Die Betreiber von Netz- und Energieanlagen sind gesetzlich verpflichtet, Cybersicherheit zu gewährleisten. Das deutsche IT-Sicherheitsgesetz und das Energiewirtschaftsgesetz schreiben vor, dass sie sich an den „Stand der Technik” halten müssen, um Cyber-Risiken effektiv zu managen. Auch die NIS2-Richtlinie und der Schweizerische IKT-Minimalstandard sehen dies vor. Doch was genau bedeutet das für Verantwortliche in der Praxis und wie wird der „Stand der Technik” beim Schwachstellen-Management definiert?
Der „Stand der Technik“ ist Auslegungssache
Die obigen Gesetze verlangen zunächst, dass Energieunternehmen ein Informationssicherheitsmanagementsystem (ISMS) zertifizieren und aktuelle Systeme zur Angriffserkennung implementieren. Das Ziel ist klar definiert: potenzielle Bedrohungen fortlaufend identifizieren und abwehren zu können. Die genaue Umsetzung bleibt jedoch oft ein Bereich intensiver Diskussion und Entwicklung.
Die Antwort auf die Frage, was unter „Stand der Technik” verstanden wird, findet man in verschiedenen Normen und Richtlinien. Das BSI-IT-Grundschutzkompendium schreibt beispielsweise vor, dass ein etabliertes Schwachstellen-Management als Grundvoraussetzung gilt. Dazu gehört, dass regelmäßig Berichte von Herstellern sowie Informationen von Behörden und Medien in die Sicherheitsstrategie einfließen müssen.
Organisationen wie der deutsche TeleTrusT gehen noch einen Schritt weiter und betonen die Wichtigkeit, ein breites Spektrum an Quellen, von CERTs bis hin zu Newsgruppen, ständig zu überwachen, um Schwachstellen proaktiv zu erkennen und zu beheben. Normen wie ISO 27001, ISO 27002 und speziell für den Energiesektor ISO 27019 untermauern diese Ansätze und definieren detailliert, wie Organisationen technische Schwachstellen managen, ihre Risiken bewerten und entsprechende Gegenmaßnahmen treffen sollen.
Ein wichtiger Aspekt, der oft übersehen wird, ist die Notwendigkeit einer engen Zusammenarbeit zwischen den Betreibern und den Herstellern von kritischen Schutz- und Steuergeräten. Der EU Cyber Resilience Act unterstreicht dies, indem er von den Herstellern verlangt, Schwachstellen innerhalb von 24 Stunden zu melden und ein langfristiges Engagement für die Sicherheit ihrer Produkte zu zeigen.
Was bedeutet dies für die Verantwortlichen in den Bereichen OT- und IT-Sicherheit?
Es ist von entscheidender Bedeutung, den rechtlichen und normativen Rahmen, in dem man operiert, zu verstehen und aktiv die zumindest geforderten Sicherheitsstandards zu implementieren. Allerdings ist ein modernes Schwachstellen-Management, das sich nicht nur auf die Einhaltung von Mindestanforderungen beschränkt, sondern sich an der eigenen Risikoexposition orientiert, unerlässlich. Hierfür ist ein kontinuierliches Monitoring unter Berücksichtigung aller relevanten Informationsquellen auf Basis eines aktuellen (und vollständigen) Asset-Inventars erforderlich.
Schließlich sollten Unternehmen in Technologien und Prozesse investieren, die eine zuverlässige Erkennung von Schwachstellen sowie eine schnelle Reaktion darauf ermöglichen. Dabei ist es wichtig, sowohl interne Ressourcen als auch externe Expertise sinnvoll zu nutzen, um die eigene Cyber-Resilienz kontinuierlich zu verbessern.