Die Digitalisierung hat den Energiesektor voll erfasst: Internet of Things, Smart Grid und Blockchain stehen für die Transformation der Branche. Dies bietet für Energieversorger viele Chancen, jedoch entstehen auch neue Risiken: Die Gefahren von Cyberattacken steigen. Welche Vorgaben für Energieversorger beim Schutz ihrer IT von Relevanz sind und wie diese umgesetzt werden können, lesen Sie in unserem Blog.

Energieversorger sind für unsere moderne Wirtschaft und Gesellschaft von zentraler Bedeutung. Aufgrund der hohen Relevanz stuft das Bundesamt für Sicherheit in der Informationstechnik (BSI) – zuständig für Fragen der IT-Sicherheit in der öffentlichen Verwaltung, in Unternehmen und für Privatanwender – den Energiesektor als kritische Infrastruktur (KRITIS) ein. KRITIS-Betreiber sind an die Vorgaben des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme gebunden. Doch was bedeutet das konkret?

Ganzheitliches Sicherungskonzept von Nöten

Die Kernaussage des Gesetzes lautet, dass KRITIS-Betreiber umfassende Vorkehrungen zu treffen haben, die Störungen oder Einschränkungen ihrer IT vermeiden sollen. Konkret heißt es in dem Gesetz in § 8a:

 „Betreiber Kritischer Infrastrukturen sind verpflichtet, […] angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.“

Als Orientierung dient dabei der IT-Sicherheitskatalog der Bundesnetzagentur für Strom- und Gasnetze. Dieser sagt aus, dass zur Gewährleistung einer angemessenen IT-Sicherheit singuläre Maßnahmen nicht ausreichen. Stattdessen fordert der Katalog einen ganzheitlichen Ansatz, der kontinuierlich auf Leistungsfähigkeit und Wirksamkeit zu kontrollieren ist. Ein sogenanntes Informationssicherheits-Managementsystem (ISMS) stellt solch einen ganzheitlichen Ansatz dar.

KRITIS-Betreiber sind laut IT-Sicherheitskatalog dazu angehalten, ein ISMS einzuführen, das die Anforderungen der Norm ISO/IEC 27001 erfüllt. Sie umfasst unter anderem Regelungen zum Aufbau, zum Betrieb und zur laufenden Verbesserung des Systems. Dazu gehört der richtige Umgang mit Dokumentationen ebenso wie ein aktives Risikomanagement. Gleichzeitig sind KRITIS-Betreiber dazu verpflichtet, alle zwei Jahre mithilfe entsprechender Formulare die Erfüllung branchenspezifischer Sicherheitsstandards nachzuweisen.

Zudem sieht der Katalog die unverzügliche Meldung von Störungen an das BSI sowie die Benennung eines Informationssicherheitsbeauftragten (ISB) vor. Er ist für die Koordination und Kommunikation der IT-Sicherheit gegenüber dem BSI zuständig und soll zu folgenden Punkten Auskunft geben:

• Umsetzungsstand der Anforderungen aus dem vorliegenden IT-Sicherheitskatalog
• Aufgetretene Sicherheitsvorfälle sowie Art und Umfang evtl. hierdurch hervorgerufener Auswirkungen
• Ursachen aufgetretener Sicherheitsvorfälle sowie Maßnahmen zu deren Behebung und zukünftigen Vermeidung

Neue Anforderungen an Betreiber kritischer Infrastrukturen

Mit fortschreitender Digitalisierung hat die Bedrohung von KRITIS-Betreibern durch Cyberkriminelle kontinuierlich zugenommen. Energieversorger sind hiervon nicht ausgenommen, zumal sie gegen Hackerattacken oftmals nicht ausreichend geschützt sind:

Im Frühjahr 2020 verschaffte sich eine Hackergruppe Zugang zum Netz des Energieversorgers Technische Werke Ludwigshafen AG und erbeutete eine erhebliche Zahl an Kunden- und Geschäftsdaten. Im Frühjahr 2019 simulierten die Stadtwerke Ettlingen im Rahmen eines Sicherheitstests einen Hackerangriff mit dem Ergebnis, dass nach nicht einmal einer halben Stunde erste Passwörter gehackt werden konnten und so problemlos der Strom in ganz Ettlingen hätte abgeschaltet werden können. Der „Worst-Case“ ereignete sich am 23. Dezember 2015 in der Ukraine, als bei einem kontrollierten Cyberangriff auf die Energieinfrastruktur des Landes rund eine Viertelmillion Ukrainer für mehrere Stunden im Dunkeln saßen, da mehrere Stromversorger komplett lahmgelegt wurden.

Aufgrund der steigenden Bedrohung hat das für das BSI zuständige Bundesministerium des Innern, für Bau und Heimat (BMI) konkrete Entwürfe eines „Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“ (auch als IT-SIG 2.0) vorgestellt. Ziel der Gesetzesvorlage ist es, einen ganzheitlichen Ansatz im Rahmen der IT-Sicherheit sowie verbindliche Mindeststandards einzuführen.

Im Wesentlichen müssen sich KRITIS-Betreiber wie Energieversorger auf vier Neuerungen einstellen:

1. Einsatz vertrauenswürdiger KRITIS-Komponenten

• Neben KRITIS-Betreibern müssen zukünftig auch Zulieferer und Hersteller von KRITIS-Kernkomponenten die Standards des BSI erfüllen und nachweisen.

2. Ausdehnung der Befugnisse des BSI

• Das BSI kann in Zukunft bereits im Verdachtsfall eines unzureichenden Schutzes öffentlicher IT-Systeme von KRITIS-Betreibern eigenständig und ohne vorherige Ankündigung Maßnahmen zur Aufspürung von Sicherheitslücken umsetzen.

3. Erhöhung der Bußgelder

• Wie auch bei der Datenschutz-Grundverordnung wird das bislang maximale Bußgeld bei unzureichendem Schutz von 100.000 Euro auf 20.000.000 Euro oder vier Prozent des weltweiten Unternehmensumsatzes erhöht. Außerdem wird die Liste der Tatbestände erweitert, bei denen ein Bußgeld verhängt werden kann.

4. Einführung einer Angriffserkennung

• KRITIS-Betreiber müssen mit Inkrafttreten des IT-SIG 2.0 eine Angriffserkennung umsetzen und damit sicherstellen, dass sie neben einer Anti-Viren-Lösung und einer Firewall zusätzlich ein System implementieren, welches sie automatisiert und in Echtzeit über Sicherheitsausfälle informiert. Um diese Anforderungen zu erfüllen bietet sich SCUDOS als ganzheitliches Sicherheitssystem an. SCUDOS maximiert die Netzwerk-Transparenz, deckt Sicherheitslücken auf und verhindert unmittelbare Bedrohungen in Echtzeit. Es erkennt, visualisiert und kontrolliert, welche Geräte mit dem eigenen Netzwerk verbunden sind und begegnet so potenziellen Risiken mit minimalem Aufwand. Die umfangreichen Möglichkeiten der Netzwerktransparenz und Topologisierung helfen, den strengen Vorgaben des Gesetzgebers gerecht zu werden.

Fazit

Als KRITIS-Betreiber müssen Energieversorger strenge Anforderungen an die IT-Sicherheit erfüllen. Diese werden durch die Einführung des IT-SIG 2.0 noch weiter verschärft. Die konkrete Verabschiedung ist zeitlich noch nicht absehbar, und auch dann haben KRITIS-Betreiber eine Übergangsfrist, bis alle Anforderungen umgesetzt sein müssen. Die zeitlichen und personellen Ressourcen bei der Einführung eines IT-Sicherheitskonzepts sollten sie jedoch nicht unterschätzen. Es ist entscheidend, frühzeitig ein IT-Sicherheitskonzept inklusive Produkt-Lösungen und Mitarbeiter-Schulungen zu erstellen und in der Praxis umzusetzen.

Diesen Anforderungen müssen Sie sich aber nicht allein stellen. Unsere IT-Sicherheitsexperten beraten Sie gerne und helfen Ihnen bei allen Fragen rund um das Thema Sicherheit Cybersecurity.