Um anstehende Änderungen im IT-Sicherheitsgesetz 3.0, um die Abwehr von Cyberattacken und die digitale Transformation ging es bei einem Webinar von ERNEUERBARE ENERGIEN, das jetzt auch unter www.erneuerbareenergien.de abrufbar ist.
Mohamed Harrou, bei Baywa RE Data Services aktuell Leiter Globales Scada-Team, erklärte zunächst, dass Baywa RE Data Services Kunden im Bereich der Erneuerbaren mit datenbasierten Diensten unterstütze, bevor er erläuterte, wer von der neuen Gesetzgebung betroffen ist. Nach IT-Sicherheitsgesetz 3.0 / NIS2 seien das Betreiber Kritischer Anlagen, sowie besonders wichtige und wichtige Unternehmen aus definierten Sektoren. Energie sei Teil dieser Sektoren. Nach Kritis-Verordnung sind es aktuell Erzeugungsanlagen am Netzverknüpfungspunkt; alle schwarzstartfähigen Anlagen sowie solche zur Bereitstellung von Primärregelleistung ab 36 Megawatt (MW). Alle anderen ab 104 MW sowie Anlagen zur Bündelung und Steuerung elektrischer Leistung ab 104 MW. Dazu zählen u. a. Leitwarten, virtuelle Kraftwerke von Direktvermarktern, übergeordnete Parkregler bei Umspannwerken. Betroffen sind damit auch Betreiber von Wind- und PV-Anlagen.
Welche Pflichten ergeben sich nun für betroffene Unternehmen? Unter anderem ist das die Umsetzung von „Risikomanagementmaßnahmen“, etwa die Einführung eines Informations-Sicherheits-Management-Systems (ISMS). Betreiber Kritischer Infrastrukturen müssen zusätzlich ein System zur Angriffserkennung (Intrusion Detection System) implementieren. Bei Nicht-Einhaltung drohen Sanktionen und Bußgelder: Betreiber kritischer Infrastrukturen, die sich nicht an die neuen Vorgaben halten, müssen mit einer Höchststrafe von bis zu zehn Millionen Euro oder zwei Prozent des globalen Umsatzes vom Vorjahr rechnen.
Sven Auhagen, Entwicklungsleiter der Firma Voleatech, sprach im Rahmen des Webinars über D-Dos-Attacken und ihre Auswirkungen auf erneuerbare Energien. Zunächst erklärte er die Funktionsweise von D-Dos-Attacken. So erfuhren die Zuhörer, dass die Angreifer eine große Anzahl an Geräten, sogenannte Bots, kontrollieren, um massiv Netzwerkverkehr zu generieren. „Bots schicken dann massenweise Daten an ein ausgewähltes Ziel.“ Die Angreifer verfügen laut Auhagen normalerweise über eine Steuersoftware, um den Angriff zu automatisieren. „D-Dos-Bots kann ein Angreifer sogar ganz einfach online mieten“, warnte der Experte.
D-Dos-Bots kann ein Angreifer sogar ganz einfach online mieten.
Auswirkungen von D-Dos-Attacken
Eine Art des Angriffs sei die ICMP-Flood (Internet Control Message Protocol): „Geräte schicken dafür massenweise ICMP-Pakete, um das Ziel zu überfordern.“ Manche Implementierung hätten auch Fehler. Auswirkungen von D-Dos-Attacken auf Kritis sind etwa, dass das Ziel nicht mehr erreichbar ist und lahmgelegt wird. „Das Ziel ist mit den Anfragen so beschäftigt, dass keine Kommunikation mehr möglich ist, auch nicht über alternative Verbindungen. Die Steueranlage wird zum Absturz gebracht“, so Auhagen. Was sollte man tun, um dieser Eskalation vorzubeugen? Zur Prävention seien Firewalls mit hoher Drop-Rate und korrekten Firewallregeln zu empfehlen, Intrusion-Detection/Prevention-Systeme (IDS/IPS) und Monitoring mit entsprechender Erkennung von Traffic Spikes, also praktisch digitalen Nagelketten auf der Straße. Komplexere Maßnahmen wären laut Auhagen Blackhole Routing, also eine Gegenmaßnahme gegen einen D-Dos-Angriff, die den Datenverkehr in ein schwarzes Loch leitet, Web Application Firewall (ein Verfahren, das Webanwendungen vor Angriffen über das Hypertext Transfer Protocol (HTTP) schützt) und Rate Limiting von Anfragen. Eine Rate-Limiting-Lösung misst die Zeitspanne zwischen jeder Anfrage von jeder IP-Adresse und auch die Anzahl der Anfragen innerhalb eines bestimmten Zeitrahmens. Geschultes Personal sollte dabei eine Gefahr erkennen und eingreifen können. Best Practices für Kritis sind nach Ansicht von Auhagen unter anderem die Erstellung und Implementierung eines Notfallplans, sowie die Schulung des Personals in Bezug auf Sicherheitsbewusstsein und Reaktion auf Angriffe. Man sollte D-Dos-Angriff einmal mit einem Traffic Generator simulieren, zum Beispiel mit Pktgen oder Trex.
Michael Darnieder, Geschäftsführer der Tedexa GmbH, sprach über die digitale Transformation von Unternehmen und wie man damit am besten startet. Er betonte, dass es bei diesem Prozess viele Missverständnisse gibt, wie zum Beispiel die Annahme, dass man sein gesamtes Geschäft umkrempeln muss oder dass die reine Digitalisierung ausreicht.
Um den Prozess zu beginnen, empfiehlt Darnieder zunächst das „Why“ und die Vision zu definieren. Es ist von großer Bedeutung, dass jeder Mitarbeiter versteht, warum die digitale Transformation wichtig ist. Mit der digitalen Transformation geht auch die Veränderung der Organisationskultur einher. Ein wesentlicher und auch der schwierigste Schritt, da man oft bestehende Silo-Strukturen auflösen und eine teamübergreifende, eigenverantwortliche Zusammenarbeit etablieren muss. Hier ist eine Begleitung durch Change-Management unerlässlich. Es unterstützt einerseits durch eine klare und kontinuierliche Kommunikation während des Prozesses und koordiniert die Entwicklung des digitalen Mindsets und des Skillsets der Mitarbeiter und Führungskräfte. Ziel der digitalen Transformation ist es laut Darnieder aber vor allem, die Kundenbedürfnisse zu verstehen und Mehrwerte für Kunden zu kreieren.
Webinar: Unter Eingabe dieses Shortlinks kommen Sie zum Download des Webinars über Kritis und Cybersecurity:
bit.ly/3svYAnW