ISMS und eine entsprechende Widerstandsfähigkeit sind wichtige Faktoren, um kritische Infrastrukturen zu schützen. Ein Schlüssel zum Erfolg: die eigenen Mitarbeiter. Im zweiten Teil des Interviews sprach 3GRC mit Alexander Burgis, Senior Berater bei der RUCON Gruppe, u.a. über die Bedeutung der Mitarbeiter im ISMS.
Redaktion 3GRC: Hacker haben wiederholt gezeigt, dass sie ohne weiteres in Energieversorgungsnetze eindringen können. Ist mit Blick darauf ein Gesetz überhaupt zielführend oder haben wir es hier nicht vielmehr mit einem Papiertiger zu tun?
Alexander Burgis: Gesetze und Verordnungen sind erstmal nur Papier. Am Ende des Tages wird es darauf ankommen, wie ernst die Energieversorger das Thema für sich selbst nehmen. Denn die Erfahrung zeigt leider, dass die gesetzlichen Anforderungen sowohl im Bereich des Energiewirtschaftsgesetzes als auch des BSI-Gesetzes in Prüfungen erfüllt werden kann und der faktische Schutz trotzdem nur in geringem Umfang steigt. Sicher ist aber oft nicht bequem und bequem ist oft nicht sicher. Der Erfolg hängt von vielen Faktoren ab: einer schlagkräftige Prozess-IT-Abteilung, dem Aufbau interner Know-How-Träger, der Verankerung von Informationssicherheit in den Köpfen aller Mitarbeiter oder dem Willen, sich kontinuierlich zu verbessern. All das erfordert Unterstützung durch die Führungsriege eines Unternehmens und letztendlich auch die Bereitstellung oftmals erheblicher finanzieller Ressourcen.
Redaktion 3GRC: Für den Fall der Fälle sprechen sich Experten dafür aus, im Vorfeld die Resilienz des Unternehmens und der Infrastruktur zu stärken. Wie genau kann man sich das vorstellen. Haben Sie hierzu ein praktisches Beispiel?
Alexander Burgis: Widerstandsfähigkeit wird an vielen Fronten entschieden und es gilt die Binsenweisheit, dass ein gravierender Informationssicherheitsvorfall sich erst gar nicht zu einem Flächenbrand entwickeln kann, wenn präventive Maßnahmen zuvor greifen. Neben der Awareness der Mitarbeiter, sind gehärtete und gepatchte Systeme die Grundvoraussetzung. Der Aufwand, Sicherheits-Meldungen bezüglich der eigenen Betroffenheit auszuwerten ist immens und überfordert die meisten Unternehmen. Aufgrund fehlenden IT-Know-Hows stellt bereits die Auswertung der überschaubaren Menge an BSI-Meldungen, welche über den UPKRITIS oder die BSI-Kontaktstelle versendet werden, manches Unternehmen vor eine unlösbare Aufgabe. Daneben ist ein entscheidender Faktor die Netzstruktur und ihre Segmentierung. Scheinbare Air-Gaps entpuppen sich in der Praxis oft durch USB-Sticks, Laptops etc. überwunden. Der Betrieb eines Secure-Operations Center oder eines Computer Emergency Response Team (CERT) können sich nur wenige leisten. Daher sollte zumindest über IDS/IPS-Systeme nachgedacht werden, die eine Überwachung von unerwünschten Aktivitäten im eigenen Netzwerk ermöglichen und ggf. schnelle bzw. automatisierte Reaktionen ermöglichen. Denn eines ist sicher: deutsche Unternehmen sind schon lange im Fadenkreuz gewerblicher und staatlicher Akteure.
Redaktion 3GRC: Bei allen technischen Möglichkeiten hat es den Anschein, als komme der eigene Mitarbeiter in diesen Gedankenspielen um Schutz und Prävention oft zu kurz. Was ist Ihre Meinung hierzu?
Alexander Burgis: Dies ist differenziert zu betrachten. Unternehmen investieren im Zuge der Einführung von Informationssicherheits-Managementsystemen in die Basis-Awareness aller Mitarbeiter, was auch sinnvoll ist, denn ein Großteil von Schädlingen gelangt über die Bürowelt in die kritische Prozess-IT. Ins Hintertreffen gerät allerdings oft der konsequente Kompetenzaufbau der IT-Mitarbeiter, denn eine IT-Infrastruktur ist letztendlich nur so gut, wie die Mitarbeiter, die sie betreiben. Gerade in der Prozess-IT mit ihren oftmals langen Lebenszyklen von 15 und mehr Jahren, war IT-Sicherheit lange kein Verkaufsschlager, weshalb diese Mitarbeiter auch nur nachrangig im Fokus sicherheitsrelevanter Personalentwicklung standen und Werbeveranstaltungen der eingesetzten Hersteller oftmals die einzige Informationsquelle sind. Die Risiken, die damit verbunden sind, sollten unbedingt betrachtet werden.
Redaktion 3GRC: Mit welchen Maßnahmen lassen sich die eigenen Mitarbeiter stärker in den Prozess des Resilienz-Auf- und Ausbaus einbinden?
Alexander Burgis: Grundvoraussetzung ist eine Basis-Awareness aller Mitarbeiter, damit diese überhaupt verstehen, was Informationssicherheit bedeutet, wie leicht es sein kann, an vertrauliche Daten z.B. durch Social Engineering zu gelangen, dass IT-Systeme keinesfalls so sicher sind wie Hersteller dies gerne propagieren und auch, welchen Beitrag jeder Einzelne leisten kann. Für die Entscheider-Riege im Unternehmen ist in besonderem Maße wichtig, dass sie verstehen, dass ein Energieversorgungsunternehmen ein strategisches Angriffsziel sowohl für staatliche als auch für kriminelle Gruppierungen ist. Man mag nur an Industriekunden denken, bei denen ein Ausfall der Produktion hohe finanzielle Schäden bewirken kann.
Das Argument, es ist noch nie etwas passiert oder wieso sollte jemand gerade unsere IT-Systeme angreifen, wenn ein Umspannwerk oder eine Stromleitung mit entsprechendem Know-How ganz ohne IT angreifbar ist, ist fatal. Vergessen wird dabei, dass dazu der Angreifer vor Ort sein muss, im Falle von IT-Angriffen aber bequem in einem Liegestuhl auf den Malediven sitzen könnte. Viele Angriffe werden auch gar nicht bekannt, denn welcher Energieversorger hängt solche Vorfälle schon an die große Glocke. Es gilt also, insbesondere bei den Entscheidern anzusetzen und sie über die Gefahren aufzuklären.
Redaktion 3GRC: Blicken wir noch kurz auf die neue Datenschutzgrundverordnung, die Ende Mai in Kraft getreten ist. Welche Auswirkungen sind hier für Unternehmen mittelfristig zu erwarten, die im Bereich kritischer Infrastrukturen aktiv sind?
Alexander Burgis: Aus Sicht der Anlagen, welche Betreiber Kritischer Infrastrukturen schützen sollen, spielt die Datenschutzgrundverordnung meist keine große Rolle, da das IT-Sicherheitsgesetz die Verfügbarkeit der kritischen Dienstleistung im Blick hat. Personenbezogene Daten können meist aus dem Geltungsbereich dieser ISMSe herausgehalten werden. Gleichwohl stellt der Datenschutz die Unternehmen vor die Herausforderung einer systematischen Steuerung und hierbei können Informationssicherheits-Managementsysteme eine gute Basis bilden, insbesondere Methoden aus dem ISMS-Risikomanagement, um darauf aufbauend Datenschutz-Folgenabschätzung (data protection impact assessment – DPIA) zu etablieren. Die Potentiale, solche Managementsysteme teilweise integrativ zu betreiben, sollten zumindest beleuchtet werden.
Teil 1 des Interviews finden Sie hier.
Alexander Burgis ist Spezialist in den Bereichen ISO/IEC 27001, ISO 22301, B3S-Kritis, MS Antwerpen und Krisenstabsübungen, sowie Senior Berater bei der RUCON Gruppe.