Zurück zur Übersicht aller Artikel
Mit Hirn und Technik gegen Cyberattacken
Digitalisierung , Risikomanagement , Trendscouting 01.10.2020

Mit Hirn und Technik gegen Cyberattacken

Der Fall sorgte Anfang Mai für Aufsehen in der Energiewirtschaft: Ein großes Stadtwerk wurde Opfer einer Cyberattacke, weigerte sich, Lösegeld in zweistelliger Millionenhöhe zu bezahlen – und musste hilflos mitansehen, wie mehr als 36.000 Kundendatensätze im Darknet veröffentlicht wurden. Noch sind nicht alle Details bekannt, doch scheint der Auslöser der Misere – wie so oft – ein scheinbar harmloser E-Mail-Anhang gewesen zu sein.   

Die größte Schwachstelle beim Schutz von IT Systemen ist dabei der Mensch: In 94 % der aufgedeckten Cyberangriffe wurde Schadsoftware per E-Mail überbracht, so eine Studie des Kommunikationskonzerns Verizon(1). In 45 % der Fälle war der Dateityp ein Microsoft Office Dokument. Nutzer wurden in mehr als 80 % der Fälle dazu gebracht, persönliche Daten preiszugeben: etwa durch eine gefälschte Aufforderung des Administrators, doch bitte die Login-Daten zu ändern.

Digitale Infrastruktur schützen

Die Bundesregierung will die IT Systeme in Deutschland zu den sichersten der Welt machen, insbesondere im Bereich der Kritischen Infrastrukturen (KRITIS) wie etwa der Strom- und Wasserversorgung. Stadtwerke sind in ihrer Rolle als Anlagenbetreiber, Netzbetreiber (Strom und Gas), Smart Meter Gateway Administrator sowie Fernwärme- und Wasserversorger gleich mehrfach von den entsprechenden gesetzlichen Regelungen betroffen.

Um sie zu erfüllen, muss Cyber Security mit all seinen Facetten in den Unternehmen als Bestandteil des Risikomanagements etabliert werden. Traditionelle Ansätze sind zumeist technisch getrieben und fokussieren sich auf Daten, Infrastrukturen, Applikationen, Steuerung und Geschäftsprozesse. In einem ganzheitlichen Ansatz werden die Menschen, das Risikomanagement und die Organisation mit betrachtet.

Cyber Security Health Check deckt Lücken auf

Die Einführung eines umfassenden Information Security Management System (ISMS) gemäß der Norm ISO/IEC 27001 dürfte, insbesondere für kleinere Stadtwerke, noch Zukunftsmusik sein. Den Einstieg in eine ganzheitliche Herangehensweise kann aber auch schon ein Cyber Security Health Check bieten. Dabei handelt es sich um die vereinfachte Form eines Audits gemäß ISMS ISO/IEC 27001 beziehungsweise BSI-Grundschutz. Mit überschaubarem Aufwand lässt sich der Security-Reifegrad eines Stadtwerks ermitteln und einschätzen, wo noch Sicherheitslücken bestehen.

Sensibilisieren und schulen

Sind alle technischen und organisatorischen Lücken gestopft, bleibt noch der Risikofaktor Mensch – und der braucht ein besonderes Vorgehen, nämlich Sensibilisierung und Schulung: So versendet die IT Abteilung von Trianel zur Sensibilisierung der Mitarbeiter zum Beispiel sporadisch simulierte Phishing E-Mails, um deren Reaktion zu testen.

Die gewonnenen Erkenntnisse werden genutzt, um zielgerichtete Schulungs- oder Schutzmaßnahmen zu planen und umzusetzen. Ein wesentliches Element ist bspw. ein verpflichtendes eLearning zum Thema IT Sicherheit.  

Auch wenn BSI-Präsident Arne Schönbohm kürzlich von rund 900 Millionen existierenden Schadprogrammen gesprochen hat, gibt es keinen Grund, vor der Cyber-Bedrohung zu kapitulieren. Denn die Accenture-Studie „Annual State of Cyber Resilience“(2) verzeichnet einen deutlichen Anstieg der vereitelten Angriffe von durchschnittlich 106 in 2017 auf 258 in 2019.

Aufgabe des strategischen Risikomanagements

Erfolge verzeichnen insbesondere Unternehmen, in denen die Unternehmensleitung, einem strategischen Risikomanagementansatz folgend, Investitionen in Cyber Security bewertet und priorisiert. Bei der Entwicklung eines solchen Ansatzes gilt es zunächst, den Grad des unternehmerischen Risikos sowie die Eintrittswahrscheinlichkeiten und Schadenshöhen für alle Risikofaktoren festzulegen. Auf dieser Grundlage werden Maßnahmen zur Senkung der Eintrittswahrscheinlichkeiten und Schadenshöhen entwickelt, bewertet und umgesetzt sowie ein Monitoring wichtigster Risiken und Aktivitäten des Unternehmens aufgesetzt.

1)  Verizon 2019: 2019 Data Breach Investigations Report

2)  Accenture 2020: Third Annual State of Cyber Resilience

Ihr Ansprechpartner

Paul Jüngst, Leiter Trendscouting der Trianel GmbH

Paul Jüngst

untersucht als Leiter Trendscouting mit seinem Team aktuelle Trends, neue Geschäftsmodelle und zentrale Zukunftstechnologie aus Stadtwerke-Perspektive. Paul Jüngst ist seit 2016 als Trendscout für Stadtwerke aktiv. Bevor er zur Trianel kam, leitete der Diplom Wirtschaftsingenieur acht Jahre lang ein Start-up im Bereich der Energie- und Rohstoffwirtschaft.

Trianel Webmagazin

Mehr Artikel zur Digitalisierung

Digitalisierung

Das digitale Stadtwerk im Test

Weiterlesen
Weiterlesen
Handel, Digitalisierung, Analyse und Prognose

Digitaler Energiehandel: Auf die Prognose kommt es an

Weiterlesen
Weiterlesen
Digitalisierung

Einfach digital handeln

Weiterlesen
Weiterlesen
Zurück zur Übersicht aller Artikel