Was für eine schöne neue Welt: Die Energieversorgung der Weltgemeinschaft basiert vollständig auf Energieformen, welche als «erneuerbar» gelten. Autos, Lastwagen, Flugzeuge, Schiffe werden elektrisch angetrieben und stossen keine Treibhausgase mehr aus. Auch geheizt wird elektrisch und energieeffizient. Zur Produktion des dafür benötigten Stroms kommen weder fossile Rohstoffe wie Kohle oder Erdöl noch Kernenergie zum Einsatz. Im Gegensatz zur bisherigen zentralen Energieproduktion in grossen Kraftwerken werden vor allem Sonnen- und Windenergie stark dezentral gewonnen. Viele kleine Anlagen produzieren aus Sonnenlicht und Wind Strom und speisen diesen in das Netz. Typisch für diese dezentrale Stromproduktion sind nicht nur die höheren Anforderungen, welche das Netz dabei erfüllen muss, und die stark variierenden Stromflüsse, sondern auch eine riesige Menge Daten, welche Wasser-, Solar- und Windkraftanlagen produzieren. Diese Daten werden ausgetauscht, ausgewertet und abgelegt. Die Anlagen und Systemkomponenten kommunizieren dazu miteinander. Wo Systeme miteinander kommunizieren, bestehen Schnittstellen, welche – mögen sie noch so gut gesichert sein – angreifbar sind.
Einem breiten Publikum nach wie vor sehr gut in Erinnerung sind die Angriffe auf die Stromversorgung der Ukraine, welche 2015 und 2016 erfolgten. Die nachhaltige Prominenz dieser Angriffe dürfte zu einem grossen Teil in der Tatsache begründet sein, dass im Zuge der geopolitischen Entwicklungen (Annexion der zur Ukraine gehörenden Halbinsel Krim durch Russland) eine grosse Öffentlichkeit Notiz davon nahm. Und: Angriffe und Angriffsversuche auf die Stromversorgungen einer Nation hatte es zuvor gegeben und gab es auch danach. Nie war es Angreifern bislang jedoch gelungen, die Stromversorgung eines Landes tatsächlich zu unterbrechen. Die Folge: Hunderttausende ukrainische Haushalte waren stundenlang ohne Strom. Sogar der betroffene Stromversorger Kyivoblenergo hatte keinen Strom mehr, da die Angreifer auch die Notstromversorgung gekappt hatten.
Will jemand rein, kommt er auch rein
Das Beispiel zeigt: Ein Sicherheitssystem – selbst für kritische Infrastrukturen – kann noch so umsichtig konzipiert und aufgebaut sein, mit genügend krimineller Energie und Fachwissen ist es dennoch knackbar. Das Bewusstsein für Sicherheitsbelange hat in der Energiebranche in den letzten Jahren deutlich zugenommen. Das stellt auch Markus Riner, Leiter Digitalisierung beim Verband Schweizerischer Elektrizitätsunternehmen VSE, fest: «Die Vorfälle im Ausland haben dafür gesorgt, dass das Thema nicht mehr so stiefmütterlich behandelt wird wie früher.» Das habe sich auch in einer im vergangenen Jahr durchgeführten Branchenumfrage gezeigt: «Gemeinsam mit dem Datenschutz wird die Cybersecurity als top Thema eingestuft.» Insgesamt sei der Branche klar, dass sie diesen Bereich im Auge haben und Mitarbeiterinnen und Mitarbeiter für diese Aufgaben weiterbilden und fit machen müsse.
Vielfach hapert es jedoch gerade in diesem Bereich: dem Weiterbilden und Fitmachen der Mitarbeiterinnen und Mitarbeiter. «Vor allem die kleineren EVUs stossen bei Cybersecurity-Fragen aus Kapazitätsgründen schnell einmal an Grenzen. Als Branchendachverband wollen wir unsere Mitglieder daher unterstützen.» Konkret geschehe dies beispielsweise mit dem Aufbau eines VSE-Forums für Digitalisierung, das im zweiten Quartal dieses Jahres online gehen soll. Im Unterforum «Digital Upskilling» würden Fähigkeiten gesammelt und besprochen, welche nötig seien, um die Digitalisierung in der Branche erfolgreich umzusetzen. Weiter unterstützt der Verband seine Mitglieder mit spezifischen Weiterbildungsangeboten, mit Branchenempfehlungen und ganz generell mit der Förderung des Bewusstseins, dass Sicherheitsaspekte auf jeder Ebene wichtig sind.
E-Learning, Fake-Attacken und neue Kurse
Ein solches Angebot ist beispielsweise ein E-Learning-Kurs, mit dem Unternehmen ihre Mitarbeiterinnen und Mitarbeiter online testen können. Obwohl viele der dabei vermittelten Inhalte bekannt sein sollten, sind solche Kurse wichtig. Denn trotz der medialen Omnipräsenz des Themas Cybersecurity und der bekannten Gefahren, welche als harmloser Anhang verkleidet in der Mailbox landen können, sind die Mitarbeiterinnen und Mitarbeiter nämlich noch immer der Risikofaktor Nummer eins. «Das ist leider so», bestätigt Markus Riner. Nach wie vor seien Menschen, die unbedacht einen Link klickten oder einen Anhang öffneten, die grösste Gefahr für IT-Systeme. «Die Methoden der Angreifer werden aber auch immer raffinierter. Deshalb müssen wir die Aufmerksamkeit der Mitarbeiterinnen und Mitarbeiter auf dieses Thema lenken – immer und immer wieder.» Eine weitere Möglichkeit, um die digitale Fitness von Mitarbeiterinnen und Mitarbeitern zu testen, sind Fake-Attacken. Dabei werden im Unternehmen E-Mails mit einem verdächtigen, aber selbstverständlich ungefährlichen Anhang verschickt. Die Öffnungsrate gibt dann Aufschluss darüber, ob das Unternehmen zusätzliche Weiterbildungsmassnahmen ergreifen sollte oder nicht.
«Wir entwickeln laufend solche Schulungs- und Weiterbildungsangebote, um die Branche zu unterstützen», erklärt Markus Riner. «IT-/OT-Grundschutz für IT-/OT-System-Engineers» sei beispielsweise ein solcher Kurs, der dem Umstand Rechnung trage, dass OT-Infrastrukturen (Operational Technology) schon lange nicht mehr als Inselbetriebe funktionierten und folglich entsprechenden Risiken ausgesetzt seien. In besagtem Kurs wird nicht nur die aktuelle Cyber-Bedrohungslage vorgestellt, sondern auf Basis eines Branchendokuments auch gezeigt, welche präventiven Massnahmen EVUs gegen diese Bedrohung ergreifen können. «Cybersecurity ist – vor allem bei unseren kritischen Infrastrukturen – auf allen Ebenen wichtig und muss integrativ betrieben werden.» Aus diesem Grund hat der VSE gemeinsam mit der Branche eine entsprechende Task Force «Cyber Security IT-/OT-Systems and Clouds» gegründet, welche sich des Themas annimmt.
Gibt es bald eine Ausbildung mit Zertifikat?
Einen weiteren Ansatz bringt Thomas Mettler, Stabstellenleiter IT bei der Arbon Energie AG, ins Spiel: «Wünschenswert wäre ein Zertifikatslehrgang für IT-/OT-Security, beispielsweise ein CAS Energiewesen in Zusammenarbeit mit einer Hochschule. Das verleiht nicht nur der Ausbildung mehr Gewicht, sondern würde auch das Bewusstsein für Sicherheitsbelange in der Branche erhöhen.» In einer vom VSE und den Mitgliedunternehmen initiierten Koordinationsgruppe Digitalisierung, in welcher Thomas Mettler Einsitz nimmt, werden solche Themen diskutiert. «Dabei dürfen wir nicht ausser Acht lassen, dass IT nicht das Kerngeschäft unserer Branche ist und dass gerade kleinere Unternehmen schlicht nicht über die nötigen Ressourcen verfügen, um sich eigene IT-Abteilungen leisten zu können. So sei er selbst bei seiner Arbeitgeberin auch der einzige Informatiker. «Wenn man diese Arbeiten an einen externen Anbieter auslagert oder die Stellvertreterlösung mit externen Spezialisten regelt, kann dies genauso gut ein Lösungsansatz sein. Wichtig ist, dass sich das Management der Bedeutung bewusst ist und dass es die Aufgaben an die korrekte Stelle adressiert sowie die notwendigen finanziellen Mittel zur Verfügung stellt.»
Massiver Digitalisierungsschub
Ob mit einer eigenen Abteilung oder durch einen externen Dienstleister: Damit der Schutz der Systeme von EVUs überhaupt gewährt werden kann, braucht es zuerst einmal ausgebildete IT-Fachkräfte. Genau an diesen Fachpersonen besteht in der Schweiz aber ein eklatanter Mangel. So schlug beispielsweise ICT-Berufsbildung Schweiz – der Verband vertritt branchenübergreifend das Thema ICT-Kompetenzen in der Berufsbildung – im vergangenen Herbst Alarm und prognostizierte, dass bis 2028 rund 36 000 ICT-Fachkräfte fehlen würden. Die Pandemie habe viele Unternehmen gezwungen, Kommunikationswege und Prozesse zu digitalisieren. Gleichzeitig erfolgten Strukturwandel und Wirtschaftsentwicklung aber noch schneller als prognostiziert. Dies führe zu einem exponentiellen Anstieg des Fachkräfte-Bedarfs, erklärt Serge Frech, Geschäftsführer von ICT-Berufsbildung Schweiz. Und: «Ist die Pandemie einmal ausgestanden, werden wir feststellen, dass Unternehmen mit digitalisierten Prozessen einen grossen Wettbewerbsvorteil haben. Dann werden ihre Mitbewerber nachziehen, und der Bedarf wird noch weiter steigen.»
Zwar fehlen ICT-Fachkräfte in allen Bereichen, doch vor allem auf dem Gebiet ICT-Security ortet Serge Frech erheblichen Bedarf: «In diesem Bereich ist der Mangel massiv. Daher gehen wir auch davon aus, dass hier das grösste Wachstum zu erwarten ist.» Gerade in der Energiebranche mit ihren besonders schützenswerten kritischen Infrastrukturen seien gut ausgebildete ICT-Security-Fachleute extrem wichtig. Ein Aufruf an die Unternehmen, mehr Ausbildungsplätze zu schaffen, also? «Natürlich! ICT-Security umfasst ja nicht nur den Schutz von IT- und OT-Systemen, sondern es geht auch um Themen wie Datenhaltung und vor allem Datenschutz. Das betrifft jedes einzelne EVU.» Es sei ein Aufwand, Lernende auszubilden, aber diese Investition lohne sich. Lernende auf den eigenen Systemen auszubilden, zahle sich schon während der Ausbildung aus: «Mitarbeiterinnen und Mitarbeiter, welche im Betrieb ausgebildet worden sind, kennen und leben die Unternehmenskultur, sie sprechen die Unternehmenssprache und kennen die Prozesse in- und auswendig. Das sind quasi die perfekten Mitarbeiterinnen und Mitarbeiter.» Nun gibt es in der Energiebranche das geflügelte Wort, dass kein Kraftwerk wie das andere ist. Ausbildungen auf IT- und OT-Systemen können je nach Werk ganz andere Anforderungen an die Lernenden stellen. ICT Berufsbildung gestaltet daher die Ausbildungspläne so, dass Unternehmen sehr viel Spielraum erhalten, um ihren Nachwuchs auf eigenen Systemen auszubilden. «Sie sollen die Technologien und Systeme ihres Unternehmens so gut wie möglich kennenlernen.»
Die Interessenten wären da
Neben den Unternehmen sieht Serge Frech auch die Verbände in der Pflicht, sich für die ICT-Ausbildung einzusetzen. «Typische Branchenverbände wie der VSE oder Swissmem sind in kritischem Masse abhängig von einer funktionierenden IT. Mit ihrer Mitgliedschaft helfen sie nicht nur, die Zahl der Ausbildungsplätze zu erhöhen, sondern auch, ICT-Fachkräfte mit jenen Fähigkeiten auszustatten, die der jeweiligen Branche zugutekommen. Das ist vorbildlich.» So war beispielsweise der VSE, seit 2017 Mitglied bei ICT-Berufsbildung Schweiz, stark in die Entwicklung des eidgenössischen Diploms ICT Security Expert eingebunden. «An erster Stelle stehen aber die Unternehmen», sagt Serge Frech. «Es gibt mehr junge Menschen, die sich für eine ICT-Ausbildung interessieren, als entsprechende Lehrstellen. Dagegen können Unternehmen etwas tun, indem sie Ausbildungsplätze schaffen.»