Cyberabwehr im Energiesektor ist mangelhaft

Führungskräfte aus dem Energiesektor erwarten in den nächsten zwei Jahren eine Zunahme von Cyberangriffen auf ihre Unternehmen. Laut der Cyber Priority Studie von DNV befürchten Brancheninsider mehr Attacken, die Schäden an Leben, Eigentum und Umwelt verursachen könnten. Von den 948 Umfrageteilnehmern glaubt mehr als vier Fünftel der Fachleute, die in den Sektoren Energie, erneuerbare Energien sowie Öl und Gas arbeiten, dass ein Cyberangriff auf die Branche wahrscheinlich zu Betriebsausfällen (85 %) und Schäden an Energieanlagen sowie kritischer Infrastruktur (84 %) führt. Drei Viertel (74 %) gehen davon aus, dass ein Angriff die Umwelt schädigt. Mehr als die Hälfte (57 %) nimmt an, dass eine mögliche Attacke den Verlust von Menschenleben begünstigen kann.

Die Besorgnis über neu auftretende Bedrohungen wächst aus einem bestimmten Grund: Weniger als die Hälfte der Unternehmen (47 %) glaubt, dass die Sicherheit ihrer Betriebstechnologie (OT) – also die Kontrollsysteme, die industrielle Abläufe verwalten, überwachen und steuern – genauso robust ist wie ihre IT-Sicherheit. Sechs von zehn der befragten leitenden Angestellten sind der Meinung, dass ihr Unternehmen heute anfälliger für Angriffe ist als jemals zuvor.

„Mit der zunehmenden Vernetzung und Verknüpfung von OT mit IT-Systemen können Angreifer auf Systeme zugreifen, die kritische Infrastrukturen wie Stromnetze, Windparks, Pipelines und Raffinerien steuern. Bei einer Cyberattacke ist es möglich, dass unautorisierte Personen Kontrolle über die genannten Systeme erlangen – mit verheerenden Folgen. Unsere Untersuchung zeigt, dass der Energiesektor die OT-Sicherheitsbedrohung mittlerweile erkannt hat. Es muss aber schneller gehandelt werden, um sie zu bekämpfen. Weniger als die Hälfte (47 %) der Fachleute im Energiesektor sind der Meinung, dass ihre OT-Sicherheit genauso robust ist wie ihre IT-Sicherheit“, erklärt Trond Solberg, Managing Director of Cybersecurity bei DNV.

Schwachstellen der Stromversorgungssysteme

Der erste Schritt zur Stärkung der Abwehrmaßnahmen besteht laut DNV darin, zu ermitteln, wo kritische Infrastrukturen anfällig für Angriffe sind. Die Cyber-Priorität zeigt, dass viele Unternehmen zwar in die Erkennung von Schwachstellen investieren. Diese Bemühungen werden aber nicht ausreichend auf die Unternehmen ausgeweitet, mit denen sie zusammenarbeiten und von denen sie kaufen.

Nur 28 % der Energieversorgungsunternehmen, die im Bereich OT tätig sind, geben an, dass ihr Unternehmen der Cybersicherheit ihres Versorgungsnetzes eine hohe Priorität bei den Investitionen einräumt. An dieser Stelle fällt ein Widerspruch auf: Denn 45 % der befragten OT-Mitarbeiter geben an, dass die Kosten für die Aktualisierung von IT-Systemen eine hohe Investitionspriorität haben.

Jalal Bouhdada, Gründer und CEO von Applied Risk, einem Unternehmen für industrielle Cybersicherheit, das 2021 von DNV übernommen wurde, hat sich dafür ausgesprochen, das Potenzial für „unentdeckte Schwachstellen“ in Energieversorgungsketten zu verringern.

„Unsere Forschung identifiziert den Punkt ‚Fernzugriff auf OT-Systeme‘ als eine der drei wichtigsten Methoden für potenzielle Cyberangriffe im Energiesektor. Wir fordern die Branche auf, mehr darauf zu achten, dass die Hersteller und Lieferanten von Geräten bereits in den ersten Phasen der Beschaffung die Einhaltung bewährter Sicherheitspraktiken nachweisen“, fügte er hinzu.

Der Bericht weist auch darauf hin, dass die Energieunternehmen in die Schulung ihrer Mitarbeiter investieren müssen. Das gilt sowohl in Bezug auf die Erkennung potenzieller Schwachstellen und versuchter Angriffe als auch in Bezug auf die Reaktion im Falle eines tatsächlichen Angriffs.

Weniger als die Hälfte (44 %) der befragten Führungskräfte sind der Meinung, dass sie in den nächsten Jahren dringend Verbesserungen vornehmen müssen, um einen ernsthaften Angriff auf ihr Unternehmen zu verhindern. Mehr als ein Drittel (35 %) der Energiefachleute gibt an, dass ihr Unternehmen erst von einem größeren Vorfall betroffen sein müsste, bevor sie in ihre Abwehrmaßnahmen investieren.

Eine Erklärung für das offensichtliche Zögern einiger Unternehmen, in die Cybersicherheit zu investieren, könnte darin liegen, dass die meisten Befragten glauben, dass ihr Unternehmen bisher von einem größeren Cyberangriff verschont geblieben ist. Weniger als ein Viertel (22 %) vermutet, dass ihr Unternehmen in den letzten fünf Jahren eine größere Sicherheitsverletzung erlitten hat.

„Es ist besorgniserregend, wenn wir feststellen, dass einige Energieunternehmen bei der Cybersicherheit auf das Beste hoffen – anstatt sich aktiv mit neuen Cyberbedrohungen auseinanderzusetzen. Dies weist deutliche Parallelen zur eher zaghaften Einführung physischer Sicherheitsmaßnahmen im Energiesektor in den letzten 50 Jahren auf“, so Solberg.

„Es bedurfte tragischer Ereignisse wie der Piper-Alpha-Katastrophe im Jahr 1988 und der Macondo-Katastrophe im Jahr 2010, damit die Branche globalen Sicherheitsprotokollen Priorität einräumte, diese institutionalisierte und damit strengere Vorschriften eingeführt wurden. Unsere Untersuchung ist ein deutliches Signal dafür, dass die Branche dringend investieren muss, um sicherzustellen, dass die Cybersicherheit nicht zu einer Ursache für künftige Schäden an Leben, Eigentum und Umwelt wird“, so Solberg weiter.