches Fehlverhalten ausgelöst werden ist es aus Sicht der ElCom nicht vertretbar, keine Schulungs- oder Sensibilisierungsprogramme durchzuführen. Zudem sollten regelmässige Schulungen oder Sitzung zwischen IT- und OT-Sicherheitsverantwortlichen stattfinden.
  • Die meisten Netzbetreiber erlauben den eigenen Mitarbeitenden einen Fernzugriff auf kritische Applikationen. Dieser Zugriff wird bei den meisten Netzbetreibern auch aufgezeichnet. Nur bei wenigen wird bei Mitarbeitenden mit einem Fernzugriff eine Hintergrundprüfung durchgeführt.
  • Weit verbreitet ist auch die Auslagerung der IT Dienstleistungen. Dies häufig in Verbindung mit einem Fernzugriff der externen Dienstleister. Dieser Zugriff wird in den meisten Fällen mindestens mit einer Cyber-Sicherheit 201 Faktoren Authentifizierung geschützt. Aus Sicht der ElCom könnte die Cyber-Sicherheit weiter erhöht werden, wenn der Fernzugriff zum Beispiel zeitlich beschränkt freigegen und zusätzlich überwacht wird.
  • Bei der Wartung von kritischen IT- oder OT-Systemen durch externe Dienstleister ist meistens ein interner Mitarbeiter vor Ort anwesend. Leider ist auch festzuhalten, dass Netzbetreiber externe Dienstleister unbeaufsichtigt Wartungs- oder Installationsarbeiten durchführen lassen. Dieses Verhalten ist sehr fahrlässig in Bezug auf die Cyber-Sicherheit und dürfte nicht sein. Die Begleitung eines externen Dienstleisters ist kein Misstrauensbeweis, sondern eine Absicherung. Auch dem externen Dienstleister können fahrlässige Fehler unterlaufen, welche durch ein 4-Augen-Prinzip erkannt werden können. Zudem ist dem Unternehmen so auch bekannt, welche Arbeiten ausgeführt wurden. Auch hier sind Fernzugriffe weit verbreitet.

 

3.2 Technische Massnahmen

Im Bereich der technischen Massnahmen ist Handlungsbedarf bei der Erkennung von Cyber-Vorfällen feststellbar. Ziel sollte es sein, Cyber-Vorfälle zu erkennen, damit deren Auswirkungen frühzeitig eingedämmt werden können. Dazu sollte aus Sicht der ElCom insbesondere der OT-Netzwerkverkehr aufgezeichnet und überwacht werden. Die OT stellt das Kerngeschäft der Netzbetreiber dar. Daher erwartet die ElCom, dass die OT-Infrastruktur entsprechend dem aktuellen Stand der Technik geschützt wird. Im Idealfall ist die OT- und IT-Infrastruktur getrennt. Sind diese Infrastrukturen nicht getrennt, sind die Verbindungen zu schützen. In diesem Fall ist die regelmässige externe Überprüfung der OT aus Sicht der ElCom zwingend. In diesem Zusammenhang ist die Wirkung interner Audits und Penetration Tests aufgrund der Befangenheit der Auditoren zu hinterfragen. Nichtsdestotrotz können bei entsprechender Durchführung auch interne Audits und Penetration Test Schwachstellen aufzeigen. Abschliessend ist festzuhalten, dass bei einem Netzbetreiber die IT nicht von der OT getrennt ist und auch der Übergang zum Teil nicht geschützt ist. Eine solche Netzwerkarchitektur ist aus sicherheitstechnischer Sicht äusserst fahrlässig.

3.3 Empfehlung

Die Cyber-Sicherheit nimmt aufgrund der zunehmenden Vernetzung weiter an Bedeutung zu. Die effiziente und risikobasierte Umsetzung der VSE Branchendokumente «ICT Continuity», «Handbuch Grundschutz für Operational Technology in der Stromversorgung» und «Richtlinie für die Datensicherheit von intelligenten Messsystemen» gemäss dem Leitfaden «Schutz kritischer Infrastrukturen» des BABS wird von der ElCom nicht nur begrüsst, sondern auch erwartet. Im Zentrum der Massnahmen sollen dabei immer die Sicherstellung der Systemstabilität und die Lieferung an die Nachlieger und Endkunden stehen. Die Bestrebungen, ein Branchen-CERT aufzubauen, ist im Sinne der Subsidiarität zu begrüssen.

 

Veranstaltungshinweise

 

Mit Cybersecurity sicher in die digitale Zukunft, (Web)

Wer schützt uns vor Cyberkriminalität? (Blog)

Cybersecurity: Alles eine Frage der «Einstellung»? (Blog)

Cybersecurity bei kleinen und mittleren Elektrizitätswerken, Neues Dienstleistungsangebot (Artikel, bulletin.ch)

Cybersecurity bei kleinen und mittleren Elektrizitätsversorgungsunternehmen (Electrosuisse-Studie, PDF)

Cyberangriffe auf Energieversorger, Der Zwischenfall in der Ukraine und die Schweizer Situation (Artikel, bulletin.ch)

 

Quelle: Bericht ElCom: Cyber-Sicherheit 2019 (Februar 2019)
Foto: Gerd Altmann auf Pixabay

 

Kommentare zum Beitrag

Noch keine Kommentare zu diesem Beitrag vorhanden.

Einen Kommentar schreiben


Weitere Beiträge