IT-Sicherheit: Die Angriffsflächen werden größer

04.12.2020 – Werth IT GmbH führt Security Audit bei der Energieversorgung Oberhausen AG durch.

Den Hackerangriff auf das Universitätsklinikum Düsseldorf im September 2020 mit seinen gravierenden Folgen, unter anderem ein Todesfall, hat Stefan Gnaudschun noch in Erinnerung. Als Koordinator für Informationssicherheit der Energieversorgung Oberhausen AG (evo) arbeitet er ebenfalls für einen öffentlichen Versorger, dessen Funktionieren für die Bürger*innen kritisch ist. Denn werden Patientendaten entwendet oder Kraftwerke durch Cyberattacken lahmgelegt, stellt dies einen massiven Angriff auf die öffentliche Ordnung dar.

Auch in der Energieversorger-Branche gab es bereits den einen oder anderen Fall, wo Kundendaten abgezogen wurden. Um solches Ereignisse zu vermeiden, arbeitet der Oberhausener Energieversorger mit dem Sicherheitsspezialisten Werth IT GmbH. Diese hat für die evo im Sommer 2020 einen kompakten Security-Audit durchgeführt. Das Ziel: die IT-Systeme des Unternehmens auf Herz und Nieren überprüfen und einen konkreten Maßnahmenplan erarbeiten. Auf Basis dessen kann der Energieversorger jetzt seine IT-Systeme so absichern, dass niemand von außen unberechtigt auf Kundendaten zugreifen kann.

Energieversorgung Oberhausen
Im Sommer 2020 wurde bei der evo ein umfassender Security-Audit durchgeführt. Bild: Energieversorgung Oberhausen AG

Fortschreitende Digitalisierung

Als betriebswirtschaftliche Standardsoftware setzt die evo auf SAP, implementiert und betreut von einem SAP-Integrationshaus. Zur Absicherung des Systems kommt das Standard-Security-Tool-Set der SAP zum Einsatz. „Die IT-Landschaft eines Unternehmens verändert sich aber stetig“, sagt Stefan Gnaudschun und führt aus: Überall, wo Digitalisierung stattfindet, wo Prozesse immer ausgefeilter werden, entstehen neue, technische Medienbrüche und damit zwangsläufig zusätzliche IT-Risiken. Die Frage ist nicht, ob ein Angriff kommt, sondern wann.“

Security-Audit erfolgt komplett remote

Energieversorger kritische Infrastruktur evo

Werden Energieinfrastrukturen durch Cyberattacken lahmgelegt, stellt dies einen massiven Angriff auf die öffentliche Ordnung dar. Bild: Energieversorgung Oberhausen AG

Zusätzliche Sicherheitsüberprüfungen werden also notwendig. Auf Empfehlung kam das IT-Team des Energieversorgers mit der Werth IT GmbH in Verbindung. Diese erhielt den Auftrag für einen Sicherheitsaudit des SAP-Systems. Der Audit dauerte einen Tag und fand komplett remote statt. Eine besondere Prüfsoftware musste dafür nicht im Unternehmen installiert werden. Die Security Experten von Werth IT führten den Audit mithilfe des Einsatzes ihres werthAUDITOR durch, dem laut Fachliteratur („SAP-Systeme schützen“, Rheinwerk) derzeit umfänglichsten Werkzeug für professionelle Audits von SAP-Systemen, Durchführung von Penetrationstest-Kampagnen und die effektive Analyse von SAP-Landschaften auf Compliance und Sicherheit.

Für die Prüfung ergänzt der Auditor das Standard-Security-Equipment der SAP und führt über 2.000 Einzeltests durch. Dazu werden alle relevanten Vorschriften (DSAG-Sicherheitsleitfaden, BSI-Richtlinien etc.) herangezogen, die dann checklistenartig abgearbeitet werden. Unzureichende Stellen, sei es bei der Konfiguration oder sonstigen fehlenden Maßnahmen, deckt der Auditor so schnell auf. Auch bei der evo fand das Werth-Team einige Schwachstellen im Backend. Ergebnis des Audits war eine kompakte Maßnahmenliste mit abgestuften Risikostufen nach dem Ampelprinzip. In Form einer Exceltabelle erhielt Stefan Gnaudschun Empfehlungen, an welcher Stelle der Programmierschnittstellen was zu ändern ist, um die Sicherheit der IT-Systeme zu erhöhen. „Nicht ein kleines To-do hier und dort. Sondern man erhält ein Gesamtbild nach einer erkennbaren Testthematik, wie es SAP selbst in dieser Form nicht bietet“, erläutert der Sicherheitsfachmann.

Wichtiger Baustein in der IT-Sicherheitsstrategie

Schwachstellen aufdecken ist das eine – sie dann zu schließen, wird schon wesentlich komplizierter. Dies erledigt das Unternehmen derzeit gemeinsam mit den vorhandenen Partnern in Eigenregie. Ein wirklich neues Konzept ist „Privacy and security by design“, also Datenschutz und Sicherheit durch Technikgestaltung, nicht unbedingt. Angesichts immer komplexerer Prozessverzahnungen zwischen interner IT und dem Internet ist es jedoch aktueller denn je. Stefan Gnaudschun: „Der Service eines externen Sicherheitsspezialisten ist deshalb ein wichtiger Baustein in unserer Sicherheitsstrategie.“

Energieversorgung Oberhausen AG
Stefan Gnaudschun
46045 Oberhausen
www.evo-energie.de

Share