Seit dem 1. Juli 2024 sind mit der Inkraftsetzung der Stromversorgungsverordnung (StromVV) die gesetzlichen Anforderungen an sichere Informations- und Kommunikationstechnologien (IKT) für Unternehmen der Schweizer Strombranche klar gegeben. So müssen Netzbetreiber, Erzeuger, Speicherbetreiber und Dienstleister Massnahmen für den angemessenen Schutz ihrer kritischen Anlagen gegen Cyberbedrohungen treffen. Das erforderliche Schutzniveau gemäss IKT-Minimalstandard des Bundesamts für wirtschaftliche Landesversorgung (BWL) definiert, in welchem Mass die Anforderungen des IKT-Minimalstandards umgesetzt werden müssen. Die höchsten Anforderungen betreffen das Schutzniveau A, die Schutzniveaus B und C enthalten geringere Anforderungen. Die kleinsten Marktakteure mit dem Schutzniveau C werden nur zur Erfüllung eines Teils der Aufgaben (39 von 108) verpflichtet. Der IKT-Minimalstandard bildet das international etablierte Cyber Security Framework des National Institute of Standards and Technology (NIST) ab, das Organisationen dabei unterstützen soll, ihre Fähigkeit zur Prävention, Erkennung und Reaktion auf Cybersicherheitsrisiken zu bewerten und zu verbessern.

Die neuen gesetzlichen Grundlagen erfordern grosse Änderungen auf Seiten der Elektrizitätswerke und Energiedienstleister. Sie müssen eine Standortbestimmung zum aktuellen Schutzniveau ihrer Infrastruktur vornehmen und davon gegebenenfalls Massnahmen ableiten, um das erforderliche Schutzniveau gemäss IKT-Minimalstandard zu erreichen. EWA-energieUri ist sich ihrer Verantwortung für die sichere Stromversorgung in ihrem Verteilgebiet bewusst und befasst sich deshalb bereits seit mehreren Jahren mit der Sicherheit ihrer IT/OT-Infrastruktur. So hat die Geschäftsleitung bereits im Jahr 2020 vor Einführung des IKT-Minimalstandards entschieden, eine Maturität von durchschnittlich 2.5 gemäss NIST Framework anzustreben. EWA-energieUri hat somit schon frühzeitig Erfahrung mit der Anwendung des NIST Frameworks bzw. mit der Umsetzung der Anforderungen des IKT-Minimalstandards gesammelt.
Umsetzungsprozess
Begonnen hat EWA-energieUri mit dem Self-Assessment. Als Grundstein dafür machte das Unternehmen eine Auslegeordnung aller offenen Themen im Bereich Cyber Security, um einen besseren Überblick über die relevanten Aufgaben zu erhalten. Auch die Erarbeitung der Sicherheitspolitik und der dazugehörenden Strategie zählten zu den ersten Tätigkeiten, denn diese bilden die Grundlagen für die Einführung von Weisungen, Richtlinien und Prozessen. Nebst der Sicherheitspolitik und Strategie wurde die Sicherheitsarchitektur bestimmt und es wurde klar definiert, wie der Ausbau von bestehenden und neuen Anlagen zu erfolgen hat. EWA-energieUri hat ein LOG-Managementsystem (Security Information and Event Management, SIEM) aufgebaut. Mit diesem System werden alle relevanten Informationen von Sensoren, Firewalls und Geräten protokolliert. Um Auffälligkeiten im kritischen Datenverkehr erkennen und alarmieren zu können, wurden zusätzlich Omicron-IDS-Sensoren verbaut.

Für die Datengrundlage wurde ein Asset Management erarbeitet. Die benötigten Informationen (IP und MAC-Adressen) wurden via Sensordaten oder manuell aus der Engineering Datenbank übernommen. EWA-energieUri hat ein Secure Remote Access aufgebaut, wobei das gesamte Engineering ausschliesslich über die ESXi Plattform abgewickelt wird. Damit wird sichergestellt, dass klar erkennbar ist, wer wann und wo auf das System zugreift. Die Grundlage für den Secure Remote Access bildet eine OT-gerechte IT-Infrastruktur. Nebst der Entkopplung des IT- und OT-Netzwerks wurde als Sofortmassnahme das IP-Konzept weiterentwickelt. Eine weitere Sofortmassnahme war die Härtung der Systeme, so wurde dort unter anderem Port-Security auf den Netzwerk-Switchen eingeführt.
Damit alle Mitarbeiterinnen und Mitarbeiter in der Thematik Cyber Security geschult werden können, legte EWA-energieUri zudem eine Ausbildungsstrategie fest. Konkret bedeutet dies, dass Mitarbeitende aus allen Bereichen und Abteilungen für die Gefahr von Cyber-Angriffen sensibilisiert werden. Zusätzlich erfolgen in regelmässigen Abständen Online-Schulungen auf einer dafür beschafften Plattform.
Herausforderungen und Lösungsansätze
Die EWA-energieUri musste bei der Auslegeordnung und bei der Erarbeitung der Sicherheitspolitik und der dazugehörenden Strategie einige ganz unterschiedliche Herausforderungen meistern. Um den vorgegebenen Zeitrahmen einhalten zu können, mussten die notwendigen internen und externen Ressourcen für das Projekt und den Betrieb bereitgestellt werden. Geeignete Personen, die sich im Thema Security auskennen, mussten intern zuerst ausgebildet oder durch externe Spezialisten ergänzt werden. Cyber-Security-Themen verursachen zusätzliche Kosten und sind sehr komplex. Dies muss dem Management bewusst sein, damit die notwendigen finanziellen Mittel und weiteren Ressourcen entsprechend eingeplant werden. Sendet das Management die richtigen Signale, braucht es weniger Überzeugungsarbeit bei der Einführung von Massnahmen und Vorgaben. Deshalb ist es entscheidend, die zu erreichenden Ziele klar zu formulieren und auch zu kommunizieren.
Unser Fazit
Viele Elektrizitätswerke bzw. Energiedienstleister stossen bereits im Self-Assessment aufgrund knapper Ressourcen oder fehlenden Fachwissens an ihre Grenzen. Ohne externe Unterstützung kann es schwierig werden, eine passende Sicherheitsstrategie zu erarbeiten. Diese wiederum ist zentral für die Umsetzung des IKT-Minimalstandards, denn aus ihr geht hervor, welche Massnahmen wie in der vorgegebenen Zeit umzusetzen sind.
Dank der Vorkenntnisse aus dem Jahr 2020 hat EWA-energieUri schnell erkannt, welche Abweichungen gegenüber den neuen gesetzlichen Vorgaben im Unternehmen vorliegen. So konnten sehr rasch weitere Massnahmen geplant und ausgelöst werden. Damit erste Umsetzungsziele zeitnah erreicht werden können, ist eine strukturierte Vorgehensweise von zentraler Bedeutung. Eine besondere Beachtung muss den geeigneten sowie genügenden Ressourcen geschenkt werden, denn diese sind für die Projektmitarbeit, die Umsetzung der Massnahmen und für den laufenden Betrieb mitverantwortlich.
Fast täglich entnehmen wir aus den Medien, dass Cyber-Kriminelle immer raffiniertere Tricks anwenden, um an sensitive Informationen zu gelangen oder um gar Zugang zu Gebäuden oder Räumen zu erhalten. Neue Geräte werden helfen, die Angriffe auf IT- und OT-Infrastrukturen frühzeitig zu erkennen, jedoch muss uns auch bewusst sein, dass es immer neue und oft noch stärkere Technologien geben wird, welche Cyberangriffe verursachen werden. Künftig müssen sich Mitarbeiterinnen und Mitarbeiter auf neue Prozessabläufe einstellen und bei gewissen Tätigkeiten muss auch mit Zusatzaufwand gerechnet werden. Dazu zählen zum Beispiel die 2-Faktor-Authentifizierung oder eine personalisierte Anmeldung. Auch im Projektmanagement von Um- und Neubauprojekten müssen Massnahmen wie unter anderem die physische Sicherheit von Anfang an eingeplant werden. Wichtig ist, dass sich Elektrizitätswerke und Energiedienstleister frühzeitig mit OT-Security auseinandersetzen, denn so können die möglichen Auswirkungen tiefer gehalten werden.
Langfristiger Erfolg
Um langfristige und nachhaltige Erfolge erzielen zu können, muss sichergestellt werden, dass alle Mitarbeitenden auf allen Stufen frühzeitig sensibilisiert werden. Die wichtigste Erkenntnis ist jedoch, dass es sich bei Cyber-Security-Projekten nicht um einmalige Projekte handelt. Die Gefahrenlage verändert sich stetig und die Prozesse müssen dementsprechend laufend weiterentwickelt und an die neue Bedrohungslage angepasst werden. Mit ihrem langjährigen und fundierten Wissen gibt EWA-energieUri gerne das Know How an andere Elektrizitätswerke und Energiedienstleister weiter.
energieUri
energieUri ist seit über 125 Jahren der führende Energiedienstleister im Kanton Uri. Mit 25 Kraftwerken, darunter eigene Kraftwerke, Partner- und Drittwerke, deckt energieUri die gesamte Wertschöpfungskette von der Produktion, Energiewirtschaft, Übertragung bis hin zur Verteilung und zum Vertrieb ab. Ergänzt wird das Portfolio mit umfassenden ICT- sowie Gesamtenergielösungen.