In den letzten Jahren haben Unternehmen weltweit digitale Betriebsmodelle eingeführt, und Versorgungsunternehmen bilden da keine Ausnahme. Diese nationalen Unternehmen, die kritische Infrastrukturen am Laufen halten, indem sie Wasser-, Gas-, Strom- und Abfallentsorgungsdienste bereitstellen, nutzen eine Vielzahl unterschiedlicher Systeme, Online-Plattformen und Anwendungen, um ihre Geschäfte zu betreiben. Diese Systeme bieten eine Fülle von Vorteilen: Sie erleichtern es Kunden, ihren Verbrauch und ihre Rechnungen online zu verfolgen und Zahlungen zu veranlassen, sie optimieren Betriebsmodelle und erleichtern die Strukturierung von Prozessen sowie das Sammeln und Teilen von Daten innerhalb der Organisation. Doch diese Abhängigkeit von digitaler Infrastruktur hat auch das Potenzial für Cyberangriffe im Energiesektor erhöht und neue Angriffsflächen geschaffen.

Jüngste Warnungen der Ratingagentur Moody’s haben das erhöhte Risiko beleuchtet, dem Versorgungsunternehmen durch Cyberangreifer ausgesetzt sind, die ihre Operationen ins Visier nehmen. Moody’s erklärte, dass „kritische Infrastruktursektoren wie Elektrizität, Wasser und andere Versorgungsunternehmen das höchste Risiko aufweisen“ aufgrund einer „zunehmenden Abhängigkeit von der Digitalisierung“. Sie betonen, dass dies „nicht unbedingt bedeutet, dass sie keine starken Cyberabwehrmaßnahmen haben. Ein erfolgreicher Angriff auf ihre Anlagen und Dienste kann jedoch erhebliche Folgen haben“ – sowohl für Haushalte als auch für Unternehmen.

Der Versorgungssektor wird durch die Einführung von Smart Metern, Online-Portalen und Softwareanwendungen von Drittanbietern zunehmend digitalisiert, was die Angriffsfläche für Cyberkriminelle vergrößert, die versuchen, Systeme zu infiltrieren, Daten zu kompromittieren und die Versorgung zu stören. Hacker wollen nicht nur Kundendaten stehlen und ausnutzen, sondern auch unsichere Betriebstechnologien angreifen, um die Versorgung zu unterbrechen, was zu weitreichenden Störungen wie Stromausfällen und kontaminiertem Trinkwasser führen kann.

Lesen Sie unseren Blog über 10 Wege zur Verbesserung Ihrer Cybersicherheit.

Cyberangriffe auf Wasserversorger machen Schlagzeilen
Der Bericht von Moody’s hat eine klare Botschaft gesendet: Cyberangriffe auf Wasserversorger sind weit verbreitet, und niemand ist immun. Jüngste Angriffe haben bekannte Akteure getroffen, die wahrscheinlich bereits eine starke Cybersicherheitsposition haben. Kürzlich gab Southern Water, die über 4 Millionen Kunden in Großbritannien versorgt, an, dass die Ransomware-Gruppe Black Basta behauptet habe, auf ihre Systeme zugegriffen und eine „begrenzte Menge“ ihrer Daten im Darknet veröffentlicht zu haben. Darüber hinaus entschuldigte sich Staffordshire Water, nachdem Hacker persönliche Daten ihrer Kunden gestohlen hatten; Moody’s schätzt, dass die Kosten im Zusammenhang mit dem Hack, einschließlich potenzieller Zivilklagen, 10 Millionen Pfund erreichen könnten. In Irland waren 180 Menschen ohne Wasser, als Hacker ein Wasserpumpensystem ins Visier nahmen, indem sie die Kontrolle über ein schlecht geschütztes industrielles Steuerungssystem übernahmen.

In den USA stehen sie vor ähnlichen Problemen. Im Jahr 2023 griffen Hacker das städtische Wassersystem von Aliquippa an und schafften es, eine Pumpe an einer Versorgungsleitung, die über 6.000 Kunden bedient, abzuschalten. Es wurde auch bekannt, dass es einen Cybersicherheitsvorfall bei Veolia North America gab, die die Stadt Rahway in New Jersey mit Wasser versorgen. Moody’s wies darauf hin, dass der Einsatz von künstlicher Intelligenz (KI) diesen besorgniserregenden Trend von Cyberangriffen auf Versorgungsunternehmen weiter beschleunigen könnte.

Moody’s warnte jedoch, dass Cyberangriffe wie Datenlecks zwar erhebliche Auswirkungen auf den Datenschutz und den Ruf haben, „das größere Risiko für den Sektor und die Gesellschaft jedoch darin besteht, dass böswillige Dritte in der Lage sind, auf betriebliche Technologiesysteme zuzugreifen, um Trinkwasser- oder Abwasseraufbereitungsanlagen zu beeinträchtigen.“ Diese Systeme basieren oft auf älterer Betriebstechnologie (OT) und Steuergeräten, die vor dem Internet entwickelt und häufig für den Fernzugriff nachgerüstet wurden. Dies macht sie anfälliger für Hacks, da diese älteren Geräte keine modernen Cybersicherheitsprotokolle besitzen. Wenn die Trinkwasserversorgung kontaminiert oder ganz eingestellt wird, kann dies erhebliche Auswirkungen auf die Gesundheit der Bevölkerung haben und lebensbedrohlich sein, was maximale Störungen und Auswirkungen durch diese böswilligen Angriffe verursacht.

Wie gehen Regulierungsbehörden mit den Cybersicherheitsherausforderungen um, denen Versorgungsunternehmen gegenüberstehen?
Angesichts der kritischen Lage haben Wasserversorger, Regierungsstellen und Regulierungsbehörden die Notwendigkeit erkannt, die Cyberabwehr zu stärken. Ofwat, die den Wassersektor in Großbritannien reguliert, prüft Pläne zur Erhöhung der Gebühren von 2025 bis 2030, um zusätzliche Kosten zu decken, die es Wasserversorgern ermöglichen, einen besseren Service für Kunden zu bieten und die Umwelt zu verbessern; ein Teil davon wird wahrscheinlich Cybersicherheitsinvestitionen umfassen. Diese Entwicklung kommt zu einer Zeit, in der die Wasserwirtschaft wegen verschiedener Probleme, einschließlich der Einleitung von Abwasser und der Vorstandsvergütung, zusätzlich unter die Lupe genommen wird.

Nach den Cyberangriffen auf den Wassersektor setzt sich die Environmental Protection Agency (EPA) dafür ein, dass Wasserversorger grundlegende Cybermaßnahmen freiwillig in ihre Planungs- und Betriebsprozesse integrieren. Das EPA-Briefing zur Cybersicherheit im Wassersektor schlägt eine Reihe von Kontrollen vor, die Wasserversorger implementieren können, um sich vor Ransomware-Angriffen zu schützen.

Jüngste regulatorische Änderungen haben neue Cyber-Vorschriften für Organisationen eingeführt, die kritische nationale Infrastrukturen (CNI) bereitstellen; dazu gehören der 2021 eingeführte Telecoms Security Act, DORA, der Digital Operational Resilience Act, der Finanzdienstleistungsorganisationen und ihre Informations- und Kommunikationstechnologie (IKT)-Dienstleister betreffen wird, und die NIS-2-Richtlinie.

Es ist unerlässlich für Wasserversorger und andere Unternehmen im Versorgungssektor, diese von den Regulierungsbehörden hervorgehobenen Schwachstellen zu erkennen und proaktive Schritte zum Schutz ihrer Operationen und Kundendaten zu unternehmen.

Was können Versorgungsunternehmen tun, um Cybersicherheitsmaßnahmen zu stärken?
Es gibt eine Reihe von Schritten, die Versorgungsunternehmen unternehmen können, um Transparenz über Cybersicherheitsbedrohungen zu erhalten, die IT-Infrastruktur zu stärken und die Auswirkungen von Vorfällen zu reduzieren.

Natürlich gibt es technische Vorkehrungen, die Unternehmen treffen können, wie die Installation von Sicherheitsupdates und Patches, die Begrenzung des Zugriffs auf unbekannte Geräte und IP-Adressen sowie die Einschränkung der Datenfreigabe zwischen Geräten, um die Angriffsfläche zu reduzieren. Unternehmen müssen aber auch Cyberbedrohungen frühzeitig erkennen und Kontrollen zu deren Minderung implementieren. Sie müssen strenge Cybersicherheitsrichtlinien und Schulungen implementieren, die Einhaltung von Datenschutzbestimmungen verwalten, Prozesse zur schnellen Behebung von Cybervorfällen einführen und sicherstellen, dass alle Software, Hardware und Lizenzen auf dem neuesten Stand sind und die richtigen Sicherheitsmaßnahmen aufweisen.

Um ihre Cybersicherheitsrisiken besser zu kontrollieren und ihre IT-Infrastruktur zu schützen, sollten Versorgungsunternehmen strenge Governance-Verfahren implementieren, ein Best-Practice-Programm für das Cyber-Risikomanagement einführen, strenge Compliance-Verfahren anwenden, um die Einhaltung der Datenschutzgesetze sicherzustellen, und robuste Geschäftskontinuitätspläne implementieren.

Die neuesten GRC-Technologielösungen können diese Verfahren formalisieren. Die Software ermöglicht es Unternehmen, alle Aspekte des IT-Risikos und der Compliance auf einer zentralen Plattform zu verwalten und bietet die folgenden Funktionen:

  • Risikomanagement: Teams können ein Cyber-Risikoregister erstellen, um digitale Risiken zu erfassen, angepasste Online-Risikobewertungsformulare erstellen sowie Kontrollen festlegen und Kontrolltests durchführen.
  • Compliance: Organisationen können eine Bibliothek für Compliance-Verpflichtungen erstellen, um Datenschutz- und Cyber-bezogene regulatorische Anforderungen zu verwalten. Sie können strenge Governance-Verfahren und Richtlinienmanagement-Workflows implementieren, regulatorische Änderungen verwalten und auf vorgefertigte Frameworks zugreifen, um Prozesse an Datenschutzanforderungen wie DSGVO, ISO 27001 und die NIS-Richtlinie anzupassen.
  • Drittanbieter-Risikomanagement: Unternehmen können eine Online-Anbieterbibliothek erstellen, die es einfacher macht, Anbieterbeziehungen zu verwalten und zu verfolgen und die von ihnen ausgehenden Risiken zu verstehen. Sie können Anbieter-Risikobewertungen einführen, den Anbieter-Benchmarking-Prozess optimieren und die automatisierte Überwachung wichtiger Kennzahlen wie SLAs, KPIs und Branchen-Benchmark-Standards implementieren.
  • Asset Management: Online-Asset-Management-Register ermöglichen es Teams, das Alter und die Nutzung von Hardware, Softwarelizenzen und physischen Assets zu verfolgen, um sicherzustellen, dass alle Geräte und Lizenzen auf dem neuesten Stand und für die Aufgabe geeignet sind. Teams erhalten einen umfassenden Überblick über veraltete Geräte & Lizenzen, was die Budgetplanung vereinfacht.
  • Richtlinienmanagement: Alle IT-Richtlinien und -Verfahren können konsistent verwaltet und in einem zentralen Online-Repository gespeichert werden, mit Workflows zur Kennzeichnung von Ablaufdaten und zur Automatisierung von Genehmigungen, Freigabeprozessen und Bestätigungen.
  • Strategische Planung: Erstellen Sie eine IT-Strategie, unterteilen Sie übergeordnete Ziele in kleinere Aufgaben, Projekte und Aktionen, die zur Erledigung in der gesamten Organisation verteilt werden können. Wenn Aufgaben erfüllt werden, wird der Fortschritt angezeigt, was es einfach macht, den Strategiefortschritt auf allen Ebenen des Unternehmens zu verfolgen.
  • Audits: Unternehmen im Versorgungssektor unterliegen einer Vielzahl von Audits, Inspektionen und Überprüfungen. Mit GRC-Software können Organisationen Cyber-Audits planen und verwalten sowie die Ergebnisse und erforderlichen Maßnahmen formalisieren, wodurch eine vollständige Historie aller Audits, ihrer Ergebnisse und ausstehenden Maßnahmen bereitgestellt wird.
  • BCM und operationelle Resilienz: Software kann die Erstellung von BCM-Plänen, Business Impact Assessments und Geschäftsprozessmodellierungen unterstützen, wodurch es einfach wird, die Auswirkungen eines Vorfalls in Bezug auf Kosten, Ausfallzeiten und verlorene Arbeitsstunden zu verstehen, und BCM-Pläne können basierend auf protokollierten Vorfällen ausgelöst werden.

Entdecken Sie die Riskonnect IT-Risikomanagement-Software.

Versorgungsunternehmen müssen jetzt handeln, um ihre Geschäftsabläufe und digitale Infrastruktur zu sichern
Die jüngsten Warnungen von Moody’s und die zunehmenden Cyberbedrohungen für Versorgungsunternehmen unterstreichen die Dringlichkeit, Cybersicherheit zu priorisieren. Da der Sektor massive Cybersicherheitsinvestitionen benötigt, ist der Schutz kritischer Infrastrukturen von größter Bedeutung.

Bei Riskonnect verstehen wir die Bedeutung eines effektiven Managements von Cyberrisiken und der Sicherstellung der Einhaltung des Datenschutzes. Unsere Expertise in IT-Governance, Risiko und Compliance (GRC) ermöglicht es uns, maßgeschneiderte Lösungen anzubieten, um die spezifischen Herausforderungen im Wasser- und Versorgungssektor anzugehen.

Durch die Zusammenarbeit mit Riskonnect können Versorgungsunternehmen aufkommenden Bedrohungen einen Schritt voraus sein und die Sicherheit ihrer kritischen Infrastruktur gewährleisten. Wir können Unternehmen im Versorgungssektor dabei unterstützen, Cyberrisiken zu managen und zu mindern, während die Einhaltung der Datenschutzbestimmungen gewährleistet wird. Kontaktieren Sie uns noch heute für eine Demo.