Vor knapp 2 Jahren schrieben wir zuletzt über den IKT-Minimalstandard des Bundesamts für wirtschaftliche Landesversorgung. Nun wurde dieser kürzlich in den Medien aufgegriffen, da die Stromversorger gemäss einer Umfrage des Bundes nicht ausreichend vorbereitet sind und die Empfehlungen des Minimalstandards ungenügend umgesetzt haben.

Insbesondere hat sich die Energiebranche selber das Ziel gesetzt, im Schnitt einen Maturitätsgrad von 2.6 zu erreichen, hat nun aber nur knapp unter 1 erreicht. Das nehmen wir nun zum Anlass, den Standard erneut zu betrachten, insbesondere wie sich die branchen-spezifischen Handbücher unterscheiden sowie was diese Zielsetzungen bedeuten.

Maturitätsgrade

Im IKT-Minimalstandard wurden folgende Skala definiert:

Die Zielsetzung der Strombranche, hier zwischen 2 und 3 zu landen, ist daher auf den ersten Blick eine realistische Zielsetzung, die klare Verbesserung bringt. Damit hätte man klar definierte und geprüfte Massnahmen welche zumindest teilweise umgesetzt sind – ein “guter Start”, sozusagen. Darauf könnte man dann in kommenden Jahren aufbauen und weitere Verbesserungen erreichen.

Erreicht wurde nun nur knapp eine 1 (0.898 im Schnitt über alle Funktionen), was bedeutet, dass noch nicht einmal vollständig definiert wurde, was umzusetzen ist. Da ist nicht überraschend, dass der Bund nun von Freiwilligkeit auf Verbindlichkeit wechseln möchte, und eine Prüfbehörde aufbauen will.

Am besten schneidet die Funktion Schützen ab, wo ein Resultat 1.08 erreicht werden konnte, während Reagieren mit 0.66 am schlechtesten abschneidet. Da es sich bei der Umfrage um eine Selbsteinschätzung ohne Nachweise handelt, sind diese Resultate wohl sogar noch optimistisch zu verstehen, eher höher als die Realität. Es ist aber wichtig, sich bewusst zu sein, dass hier auch einige Bereiche ausgeschlossen wurden, insbesondere die Kernkraftwerke, die auch bezüglich Cybersicherheit bereits separat reguliert sind.

Allerdings ist auch zu beachten, dass der Durchschnitt hier zwar die Maturität der Branche abbildet, aber es doch auch klare Unterschiede zwischen den Unternehmen gab. Einer der ersten Schritte in der Verbesserung scheint eine explizite Strategie für den Umgang mit IT und OT (operationeller Technik) zu sein. Die Firmen (rund 50% der Teilnehmer), welche solch eine Strategie haben, erreichten Werte deutlich über 1. Trotzdem ist die Aussage des Berichts, dass die Betriebe vom Zielwert weit entfernt sind, korrekt. Immerhin scheinen sich die Betreiber von Smart Metern der Sicherheitsproblematik bewusst zu sein und gaben überwiegend an, dies zu berücksichtigen.

Umstellen auf “Assume Breach”

Nun ist es leichter zu sagen, dass hier in allen Bereichen Verbesserungen notwendig sind, als dies umzusetzen. Wie der Bund in seiner Strategie zum Schutz vor Cyber-Risiken auch festhält, zeigt sich zunehmend, dass ein erfolgreicher Angriff bloss eine Frage der Zeit ist. Unter diesem Paradigma, auch Assume Breach – nimm an, dass du gehackt wurdest – genannt, sind insbesondere die Funktionen Erkennen, Reagieren und Wiederherstellen wichtig. Aus Sicht dieser kritischen Infrastruktur macht dies erst recht Sinn, da ein kurzzeitiger Stromausfall deutlich weniger schlimm ist, als monatelang eingeschränkte Operationen, wie es zurzeit die irische Krankenversicherungsbehörde Health Service Executive erlebt.

Die zurzeit höchste Maturität ist in der Funktion Schützen, was noch auf dem älteren Paradigma beruht, dass man durch ausreichende Präventionsmassnahmen erfolgreiche Angriffe komplett verhindern kann. Nun ist es sicher wichtig, diese Funktion auch nicht ausser Acht zu lassen, aber die Strategie, dass zunächst vorallem die Reaktion auf einen Angriff zu verbessern ist, ist sicherlich nicht unangebracht. Daran müssen aber sowohl der IKT-Minimalstandard, als auch die Branchenhandbücher erst noch angepasst werden.

Branchen-spezifische Handbücher?

Wie im ursprünglichen Artikel angesprochen, wurden spezifische Varianten des Minimalstandards ausgearbeitet, welche auf die einzelnen Branchen abgestimmt sein sollten. Diese unterscheiden sich teils deutlich in ihren Ansätzen, wie die Branche zu höherer Resilienz kommt. Der Branchenstandard für die Abwasserbetriebe ist z.B. mit 36 Seiten kürzer als der IKT-Minimalstandard und gibt nur eine kurze Motivation, um dann direkt in eine Checkliste überzugehen, anhand derer die Resilienz verbessert werden kann. Sicher nicht der ausführlichste Ansatz und riskiert, dass trotz der klaren Warnung, dass Sicherheit kein Zustand, sondern ein Prozess ist, dass diese Checkliste genau einmal abgearbeitet wird. Trotzdem, auch diese Checkliste ist grundsätzlich durchdacht und wer alle Fragen mit Ja beantworten kann, steht besser da, als zuvor.

Auch die Standards für den öffentlichen Verkehr, den Gassektor und die Lebensmittelversorgung halten sich eher knapp. Für den öffentlichen Verkehr und den Gassektor wird gegenüber dem generischen Standard zusätzlich erläutert, was in den Sektoren spezifisch die kritischen Prozesse sind, die es zu schützen gilt, während der Standard für die Lebensmittelversorgung vor allem zusätzlich erläutert, wie eine Defense-in-Depth Strategie umgesetzt werden kann.

Anders bei der Wasserversorgung und der Strombranche, welche rund 150-seitige Dokumente vorlegen. Die Wasserbranche unterteilt ihr Branchenhandbuch nominell in ein Hauptdokument und 4 Anhänge. Das Hauptdokument erläutert kurz den Kontext und die kritischen Systeme, während die Anhänge die Details enthalten. Die Erläuterungen zum Cyber Security Framework und zu Defense-In-Depth sind dabei ähnlich wie bei den anderen Branchen. Hinzu kommen zusätzliche Empfehlungen für kleine Wasserversorger, welche weniger als 5000 Einwohner versorgen und denen nicht der komplette Standard aufgehalst wird, sondern nur Tips, die auch bei einem Privatanwender fast am richtigen Ort wären. Es ist sicherlich lobenswert, für kleinere Unternehmen angemessenere Empfehlungen zu formulieren, aber diese scheinen so generisch und so tief angesetzt, dass es kaum Mehrwert bringen wird. Immerhin kann die Branche nun an diesem Dokument gemessen werden. Zuletzt kommen noch drei Umsetzungsbeispiele hinzu, wobei diese doch etwas eigen wirken. Im ersten Beispiel wird beispielsweise das Minimalziel als erreicht bewertet (also ein Wert >= 2.6 erreicht), jedoch wurde die gesamte Erkennen-Funktion ausgeklammert mit der Begründung, dass die Musterfirma einen risikobasierten Ansatz verfolge. Insgesamt wirken die Beispiele sehr freundlich bewertet. Trotzdem sind sie sicherlich wertvoll als Vorlage, wie dieses Thema angegangen werden kann.

Die Strombranche hingegen setzt darauf, eine Sicherheitsstrategie im Detail zu beschreiben und widmet diesem Thema etwas mehr als die Hälfte ihres Dokuments. Das Ziel ist, daduch den Verantwortlichen aus der Branche zu ermöglichen ihre eigenen Strategien zu formulieren. Wie sich aber nun in der Praxis gezeigt hat, scheint dies nicht funktioniert zu haben. Zwar sind die Firmen, welche eine solche Strategie ausgearbeitet haben, weiter, als diejenigen, die es nicht getan haben, aber auch diese Firmen sind nicht soweit, wie sie sein sollten. Der Branchenstandard beinhaltet auch 21 Schritte zur Erhöhung der Cyber Security, welche relativ direkt vom US-Amerikanischen Department of Energy übernommen zu sein scheinen. Diese sind zwar immerhin etwas konkreter, aber sind trotzdem auch noch high-level und stellenweise in der formulierten Version äusserst aufwendig. Von graduellen Verbesserungen ist dort wenig zu hören. Eine Checkliste wie im Branchenstandard der Abwasserbetriebe dürfte hier bessere Resultate erreichen, da viel klarer und simpler.

Fazit

Aus dem relativ kurzen und klaren Gedanken des IKT-Minimalstandards wurden also mehrere Branchenhandbücher entwickelt, welche teils genauso kurz und direkt anwendbar zu sein versuchen und teils langatmig ausformulierte Strategien zu formulieren versuchen. Für die Strombranche scheint der Versuch auf eine lange Strategie zu setzen nun zumindest in der jetzigen Form gescheitert zu sein. Spannend wäre es nun, mehr solcher Umfragen bzw. Studien durchzuführen und in anderen Branchen zu sehen, wie sich die Situation dort entwickelt hat, ob also das deutlich kürzere Handbuch für die Verkehrsbetriebe zu mehr Verbesserungen anspornte oder die tieferen Anforderungen für kleine Wasserversorger besser umgesetzt werden und eben doch Mehrwert bringen.

Langfristig ist es aber wohl unumgänglich, dass für solch kritische Infrastruktur verbindliche Vorgaben formuliert werden, die vom Bund durchgesetzt werden. Wie wir in der jüngsten Vergangenheit mehrmals deutlich gesehen haben, kann man sich nicht ausschliesslich auf Eigenverantwortung verlassen, sondern muss im Kollektiv vorgehen. Analog könnte es sich hier auch lohnen, Projekte zur Verbesserung der Cybersicherheit zu subventionieren und deren Umsetzung aktiv mitzuverfolgen, um die Verbesserung zu beschleunigen.

Über den Autor

Mark Zeman hat seinen Master of Science in Engineering mit Vertiefung Information and Communication Technologies an der Fachhochschule Nordwestschweiz absolviert. Seit 2017 hat er seine Passion im Bereich Information Security zu seinem Fokus gemacht. Unter anderem hat er schon während seinem Bachelorstudium bei einer Email-Sicherheitsfirma gearbeitet. (ORCID 0000-0003-0085-2097)

Links

• https://www.bankinfosecurity.com/irish-ransomware-attack-recovery-cost-estimate-600-million-a-16931
• https://www.inside-it.ch/de/post/schweizer-stromversorger-sind-nicht-auf-cyberattacken-vorbereitet-20210702