Anfang 2021 erhielten die an der Ostküste lebenden Amerikaner eine scharfe Lektion über die wachsende Bedeutung der Cybersicherheit in der Energiebranche. Ein Ransomware-Angriff traf das Unternehmen, das die Colonial Pipeline betreibt – die wichtigste Infrastrukturader, die fast die Hälfte aller flüssigen Treibstoffe von der Golfküste in den Osten der USA transportiert. Da das Unternehmen wusste, dass zumindest einige ihrer Computersysteme kompromittiert worden waren, und das Ausmaß der Probleme nicht genau beurteilen konnte, musste das Unternehmen zu einer Brute-Force-Lösung greifen: die gesamte Pipeline stilllegen.
Leo Simonovich ist Vice President und Global Head of Industrial Cyber and Digital Security bei Siemens Energy.
Die Unterbrechung der Treibstofflieferung hatte enorme Folgen. Die Treibstoffpreise stiegen sofort in die Höhe. Der Präsident der Vereinigten Staaten schaltete sich ein, um in Panik geratenen Verbrauchern und Unternehmen zu versichern, dass Kraftstoff bald verfügbar sein würde. Fünf Tage und unzählige Millionen Dollar an wirtschaftlichem Schaden später zahlte das Unternehmen ein Lösegeld in Höhe von 4,4 Millionen Dollar und stellte seinen Betrieb wieder her.
Es wäre ein Fehler, diesen Vorfall als Geschichte einer einzelnen Pipeline zu sehen. Im gesamten Energiesektor verlassen sich immer mehr physische Geräte, die Kraftstoff und Strom im ganzen Land und auf der ganzen Welt herstellen und transportieren, auf digital gesteuerte, vernetzte Geräte. Für den analogen Betrieb konzipierte und konstruierte Systeme wurden nachgerüstet. Die neue Welle emissionsarmer Technologien – von Solar- über Wind bis hin zu GuD-Turbinen – sind von Natur aus digitale Technologien, die automatisierte Steuerungen verwenden, um jede Effizienz aus ihren jeweiligen Energiequellen herauszuholen.
Inzwischen hat die Covid-19-Krise einen separaten Trend zur Fernsteuerung und immer ausgefeilteren Automatisierung beschleunigt. Eine große Anzahl von Arbeitern ist vom Lesen von Zifferblättern in einer Fabrik zum Lesen von Bildschirmen von ihrer Couch aus übergegangen. Leistungsstarke Tools zum Ändern der Stromerzeugung und -weiterleitung können jetzt von jedem geändert werden, der sich einloggen kann.
Diese Veränderungen sind großartige Neuigkeiten – die Welt bekommt mehr Energie, weniger Emissionen und niedrigere Preise. Aber diese Änderungen verdeutlichen auch die Arten von Schwachstellen, die die Colonial Pipeline abrupt zum Stillstand gebracht haben. Dieselben Tools, die legitime Arbeiter im Energiesektor mächtiger machen, werden gefährlich, wenn sie von Hackern entführt werden. Zum Beispiel können schwer zu ersetzende Geräte Befehle erhalten, sich selbst in Stücke zu schütteln, wodurch Teile eines nationalen Stromnetzes monatelang außer Betrieb gesetzt werden.
Für viele Nationalstaaten ist die Fähigkeit, einen Knopf zu drücken und Chaos in der Wirtschaft eines rivalisierenden Staates zu säen, höchst wünschenswert. Und je mehr die Energieinfrastruktur hypervernetzt und digital verwaltet wird, desto mehr Targets bieten genau diese Möglichkeit. Es überrascht daher nicht, dass sich ein zunehmender Anteil der Cyberangriffe im Energiesektor von Informationstechnologien (IT) auf Betriebstechnologien (OT) verlagert hat – die Ausrüstung, die den physischen Anlagenbetrieb direkt steuert.
Um dieser Herausforderung gerecht zu werden, müssen Chief Information Security Officers (CISOs) und ihre Security Operations Centers (SOCs) ihre Ansätze aktualisieren. Die Verteidigung von Betriebstechnologien erfordert andere Strategien – und eine eigene Wissensbasis – als die Verteidigung von Informationstechnologien. Zunächst einmal müssen Verteidiger den Betriebsstatus und die Toleranzen ihrer Anlagen verstehen – ein Befehl, Dampf durch eine Turbine zu drücken, funktioniert gut, wenn die Turbine warm ist, kann sie aber kaputt machen, wenn die Turbine kalt ist. Identische Befehle können je nach Kontext legitim oder bösartig sein.
Selbst das Sammeln der kontextbezogenen Daten, die für die Überwachung und Erkennung von Bedrohungen erforderlich sind, ist ein logistischer und technischer Albtraum. Typische Energiesysteme setzen sich aus Geräten verschiedener Hersteller zusammen, die über Jahrzehnte installiert und nachgerüstet wurden. Nur die modernsten Schichten wurden mit Cybersicherheit als Designbeschränkung erstellt, und fast keine der verwendeten Maschinensprachen sollte jemals kompatibel sein.
Für die meisten Unternehmen lässt der aktuelle Reifegrad der Cybersicherheit zu wünschen übrig. Nahezu allwissende Einblicke in IT-Systeme werden mit großen toten Winkeln der OT gepaart. Data Lakes wachsen mit sorgfältig gesammelten Ergebnissen, die nicht zu einem kohärenten, umfassenden Bild des Betriebsstatus kombiniert werden können. Analysten brennen unter Alarmmüdigkeit aus, während sie versuchen, gutartige Warnungen manuell von Folgeereignissen zu sortieren. Viele Unternehmen können nicht einmal eine umfassende Liste aller digitalen Assets erstellen, die rechtmäßig mit ihren Netzwerken verbunden sind.
Mit anderen Worten, die fortschreitende Energiewende ist ein Traum für Effizienz – und ein Albtraum für Sicherheit.
Die Sicherung der Energiewende erfordert neue Lösungen, die gleichermaßen in der Lage sind, Bedrohungen aus der physischen und digitalen Welt zu erkennen und darauf zu reagieren. Security Operations Center müssen IT- und OT-Informationsflüsse zusammenführen, um einen einheitlichen Bedrohungsstrom zu schaffen. Angesichts des Umfangs der Datenflüsse muss die Automatisierung eine Rolle bei der Anwendung von Betriebswissen zur Generierung von Warnmeldungen spielen – ist dieser Befehl mit dem üblichen Geschäftsbetrieb vereinbar oder zeigt der Kontext, dass er verdächtig ist? Analysten benötigen einen breiten, tiefen Zugang zu kontextbezogenen Informationen. Und die Verteidigung muss wachsen und sich anpassen, wenn sich Bedrohungen entwickeln und Unternehmen Vermögenswerte hinzufügen oder abschaffen.
Diesen Monat hat Siemens Energy eine Überwachungs- und Erkennungsplattform vorgestellt, die darauf abzielt, die wichtigsten technischen und fähigkeitsbezogenen Herausforderungen für CISOs zu lösen, die mit der Verteidigung kritischer Infrastrukturen beauftragt sind. Die Ingenieure von Siemens Energy haben die notwendige Arbeit geleistet, um einen einheitlichen Bedrohungsstrom zu automatisieren, sodass ihr Angebot, Eos.ii, als Fusions-SOC fungieren kann, das in der Lage ist, die Leistungsfähigkeit der künstlichen Intelligenz bei der Herausforderung der Überwachung der Energieinfrastruktur zu entfesseln.
KI-basierte Lösungen entsprechen dem doppelten Bedarf an Anpassungsfähigkeit und beharrlicher Wachsamkeit. Algorithmen des maschinellen Lernens, die riesige Mengen an Betriebsdaten durchsuchen, können die erwarteten Beziehungen zwischen Variablen lernen, Muster erkennen, die für das menschliche Auge unsichtbar sind, und Anomalien für menschliche Untersuchungen hervorheben. Da maschinelles Lernen mit realen Daten trainiert werden kann, kann es die einzigartigen Merkmale jedes Produktionsstandorts lernen und iterativ trainiert werden, um gutartige und Folgeanomalien zu unterscheiden. Analysten können dann Warnungen einstellen, um nach bestimmten Bedrohungen Ausschau zu halten oder bekannte Geräuschquellen zu ignorieren.
Die Ausweitung der Überwachung und Erkennung auf den OT-Bereich erschwert es Angreifern, sich zu verstecken – selbst wenn einzigartige Zero-Day-Angriffe eingesetzt werden. Neben der Untersuchung herkömmlicher Signale wie signaturbasierter Erkennung oder Netzwerkverkehrsspitzen können Analysten nun auch die Auswirkungen neuer Eingaben auf reale Geräte beobachten. Geschickt getarnte Malware würde immer noch Warnsignale auslösen, indem sie Betriebsanomalien erzeugt. In der Praxis haben Analysten, die die KI-basierten Systeme verwenden, festgestellt, dass ihr Eos.ii-Erkennungsmodul empfindlich genug war, um Wartungsbedarfe vorausschauend zu erkennen – zum Beispiel, wenn ein Lager zu verschleißen beginnt und das Verhältnis von Dampfeinlass zu Kraftauslass zu driften beginnt .
Richtig gemacht, sollte die Überwachung und Erkennung, die sowohl IT als auch OT umfasst, Eindringlinge entlarvt werden. Analysten, die Warnungen untersuchen, können die Benutzerhistorie verfolgen, um die Quelle von Anomalien zu bestimmen, und dann einen Roll-Forward durchführen, um zu sehen, was sonst in einem ähnlichen Zeitraum oder von demselben Benutzer geändert wurde. Für Energieunternehmen bedeutet erhöhte Präzision ein drastisch reduziertes Risiko – wenn sie den Umfang eines Einbruchs bestimmen und identifizieren können, welche spezifischen Systeme kompromittiert wurden, erhalten sie Optionen für chirurgische Maßnahmen, die das Problem mit minimalen Kollateralschäden beheben – z eine Filiale und zwei Pumpstationen statt einer ganzen Pipeline.
Da Energiesysteme ihren Trend zu Hyperkonnektivität und durchdringenden digitalen Kontrollen fortsetzen, ist eines klar: Die Fähigkeit eines bestimmten Unternehmens, zuverlässige Dienste bereitzustellen, wird immer mehr von seiner Fähigkeit abhängen, starke und präzise Cyber-Abwehr zu schaffen und aufrechtzuerhalten. KI-basierte Überwachung und Erkennung bietet einen vielversprechenden Einstieg.
Um mehr über die neue KI-basierte Überwachungs- und Erkennungsplattform von Siemens Energy zu erfahren, lesen Sie das aktuelle Whitepaper zu Eos.ii.
Erfahren Sie mehr über Siemens Energy Cybersecurity unter Siemens Energy Cybersecurity.
Dieser Inhalt wurde von Siemens Energy erstellt. Es wurde nicht von der Redaktion der MIT Technology Review geschrieben.