Stephan Boy ist Experte für das Sicherheitsmanagement kritischer Infrastrukturen. Im Interview mit emw.trends rüttelt er die Betreiber von Strom- und Gasnetzen sowie anderer kritischer Infrastrukturen wach. Cyberattacken sind keine Ereignisse, über die man ab und an in den Medien liest, sondern sie passieren tagtäglich – und vor allem überall.
Er appelliert daher an die Unternehmen, sich nicht auf das Erfüllen gesetzlicher Pflichten zu beschränken, sondern sich im Eigeninteresse für den größtmöglichen Unfall, nämlich einen längerfristigen Versorgungsausfall, zu wappnen.
emw.trends: Herr Boy, ist die Digitalisierung mit Blick auf die IT-Sicherheit mehr Segen oder mehr Fluch für die Betreiber kritischer Infrastrukturen?
Boy: Sämtliche Themen, die die Energiewirtschaft heute und in Zukunft bewegen, gehen mit IT einher. Das birgt Risiken, aber auch Chancen. Wir hatten noch nie so viele Daten – sogar in Echtzeit – zur Verfügung, um valide Prognosen zu erstellen. Wir sind heute in der Lage, Schäden zu vermeiden, bevor sie überhaupt eintreten. Darin sehe ich eine riesige Chance. Aber auch die Risiken wachsen. Durch die allumfassende Vernetzung sind die Auswirkungen, wenn es irgendwo hakt, viel größer. Denn ein Problem beschränkt sich gegebenenfalls nicht mehr auf eine bestimmte Stelle, sondern kann sich sehr schnell ausbreiten. Daher wird es immer wichtiger, dass wir einen systemübergreifenden Blick auf die Sicherheit haben.
e|m|w.trends: Was heißt das konkret?
Boy: Nehmen wir das Beispiel eines Netzleitsystems. Heute wird den Betreibern oft vorgeworfen, dass ihre Systeme nicht sicher sind. Das ist auch zutreffend, denn die Netzleitsysteme waren bei ihrer Planung für mögliche Cyberattacken gar nicht ausgelegt. Wir haben hier vielerorts offene Scheunentore. Die können wir aber schließen und sicher machen. Doch was ist mit der Sensorik, ohne die ein Netzleitsystem künftig gar nicht mehr funktionieren kann? Wenn man die nicht ebenso sicher macht, bringt das in der Summe herzlich wenig. Ein Beispiel: Infiltriert ein Angreifer etwa die Steuerung von Smart TVs, Solarmodulen oder Klimaanlagen und schaltet diese gleichzeitig ein und aus, kann das auch ein gut gesichertes Netzleitsystem schnell ins Wanken bringen. IT-Sicherheit bringt also nur etwas, wenn man sie systemübergreifend denkt. Davon sind wir aber leider in der Praxis noch ein gutes Stück entfernt.
e|m|w.trends: Was muss sich im Denken der Verantwortlichen verändern, damit wir zu einem insgesamt höheren Sicherheitsniveau kommen?
Boy: Die Botschaft ist eine sehr klare: Es reicht heute nicht mehr, nur auf das eigene Netzgebiet zu gucken. Netzbetreiber müssen permanent auch benachbarte, untergelagerte und übergelagerte Ebenen scannen, damit sie auf mögliche Unsicherheiten reagieren können. Das muss nicht jeder für sich machen, das geht auch in Kooperationen. Aber man muss stets im Blick haben, was IT-seitig um einen herum passiert…
#
Erschienen in der
emw.trends 5|2018