Kennenlernen des Öl- und Gassektors

Lernziele

Nachdem Sie diese Lektion abgeschlossen haben, sind Sie in der Lage, die folgenden Aufgaben auszuführen:

Erläutern der sich ständig weiterentwickelnden digitalen Bedrohungslandschaft im Öl- und Gassektor
Beschreiben der Komplexität der Absicherung globaler industrieller Betriebsumgebungen
Erklären der Bedeutung operativer Technologie (OT) zum Schutz vor Cyberangriffen

Dieses Modul wurde in Zusammenarbeit mit dem Weltwirtschaftsforum realisiert. Erfahren Sie mehr über Inhalte von Partnern in Trailhead.

Bevor Sie beginnen

Wenn Sie das Modul Entwicklung eines Cyberresilienz-Programms absolviert haben, wissen Sie bereits, was Cyberresilienz ist, warum sie uns wichtig ist, was Sie tun müssen, um sie zu erreichen, und wie Mitglieder des Vorstands die Cyberresilienz eines Unternehmens fördern und stärken können. Lassen Sie uns dieses Thema nun etwas näher beleuchten, indem wir untersuchen, wie es in der Öl- und Gasindustrie zum Tragen kommt. Da eine der komplexesten Industrien der Welt einen vielschichtigen Wandel vollzieht – von analog zu digital, von zentral zu dezentral und von fossil zu kohlenstoffarm – wird der Umgang mit Cyberrisiken und die Abwehr von Cyberbedrohungen für die Wertschöpfungsketten von Unternehmen immer wichtiger.

Die digitale Bedrohungslandschaft

Die digitale Revolution und der Übergang von fossilen zu kohlenstoffarmen Energiequellen haben das seit Jahrzehnten bestehende Geschäftsmodell der Öl- und Gasindustrie in nur wenigen Jahren transformiert. Die Zukunft des Öl- und Gassektors hängt von der Digitalisierung ab, d. h. von der Umwandlung von Informationen in ein digitales Format, um ein riesiges Netz globaler Energieanlagen und Betriebsabläufe mit dem Ziel der Gewinnmaximierung, Sicherheitsoptimierung und der Emissionsminimierung zu verwalten.

Derzeit steuern Unternehmen physische Energiesysteme mittels einer Verknüpfung von operativer Technologie (OT) mit Informationstechnologie (IT), für die Big Data, künstliche Intelligenz (KI) und Automatisierung zum Einsatz kommen. Operative Technologie dient zum Überwachen und Steuern von industriellen Prozessanlagen und Produktions-/Industrieanlagen. IT-Technologie umfasst jede Form von Technologie, d. h. jede Anlage, Dienstleistung oder Technik, die von einem Unternehmen, einer Einrichtung oder sonstigen Organisation genutzt wird, die Informationen verarbeitet.

Diese neuen, weitreichenden Verknüpfungen zwischen OT und IT fungieren als Schlüsselfaktoren für ein effizienteres, resilienteres und kohlenstoffärmeres Betriebsmodell im Energiesektor. Diese Veränderungen bringen jedoch Cyberrisiken für kritische Infrastruktur mit sich, d. h. für Sektoren, deren Anlagen, Systeme und Netzwerke als so überlebenswichtig für ein Land angesehen werden, dass ihre Unbrauchbarmachung oder Zerstörung die allgemeine Sicherheit, nationale wirtschaftliche Sicherheit oder öffentliche Gesundheit beeinträchtigen würde. Da sowohl kritische Infrastruktur als auch ganze Lieferketten Cyberrisiken ausgesetzt sind, ist Cybersicherheit ein zentraler Aspekt des Geschäftsmodells der Öl- und Gasindustrie.

Um in dieser sich schnell wandelnden Branche Cyberangriffen immer einen Schritt voraus zu sein, müssen Öl- und Gasunternehmen dafür sorgen, dass die Entschärfung von Cyberrisiken im gleichen Tempo wie die Innovation vorangetrieben wird. Ein Cyberrisiko ist der Verlust, der entstehen kann, wenn eine Cyberbedrohung eine Anlage beeinträchtigt und materielle Folgen für ein Unternehmen hat. Das Cyberrisiko kann als voraussichtliche Häufigkeit und Auswirkung eines Verlustfalls gemessen werden.

Der Schlüssel zur Bewältigung des Cyberrisikos ist Cyberresilienz. Laut dem National Institute of Standards and Technology (NIST) bezieht sich der Begriff "Cyberresilienz" auf die Widerstandsfähigkeit von Unternehmen gegenüber Cyberbedrohungen, wobei der Schwerpunkt auf der effektiven Umsetzung bewährter Cybersicherheitspraktiken und einem Plan zur Aufrechterhaltung des Betriebs liegt. Um in der heutigen Bedrohungslandschaft zu bestehen, müssen Führungskräfte in der Öl- und Gasindustrie die Cyberresilienz ihres Unternehmens kontinuierlich verbessern, neue und bestehende Risiken bewerten und einen Dialog zwischen Vorstand, Aufsichtsrat und maßgeblichen Sicherheitsexperten führen.

Aufsichtsräte und Vorstandsmitglieder in der Öl- und Gasindustrie müssen eine wichtige Rolle bei der Förderung der Cyberresilienz in ihren Unternehmen spielen. Aufsichtsräte sind als Treuhänder des Unternehmens für die Überwachung von Managementstrategien und die Ermittlung und Planung von Reaktionen auf unternehmensweite Risiken verantwortlich, die das Unternehmen und seinen Wert für Interessengruppen und Aktionäre betreffen. Aufsichtsräte müssen den Wettbewerbsvorteil, der mit der Digitalisierung der industriellen Betriebsumgebung ihres Unternehmens verbunden ist, gegen eine größere Angriffsfläche für Cyberbedrohungen abwägen, die darauf abzielen, den Betrieb zu stören.

Vorstandsmitglieder müssen über die Fähigkeit des Unternehmens zur Gewährleistung von Cyberresilienz Rechenschaft ablegen. Der Chief Information Security Officer (CISO) ist häufig die Person im Unternehmen, die für die Beaufsichtigung des Programms für Cyberresilienz des Unternehmens verantwortlich ist, das darauf abzielt, die digitale Infrastruktur vor Cyberbedrohungen zu schützen und Kontinuität des Geschäftsbetriebs zu gewährleisten.

Angesichts der Tatsache, dass bis 2025 voraussichtlich 37 Mrd. vernetzte Industriegeräte erwartet werden, wandelt sich die Öl- und Gasindustrie durch die Digitalisierung rasch von einem auf analogen Geräten basierenden Geschäft zu einer automatisierten, ferngesteuerten und KI-gestützten Branche, die risikobasierte Entscheidungen schneller als je zuvor trifft. Ein Beispiel für vernetzte Industriegeräte in der Öl- und Gasindustrie sind Sensoren, die den Füllstand von Öltanks überwachen und automatisch Tankwagen losschicken, wenn die Tanks geleert werden müssen. Sie dienen auch zum Überwachen der Leistung oberirdischer Pumpen, um Instandhaltungsteams bei Problemen zu warnen und Mitarbeiter mit Warnhinweisen auf Sicherheitsprobleme aufmerksam zu machen, um Verletzungen und Todesfälle zu vermeiden. Benachrichtigungen von Öltanksensoren in Echtzeit ermöglichen ein fortlaufendes Abpumpen, während gleichzeitig der Vorratstransport optimiert und Kosten durch Ausfallzeiten minimiert werden.

Ein Öltank an Land, ein angeschlossener Tankwagen und eine oberirdische Pumpe

Gleichzeitig sehen böswillige Akteure inmitten dieses digitalen Wandels die Energiewirtschaft zunehmend als lohnendes Ziel für Cyberangriffe, um finanzielle, kriminelle oder geopolitische Ziele zu verfolgen. Dennoch sehen sich viele Öl- und Gasunternehmen nicht als Digitalbetriebe und verfügen daher nicht über die nötigen Technologien, Systeme, Mitarbeiter und Protokolle für Cybersicherheit, um industrielle Betriebsumgebungen zu schützen.

Absichern industrieller Betriebsumgebungen

Cybersicherheit im Öl- und Gassektor ist von jeher schwierig, da es sich um eine sehr komplexe Organisation mit verschiedenen Geschäftsbereichen, Anlagen und Mitarbeitern auf der ganzen Welt handelt, die mit einer komplexen Lieferkette von Kunden und Lieferanten zusammenarbeitet. Die Transformation vieler Öl- und Gasunternehmen von einem Zustand isolierter Betriebsabläufe zu vollständig integrierten Geschäftsprozessen hat zu einer komplexen Lieferkette und verstärkten Abhängigkeiten zwischen vor-, mittel- und nachgelagerten Geschäftsbereichen geführt.

Diese digitale Verflechtung hat die Auswirkungen potenzieller Cyberangriffe noch verstärkt. Hinzu kommt, dass ältere Systeme nicht mit Blick auf Sicherheitsschwachstellen oder Anforderungen an die Vernetzbarkeit moderner Betriebsumgebungen entwickelt wurden, was eine Herausforderung für die Modernisierung der zugrunde liegenden Technologie in der Branche darstellt.

Ohne verlässliche Technologien und Protokolle für Cybersicherheit werden Unternehmen, die es versäumen, eine angemessene Cyberhygiene sowie Überwachungs- und Abwehrlösungen für angreifbare Geräte bereitzustellen, nicht in der Lage sein, mit anderen Unternehmen zu konkurrieren, die ihre Produkte und Dienstleistungen zuverlässig und effizient liefern. In vielen Fällen stehen Unternehmen beim Thema Cyberhygiene vor immensen Aufgaben, da die Systeme zwar vernetzt sind, die Zuständigkeit aber auf viele Partner mit unterschiedlichen Prioritäten verteilt ist. Viele Unternehmen sind von der Komplexität der Cybersicherheit überwältigt, insbesondere wenn sie sowohl OT- als auch IT-Umgebungen absichern müssen.

Schutz gegen Cyberangriff mithilfe von OT

Um die Bedeutung von OT zum Schutz vor Cyberangriffen besser zu verstehen, werfen wir einen Blick auf ein Beispiel. Erika ist im Aufsichtsrat einer Öl- und Gasraffinerie. Ohne dass sie es wusste, hatte ein böswilliger Angreifer über mehrere Jahre die Cyberverteidigungssysteme der Raffinerie mit OT-spezifischer Schadsoftware angegriffen, um die für die Öl- und Gasproduktion eingesetzten Sicherheitssysteme zu manipulieren. Bei Schadsoftware handelt es sich um eine Datei oder Code, die/der in der Regel über ein Netzwerk zugestellt wird und zum Infizieren und Erkunden von Systemen, Stehlen von Daten oder Ausführen von praktisch jedem vom Angreifer gewünschten Verhalten dient.

Nachdem sie vom Sicherheitsteam des Öl- und Gasunternehmens drei Jahre unentdeckt geblieben war, aktivierten die Angreifer ihre Schadsoftware, um die Sicherheitssysteme der Raffinerie auszuschalten. Doch als der Angriff erfolgte, führte ein Fehler in der Schadsoftware dazu, dass die Anlage abgeschaltet wurde, anstatt wie beabsichtigt erhebliche Sachschäden zu verursachen.

Unmittelbar nach dem Angriff gingen das Sicherheitspersonal der Anlage – und andere Beteiligte – nicht davon aus, dass die abrupte Betriebsabschaltung eine direkte Folge eines Cyberangriffs war, und untersuchten daher diese Möglichkeit nicht als Ursache der Abschaltung. Bei immer noch aktiver Schadsoftware unternahmen die Angreifer einen Monat später einen zweiten Versuch, das Sicherheitssystem der Raffinerie auszuhebeln, wobei diesmal versucht wurde, noch kritischere Infrastruktur außer Betrieb zu setzen. Glücklicherweise scheiterten die Angreifer aufgrund eines anderen Fehlers erneut. Im Zuge der laufenden Untersuchung bat das Sicherheitsteam der Anlage um Unterstützung durch OT-Spezialisten bei der Untersuchung der Abschaltungen. Bei der zweiten Untersuchung stellten die Sicherheitsexperten fest, dass die Angreifer die OT-Systeme der Anlage manipuliert hatten.

Die Wiederherstellung des normalen Betriebs nach dem Sicherheitsvorfall dauerte über 70 Tage und kostete dutzende Millionen Dollar. Angriffe wie diese sind keine Seltenheit und hätten mit eingerichteten Vorkehrungen und einem einstudierten Notfallreaktionsplan entdeckt werden können. Wären diese Vorkehrungen getroffen worden, wären der Zeitverlust und die Auswirkungen des Angriffs erheblich geringer gewesen.

Fehler auf Angreiferseite verhinderten bei diesem Vorfall Sachschäden, aber Aufsichtsgremien können – und müssen – Unternehmen resilienter gegen OT-Cyberbedrohungen für kritische Sicherheitsinfrastrukturen machen. Als Aufsichtsratsmitglied ist Erika für die Umsetzung dieses Ansatzes verantwortlich, um die Wahrscheinlichkeit eines weiteren Vorfalls wie diesem zu minimieren.

Sechs Prinzipien für Cyberrisiken in der Öl- und Gasindustrie

Sofern zutreffend, ist der Aufsichtsrat eines Unternehmens die oberste Instanz, die für die sicherheitsrelevanten finanziellen, rechtlichen, strategischen und ethischen Entscheidungen eines Unternehmens verantwortlich ist. Bei kleineren Unternehmen können die für Cybersicherheit zuständigen Führungskräfte diese Prinzipien zur Verbesserung von Cyberresilienz befolgen. Lassen Sie uns einen Leitfaden für Aufsichtsratsmitglieder durchgehen, der ihnen hilft, ihre Aufsichtsfunktion wahrzunehmen und umsetzbare Erkenntnisse zur Verbesserung von Cyberresilienz zu gewinnen.

Die für Cyberresilienz verantwortlichen Führungskräfte müssen dem Aufsichtsrat klar vermitteln, warum Cyberresilienz für die Sicherheit und den Erfolg ihres Unternehmens unerlässlich ist. Dieses Modul bietet Führungskräften und Verantwortlichen in Unternehmen empfohlene Aktivitäten, um Prinzipien für Cyberresilienz umzusetzen und die Kommunikation über die Risiken mit Aufsichtsratsmitgliedern zu erleichtern.

Laut Weltwirtschaftsforum (WEF) gibt es sechs Prinzipien, die Aufsichtsorganen von Öl- und Gasunternehmen helfen, ihren Ansatz für Cybersicherheit zur Reife zu entwickeln. In der nächsten Lektion erfahren Sie mehr über diese Prinzipien.

Benötigen Sie Hilfe?