Nach dem Abschluss der „Handelsblatt Stadtwerketage“ zeigt sich, dass das Thema Decarbonisierung alles, was nicht (in nahezu allen Bereichen, auch und gerade beim Thema Sicherheit) zwingend getan werden muss, schon gestorben ist, bevor es überhaupt das Licht der Welt erblicken kann.
„Das eine Thema, um das alles bis 2045 kreist, ist die Dekarbonisierung und die CO2 Neutralität in den Themen Energie, Wärme und Transport. Die damit verbundenen Kosten lassen sich mit astronomisch gut beschreiben. Bis 2045 geht man von über 1 Billion EUR Finanzbedarf im Markt aus.“ Soweit das Statement in der gerade veröffentlichten Zusammenfassung der Veranstaltung.
Ein paar Zeilen weiter heißt es „Das Thema Sicherheit und Resilienz ist grundsätzlich ein Thema für Stadtwerke, war letztes Jahr Thema auf der Handelsblatt Veranstaltung, scheint auf Grund der Innovationskosten für die Klimaziele jedoch absolut nachrangig zu sein. O-Ton “Was wir gerade nicht wirklich brauchen, leisten wir uns nicht. Das was wir wirklich brauchen, können wir uns bereits nicht leisten.
….
Wenn man in der Energiebranche Projekte zum Thema Sicherheit und ganzheitlichem Risikomanagement machen will, dann geht das nur, wenn es Teil des einzelnen Strategiethemas ist, dass das Stadtwerk ohnehin angeht. Über den herkömmlichen Weg, dem Markt etwas zu präsentieren, Interesse zu wecken und dann aus diesem Interesse einen Deal zu kreieren scheint unter der aktuellen Finanzierungslage schwierig bis unmöglich zu sein. Selbst wenn man das Interesse weckt, wird man an der Finanzierungsfrage höchstwahrscheinlich scheitern.”
Wie also kann man das Eine tun, ohne das Andere lassen zu müssen?
Unbestritten ist, dass in Sachen KRITIS zwingend – seitens des Gesetzgebers – vorgeschriebene Maßnahmen umgesetzt werden müssen. Und hier fängt der Hebel an zu greifen. Es gilt, möglichst viele der „Muss-Vorgaben“ so zu erledigen, dass die Dokumentationen der Assets, Prozesse und Randbedingungen einem Standard folgen, der für eine automatisierte Weiterverarbeitung taugt. Sicher leichter gesagt, als getan. Trotzdem perspektivisch der einzige Weg, um wenigstens mittel- und langfristig Kosten zu sparen und Risikomanagement vereinfachen zu können. Und, wir sprechen da noch nicht davon, dass es die Mitarbeiter in den kommenden Jahren immer schwerer zu beschaffen gilt.
Jeder PEN-Test hilft, die Standarddokumentation zu befüllen. Jedes Assetmanagement unterstützt die vollständige Vor-Erfassung bestellter und verbauter Komponenten und wohl dem, der seine SBOM (Software Bill of Materials (SBOM) ist eine systematische und strukturierte Aufzeichnung, die die Komponenten eines Softwareprodukts und ihre Beziehungen innerhalb der Software-Lieferkette beschreibt) im Griff hat, um die Gesamtinfrastruktur in ihrer Wirkweise perfekter zu beschreiben.
Alle diese Informationen sind das Gold, aus dem der Digitale Zwilling geschaffen wird. Je standardisierter die Dokumentation, desto sicherer die Erstellung eines Datenimportweges zu einer ganzheitlichen Risikomanagement-Plattform, die Anhand der importierten Daten automatisiert in der Lage ist, ein erstes Risikobild zu zeichnen. CVE-Checks der verbauten Komponenten schaffen in der ersten Verarbeitungsstufe Gewissheit darüber, was bereits bekannte Schwächen sind. Verfügt die Plattform zudem über noch unveröffentlichte, vielleicht sogar branchentypische Schwachstellenkenntnisse, hebt das die Aussagefähigkeit bezüglich des Gesamtrisikos deutlich an.
Selbst der geschulteste Risikomanager/Administrator/CISO kann unmöglich in sekundenschnelle erfassen, wie die potenziellen Angriffspfade aussehen. Die Plattform kann das. Quartalsmäßig. Monatlich. Täglich. Stündlich. Auf Knopfdruck.
Als mögliche Information entsteht beispielsweise eine Prioritätenliste der Maßnahmen, die das Risiko vermindern können. Oder aber, verschiedene Szenarien, welche Komponenten, Prozesse, Menschen/Rollen oder gar physische Umgebungsstrukturen getauscht oder aus- bzw. umgebaut werden durchlaufen erst die Risikoermittlungsroutinen, bevor eine Entscheidung darüber getroffen wird, wie viel Budget für welches Maß an zusätzlicher Sicherheit in die Hand genommen wird.
Decarbonisierung? Ja, unbedingt. Zu Lasten der Sicherheit? Nein, muss aber auch nicht.
Das Thema ist top-aktuell. Wenn Sie mehr Informationen benötigen rufen Sie uns an, schicken Sie eine Mail oder kommen Sie direkt zur Hannover Messe auf den Stand der ICS (Security Circus, Halle 16, Stand 27).