Training für den Cyberkrieg: Stromnetzbereiter lernen sich zu schützen
Das Energieunternehmen Innogy hat gestern in Essen das erste Trainingszentrum im deutschsprachigen Raum eröffnet, in dem Betreiber von Stromnetzen erproben, wie sie einen Hackerangriff abwehren können.
Foto: Jens D. Billerbeck
Mit der „CyberRange-e“ bietet Innogy ab sofort eine modern ausgestattete Trainingsakademie, um Bedrohungen rechtzeitig zu erkennen, die passenden Schutz- und Abwehrmaßnahmen einzuleiten und damit den Umgang mit einem Cyberangriff zu üben.
„WannaCry, NotPetya oder Spectre/Meltdown sind Ausdruck einer neuen Qualität von Cyberangriffen und IT-Sicherheitsvorfällen“, erklärte Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), anlässlich der Eröffnung gestern in Essen. Schönbohm weiter: „Gleichzeitig schreiten Digitalisierung und Vernetzung voran, wodurch sich die Abhängigkeit von funktionierenden IT-Systemen täglich vergrößert.“ Diese Kombination aus neuer Angriffsqualität und zunehmender Digitalisierung hebe die Gefährdungslage auf ein neues Niveau, mit der sich insbesondere Betreiber kritischer Infrastrukturen auseinandersetzen müssten. „Auf Basis der Regelungen des IT-Sicherheitsgesetzes steht das BSI als die nationale Cyber-Sicherheitsbehörde Betreibern kritischer Infrastrukturen dabei mit Rat und Tat zur Seite“, so der BSI-Präsident in Essen.
Auf die Bedürfnisse der Nutzer zugeschnitten
„Mit der CyberRange-e gibt Innogy die passende Antwort auf diese neuartige Bedrohung“, erläuterte Florian Haacke, Leiter Konzernsicherheit bei Innogy. Das Unternehmen will nicht nur die Kompetenzen der eigenen Mitarbeiter verbessern, sondern die Trainings auch für Mitarbeiter von Stadtwerken und anderen Netzbetreibern öffnen. Auf 450 m2 proben bis zu zwölf Netz- und IT-Spezialisten in einwöchigen Trainings den Ernstfall. Haacke: „Hierbei werden auch War-Gaming-Methoden eingesetzt, bei denen die Teilnehmer gegen echte Hacker antreten müssen.“ Das Besondere: Die Schulungen sind speziell auf die Bedürfnisse und Fähigkeiten der Nutzer zugeschnitten und simulieren reale Bedingungen des Stromnetzes. Teil des Trainingszentrums sind daher auch echte Steuerungsanlagen einer Netzleitstelle, mehrere Umspannanlagen sowie die entsprechende IT-Infrastruktur.
NRW-Wirtschafts- und Digitalminister Andreas Pinkwart sagte zur Eröffnung: „Die Industrie in Nordrhein-Westfalen, insbesondere die Energiebranche, steht mit ihrer hochsensiblen Infrastruktur vor besonderen Herausforderungen, wenn es um den Schutz von Daten, Verfahren und Prozessen geht.“ Denn die wirtschaftlichen Schäden, die im Zuge eines Hackerangriffs durch Produktionsausfälle, Datendiebstahl oder die aufwendige Wiederherstellung von Daten drohen, könnten erheblich sein. Pinkwart: „Es ist wichtig, dass sich Industrie, öffentliche Einrichtungen und die Forschungslandschaft vor unberechtigten Zugriffen schützen können. Von daher freue ich mich sehr, dass mit der Eröffnung der CyberRange-e von Innogy Mitarbeiterinnen und Mitarbeiter weiter sensibilisiert werden und die Widerstandskraft unserer Unternehmen und öffentlichen Einrichtungen gestärkt werden kann.“
Im Herzen des Ruhrgebiets
Für die CyberRange-e hat sich Innogy ganz bewusst für den Standort Essen als Energiehauptstadt Deutschlands entschieden. Oberbürgermeister Thomas Kufen freut sich über diese Wahl: „Ich bin stolz darauf, dass wir gemeinsam hier in Essen heute das erste Trainingszentrum im deutschsprachigen Raum eröffnen, das es sich gezielt zur Aufgabe gemacht hat, Unternehmen und deren Mitarbeiterinnen und Mitarbeiter aktiv auf Hackerangriffe vorzubereiten und zu schützen.“
Bei Innogy hat das Thema Cybersicherheit bereits seit langer Zeit höchste Priorität. Die zentral koordinierte Konzernsicherheit besteht aus rund 130 Mitarbeitern, von denen sich die meisten ausschließlich um die Themen Cybersicherheit, Informationssicherheit und Datenschutz kümmern. Dabei liegt ein Fokus darauf, das Bewusstsein der Mitarbeiter zu schärfen. „Der Faktor Mensch ist immer noch das schwächste Glied bei der Abwehr von Cyberangriffen“, betonte Uwe Tigges, Vorstandsvorsitzender der Innogy SE. Unternehmen müssten verstehen, dass nicht nur die IT-Experten für den Schutz der Daten und Systeme verantwortlich sind. Sie müssten ihre Mitarbeiter in intensiven Trainings vorbereiten. Tigges: „Mit der CyberRange-e leisten wir einen wichtigen Beitrag für die Sicherheit kritischer Energieinfrastrukturen.“
Faktor Mensch im Fokus
Schon vor drei Jahren hat Innogy das „Human Firewall“-Projekt aufgelegt. Der Kerngedanke dabei: Die Systeme können noch so ausgefeilt sein, sie bringen aber nichts, wenn die Nutzer nicht sensibilisiert sind. Haacke: „Bei Innogy machen wir mehr, als der Gesetzgeber vorgibt. Wichtig ist, dass Security fester Bestandteil der Digitalisierung und der Arbeitskultur jedes einzelnen Mitarbeiters ist.“ Es gibt dazu beispielsweise Lernvideos, Schulungen, Live-Hacks und mit dem interaktiven Spiel „what the hack!“ auch Gamification-Methoden. Zudem hat Innogy inzwischen mehr als eine halbe Million Phishing-Mails an die eigenen Mitarbeiter verschickt, um die Effektivität der Sensibilisierungsmaßnahmen zu überprüfen.
