Erkenntnisse in Maßnahmen umsetzen: Bitwarden Access Intelligence jetzt verfügbar Mehr erfahren >

Bitwarden-Ressourcen

Sicherheit des Stromnetzes erhöhen: NERC-CIP-Anforderungen mit Bitwarden erfüllen

Überblick

Die North American Electric Reliability Corporation (NERC) ist eine gemeinnützige internationale Regulierungsbehörde, die sich der Festlegung von Compliance-Standards widmet, die dazu beitragen, Risiken für das Stromnetz und die Stromversorgungssysteme zu reduzieren, die Hunderte Millionen Menschen in den Vereinigten Staaten, Kanada und Teilen Mexikos versorgen.

Die NERC-Critical Infrastructure Protection (CIP)-Anforderungen erläutern, warum ein Cybersicherheits-Framework zum Schutz und zur Absicherung kritischer Assets für die zuverlässige und effektive Stromversorgung im gesamten nordamerikanischen Bulk Electric System (BES) unerlässlich ist. Diese Standards werden als Vorschriften durchgesetzt und sind damit gesetzlich vorgeschrieben.

Die Federal Energy Regulatory Commission (FERC) spielt eine entscheidende Rolle bei der Durchsetzung dieser NERC-CIP-Standards, um die Sicherheit und Zuverlässigkeit des Stromnetzes zu erhöhen, insbesondere nach bedeutenden Stromausfällen in der Geschichte.

NERC verwies auf eine Zunahme von Cyberbedrohungen gegen nordamerikanische Stromnetze und erklärte in einem Webcast, dass die „virtuellen und physischen Schwachstellen der Netze bzw. Punkte in Software oder Hardware, die für Cyberkriminelle anfällig sind, auf einen Bereich von 23.000 bis 24.000 angewachsen sind“.

Dieser Artikel erläutert die Art der zunehmenden Bedrohungen für das Stromnetz. Außerdem wird untersucht, wie Passwort-Management auf Unternehmensniveau die Sicherheitsresilienz im Energiesektor erhöht, die Passwortsicherheit stärkt und Zugriffskontrollen gewährleistet, die interne und externe Bedrohungen gemäß den NERC-CIP-Standards begrenzen.

Das Stromnetz als Angriffsvektor

Das Stromnetz ist eine kritische Komponente des Wirtschaftswachstums und wirkt sich sowohl auf die Infrastruktur als auch auf die nationale Sicherheit aus. Einfach gesagt: Ohne ein funktionierendes Großstromsystem käme die Gesellschaft zum Stillstand. Das macht es auch zu einem besonders attraktiven Ziel für Cyberkriminelle. 

Eine aktuelle Feststellung des Government Accountability Office (GAO) zeigt die wachsenden Herausforderungen bei der Absicherung operativer Technologie in der Energiewirtschaft und stellt fest: 

„Es gibt mehrere Schwachstellen im System der Stromnetze der USA. So sind beispielsweise Netzverteilungssysteme, die Strom von Übertragungssystemen zu Verbrauchern transportieren, anfälliger geworden, unter anderem weil ihre operative Technologie zunehmend Fernzugriff und Verbindungen zu Geschäftsnetzwerken ermöglicht. Dadurch könnten Bedrohungsakteure Zugriff auf diese Systeme erhalten und möglicherweise den Betrieb stören.

Staaten und kriminelle Gruppen stellen laut der jährlichen Bedrohungsbewertung 2022 des Director of National Intelligence die bedeutendsten Cyberbedrohungen für kritische Infrastrukturen der USA dar. Diese Bedrohungsakteure sind zunehmend in der Lage, das Stromnetz anzugreifen.“

Jüngste Angriffe auf das Stromnetz nutzen physische Schwachstellen und Cybersicherheitsschwachstellen aus. NERC bezeichnete Cyberbedrohungen als „schwieriger direkt zu quantifizieren“. Wie oben erwähnt, haben Sicherheitslücken im Stromsystem zugenommen, was zu durchschnittlich 60 zusätzlichen Cyberangriffen pro Tag führt.

Aufschlüsselung der NERC-CIP-Standards zum Schutz kritischer Infrastrukturen

Für Stromnetzunternehmen sind 13 NERC-CIP-Anforderungen relevant:

  • Kategorisierung von BES-Cybersystemen: Verlangt von Organisationen, Assets zu identifizieren, die im Falle eines Cyberangriffs das größere BES gefährden könnten, und diese Assets entsprechend zu kategorisieren und abzusichern. Dazu gehört die Identifizierung und Absicherung von „BES-Cyberassets“ und „kritischen Cyberassets“, um den zuverlässigen Betrieb des BES sicherzustellen.

  • Kontrollen des Sicherheitsmanagements: Organisationen müssen Kontrollen des Sicherheitsmanagements implementieren, etwa die Schulung von Personal und die Meldung von Sicherheitsvorfällen, die BES-Cybersysteme vor Kompromittierung schützen.

  • Personal und Schulung: Für Personen, die auf BES-Cybersysteme zugreifen, muss eine Risikobewertung durchgeführt werden, und sie müssen im Sicherheitsbewusstsein geschult werden. 

  • Elektronische Sicherheitsperimeter: Organisationen müssen elektronische Sicherheitsperimeter (ESPs) definieren und anschließend schützen, um BES-Assets abzusichern.

  • Physische Sicherheit von BES-Cybersystemen: Teams müssen über einen physischen Sicherheitsplan verfügen, um BES-Cybersysteme vor Kompromittierung zu schützen.

  • Systemsicherheitsmanagement: Dieser Standard legt die technischen, betrieblichen und prozessbezogenen Anforderungen fest, die zum Schutz der BES-Cyberinfrastruktur erforderlich sind, z. B. das Überwachen auf und Entfernen von Schadcode sowie das Ändern bekannter Standardpasswörter.

  • Meldung von Vorfällen und Reaktionsplanung: Beschreibt Anforderungen an die Reaktion auf Vorfälle, z. B. wie häufig dokumentiert werden muss und wie lange Nachweise zu Vorfällen aufzubewahren sind.

  • Wiederherstellungspläne für BES-Cybersysteme: Behandelt Anforderungen an Wiederherstellungspläne, um die fortlaufende Stabilität des BES im Falle eines Vorfalls zu unterstützen.

  • Management von Konfigurationsänderungen und Schwachstellen: Um unbefugte Änderungen an BES-Cybersystemen zu verhindern und zu erkennen, müssen Organisationen die Vorgaben dazu einhalten, wann und wie Konfigurationen festzulegen sind.

  • Informationsschutz: Unternehmen müssen Informationen, die für den Betrieb des BES kritisch sind, bei Speicherung, Nutzung und Übertragung schützen.

  • Kommunikation zwischen Kontrollzentren: Daten, die zwischen Kontrollzentren übertragen werden, müssen jederzeit geschützt sein.

  • Risikomanagement in der Lieferkette: Organisationen müssen Sicherheitskontrollen implementieren, um Risiken in der Lieferkette zu mindern.

  • Physische Sicherheit: Organisationen müssen einen Plan einführen, um ihre physischen Standorte und Umspannwerke vor physischen Angriffen zu schützen.

Die NERC-CIP-Compliance-Checkliste ist recht umfangreich. Mit Blick auf Empfehlungen zur Passwortsicherheit empfehlen die Richtlinien Organisationen Folgendes:

  • Entziehen Sie den Zugriff auf gemeinsam genutzte Konten, um zu verhindern, dass Passwörter auf Umspannwerks- und Erzeugungsgeräten aufgrund von Personalfluktuation ständig geändert werden müssen.

  • Verwenden Sie einen Passwort-Manager, um starke und eindeutige Passwörter für Konten sicherzustellen und so das Risiko erfolgreicher Password-Spraying- oder Credential-Stuffing-Angriffe zu verringern sowie unsicheres oder versehentliches Teilen von Passwörtern mit unbefugten Personen zu minimieren.

  • Implementieren Sie Multifaktor-Authentifizierung, um die Sicherheit weiter zu stärken.

  • Beugen Sie Online-Passwortangriffen vor, indem Sie die Anzahl der Versuche begrenzen, die ein Angreifer durchführen kann.

Warum Bitwarden die beste Passwortlösung für das Bulk Electric System ist

Ein erfolgreicher Cyberangriff auf ein Stromnetzsystem könnte den Betrieb und die kritische Stromversorgung zum Erliegen bringen. Glücklicherweise ist NERC-CIP-Compliance-Software wie Bitwarden die erste Verteidigungslinie gegen Cyberkriminelle. Indem Bitwarden Energieversorgern ermöglicht, starke und eindeutige Passwörter zu generieren und zu verwalten, verringert es ihre Anfälligkeit für passwortbezogene Sicherheitsverletzungen. Weitere wichtige Vorteile sind:

  • Rollenbasierte Zugriffskontrollen ermöglichen Administratoren, granulare Berechtigungen individuell anzupassen und zu erteilen sowie zu steuern, wer Zugriff auf bestimmte Funktionen hat. Indem Organisationen im Stromnetzbereich den Benutzerzugriff auf das Notwendige beschränken, behalten sie die Kontrolle über sensible Systeme.

  • Ein Ende-zu-Ende-verschlüsselter Tresor, der nicht nur Passwörter schützt, sondern auch Firmenkarten und andere personenbezogene Daten (PII).

  • Funktionen für Multifaktor-Authentifizierung bieten Organisationen eine zweite Authentifizierungsebene, um Brute-Force-Angriffe oder Insider-Bedrohungen abzuwehren.

  • Funktionen zur Passwortfreigabe ermöglichen Teams und Abteilungen, komplexe Passwörter und andere sensible Daten von jedem Standort und Gerät aus sicher zu generieren, zu verwalten und zu teilen.

  • Nahtlose und flexible Integrationsoptionen umfassen Single Sign-On (SSO) mit Identitätsanbietern und Verzeichnisdiensten (einschließlich SCIM).

  • Einfache Einführung mit einer zentralen Administratorkonsole, in der Unternehmensrichtlinien aktiviert und Benutzer automatisch provisioniert werden können.

  • Plattformübergreifender Zugriff mit einer unbegrenzten Anzahl von Geräten.

  • Berichte zu Schwachstellen decken schwache oder wiederverwendete Passwörter auf und bieten detaillierte Ereignisprotokolle, um den Zugriff von Benutzern und Gruppen auf sensible Daten mit Audit-Trails zu überwachen.

  • Regelmäßige Sicherheitsaudits durch Drittanbieter, kryptografische Analysen und Penetrationstests von Bitwarden, um sicherzustellen, dass der Passwort-Manager die höchsten Sicherheitsstandards einhält.

Da das Bulk Electric System die Wirtschaft antreibt, die nationale Sicherheit beeinflusst und den Alltag voranbringt, ist es von entscheidender Bedeutung, dass die von Energieversorgern verwendeten Zugangsdaten mit starken und eindeutigen Passwörtern hochgradig geschützt bleiben. Die Implementierung eines unternehmensweiten Passwort-Managers bietet auch Organisationen große Vorteile, die strenge und rechtsverbindliche NERC-CIP-Anforderungen erfüllen müssen.

Starten Sie mit Bitwarden

Um die Funktionen und Möglichkeiten von Bitwarden für Unternehmen kennenzulernen, starten Sie noch heute mit einer kostenlosen Testversion.

Sorgen Sie jetzt für leistungsstarke, vertrauenswürdige Passwortsicherheit und wählen Sie Ihr Abo.