Cybersicherheit: Fachkräftemangel bringt Energieversorger zu neuem Denken

Als Teil der kritischen Infrastruktur haben es Energieversorgungs­unternehmen (EVU) mit einer Fülle an Cyberrisiken zu tun. Gleichzeitig verschärft sich der Fachkräftemangel in der Cyberabwehr besonders stark. Gerade EVUs sind daher darauf angewiesen, die Zusammenarbeit mit Dienstleistern auszubauen.

Die Digitalisierung lässt die Angriffsflächen permanent größer werden. Zumal es in den Strom- und Gasnetzen starke Wechselbeziehungen zwischen der physikalischen und der Cyber-Infrastruktur gibt. Diese Interdependenz macht sie anfällig für eine Vielzahl unterschiedlichster Angriffsszenarien. Die Spannweite reicht von Abrechnungsbetrug an intelligenten Zählern bis zur Übernahme von OT-Systemen (engl. Operational Technology, dt. Betriebstechnologie). Da Energieversorger immer mehr Infrastrukturen online bereitstellen und sich bei der Speicherung und Verwaltung sensibler Daten zunehmend auf digitale Umgebungen verlassen, wird schnell klar, dass mehr Fachleute für Cybersicherheit benötigt werden.

3,5 Millionen Fachkräfte fehlen

Qualifiziertes Personal zu finden und anzuwerben ist ein weltweites Problem. Im Jahr 2021 gab es im Bereich Cybersicherheit etwa 3,5 Millionen unbesetzte Stellen. Die Männer und Frauen mit dem erforderlichen Fachwissen sind so gefragt, dass sie bei der Berufswahl im Grunde genommen die freie Wahl haben. Vor allem regionale Versorgungsunternehmen stehen bei den Absolventen dann nicht unbedingt an allererster Stelle. Doch damit nicht genug: Der Bedarf an einschlägiger Erfahrung in energiewirtschaftlichen Technologien und der Nachweis an Zertifizierungen im Umgang mit SCADA-Systemen und möglicher NERC-CIP-Konformität lässt die Zahl der verfügbaren Talente weiter schrumpfen.

Vor diesem Hintergrund wächst die Bedeutung des Outsourcing. Wenn EVUs ihr Infrastrukturmanagement auslagern, gehört daher meist auch Cybersicherheit zu den Aufgaben, die in diesen Bereich fallen. In der Praxis können sich die Vergabelose dann auf operative Aufgaben konzentrieren, wie zum Beispiel auf die personelle Besetzung des Security-Operations-Centers (SOC), die Verwaltung von SIEM-Plattformen (Security Information and Event Management) oder den Aufbau und die Pflege des ISMS (Information Security Management System). Andernorts umfasst das Outsourcing aber auch strategischere Funktionen. So etwa die Suche nach Bedrohungen oder das Verhindern von Datenverlusten (Data Loss Prevention, DLP).

In Reaktion auf die zunehmende Komplexität steigt die Spezialisierung im Bereich Cybersicherheit stark an. Energieversorger, die externe Unterstützung suchen, werden feststellen, dass Dienstleister, egal ob groß oder klein, über Cybersecurity-Teams verfügen, die weitgehend autonom arbeiten. Ziel ist es, einen direkteren, schnelleren Zugriff auf Lösungen, Methoden und fokussierte Aufgabenbereiche zu erhalten. Vor diesem Hintergrund muss unter Energieversorgern die Bereitschaft wachsen, Cybersicherheitsaufgaben im Rahmen eigenständiger Verträge zu regeln.

Empfehlungen für CIOs

Cybersicherheit in der Energiewirtschaft ist kein rein technisches Problem. Stattdessen sind unternehmensweite Direktiven gefragt. Eine solche Unternehmenslösung sollte regelmäßig aktualisierte Prozesse und Richtlinien, ständige Sicherheitsprüfungen und -übungen sowie eine eingehende Prüfung aller Anbieter, mit denen das EVU zusammenarbeitet, umfassen. Vor diesem Hintergrund gilt es die Rollen und Verantwortlichkeiten zwischen dem CIO und dem CISO (Chief Information Security Officer) zu klären.

IT-Leiter sollten insbesondere diese fünf Punkte berücksichtigen:

1. Betrachten Sie Cyber-Anforderungen niemals losgelöst von anderen IT-Funktionen wie zum Beispiel Anwendungen oder Infrastruktur.
2. Arbeiten Sie eng mit der CISO-Organisation zusammen, um das Aufsetzen der Richtlinien und deren anschließende Ausführung zu vereinheitlichen.
3. Achten Sie im Verlauf von Vergabeverfahren auch auf Security-Anbieter, die ihnen noch unbekannt sind. Handelt es sich dabei um kleinere Unternehmen, sollten Sie prüfen, ob ihre bisherigen Vertragsvorlagen Bestimmungen enthalten, die von kleineren Spezialisten nicht akzeptiert werden können.
4. Die grundlegenden Technologien, die für eine robuste Cybersicherheit erforderlich sind, ändern sich schnell. Stellen Sie sicher, dass Ihre Beschaffungsprozesse die fortwährende Revision der eingesetzten Technologien sowie einen Plan zu deren Weiterentwicklung fördern.
5. Wenn Sie Fremdvergaben in Betracht ziehen, sollten Sie die vorgeschlagenen Lösungen eingehend prüfen und umfassende Due-Diligence-Prüfungen durchführen.

Doug Saylors

leitet die Cybersecurity-Einheit von ISG. Er berät Unternehmen mit seinem Fachwissen in den Bereichen Cybersecurity-Strategie,  Transformationsprojekte, Infrastruktur, Digital Enablement, Beziehungsmanagement und Servicebereitstellung.