Durch die zunehmende Vernetzung und Digitalisierung von Systemen wird die Bedrohungslage für die IT-/OT-Sicherheit immer ernster. Der Bedarf an robusten OT-Sicherheitspraktiken (Operational Technology/Betriebstechnologie) wird zusehends wichtiger, um die Risiken von Cyberbedrohungen zu mindern. Cyber-Angriffe häufen sich und haben bereits vielerorts zu erheblichen Unterbrechungen des Geschäftsbetriebs, finanziellen Aufwendungen und Rufschädigung geführt.
Demzufolge verpflichtet der Gesetzgeber die Betreiber von Energieanlagen zur Umsetzung IT-sicherheitstechnischer Mindeststandards mit konkreten Vorgaben für die Erhöhung der IT-Sicherheit. Mit dem „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)“ wurde ein ganz konkreter Rahmen geschaffen, der in weiteren gesetzlichen und regulatorischen Vorgaben konkretisiert und ständig weiterentwickelt wird.
Die vgbe-Fachtagung zur IT-/OT-Sicherheit in Energieanlagen bietet eine zusätzliche Plattform für den Austausch der vgbe-Mitglieder untereinander und mit entsprechenden Experten der Energiewirtschaft sowie der Abfallentsorgung.
Diese Plattform wurde am 21./22. November 2023 bereits zum dritten Mal geboten. Es wurden konkrete Schwerpunkte gesetzt, die über die vorausgegangenen Fachtagungen hinausgingen. So erhielten die rund 120 Teilnehmenden z.B. einen Einblick, welche Anforderungen das KRITIS-Dachgesetz stellen wird und was die Umsetzung dieser Anforderungen zum Einsatz eines Systems zur Angriffserkennung in OT-Systemen bedeutet.
Die Unternehmen der Strom- und Wärmeversorgung sowie Abfallentsorgung stehen vor der Herausforderung, die aktuellen Entwicklungen zu verfolgen und rechtzeitig auf gestiegene Anforderungen zu reagieren. Insbesondere der Übergang von eigenen unregulierten (freiwilligen) Aktivitäten zur „KRITIS-Sicherheit“ hin zur Umsetzung der regulatorischen Vorgaben ist entscheidend, werden doch damit viele formale Festlegungen getroffen. So werden z.B. Nachweise, gegeben falls mit Zertifikaten, explizit erforderlich und bei Nichteinhaltung drohen Bußgelder. Hier gilt es, dass die Branche frühzeitig Einfluss auf den Gesetz- und Verordnungsgeber nimmt, um das eigentliche Ziel, die Verbesserung der Sicherheit und Resilienz der Energieanlagen, nicht in einer Unzahl von formalen Vorgaben aus den Augen zu verlieren. Auch an dieser Stelle arbeitet vgbe eng mit dem BDEW (Bundesverband der Energie- und Wasserwirtschaft) sowie mit anderen Verbänden der Branche zusammen. Darüber hinaus ist vgbe Mitglied im Branchenarbeitskreis Strom des UP KRITIS und hat damit die Möglichkeit, die Interessen seiner Mitglieder zu positionieren und Informationen und Statements auszutauschen.
Auf der dritten IT-/OT-Fachtagung wurden folgende Schwerpunkte behandelt:
- Bedrohungen und Lösungen für die Erhöhung der IT-/OT-Sicherheit
- Machbarkeit/pragmatische Lösungen zur Umsetzung regulatorischer Vorgaben
- Sypply chain/Lieferanten Management
- Incident Management
- Umsetzungsfristen und Vorgehensweisen zur Anwendung der neuen ISO 27001
- Systeme zur Angriffserkennung
- Management der Meldungen aus dem System zur Angriffserkennung, Meldeflut, Zukunftsaussicht Systeme zur Angriffserkennung
- Security Operations Centre (SOC) als unternehmensinterne Leistung oder als externe Dienstleistung, Ausprägung und Betreibererfahrung
- Software Bill of Materials (SBOM): detaillierter Leitfaden, der unter anderem Aufschluss über die Komponenten der eingesetzten Software gibt. Als eine Art Stückliste hilft ein SBOM-Leitfaden Anbietern und Käufern gleichermaßen, den Überblick über die Komponenten zu behalten und die Sicherheit der Softwarelieferkette zu verbessern.
In diesem Jahr wurden bei der Programmgestaltung auch neue Wege beschritten: Neben einer Podiumsdiskussion zur „Ausprägung der Security Operations Centre“ wurden in zwei Break Out Sessions die Themen „Systeme zur Angriffserkennung“ und „Umgang mit IT-/OT-Sicherheitsereignissen“ durch spontan gebildete Arbeitsteams aus verschiedenen Blickwinkeln betrachtet und die Ergebnisse in einer gemeinsamen Gruppendiskussion zusammengeführt.
Die acht Aussteller (Hersteller und Dienstleister der IT-OT-Sicherheitsservices) waren unmittelbar in die Fachtagung durch eigene Vorträge in das Programm eingebunden. Durch die sehr gelungene logistische Anordnung der Ausstellung kam es während der Pausen zum intensiven Austausch und erfolgreichen Networking.
Aussteller
Ein ganz besonderer Dank gebührt dem Tagungsmoderator Andreas Jambor, RWE, der in bewährter Weise Fachwissen und pointiert kontroverse Aspekte in die Diskussion eingebracht hat. Zudem moderierte Dr. Swantje Westpfahl, Institute for Security and Safety, die Break Out Sessions und damit einen entscheidenden Teil des neuen Formates, das durch ihren persönlichen Einsatz sehr positiv angenommen wurde.
Darüber hinaus dankt vgbe allen Vortragenden, Teilnehmenden, Ausstellern für ihre wertvollen Beiträge und Diskussionen, die wieder maßgeblich zum erfolgreichen Gelingen der Fachveranstaltungen beitragen haben.
Über Ort und Termin der 4. „IT-OT-Sicherheit in Energieanlagen“ wird rechtzeitig auf der vgbe-Website und im vgbe energy journal informiert.
