Mitarbeiter Sensibilisierung hilft bei Cyberangriffen

OSZE-Studie warnt vor Cyberangriffen auf die Energieversorgung

Industrieanlagen und Kraftwerke sind oft nur unzureichend gegen Cyberangriffe mit Schadsoftware geschützt und damit ein potenzielles Ziel für Terroristen. Davor warnt eine Studie der OSZE, die Politik und private Energieversorger gleichermaßen zur Zusammenarbeit beim Schutz kritischer Infrastruktur auffordert und dafür einen Maßnahmenkatalog veröffentlicht hat.

Unter anderem stuft die OSZE die Verknüpfung von Informations- und Kommunikations-(ICT-) Systemen untereinander als besonders kritisch ein, weil diese die Gefahr einer Kettenreaktion erhöhe. Abhilfe könnten SCADA-Systeme schaffen. Sie bieten die Möglichkeit, mehrere Prozesse gleichzeitig zu kontrollieren, gleichzeitig bedeutet dies jedoch ein erhöhtes Potenzial für Angriffe.

Auch intelligente Stromnetze (Smart Grids), die bestehende Stromnetze ersetzen sollen, um die Erzeugung und Speicherung des Stroms besser koordinieren zu können, bieten neue Angriffsflächen. Da es keine internationalen Standards gebe, wie Betreiber mit den Sicherheitsrisiken umzugehen haben, bestehe hier Handlungsbedarf.

Als mögliche Schutzmaßnahmen empfiehlt die OSZE Schulungen, Sensibilisierungen und ganzheitliche Konzepte zum Schutz vor Innentätern bis hin zu staatlich gesteuerten Aktivitäten, die Abhängigkeiten und Kaskadeneffekte reduzieren. Laut Timo Kob, vom IT-Sicherheitsdienstleister HiSolutions AG, der an der Studie mitgearbeitet hat, solle sie ein Rahmenwerk für die stetige Weiterentwicklung umfassender Maßnahmen gegen Cyberangriffe bilden.

Erst vor wenigen Monaten hatte heise security eine Sicherheitslücke in hunderten deutschen Industrieanlagen aufgedeckt. Besondere Gefahr geht von komplexer Malware wie Stuxnet oder Flame aus, die mittlerweile weltweit verbreitet ist. (Quelle heiseSecurity)

Situatives Security Awareness Training stellt hier die Basis für die Mitarbeiter Sensibiliserung dar. Die Energieversorger sind heute nicht in der Lage die Angriffe nur durch den Einsatz weiterer komplexer Technik abzuwehren. Hier gilt es den Mitarbeiter in speziellen Situationen zu trainieren und zu unterweisen. Erst der Kontext zwischen Art des Angriffs, der Situation und des Unternehmensbereiches erlauben es, den Mitarbeiter gezielt auf die Angriffsmöglichkeiten zu trainieren. Bei jedem Cyberangriff steht der Mitarbeiter im Focus der Angreifer, daher muss das Hauptaugenmerk nicht auf den Einsatz immer komplexerer Technik gerichtet sein, sondern auf jede einzelne Person im Unternehmen. Technik und Mitarbeiter müssen hier in Einklang gebracht werden und eine Vertrauensbasis entsteht.