Hinsichtlich der aktuellen Ereignisse von Angriffen auf Informations- und Kommunikationstechnologien (IKT) im privaten und beruflichen Umfeld, schiebt sich das Thema Cyber Security immer stärker in den Vordergrund. Das gilt auch für Netzwerke im Energiesektor. Eine Etablierung einer Societal Cyber Security Culture (SCSC) soll die Basis einer Sicherheitskultur in einer Crowd sein.
Gastbeitrag von Prof. Dr. Stephanie Teufel, und Bettina Carina Irnhauser vom IIMT (International Institute of Management in Technology) der Uni Fribourg
Die Verwendung von IKT ist ein wesentlicher und bedeutender Bestandteil im täglichen Umgang mit technischen Geräten geworden. Dementsprechend nutzen Hacker und Kriminelle diese Gelegenheit, um Lücken und Schwachstellen in den IKT Systemen zu finden, um diese zu ihren Gunsten zu nutzen. Die jüngsten Angriffe von Online-Attacken auf Amazon, Twitter und andere Internetdienste weltweit zeigen, dass Hackerangriffe immer wieder vorkommen, um Systeme zu manipulieren [1]. Die Besonderheit dieser Attacken bestand darin, dass sie ohne vernetzte Heimgeräte nicht möglich gewesen wären, da sie die Schwachstellen der Software verwendeten, um deren Rechenleistung zu nutzen. Die rasant steigende Anzahl vernetzter Geräte, insbesondere auch im Privatbereich, vergrössert somit auch die potenzielle Angriffsfläche. Deshalb ist es von grosser Bedeutung, sich mit den neuen Risiken und den damit verbunden Gefahren auseinander zu setzen und ein entsprechendes Risikobewusstsein zu entwickeln.
Nicht nur vernetzte Heimgeräte und Internetdienste können Ziel von Attacken sein, sondern auch andere Netzwerke, die mit dem Internet verbunden sind. Im Energiesektor ist hier beispielsweise der Bereich von Prosumer-Kooperationen zu nennen, wie sie durch das Crowd Energy Concept [2] beschrieben sind. Der Wandel der Energieerzeugung von rein autonomen Stromsystemen hin zu dezentralen selbstproduzierenden Infrastrukturen, wie es in einer Crowd der Fall ist, erfordert neue Ansätze in der Gestaltung von Sicherheitskonzepten. Der Schutz des Energie-Netzwerkes und der eigenen Daten steht somit im Interesse der gesamten Bevölkerung. Um die Gefährdung möglichst gering zu halten, muss die Bevölkerung von dieser neuen Bedrohungslage in Kenntnis gesetzt werden.
Sicherheitskultur in einer Crowd
Eine reine Informationsbereitstellung für die Bevölkerung wird das Problem allerdings nicht lösen. Deswegen muss neben der Information auch das Bewusstsein, eine Motivation sowie weitere Treiber für eine Sicherheitsbereitschaft geschaffen werden. In der neu entstehenden Crowd Energy Umgebung entwickelt sich im Laufe der Zeit eine Kultur mit eigenen Normen, Werten, Verhaltensmustern und ethischen Grundsätzen. Zusätzlich muss sich ein Sicherheitsbewusstsein entwickeln, um sich vor Gefahren im Netzwerk zu schützen. Eine Etablierung einer Societal Cyber Security Culture (SCSC) soll die Basis einer Sicherheitskultur in einer Crowd sein.
Im Allgemeinen beinhaltet eine SCSC eine "Human centric view", die die Bevölkerung und somit den sozialen Faktor in einem Cyber Security Umfeld berücksichtigt. Ein wichtiges Ziel in dieser Kultur ist es, die Personen in einer Crowd dazu zu bewegen, sich sicher zu verhalten, um sich selbst und die Gemeinschaft zu schützen. Das ist nur möglich durch die Eigeninitiative der gesamten Bevölkerung, da alle Personen betroffen sind, die das Internet im täglichen Leben nutzen. Die Verwendung des Internets wird durch die Verbreitung und Beliebtheit von Internet of Things (IoT) in Zukunft ansteigen. IoT ist charakterisiert durch Gegenstände und Geräte (Dinge / Things) mit Zugang zum Internet, um Daten bereitzustellen und zu empfangen, um einen Mehrwert für den Nutzer zu generieren. Genau diese vernetzten Dinge können eine Schwachstelle in einem Netzwerk darstellen, wenn sie nicht abgesichert sind. Als ein Teil des Netzwerkes ist es wichtig, die wesentlichen Akteure, die Vernetzung untereinander und deren Aufgabenbereiche zu kennen. In der Betrachtung einer SCSC ist das Zusammenspiel zwischen Technik, dem Individuum als Mensch und einem weiteren Akteur, dem Staat wichtig (Abb.1).
Zusammenspiel zwischen Technik, Individuum und Staat
Aus der Perspektive des Individuums wird davon ausgegangen, dass die technischen Faktoren vorhanden sind und den aktuellen Stand der sicherheitstechnischen Möglichkeiten bieten. Der Staat hingegen hat den Einfluss durch Normen, Richtlinien oder Gesetze, Rahmenbedingungen zu schaffen, die vorgeben, welche Eigenschaften die technischen Geräte erfüllen müssen und welche Normen und Werte sich in der Gesellschaft etabliert haben, auch in Bezug auf Sicherheitsaspekte.
Der Schwerpunkt der Betrachtung am IIMT liegt beim Individuum und der Gruppen von Individuen, da diese einen wesentlichen Einfluss auf die Gestaltung der Sicherheit in einer Crowd haben. Für die Generierung eines tieferen Verständnisses über die Notwendigkeit von einer Societal Cyber Security Culture ist es wichtig, die aktuelle Lage in der Gesellschaft zu analysieren. Gründe von Fehlverhalten in Bezug auf Sicherheit können zurückgeführt werden auf eine fehlende Motivation, fehlendes Bewusstsein über Gefahren und deren Folgen oder auch einfache Unwissenheit. Die vom IIMT in einem weiteren Schritt entwickelten Societal Cyber Security Guidelines sollen dazu beitragen auf verschiedene Schwachstellen aufmerksam zu machen, um gezielt das Bewusstsein für mehr Sicherheit in einer Crowd zu fördern.
Literatur:
[1] C. H. Henkel, “Rätseln über die Hintergründe der Cyberattacken: Angriff auf Internet-Firmen,” http://www.nzz.ch/digital/cyberattacken-auf-amerikanische-websites-krimi..., 2016.
[2] S. Teufel and B. Teufel, “The Crowd Energy Concept,” Journal of electronic science and technology, vol. 12, no. 3, pp. 263–267, 2014.
