Nova Scotia Power (NSP) und das Mutterunternehmen Emera Inc. wurden kürzlich in einem Cyberangriff angegriffen, der wichtige digitale Systeme störte. Während das Stromnetz selbst betriebsfähig blieb, offenbarte der Angriff mehrere kritische Schwächen in der IT-Infrastruktur des Unternehmens. Es sendet eine klare Botschaft an den Energiesektor: selbst wenn die physischen Abläufe sicher sind, können digitale Verwundbarkeiten das Vertrauen, die Kontinuität des Services und möglicherweise die Sicherheit untergraben.

Chronologie des Cyberangriffs

Am 25. April entdeckte NSP unbefugten Zugriff auf mehrere Teile seines Netzwerks und seiner Server. Der Vorfall betraf die geschäftlichen IT-Systeme, hauptsächlich diejenigen, die für die Verwaltung von Kundendaten, Abrechnungsplattformen und interne Kommunikation verantwortlich sind. In Reaktion darauf aktivierte das Unternehmen schnell seinen vorab geplanten Notfallreaktionsplan, holte Cybersecurity-Experten hinzu und arbeitete daran, die betroffenen Systeme zu isolieren, um den Blast-Radius einzudämmen.

Diese Eindämmungsmaßnahme half, zu verhindern, dass der Angriff in operative Netzwerke wie Stromerzeugung und -übertragungssysteme übergreift. Der Angriff deaktivierte vorübergehend mehrere kundenorientierte Dienste, einschließlich Online-Kontoverwaltung und telefonischer Unterstützung. Viele Kunden hatten Schwierigkeiten, Rechnungen zu bezahlen und auf ihre Konten zuzugreifen, was öffentliche Bedenken hinsichtlich der Sicherheit persönlicher und finanzieller Informationen auslöste.

Obwohl das betroffene Versorgungsunternehmen der Öffentlichkeit versicherte, dass die Stromversorgung nicht betroffen war, warf der Vorfall mehrere rote Flaggen hinsichtlich des Potenzials cyberattacken auszuüben, um Schwachstellen in den digitalen Ökosystemen der Versorgungsunternehmen auszunutzen, selbst wenn die Kernoperationen gut geschützt sind. Während der Angriff die IT-Systeme betraf, hätte ein Angriff auf OT-Systeme, die relativ weniger sicher sind, ein viel verheerenderes Ergebnis haben können, wobei sich die Wiederherstellung über Wochen, wenn nicht Monate hinziehen könnte, wie wir in der Vergangenheit gesehen haben. 

Auswirkungen auf die Infrastruktur

Die direktesten und sichtbarsten Auswirkungen waren auf die Kundenservicefähigkeiten des Versorgungsunternehmens:

• Kundenportale wurden offline genommen, um weitere Kompromittierungen zu verhindern.

• Callcenter erlebten Ausfälle und lange Wartezeiten.

• Kundenvertrauen wurde beeinträchtigt, insbesondere angesichts der Bedenken über potenzielle Datenexposition.

• Interne Koordination wurde verlangsamt, da Teile der Geschäftsinfrastruktur des Unternehmens abgeschaltet oder unter manuellen Prozessen arbeiteten.

In Ermangelung eines Audits ist es schwierig zu sagen, welche anderen Systeme betroffen waren.

Obwohl es bisher keine Hinweise gab, die darauf hindeuteten, dass operationale Systeme kompromittiert wurden, schuf der Angriff viele indirekte operationale Risiken. Beispielsweise könnten verzögerte Kundenkommunikationen und ein Mangel an Zugriff auf Kontodaten die Koordination der Störungsreaktion oder die Abrechnungsgenauigkeit auf lange Sicht behindern. Darüber hinaus könnten Daten, die während des neuesten Angriffs exfiltriert wurden, verwendet werden, um in Zukunft Netzwerke zu kompromittieren.

Was hätte getan werden können, um es zu verhindern?

• Zusätzliche Schicht des Schutzes für wichtige Systeme

• IEC 62443 basierte Audits für die gesamte Infrastruktur

• Robuste Netzwerksegmentierung: Operative Technologie (OT)-Systeme und IT-Systeme müssen streng getrennt sein. Während dieser Angriff OT nicht durchbrach, könnte die Tatsache, dass eine solche Segmentierung hielt, möglicherweise darauf hindeuten, dass es eine Rettungsmaßnahme war.  

• Zero-Trust-Architektur: Zero Trust geht davon aus, dass kein Benutzer, keine Sitzung oder kein Gerät standardmäßig vertrauenswürdig ist. Durch die Durchsetzung strenger Authentifizierung und kontinuierlicher Validierung müssen selbst interne Akteure die Legitimität nachweisen, bevor sie auf sensible Systeme zugreifen und den Zugriff darauf behalten. Dieser Ansatz hilft, Verstöße einzudämmen, bevor sie eskalieren.

• Sicherheitsbewusstsein und Phishing-Abwehr: Viele Verstöße stammen aus Phishing. Regelmäßige Schulungen, simulierte Phishing-Kampagnen und aggressive Spamfilterung können das Risiko reduzieren, dass ein Mitarbeiter versehentlich Anmeldeinformationen preisgibt oder Malware installiert.

• Proaktive Überwachung und Bedrohungssuche: Der Einsatz von Security Information and Event Management (SIEM)-Systemen mit Verhaltensanalytik kann ungewöhnliche Aktivitäten erkennen, bevor ein Verstoß weit verbreitet wird. Die Echtzeiterkennung reduziert die "Dauer" der Angreifer im System. Auf der OT-Seite könnte die Nutzung einer ausgereiften OT-Netzwerkerkennungs- und Reaktionslösung bei der frühzeitigen Erkennung von Bedrohungen helfen.

• Schwachstellenmanagement und Patch-Hygiene: Ungepatchte Software-Schwachstellen sind ein häufiges Einfallstor. Ein diszipliniertes und nachverfolgtes Programm zur Aktualisierung von Systemen, insbesondere kundenorientierten Webdiensten, kann viele bekannte Lücken schließen, die Angreifer häufig ausnutzen.

Stärkung der Cybersicherheit der Versorgungsunternehmen mit NERC CIP und IEC 62443

Um sich gegen zunehmend raffinierte Bedrohungen zu verteidigen, müssen Versorgungsunternehmen ihre Cybersicherheitsprogramme an etablierten regulatorischen und technischen Standards ausrichten. Zwei der wichtigsten Standards im Energiesektor sind NERC CIP und IEC 62443.

NERC CIP (North American Electric Reliability Corporation Critical Infrastructure Protection)

NERC CIP-Standards sind für Versorgungsunternehmen, die das Hochspannungsnetz in Nordamerika betreiben, verpflichtend. Diese Standards konzentrieren sich auf die Identifizierung, Kategorisierung und den Schutz kritischer Cyber-Assets. Wichtige Bereiche sind:

• CIP-002: Asset-Identifikation und -klassifizierung (Asset-Inventarverwaltung mit sicherheitsgerechter Asset-Klassifizierung)

• CIP-005: Elektronische Sicherheitsperimeter und sicherer Remote-Zugang

• CIP-007: System-Sicherheitsmanagement (Patchen, NDR, Antivirus, etc.)

• CIP-013: Cybersicherheitsrisikomanagement in der Lieferkette (Sicherheit aus der Perspektive von Komponenten und Systemlebenszyklen angehen)

NERC-CIP-Compliance stellt sicher, dass Elektrizitätsversorgungsunternehmen grundlegende Sicherheitskontrollen über ihre kritischen Systeme anwenden, um die Chance einer Kompromittierung zu reduzieren und eine schnellere Incident-Response zu ermöglichen, wenn dies erforderlich ist.

IEC 62443 (Internationale Elektrotechnische Kommission)

IEC 62443 bietet einen weltweit anerkannten Rahmen für die Sicherung industrieller Automatisierungs- und Steuerungssysteme (IACS). Es ist anbieterneutral und bietet umfassende Richtlinien auf mehreren Ebenen:

• Richtlinien und Verfahren (z.B. IEC 62443-2-1): Für Asset-Eigentümer zur effektiven Verwaltung der Cybersicherheit durch ein IACS-Sicherheitsprogramm

• Patch-Management in der IACS-Umgebung: Um sicherzustellen, dass Systeme sicher bleiben, indem Schwachstellen behoben werden. Empfiehlt Patch-Management, das Patch-Klassifizierung und -identifikation, Priorisierung (je nach Auswirkung oder Geschäftsausgang), Tests, Bereitstellung und Verifizierung umfasst.

• System-Sicherheit: IEC 62443-3-2:2020 legt Anforderungen zur Definition eines Systems unter Betrachtung (SUC) für ein industrielles Automatisierungs- und Steuerungssystem fest

• Systemdesign (z.B. IEC 62443-3-3): Für Integratoren zur Umsetzung sicherer Architekturen, die durch technische Kontrollsysteme unterstützt werden, um die Infrastruktur zu härten, während die Sicherheitsmaßnahmen vertieft werden.

• Komponentensicherheit (z.B. IEC 62443-4-2): Für Produktentwickler zur Gewährleistung sicherer Geräte.

IEC 62443 betont Sicherheitsniveaus basierend auf Risiko und macht es flexibel genug, um sich über verschiedene Branchen und Vermögensklassen hinweg anzupassen. Wenn es effektiv implementiert wird, kann es die Anforderungen von NERC CIP ergänzen und Lücken in Prozessen, Design und Lebenszyklusmanagement schließen.

Weiterer Fortschritt: Ein Sicherheitsleitfaden für Stromunternehmen

Der Vorfall bei NSP verdeutlicht eine dringende Wahrheit: Cybersicherheit im Energiesektor kann nicht in Compliance-Checklisten isoliert oder ausschließlich auf operationale Netzwerke konzentriert werden. Angreifer werden die schwächste Stelle ausnutzen, egal ob es sich um einen Abrechnungsserver, einen Drittanbieter oder einen untergeschulten Mitarbeiter handelt.

Um eine widerstandsfähigere Haltung zu erreichen, sollten Kraftwerksunternehmen:

1. IT- und OT-Sicherheit mit gleicher Ernsthaftigkeit behandeln. Kundenportale sind ebenso anfällig für Angriffe wie SCADA-Systeme, und Verstöße in einem können das andere gefährden.

2. Cybersicherheit in das Unternehmensrisikoregister integrieren. Sicherheit ist ein Thema auf Vorstandsebene und muss als solches budgetiert, verwaltet und überprüft werden.

3. Eine branchenweite Zusammenarbeit eingehen. Der Austausch von Bedrohungsinformationen und Best Practices durch ISACs und grenzüberschreitende Partnerschaften kann frühe Warnungen liefern und die Wiederherstellung beschleunigen.

4. Schichtende Verteidigungsstrategien übernehmen. Firewalls, Endpunkt-Detektion, Identitätszugriffskontrollen und Anwendungsabsicherung haben alle eine Rolle in einem ganzheitlichen Verteidigungsplan zu spielen.

Der Cyberangriff auf Nova Scotia Power dient als Weckruf. Während das Unternehmen ein Worst-Case-Szenario mit Netzunterbrechung vermied, zeigte der Vorfall, wie verletzlich geschäftlich orientierte Systeme sein können und wie diese Verwundbarkeiten sich auf operationale Risiken und öffentliches Vertrauen auswirken können.

Versorgungsunternehmen müssen über das Mindestmaß an Compliance hinausgehen und einen risikobasierten, standards-aligned Ansatz zur Cybersicherheit übernehmen. Indem sie sowohl die NERC CIP- als auch die IEC 62443-Rahmenbedingungen annehmen und ihre Verteidigungen über IT und OT verstärken, können Stromanbieter sich besser auf die nächste Welle cyber Bedrohungen vorbereiten und die fortlaufende Bereitstellung eines der kritischsten Dienstleistungen der Gesellschaft: zuverlässige, sichere Energie, gewährleisten.