Schwachstelle Mensch
Sämtliche bekannte Cyberangriffe gegen Kraftwerke wurden mit Hilfe von Social Engineering ausgelöst. Hierbei handelt es sich um gezielte zwischenmenschliche Beeinflussung, etwa durch überzeugend echte E-Mails oder Verwendung präparierter USB-Sticks, um die Ausführung von Schadcodes zu ermöglichen. Mitarbeiter öffnen den Angreifern unbewusst Tür und Tor und ermöglichten so den Zugriff auf das Zielsystem. Häufig kommt es zur einer Infektion mit Schadsoftware, wodurch Angreifer die Kontrolle über das gesamte Kraftwerk erlangen. Die Folgen reichen von Lösegeldforderungen bis hin zu Blackouts. Dieses potenzielle Schadensausmaß unterstreicht die mittlerweile zentrale Rolle der Cybersicherheit für Kraftwerke – als Teil der kritischen Infrastrukturen sind sie besonders schutzwürdig.
Welche Sicherheitsvorkehrungen machen Sinn?
„Zum Schutz gegen Cyberangriffe ist eine Kombination von technischen und organisatorischen Schutzmaßnahmen zu empfehlen“, wusste der IT-Security-Experte der TÜV TRUST IT und Doktorand der TU Wien, DI Siegfried Hollerer beim TÜV AUSTRIA Kraftwerkssymposium zu berichten. Die Absicherung des internen Netzwerkes und dessen Komponenten ist ebenso wichtig wie die Regulierung des Umgangs mit Lieferanten und Dritten oder regelmäßige Schulungen aller Mitarbeiter. Der beschriebene initiale Zugriff als auch die Ausbreitung bzw. Erweiterung des Zugriffs können so unterbunden werden. Des Weiteren sind reaktive Maßnahmen unerlässlich, um trotz der präventiven Schutzmaßnahmen auftretende Sicherheitsvorfälle schnell erkennen und bewältigen zu können. Die Überlegung eines Plan B ist notwendig, damit kritische Infrastrukturen wie Kraftwerke grundsätzlich resilient gegenüber Angriffen werden. Ein etabliertes Betriebskontinuitätsmanagement (BCM) und Krisenmanagement sind hierfür nützliche Management-Werkzeuge.
Das Kraftwerkssymposium, organisiert von der TÜV AUSTRIA Akademie, war diesmal besonders spannend. Topaktuelle Themen wie Blackout, Legal Compliance, innovative Wärmepumpen und Photovoltaik standen am Programm. Der Vortrag über hybride Bedrohungen in Kombination mit einer praktischen Übung des ABC-Abwehrzentrums (Österreichisches Bundesheer) zur Folgenbewältigung nach einem fiktiven Terroranschlag bot außergewöhnliche Einblicke. Abschließend gab es eine Führung durch das Kraftwerk Zwentendorf.
Rückfragehinweis:
Sabine Redlich, BA, Programmverantwortliche für Druckgeräte, TÜV AUSTRIA Akademie, TÜV AUSTRIA-Platz 1, 2345 Brunn am Gebirge, sabine.redlich@tuv.at, Tel.: +43 (0)5 0454-8157
Bildcredit: @Daniel Mikkelsen, @shutterstock/Krunja (Leitbild Krafwerksymposium)