„Unser Ziel ist es, die Energiewirtschaft zu einer starken Säule unseres Geschäftes zu machen. Wir adressieren alle Unternehmen, die der NIS-2-Richtlinie unterliegen.“
Was unterscheidet Cyber-Sicherheit in der Information Technology (IT) von Cyber-Sicherheit in der Operational Technology (OT) bzw. der Internet of Things (IoT)-Welt? Diese Frage beantwortet Mirko Ross, Mitgründer und CEO der asvin GmbH, Spezialist für Cyber-Risikoanalyse und -vorhersage in OT-Systemen. Produkte von asvin sind auch für das Management von Stromnetzen interessant. Denn im gleichen Ausmaß, wie deren Digitalisierung voranschreitet, vergrößert sich ihre digitale Angriffsfläche. Die gute Botschaft: Netzbetreiber können sich trotz begrenzter Ressourcen wirksam schützen. Mirko Ross erläutert im energie.blog-Interview, wie das funktioniert. Pflichtlektüre für Netzbetreiber!
e.b: Mit der asvin GmbH betritt ein Cyber-Security-Spezialist den Energiemarkt, der in der Branche noch als Insider-Tipp gilt. Wo liegen die Wurzeln Ihres Unternehmens und auf welchen Themen liegt der Geschäftsfokus?
Ross: Sven Rahlfs und ich haben asvin 2018 in Stuttgart gegründet. Zuvor hatten wir Industrieunternehmen dabei geholfen, ihre Prozesse ins Internet der Dinge zu bringen. Dabei haben wir uns u.a. der LoRaWAN-Technologie bedient, die ja mittlerweile auch im Energiemarkt verbreitet ist. Wir verfügen hier über einen großen Erfahrungsschatz und sind Spezialisten für OT-Security in der Industrie. Mit der voranschreitenden Digitalisierung wächst auch in diesem Marktsegment die Gefahr durch Cyber-Angriffe. Unsere Investoren sind in Deutschland und der Schweiz ansässig. Zu ihnen zählt beispielsweise die im Energiemarkt etablierte Minol ZENNER Gruppe.
„OT und IT sind unterschiedliche Welten“
e.b: Worin unterscheiden sich OT-Security und IT-Security?
Ross: OT und IT sind unterschiedliche Welten. IT-Security-Lösungen lassen sich nicht einfach auf die OT-Welt übertragen. Bei IT-Security-Vorfällen besteht die erste Reaktion oft darin, den Stecker zu ziehen und den Rechner runterzufahren. Genau das kann man bei der OT nicht machen. Nehmen wir zum Beispiel ein Stahlwerk oder eine Wasseraufbereitungsanlage, die kann man nicht kurzerhand ausknipsen oder vom Netz nehmen. Hier stehen lange Prozesse und Verfahren dahinter, die keine Unterbrechung dulden.
Man kann in der OT auch nicht einfach veraltete Software austauschen. Maschinen und Anlagen haben aber oft sehr lange Lebenszyklen von 15, 20 oder sogar 30 Jahren. Diese veralteten Software-Lösungen haben natürlich ihre Schwachstellen, aber ein Update ist – anders als in der IT – nicht möglich. Bei vielen Maschinen und Anlagen ist gar nicht mehr klar, welche Software da gerade läuft, weil die Hersteller das nie dokumentiert haben. Oder Hersteller sagen: In dieser Maschine oder Anlage liegt mein spezielles Wissen oder Prozess-Know-how, das ich nicht offenlegen will, und deswegen gewähre ich keinen Zugriff darauf, um die zu prüfen oder zu scannen. Deswegen greifen die Lösungen der IT nur sehr unzureichend für die OT-Welt. Dank unseres sehr tiefen Verständnisses für diese speziellen Prozesse kennen wir den Bedarf der Unternehmen in der OT. So können wir unsere Cyber Security-Lösungen entsprechend gestalten.
Data-Analytics-Modell zur Datenanalyse und Simulation
e.b: Wie schützt asvin vor Angriffen auf die OT?
Ross: Man benötigt spezifische Methoden, die das Sicherheitsrisiko in so komplexen Umgebungen darstellen. Wir haben ein Data-Analytics-Modell entwickelt, mit dem wir Daten analysieren und Simulationen durchführen können. Dabei arbeiten wir mit Next-Level-KI, Graphenanalyse und klassischer Topologie-Theorie. Risikorelevante Daten aus beliebigen Datenquellen werden in einem Risk By Context (RBC) Index verdichtet und in Dashboards angezeigt. Die Ansichten lassen sich flexibel skalieren, von der Bewertung einzelner Assets bis hin zur Unternehmensgesamtsicht. Auf dieser Basis können wir sehr genau sagen, an welcher Stelle ein Cyber-Sicherheitsrisiko besteht, welche Handlungsoptionen es gibt und wo welche Maßnahmen priorisiert zu ergreifen sind.
e.b: Können Sie das bitte an Beispielen näher erläutern?
Ross: Wir können über eine Anlage zum Beispiel sagen: Hier gibt es zwar ein Cyber-Sicherheitsrisiko, aber es ist weit weg von einem potenziellen Angriffspfad, dieses Risiko kannst du in Kauf nehmen. Ein anderes Statement könnte lauten: Hier besteht ein Cyber-Sicherheitsrisiko, um das du dich vorrangig kümmern musst. Denn wenn diese Maschine oder Anlage ausfällt, kommt deine gesamte Logistik zum Erliegen. Das heißt, wir bewerten und priorisieren Risiken, um ihnen gezielt vorbeugen zu können. Warum ist das wertvoll? Wir alle wissen: Cyber-Sicherheit ist keine direkt wertschöpfende Disziplin, und in den Betrieben sind die dafür verfügbaren personellen und finanziellen Ressourcen in aller Regel knapp. Umso besser, wenn man Gefahrenpunkte lokalisieren und sich an den wichtigsten Stellen zuerst schützen kann.
So funktioniert die Lösung von asvin.
Virtuell messen, wie weit ein Datenpunkt von Gefahr entfernt ist
e.b: Bitte noch einmal einen Schritt zurück: Sie sprachen von einem Topologie-Modell und der Entfernung von Gefahren. Wie muss man sich das vorstellen?
Ross: Mit unserem Graphenmodell können wir im virtuellen Sinn messen, wie weit eine Anlage von einem Datenpunkt entfernt ist, dessen Kompromittierungsrisiko wir kennen. Liegt die Anlage sehr nah an einem gefährdeten Datenpunkt, vererbt sich ein Teil des Risikos auf diese Anlage. Übersetzt in ein einfaches Bild: Stehe ich einen Meter neben einer brennenden Hütte, verbrenne ich mit. Stehe ich 200 Meter davon entfernt, kann mir nichts passieren.
e.b: Wie können Sie Stromverteilnetzbetreiber bei der Abwehr von digitalen Angriffen unterstützen. Vielfach haben diese noch recht wenig Datenmaterial über ihre Assets.
Ross: Die meisten Unternehmen haben Daten zu ihren Netzen und Assets, aber das Bild ist oft unvollständig oder lückenhaft. Trotzdem kann unsere Software damit arbeiten und Risiken modellieren. Das funktioniert sogar für Anlagen, von denen wir gar keine Daten haben.
e.b: Warum wird OT-Cyber-Security für Netzbetreiber immer wichtiger?
Ross: Die Digitalisierung ist unabdingbar, um das dezentrale, auf erneuerbaren Energien basierende zukünftige Energiesystem funktionstüchtig zu machen und trotz fluktuierender Energiebereitstellung eine sichere und kontinuierliche Energieversorgung zu gewährleisten. Die Digitalisierung der Netze ist also ein zentraler Enabler der Energiewende. Zugleich führt die Digitalisierung automatisch dazu, dass die Angriffsoberfläche im digitalen Raum massiv vergrößert wird. Das gilt einerseits für das LoRaWAN-Netz im Bereich des Datentransports, andererseits millionenfach für die Geräteseite, wenn wir an die Wechselrichter von PV-Anlagen, aber auch Endgeräte wie etwa Wallboxen, Stromspeicher und Wärmepumpen denken. Je mehr dieser Geräte in der Fläche verbaut sind, umso größer wird die Herausforderung für den Netzbetreiber, aber auch für die Hersteller. Prävention gegenüber potenziellen Cyber-Angriffen zu betreiben, ist unabdingbar, zumal sich die geopolitische Bedrohungslage nicht gerade entspannt. Das verlangt der Gesetzgeber inzwischen ja auch explizit von allen Betreibern kritischer Infrastrukturen.
e.b: Über welche praktischen Erfahrungen im Energiesektor verfügt asvin bereits?
Ross: Wir sind auf mehreren Feldern aktiv und verfolgen verschiedene Projekte, die sich mit kritischer Infrastruktur befassen. Beispielsweise arbeiten wir aktuell daran, die Cyber-Sicherheit von Wallboxen zu verbessern. In den USA unterstützen wir einen Netzbetreiber mit Simulationen beim Cyber-Resilienz-optimierten Netzausbau. Darüber hinaus sind wir in einem Projekt mit einem großen Technikanbieter engagiert, das sich die Digitalisierung von Trafostationen zum Ziel gesetzt hat. Nicht zu vergessen: Wir stehen im engen, kontinuierlichen Austausch mit der Minol ZENNER Gruppe, um die Cyber-Security im Bereich digitaler Messgeräte und der Datenkommunikation zu verbessern. Unser Ziel ist es, die Energiewirtschaft zu einer starken Säule unseres Geschäftes zu machen. Wir adressieren alle Unternehmen, die der NIS-2-Richtlinie unterliegen.
„Müssen verstehen, wie man unsere Systeme angreifen kann“
e.b: Wie wichtig sind Forschung und Entwicklung im Bereich Cyber-Security? Die asvin GmbH legt darauf ja großen Wert.
Ross: Ohne Innovation funktioniert Cyber-Sicherheit nicht, weil die Gegenseite bekanntlich extrem innovativ und einfallsreich ist. Wir müssen verstehen, wie man unsere Systeme angreifen kann. Deshalb ist Cyber-Sicherheits-Forschung ein Teil des Unternehmens. Der andere Teil kümmert sich um Produkte und Kunden. Das eine ist ohne das andere nicht denkbar.
e.b: Welches Echo erleben Sie bislang aus dem Energiemarkt? Trifft das, was asvin anbietet, auf Nachfrage?
Ross: Absolut! Unsere Produkte helfen den durch Regulatorik und Marktdynamik unter Druck stehenden Playern am Energiemarkt passgenau. Sie stellen sich damit gesetzeskonform auf und sind zugleich für die Cyber-Sicherheit ihrer Assets gerüstet. Unsere prädiktive Risikoanalyse macht Cyber-Risikomanagement für Unternehmen planbar und ressourcengerecht umsetzbar.
