„Die größte Gefahr ist Desinteresse“

„Die größte Gefahr ist Desinteresse“

Im Oktober 2019 wurden die Stadtwerke Langenfeld und das Verbandswasserwerk Langenfeld-Monheim Opfer eines Cyberangriffs, bei dem zwar nicht die Versorgungsdienstleistung, aber die Datenverwaltung und die E-Mail-Kommunikation blockiert wurden. Sensible Kundendaten, wie sie in kommunalen Unternehmen zu Hauf vorliegen, können bei solchen Angriffen die anvisierte Beute sein. Aber nicht nur deshalb sollten kommunale Unternehmen IT-Sicherheit zum Topthema machen. Dazu im Interview: Dr. Pascal Pein, Projektleiter Sichere IKT bei Hamburg Energie.

KD_Grafik_Interview_Pein-Pascal.png

© Pascal-Pein - HAMBURG ENERGIE GmbH

Pascal Pein ist promovierter Informatiker mit dem Schwerpunkt Softwaretechnik und beim Versorger Hamburg Energie angestellt. Die Berührung mit Datensicherheitsfragen geht bis in sein Studium zurück. Nach seiner Promotion 2010 entwickelte er zusammen mit einem Forschungsteam an einer Hochschule in Trondheim eine Anwendung für Live-Umfragen per Smartphone im Hörsaal. Hierbei waren die strengen europäischen Datenschutzanforderungen ein zentrales Thema.

1. Herr Dr. Pein, was sind Ihre aktuellen IT-Sicherheitsaufgaben bei Hamburg Energie?

Ich leite derzeit das drei Jahre andauernde Forschungsprojekt „Sichere IKT-Infrastruktur für Energie-Effizienz-Verbünde“. Zusammen mit weiteren Partnern entwickeln wir verschiedene IKT-Sicherheitskonzepte für virtuelle Kraftwerke, setzen sie exemplarisch um und bewerten sie nach Wirtschaftlichkeit.
Die Vorgehensweise stützt sich dabei unter anderem auf bestehende Normen und Empfehlungen wie dem BSI-Grundschutz und der ISO-27000-Familie. Das Ziel dabei ist herauszuarbeiten, welche Maßnahmen für KMUs wirtschaftlich umsetzbar sind und den größten Sicherheitsgewinn erzielen können. Wir wollen die Einstiegshürden in die IT-Sicherheit für kommunale Unternehmen senken.

2. Was sind die größten Herausforderungen bei der IT-Sicherheit in einem Energieversorgungsunternehmen?

Dass Gefahren sehr schlecht zu erkennen und zu bewerten sind, stellt eine große Herausforderung dar. Sicherheitslücken entstehen zudem oft aus Unwissenheit, auch das ist ein relevantes Problem. Die wirksamste Maßnahme dagegen ist die Prävention. Allerdings verursacht diese Kosten und die positiven Effekte sind schlecht messbar. Tatsächlich vermiedene Schäden sind nur mit entsprechender Überwachung der Systeme sichtbar. All dies, zusammen mit einer Vielzahl an Formalismen, machen die IT-Sicherheit nicht gerade zum Lieblingsthema. Das ändert allerdings nichts an seiner Wichtigkeit.

KommunalDigital-IT-Sicherheit

© AdobeStock - xiaoliangge

3. Aus Ihrer Erfahrung heraus, wie groß ist die Unwissenheit rund um das Thema IT-Sicherheit allgemein in kommunalen Unternehmen?

Dies ist schwierig zu beantworten. Meine Einschätzung dabei ist: Die Wichtigkeit und Wahrnehmung der IT-Sicherheit in Unternehmen hängt sehr stark von Einzelpersonen, deren Ausbildung, Interessen und Erfahrungen ab. Das Thema muss von den im Unternehmen tätigen Experten kommuniziert werden und die Kollegen sollten ein offenes Ohr haben – dieses Zusammenspiel ist für die Sensibilisierung sehr wichtig. Die größte Gefahr ist meiner Meinung nach Desinteresse.

4. Wie sehen die Risiken aus, wenn ein kommunales Unternehmen die IT-Sicherheit nicht zum Topthema macht?

Da gibt es eine ganze Reihe ernstzunehmender Gefahren. Störungen bei der Versorgung bis zum Komplettausfall des Versorgers zum Beispiel. Datenverlust ist ein weiteres Risiko, das schwerwiegende Vertrauens- und Imageschäden bewirken kann. Bei großen und gezielten Angriffen auf viele Versorger gleichzeitig kann auch ein Blackout oder ein Zerfall des gesamten Stromnetzes in kleine Inselnetze drohen. Gegen solche Gefahren muss man sich und das Netz schützen.

5. Fehlt es an interner Kompetenz zu IT-Sicherheitsfragen oder warum findet das Thema Ihrer Ansicht nach in der Kommunalwirtschaft noch zu wenig Beachtung?

Ich sehe es als Problem, dass Zertifikate einen Alles-oder-Nichts Ansatz verfolgen und damit kleinere Schritte in die richtige Richtung verhindern. Erschwerend und gleichzeitig nachvollziehbar ist außerdem die Tatsache, dass ein Großteil der Mitarbeitenden wenig Verständnis über die der IT-Sicherheit zu Grunde liegenden Technik hat. Hier gilt es Nutzungsregeln aufzustellen und Beschäftigte regelmäßig darüber zu informieren, damit Fehlnutzung und Unachtsamkeit so gut es geht vermieden werden kann.

6. Sie erfahren in Ihrem Berufsalltag immer wieder, dass IT-Sicherheit als störende Innovationsbremse empfunden werde. Sehen Sie selbst das anders?

IT-Sicherheit ist zunächst tatsächlich unbequem, das sieht man schon im Kleinen: Sichere Passwörter sind lang und schlecht zu merken, Firewalls schränken die Flexibilität ein und bevor eine Software auf dem Arbeitsrechner installiert werden darf, muss sie erst von Administratoren freigegeben werden. Noch viel unbequemer wird es allerdings, wenn es keine oder zu wenige Sicherheitsvorkehrungen gibt und sich das Unternehmen dann in bedeutenden kritischen Situationen wiederfindet. Spätestens dann ist die Reue über zu wenig Prävention groß.

7. Was ist Ihr Vorschlag, um die IT-Sicherheit für alle kommunalen Unternehmen – von klein bis groß – auf einen notwendigen Mindeststandard zu heben?

Es sollte eine Liste mit einfach umzusetzenden Maßnahmen existieren. Deshalb erarbeiten wir in unserem Forschungsprojekt Leitfäden aus, die Energieversorgern mit Leitsystem helfen sollen, ein notwendiges Mindestmaß an Sicherheit zu erreichen. Dabei sollten zuerst die einfachen Sofortmaßnahmen umgesetzt werden. Mit der Zeit sollte jedes Unternehmen auch die komplexeren Maßnahmen in Angriff nehmen oder sich im besten Fall sogar direkt für die Einführung eines Informationssicherheits-Management-Systems (ISMS) entscheiden.
Die Maßnahmenliste erstreckt sich von automatischen Sperrbildschirmen nach wenigen Minuten über verpflichtende Schulungen für alle Angestellten bis hin zur konsequenten Nutzung von Softwarelösungen für Zugriffskontrolle, Verschlüsselung und Angriffsdetektion.

8. Was wünschen Sie sich für die IT-sichere Kommunalwirtschaft der Zukunft?

KMUs sollten sich freiwillig auf einen gemeinsamen Mindeststandard einigen und die Umsetzung attraktiv gestalten, z. B. über „Mini-Zertifikate“ oder entsprechende Gütesiegel, die die Entscheidung zur „Freiwilligen Selbstkontrolle“ sichtbar machen. Eine explizite Kontrolle ist dabei vermutlich gar nicht notwendig. Wer IT-Sicherheit nicht ernst nimmt, wird früher oder später wegen eines vermeidbaren Sicherheitsproblems in die Schlagzeilen geraten. Wahllose Angriffe auf selbst die kleinsten Systeme im Internet sind alltäglich. Gezielte Angriffe werden in Zukunft sicherlich immer häufiger werden.

>> Zum Profil der HAMBURG ENERGIE

Das könnte Sie auch interessieren