Gesetze gegen Hackerangriffe auf Versorgungsinrichtungen
SCADA, DCS [1] und ähnliche Prozesssteuerungen für Fertigungsanlagen, Raffinerien und Stromnetze sind über komplexe virtuelle Netze miteinander verbunden. Echte Grenzen zwischen den einzelnen Netzwerken gibt es nicht mehr.
Die Einzelnetze kommunizieren oft mit Standardprotokollen. Das macht die Kommunikation effizient – aber auch anfällig für Hackerangriffe.
„Die Hacker der neuen Generation sind schlau, gut ausgebildet, gut bezahlt und oft auch in der Lage, ohne größere Probleme in die Netzwerke von Versorgungsunternehmen einzudringen und sich längere Zeit darin aufzuhalten, ohne aufzufallen“, heißt es in einem Bericht von PricewaterhouseCoopers.
Usman Sindhu, Leitender Analyst bei IDC Energy Insights, erinnert an Stuxnet und Night Dragon, zwei Schadprogramme, die im letzten Jahr weltweit die Runde machten. Die beiden raffinierten Programme haben ein enormes Schadpotenzial und stellen eine anhaltende Bedrohung für Versorgungsunternehmen dar. Für Unternehmensvorstände und Regierungen sind sie zu einem echten Dauerbrenner geworden.
„Ende der 90er Jahre zeichnete sich ab, dass dem Infrastrukturschutz eine große Bedeutung zukommen würde. Regierungen begriffen: Die Angriffe würden sich intensivieren und die damaligen Richtlinien und internen Vorschriften reichten einfach nicht mehr aus“, erklärt Sindhu.
Daraufhin beauftragte die US-Energieaufsicht die North America Electric Reliability Corporation (NERC) mit der Entwicklung und Durchsetzung von Standards für die USA und Kanada.
Seit dem Aufkommen der Smart-Grid-Systeme – eine Folge der 2009 von der US-Regierung bereitgestellten Mittel für die Modernisierung der Stromversorgung – hat sich die Lage verkompliziert, da es jetzt weit mehr Einfallstore für Angreifer gibt.
Vorbereitet sein
2011 stellten der London Evening Standard und die The New York Times den Versorgungsunternehmen in Großbritannien und den USA schlechte Noten für ihre Notfallvorsorge gegen Hackerangriffe aus. Die Versorger hatten Angriffen aus dem Internet im Vergleich zu normalen Ausfällen nur eine niedrigere Priorität eingeräumt, die Investitionen in Schutzmaßnahmen waren zu niedrig, es gab nicht ausreichend Personal, das neben allgemeinen Sicherheitserfahrungen auch Smart-Grid- und Industrie- Fachkenntnisse hatte, und rechtliche Kontroversen behinderten die Vorsorge.
Laut Sindhu hat der US-Kongress daher kürzlich fünfzig weitreichende Gesetzentwürfe zum Schutz von Kraft-, Öl-, Gas- und Wasserwerken vorgelegt:
„Erstens sind die NERC-Richtlinien nicht mehr zeitgemäß. Die Unternehmen sind künftig selbst für den Betrieb einer zuverlässigen Sicherheitsarchitektur verantwortlich und sie müssen ihre Anti-Hacker-Pläne von externen Prüfern begutachten lassen.
Zweitens müssen die Unternehmen das Heimatschutzministerium und Branchenverbände über Vorfälle informieren. Drittens kämpfen die Versorger bereits jetzt mit den Sicherheitsproblemen, die durch Smart Grids aufgeworfen werden. Unter den neuen Gesetzen müssen sie ihre Anstrengungen intensivieren. Und viertens können Verbraucherinformationen zu einem Schlüsselthema werden, wenn die Versorger ihre Kunden bei Datenschutzverstößen und Einbrüchen in das Smart-Grid-Ökosystem benachrichtigen müssen.“
Mehrere Wissensebenen
In Kanada, Großbritannien, Australien und vielen weiteren Ländern sind ähnliche Gesetzesvorhaben auf dem Weg, von denen die meisten allerdings, so Sindhu, sich nur indirekt mit Fragen der physischen Zugangssicherheit auseinandersetzen.
Die Sicherheitsverantwortlichen der Versorger sollten begreifen, dass sie für die Smart-Grids umfangreiches Fachwissen aus vier Einzelbereichen benötigen und zusammenführen müssen.
Diese vier Bereiche sind: Physische Sicherheit (Eingänge, Kameras, Alarme, Echtzeit-Feeds), Netzwerksicherheit (vernetzte Komponenten und Geräte), Datensicherheit (kontinuierlicher Datenschutz) und Anwendungssicherheit (geschützte Programmausführung auch auf mobilen Geräten).
Der Trend ist klar. Weltweit treten immer mehr neue Gesetze zum Schutz von kleinen und großen, öffentlichen und privaten Versorgungsunternehmen in Kraft.
[1] SCADA – Supervisory Control and Data Acquisition
DCS – Distributed Control Systems
Von Derek Scheips