Im Großen und Ganzen sind wir uns einig: Die Digitalisierung schafft ungeahnte Möglichkeiten. Was vor einigen Jahren noch undenkbar war, ist nun längst Realität. Die Kehrseite der Medaille sind die damit einhergehenden Bedrohungen und Verwundbarkeiten. Jede Tätigkeit im Öl- und Gassektor ist Risiken ausgesetzt, auch aufgrund von Cybersecurity-Schwachstellen. Unerwünschte Zwischenfälle, sowohl absichtlich als auch unabsichtlich, können Einzelpersonen, Unternehmen und die Gesellschaft als Ganzes betreffen.
Die Ereignisse der letzten Jahre zeigen, dass der Energie- und der Erdölsektor zu den am stärksten gefährdeten Sektoren gehören. Im gleichen Maße wie sich unsere Technologie weiterentwickelt, werden die Methoden der Angreifer zunehmend innovativer und raffinierter.
Digitale Schwachstellen im Öl- und Gassektor
Wie kann es sein, dass sich Cyberangriffe im Öl-und Gassektor häufen? Ist dies historisch bedingt?
Lassen Sie uns zunächst einen Blick auf den Status Quo werfen: Die im Öl- und Gassektor eingesetzten industriellen Automatisierungs-, Steuerungs- und Sicherheitssysteme sind größtenteils digitalisiert und von der Digitaltechnik abhängig. Früher waren solche Systeme proprietär, während sie heute weitgehend auf kommerziell erhältlichen Komponenten basieren, wie z.B. einem PC mit einem Microsoft Windows-Betriebssystem. Das bedeutet, dass die bekannten Schwachstellen solcher kommerzieller Standardprodukte auch in diesem Sektor aufgedeckt werden.
Eine solche Entwicklung ist auch bei den Netzwerken erkennbar. Die Netzwerke, die zwischen Prozessausrüstung und Steuerungssystemen verwendet werden, waren in der Vergangenheit isoliert und proprietär, basieren jetzt aber auf Internet-Technologie. Auch industrielle Automatisierungs- und Steuerungssysteme waren früher physisch von traditionellen Informationssystemen und offenen Netzwerken getrennt. Die Notwendigkeit der Übertragung von Produktionsdaten an Informationssysteme und der Fernwartung bedeutet, dass eine solche Trennung praktisch nicht mehr möglich ist. Zunehmend wird die Fernwartung von einem Onshore-Standort oder einer benachbarten Plattform aus durchgeführt, was zur Nutzung gemeinsamer Computernetzwerke führen kann. Dies bedeutet, dass die Produktionsausrüstung netzwerkbezogenen Schwachstellen ausgesetzt ist.
Top Ten: Die zehn größten Cybersecurity-Schwachstellen
- Mangelndes Bewusstsein für Cybersecurity und mangelnde Schulung der Mitarbeiter
- Fernarbeit bei Betrieb und Wartung
- Verwendung von Standard-IT-Produkten mit bekannten Schwachstellen in der Produktionsumgebung
- Eine begrenzte Cybersecurity-Kultur unter Verkäufern, Lieferanten und Auftragnehmern
- Unzureichende Trennung von Datennetzen
- Die Verwendung von mobilen Geräten und Speichereinheiten einschließlich Smartphones
- Datennetzwerke zwischen On- und Offshore-Einrichtungen
- Unzureichende physische Sicherheit von Serverräumen, Schränken usw.
- Anfällige Software
- Veraltete Kontrollsysteme in Anlagen
Die Folgen unerwünschter Vorfälle durch Cybersecurity-Schwachstellen
Oft werde ich gefragt, welches die größten Cybersecurity-Schwachstellen im Öl- und Gassektor sind. Die Antwort ist einfach: Ganz klar, der Mensch!
Bösartige Codes werden in der Regel durch menschliches Versagen verbreitet. Ein Anhang in einer E-Mail wird geöffnet, Speichersticks werden eingesteckt, Mobiltelefone werden aufgeladen, Laptops werden mit kritischen Netzwerken verbunden, usw. Mobiltelefone können auch problemlos Internetverbindungen herstellen. Benutzer werden dazu verleitet, Passwörter preiszugeben, usw. Menschliches Versagen gilt als die größte digitale Schwachstelle in diesem Sektor.
Die Folgen unerwünschter Vorfälle, die auf Cybersecurity-Schwachstellen beruhen, sind in erster Linie finanzieller Natur. Die Produktion muss stillgelegt werden, und das bedeutet einen Einkommensverlust für die Branche. Die Gesellschaft wird einen Rückgang der direkten und indirekten Steuern erleben. Unerwünschte Zwischenfälle bedeuten einen Reputationsverlust für das Unternehmen. Wenn es Saboteuren und terroristischen Organisationen gelingt, lebenswichtige Produktionsanlagen zu kontrollieren, kann es im schlimmsten Fall zu Umweltzerstörung und zu Todesopfern kommen.
Abhängigkeiten
Um den CO2-Ausstoß zu reduzieren, der durch die Stromerzeugung auf Erdölanlagen entsteht, basiert die Stromversorgung oft von der Küste aus (Elektrifizierung). Die meisten dieser Anlagen müssen bei einem Ausfall der Onshore-Stromversorgung die Produktion stilllegen.
Seit langer Zeit liegt ein zunehmendes Augenmerk auf digitalen Schwachstellen in Stromverteilungssystemen. Solche Verteilungssysteme sind komplexe Netzstrukturen, die in hohem Maße von Management- und Kontrollsystemen abhängig sind.
Notfall-Bereitschaft
Eine inoffizielle, internationale Umfrage unter Unternehmen des Sektors ergab, dass nur 40% der Unternehmen einen Notfallvorsorgeplan (Incident Response Plan / Business Continuity Plan) erstellt haben, der digitale Schwachstellen abdeckt und das weitere Vorgehen definiert. Der Schwerpunkt der Krisen- und Notfallvorsorge liegt auf Bränden, Explosionen, Ausbrüchen usw.
Zukünftige Probleme und Trends
Zum Zeitpunkt der Erfassung dieses Berichts liegt der Ölpreis unter 40 USD pro Barrel und die künftige Preisentwicklung ist ungewiss. Dies bedeutet, dass der Sektor seine Kosten senken muss, um seine Rentabilität aufrechtzuerhalten. Die Tatsache, dass diese Sparmaßnahmen die kontinuierliche Verbesserung der Sicherheit beeinträchtigen können, stellt eine große Herausforderung dar. Die verstärkte Konzentration auf Kosten-Nutzen-Bewertungen und neue Arbeitsweisen sind wichtige Elemente für die Zukunft.
Die Digitalisierung des Sektors vollzieht sich kontinuierlich. Das “Internet der Dinge” (IIoT) wird zu mehr Einheiten mit Cybersecurity-Schwachstellen führen. Die zu transportierende Datenmenge nimmt zu und die Standard-IT-Ausrüstung wird zunehmend in die spezialisierten Kontrollsysteme integriert werden.
Die Risiken, dass wichtige kritische Schlüsselfunktionen, Infrastrukturen sowie Informationen, die aus Sicherheitsgründen geschützt werden müssen und Individuen durch Spionage, Sabotage, Terrorakte und andere schwerwiegende Handlungen in Mitleidenschaft gezogen werden, nehmen zu.
Wichtigste risikoreduzierende Maßnahmen
Was kann man also tun, um Öl- und Gasplattformen vor einem Cyberangriff zu schützen?
Um das Risiko zu verringern, werden Barrieren eingeführt- teils um zu verhindern, dass ein unerwünschtes Ereignis eintritt, teils um die Folgen eines eingetretenen unerwünschten Ereignisses zu mindern. Man konzentriert sich zunehmend auf Barrieren, die einen unerwünschten Zwischenfall verhindern. Jedoch wurde die Qualität dieser Barrieren bisher nur in geringem Maße getestet und überprüft. Es reicht nicht aus, den Schutz einfach auf eine Firewall zu stützen und sich darauf zu verlassen. Es müssen auch zusätzliche Barrieren, einschließlich des Öffnens/Schließens von Zugängen, Verfahren und Arbeitsprozessen, eingerichtet werden.
Es gibt in den meisten Fällen nicht genügend Ausrüstung und Routinen, um zu erkennen, dass Hacker laufende Aktivitäten auf eine Anlage bereits ausgerichtet haben. Darüber hinaus mangelt es an geübten Routinen, um negative Folgen zu verhindern, wenn der Verdacht besteht, dass ein unerwünschter Zwischenfall eintreten könnte.
Was die einzelnen Akteure umsetzen sollten, um Cybersecurity- Schwachstellen zu mindern
Aufsichtsbehörden sollten funktionale Anforderungen erlassen, die vorschreiben, dass Barrieren für digitale Schwachstellen errichtet werden müssen. Cybersecurity-Schwachstellen müssen in die entsprechende Risikoanalyse einbezogen werden.
Unternehmen müssen eine Kultur zur Reduzierung digitaler Schwachstellen schaffen, so wie es eine Kultur zur Verhinderung von Bränden und Explosionen gibt. Bewusstseinsbildende Maßnahmen müssen sowohl innerhalb des Sektors als auch in der Öffentlichkeit Priorität haben. Schulen sollten sich mehr auf das Verhalten bei der Nutzung digitaler Medien konzentrieren.
Ausblick
Ja, im Hinblick auf Cybersecurity-Schwachstellen kann einem ganz schön mulmig zumute werden. Es ist jedoch möglich, mittels geeigneter Barrieren den Angreifern den Weg zu Ihrer Anlage zu verwehren. Haben Sie bereits alle notwendigen Barrieren integriert? Falls nicht, wenden Sie sich gerne an unser Cybersecurity-Team. Wir helfen Ihnen gerne.
Bildrechte: powell83- stock.adobe.com