Kritische Infrastrukturen wie z. B. Energieversorger sind gefährdete Ziele für Cyber-Attacken. Zudem wird die Stromversorgung immer vernetzter; die IT- und OT-Welten verschmelzen zunehmend. Diese Entwicklung verlangt nach entsprechenden Massnahmen zum Schutz vor Cyber-Angriffen. Doch gerade kleine und mittlere Unternehmen (KMUs) fehlen oft die finanziellen und personellen Mittel. Redguard stellte sich der Herausforderung, ein Sicherheitsdispositiv mit den verfügbaren Mitteln aufzubauen – und leitete dazu eine Arbeitsgruppe bestehend aus sieben Energieversorgungsunternehmen des Kanton Aargaus. Damit konnten die anfallenden Kosten geteilt und pragmatische sowie effektive Lösungen gefunden werden, um die eigene Widerstandsfähigkeit gegenüber Cyber-Angriffen zu stärken.

Steigende Gefahr aus dem Internet

«Die Pandemie und extreme Wetterbedingungen [sowie Krieg, Anm. d. Verf.] haben die Wichtigkeit kritischer Infrastrukturen in den letzten Monaten zusätzlich in den Vordergrund gerückt. Viele Prozesse der kritischen Infrastrukturen werden durch operationelle Technologie (OT) unterstützt oder erst ermöglicht und von industriellen Kontrollsystemen (IKS) gesteuert. Neben Umwelteinflüssen und Fehlmanipulationen stellen auch böswillige Angriffe (z. B. mit Hilfe von Ransomware) gegen diese Systeme oder damit verbundene Geräte ein Risiko der Verfügbarkeit und Integrität der kritischen Infrastrukturen dar.» Auszug aus dem Halbjahresbericht 1/2021 des NCSC

Die Aussage des Nationalen Zentrums für Cybersicherheit (NCSC) verdeutlicht die Notwendigkeit für Schweizer Energieversorger (EVU), sich mit IT- und OT-Sicherheit auseinanderzusetzen. Doch insbesondere als kleines oder mittelgrosses EVU ist es eine Herausforderung, einen geeigneten und budgetgerechten Weg in Richtung Cyber-Resilienz zu finden.

Ganzes Wissen zum geteilten Preis

Eine geeignete Form ist also gefragt, wie insbesondere KMUs einen Anknüpfungspunkt an die Thematik IT- und OT-Security finden können. Angebote gibt es viele, doch oftmals lassen sich diese nicht mit einem KMU-Budget vereinbaren. Doch was wäre, wenn mehrere Organisationen der gleichen Branche gemeinsam eine Dienstleistung beziehen und die Kosten teilen könnten? So nahm die Idee einer Arbeitsgruppe Gestalt an.

Mit der Unterstützung von e-sy konnten sieben interessierte Energieversorger aus dem Aargau gefunden werden, die sich gemeinsam auf den Weg Richtung Einhaltung des IKT-Minimalstandards machten. Organisiert und geleitet wurde diese Arbeitsgruppe von den Sicherheitsexperten der Redguard AG.

«Die Verfügbarkeit und Integrität des von e-sy betriebenen intelligenten Messsystems (IMS) ist unmittelbar abhängig von der Sicherheit jedes beteiligten EVU. In der Arbeitsgruppe wurden gemeinsame Interessen gebündelt, Synergien genutzt und Fähigkeiten ausgebaut. Nicht zu vernachlässigen: Es wurde Vertrauen geschaffen. Dies ist ein wichtiges Momentum im gemeinsamen kontinuierlichen Kampf gegen lauernde und künftige Schwachstellen und Angriffe.» Adrian Hüssy, Program Manager von e-sy, unterstützte das Vorhaben von Beginn an.

Was war das Ziel der Arbeitsgruppe?

Unser Ziel war es, die Umsetzung des IKT-Minimalstandards des BWL sowie der dazugehörigen Branchenvorgabe des VSE pragmatisch und kostengünstig zu adressieren. In der Arbeitsgruppe wurden die notwendigen Sicherheitsmassnahmen ergriffen, um das EVU effizient vor Cyber-Angriffen zu schützen. Dabei haben wir die EVU’s nicht nur entsprechend neuesten Methoden systematisch auf Cyber-Angriffe vorbereitet, sondern auch einen realitätsnahen Phishing-Angriff durchgeführt. Das half den EVU’s ihr Sicherheitsniveau zu erhöhen und ihre Mitarbeitenden bezüglich Phishing-Angriffen zu sensibilisieren.

Wie war der Inhalt aufgebaut?

Die Arbeitsgruppe traf sich in regelmässigen Abständen über rund neun Monate verteilt zu insgesamt vier Workshops, um das Thema IT- und OT-Sicherheit gemeinsam zu adressieren.

Die verschiedenen Phasen der Cyber Security-Arbeitsgruppe

Als Hauptbestandteil wurde der Aufbau eines Informationssicherheits-Management-Systems (ISMS) angegangen. Innerhalb eines ISMS werden Regeln, Verfahren und Massnahmen definiert, mit welchen sich die Informationssicherheit steuern, kontrollieren, sicherstellen und optimieren lässt. Wir stellten den Teilnehmenden entsprechende Vorlagen zur Verfügung mit konkreten Tools zum Aufbau eines ISMS.

Zudem hielten wir Impulsreferate zu Themen wie Risikomanagement, Reaktions- Wiederherstellungsplanung, Reporting und Strategie und Lieferantenmanagement.

Mittels «Hausaufgaben» transferierten die Teilnehmenden das vermittelte Wissen auf die eigene Unternehmung. So konnten Fragen, die dadurch aufgetaucht sind, gleich im nächsten Workshop im Plenum besprochen werden. Dadurch entstand auch ein sehr wertvoller Austausch zwischen den Teilnehmenden. Die Sicherheitsexperten der Redguard standen den Teilnehmenden zudem während der gesamten Projektdauer als Ansprechperson zur Verfügung.

«Durch die Teilnahme an der Arbeitsgruppe konnte ich wertvolle Inputs und Tools zum Ausbau unserer Sicherheitsmassnahmen mitnehmen, die es nun umzusetzen gilt. Der Austausch mit den anderen Teilnehmenden war ein grosser Mehrwert, um das Gehörte auf unsere Organisationen anzuwenden und Erfahrungen auszutauschen.» Sonja Zwahlen, Leiterin Finanzen & Informatik der SWL Energie AG

Um das Verständnis und die Awareness für das Thema Cyber Security auch innerhalb der teilnehmenden EVUs zu erhöhen, haben wir eine «Drive-By Attack» durchgeführt. Mittels einer realitätsnahen Phishing-Kampagne wurde das Verhalten der Mitarbeitenden im Falle eines Phishing-Angriffs geprüft. Die Ergebnisse wurden im Anschluss pro teilnehmende Organisation ausgewertet und besprochen.

Als Highlight haben wir einen kleinen Social Engineering-Test organisiert, bei welchem ein Tester der Redguard einzelne Mitarbeitende vor Ort prüfte. Dabei versuchte der Tester sich Zugang zu den Räumlichkeiten und schlussendlich zum Netzwerk des teilnehmenden EVUs zu verschaffen. Die anschliessende Besprechung dieser Resultate war sowohl aufschlussreich als auch eindrücklich.

Fazit

Die vier Workshops wurden erfolgreich abgeschlossen. Die Teilnehmenden blicken auf eine lehrreiche Zeit zurück und haben noch die eine oder andere «Hausaufgabe», welche es nun anzugehen gilt. Durch die Form der Arbeitsgruppe wurde das Angebot auch für kleinere und mittlere Unternehmen erschwinglich.

Sie sind ein KMU und möchten Ihre IKT-Resilienz stärken? Bestimmt gibt es noch mehr KMUs in Ihrer Branche, die dasselbe Ziel haben. Profitieren Sie gemeinsam von einer Arbeitsgruppe mit viel Austausch und ganzem Wissen zum geteilten Preis. Rufen Sie uns an oder schreiben Sie uns eine E-Mail. Wir beraten Sie gerne und unverbindlich.