Kritische Infrastruktur : „Die Bedrohungslage für Kritische Infrastruktur ist, war und bleibt hoch“

Frau Wunschik, in den vergangenen Wochen scheint die Windenergiebranche verstärkt in den Fokus böswilliger Cyberakteur:innen gerückt zu sein – wie erleben Sie und Ihre Kund:innen die derzeitige Bedrohungslage?

Die Bedrohungslage für Kritische Infrastruktur wie Windenergie ist, war und bleibt hoch – und demensprechend auch der Bedarf, sich gut für die Abwehr zu wappnen. Für uns hat sich die Lage daher nicht sonderlich geändert. Was sich geändert hat, ist die politische Sicht: Das Thema Cybersicherheit ist viel präsenter und gleichzeitig erleben wir derzeit einen riskanten globalen Aktivismus.

Sie meinen die Hacktivist:innen, die sich entweder auf Seiten der Ukraine oder Russlands in den Konflikt im Cyberraum einschalten.

Richtig – wir erleben im Netz an verschiedenen Stellen Aufrufe dazu. Die Angriffe haben sich dadurch verändert. Früher waren es „klassische“ Angriffsmuster von kriminellen oder staatlich unterstützten Gruppen, die entweder Geld erpressen oder strukturell Schaden verursachen wollten. Jetzt kommen noch Aktivisten dazu, die etwa Reputationsschäden oder Verunsicherung auslösen wollen. Für uns hat sich dadurch aber erst einmal nichts geändert. Dasselbe gilt auch für unsere Kunden – hier steigen die Nachfrage und der Wunsch nach Cybersicherheit seit mehreren Jahren kontinuierlich an. Die Energiebranche steht nicht erst seit dem 24. Februar unter einem besonderen Druck.

Auch wenn der „große Knall“ im Cyberraum ausgeblieben ist, sorgen sich viele vor Spill-over-Effekten, wie sie etwa im Fall der russischen Wiper-Attacke auf Viasat-Satelliten in Deutschland zu spüren waren. Wie beurteilen Sie dieses Risiko?

Auch das ist nicht neu. Der Cyberraum war auch vor dem Krieg in der Ukraine nicht still und es gab solche Effekte schon immer. Gerade beim Thema Software-Lieferketten haben wir doch in den vergangenen Jahren erlebt, welche dramatischen Auswirkungen es hier geben kann. Ich glaube, dass es lediglich für die breitere Öffentlichkeit auf einmal viel sichtbarer wird. Dass einzelne Branchen scheinbar in den Fokus geraten, ist nicht nur mit dem Krieg zu erklären. Wir konnten bereits vorher beobachten, dass etwa Internet Service Provider, Banken oder Krankenhäuser aufgrund ihrer Wichtigkeit im Fokus standen, um punktuelle Zeichen zu setzen. Die aktuelle Situation in der Ukraine zeigt allerdings auch, dass Kritische Infrastruktur durch einen physischen feindlichen Angriff wirksamer und schneller zerstört wird.

Sie rechnen also nicht damit, dass sich die Bedrohungslage für die deutsche Energiebranche verschärft, wenn etwa die Temperaturen sinken?

Das ist möglich, aber kein Muss. Letztlich spielt das aber auch keine Rolle, denn solche Angriffe haben wir auch schon in der Vergangenheit gesehen. Wichtig ist, dass die Abwehr den Angreifern immer einen Schritt voraus sein muss, auch unabhängig von geopolitischen Krisen.  

Die Energiebranche scheint also wachsam. Wie beurteilen Sie das Thema Cybersicherheit gesamtgesellschaftlich? Brauchen wir hier eine Zeitenwende?

Die Herausforderung in Bezug auf Sicherheit ist immer, dass sie nicht sichtbar ist, bis etwas passiert. Keiner spricht darüber, solange es nicht schiefgeht. Da wird sie dann mitunter als reiner Kostenfaktor gesehen. Aber wenn wir auf die vergangenen zehn Jahre blicken, dann sind wir auf einem guten Weg – das Verständnis und der Reifegrad wachsen über alle Branchen hinweg.

Mit dem Verständnis wächst auch die Regulierung – auf europäischer Ebene wurde im Mai die NIS-2 Direktive verabschiedet. Wie beurteilen Sie die Anforderungen für die Wirtschaft?

Grundsätzlich gilt: Jedes Unternehmen kann für sich und seine Prozesse Vorkehrungen treffen, um bestmöglich auf den nächsten Angriff vorbereitet zu sein. Eine Garantie, dass nie etwas passieren wird, gibt es aber nicht. Und wenn der Fall eintritt, hat das auch nicht immer automatisch damit zu tun, dass jemand nicht aufgepasst hat. Daher sollten auch Anforderungen wie etwa die Meldepflicht einen Mehrwert bringen, um etwa andere zu warnen. Wenn eine Meldung dazu führt, dass Wissen geteilt wird und das Ökosystem davon profitieren kann, ist es sinnhaft. Dabei geht es ja nicht nur um Kommunikation, sondern auch den Austausch von Informationen über kompromittierte Technologie. Die Meldepflicht ist ein Beispiel dafür, wie Regulierung noch stärker in der Praxis denken muss. Die Finanzbranche hat das geschafft – hier funktioniert der Austausch zwischen Behörden und Unternehmen auf Augenhöhe und nach dem Prinzip „Lessons-Learned“. Genauso muss es auch bei der Cybersicherheit funktionieren. Gleichzeitig darf Regulierung auch nicht vergessen, dass es Menschen braucht, die das alles umsetzen.

Und davon gibt es zu wenige …

Der Fachkräftemangel ist eine zentrale Herausforderung und wird mehr und mehr auch zum Problem der Cybersicherheit. In Deutschland gibt es viele exzellente und hochspezialisierte Studiengänge, aber wir brauchen die Ausbildung zu mehr Cybersicherheit in zahlreichen Berufsfeldern. Auch wir als Unternehmen stellen uns gerade die Frage, wie wir das gemeinsam mit anderen Unternehmen oder im Austausch mit Hochschulen lösen können. Und wir versuchen, junge Talente für unser Fachgebiet zu gewinnen. In den USA bieten wir zum Beispiel ein spezielles vierjähriges Ausbildungsprogramm an.

Sie sind seit 2019 Chief Cybersecurity Officer (CCSO) von Siemens Energy. Ursprünglich kommen Sie aus der Finanzbranche – wie groß war die Umstellung?

Die Thematik lässt sich flächendeckend von der Finanzbranche auf andere Industrien übertragen, denn Informationssicherheit hängt ja nicht von der Branche ab. Allerdings bestehen Unterschiede in der Umsetzung: Bei einer digitalen Bank schützen Sie nahezu ausschließlich digitale Informationen. In der Energietechnik dagegen gibt es automatisch Schnittstellen zur physischen Welt – sei es ein Kraftwerk, eine Fabrik oder eine Offshore-Anlage. Die können Sie nicht so einfach mit neuen Schutzmechanismen versorgen, wie das etwa bei einer digitalen Plattform der Fall ist. Bei einer Fabrik gibt es verschieden gealterte Systeme. Entsprechend sind andere Mechanismen gefordert, um die Systeme einzeln aber auch in Gänze zu schützen. Und Sie müssen andere Auswirkungen von Sicherheitsvorfällen bedenken: Bei einer Bank kann es zu finanziellen Verlusten führen, aber die Versorgungssicherheit der Bevölkerung ist meist nicht betroffen. Wenn Energietechnik in den Fokus gerät, kommt es im Extremfall zur Bedrohung eben dieser Grundversorgung mit potenziell gravierenden Folgen für die Bevölkerung und nicht zuletzt für die eigenen Mitarbeitenden.

Wie das?

Wenn Systeme kompromittiert werden, können diese nicht mehr richtig oder nur noch eingeschränkt arbeiten. Dies kann zu einer Fehlfunktion der Maschine führen. Folglich sind auch die Mitarbeitenden, die sie bedienen, einem Risiko ausgesetzt. Es ist daher wichtig, beim Thema Cybersicherheit auch „Safety“, also die Sicherheit des Arbeitsplatzes, zu berücksichtigen und diese Aspekte in den Business-Continuity-Plan aufzunehmen. Das wird von vielen Unternehmen häufig unterschätzt.