Neue IT-Sicherheitsauflagen zwingen Energiewirtschaft und Industrie zum Handeln

E-GovernmentEnterpriseManagementRegulierungSicherheit

Um Netzausfällen und Manipulationen vorzubeugen, müssen die Akteure der Energiewirtschaft und möglicherweise auch viele Industrieunternehmen mehr in IT-Sicherheit investieren. Das dürfte einige Player vor Herausforderungen stellen.

Bislang profitierte die Industrie unseres Landes von einer der zuverlässigsten Strom-, Gas- und Wasserversorgungssysteme der Welt. Leit- und Informationstechnik waren bisher fein säuberlich getrennt, die IT-Technik von Stromnetzen kaum zu hacken. Das ändert sich durch die ubiquitäre Integration prinzipiell unsicherer Informationstechnologie in Form digital steuerbarer Komponenten ins zukünftige „Smart Grid“, wie Fachleuten spätestens seit Stuxnet klar ist.

ISO 27000 – mit dem Smart Grid das Maß der Dinge in der Energiebranche? (Bild: Euroforum/BBH Consulting/ISO)
ISO 27000 – mit dem Smart Grid das Maß der Dinge in der Energiebranche? (Bild: Euroforum/BBH Consulting/ISO)

Selbst der Linux-Kernel, der zukünftig die Betriebssystembasis vieler sicherheitsrelevanter Teile von Energieleitsystemen bilden dürfte, enthält bei 15,9 Millionen Programmzeilen sehr wahrscheinlich mehrere 1000 Fehler – Fachleute gehen von einem Fehler auf 2000 Programmzeilen aus. Jeder Bug ist ein potentielles Einfallstor für Hacker. Darüber machen sich Politik und Regulierer nicht erst seit dem Elsberg-Thriller „Blackout“ Gedanken.

Ein Motor der Regulierung ist der UP KRITIS (Umsetzungsplan kritische Infrastrukturen). In den betreffenden Gremien bemühen sich schon seit 2007 Vertreter von IT-Firmen, Politik sowie der als fürs Funktionieren der Gesellschaft kritisch eingestuften Bereiche Energie, Gesundheit, Finanzen, Wasser, Medien/Kultur, Transport/Verkehr, IKT/Telekom, Ernährung sowie Staat und Verwaltung um mehr IT-Sicherheit. Die Ergebnisse werden inzwischen in Recht gegossen und könnten die IT ganzer Branchen verändern.

Alptraum IT-Sicherheitsgesetz?

In der Energiewirtschaft lässt sich exemplarisch beobachten, wie smarte Technologien den Druck erhöhen, professionelle IT-Sicherheitslösungen und –prozesse zu implementieren. Dickster Brocken dürfte für Energiefirmen das geplante IT-Sicherheitsgesetz, das in einem aktuellen Referentenentwurf vom 18.8. vorliegt, werden. Noch ist es nicht verabschiedet, das soll aber im Oktober geschehen. Die Umsetzungsfrist beträgt zwei Jahre. Welche Maßnahmen konkret umgesetzt werden müssen, wird von Vertretern der jeweiligen Branchen selbst in noch nicht verabschiedeten Richtlinien festgelegt, vom BSI bestätigt und gilt dann als Konkretisierung des Gesetzestextes.

Das IT-Sicherheitsgesetz wird das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) ergänzen. Sie verpflichten die Betreiber kritischer Infrastrukturen zu umfangreichen, ausführlich dokumentierten technischen und organisatorischen Schutzmaßnahmen ihrer informationstechnischen Systeme, zur Meldepflicht ans BSI bei IT-Sicherheitszwischenfällen, zur Ernennung von IT-Sicherheitsbeauftragten, und zu zweijährlichen Sicherheitsaudits. Die Meldung erfolgt bei Zwischenfällen ohne Auswirkung auf die kritische Infrastruktur allgemein, wenn die kritische Infrastruktur ausfällt oder gestört wird, mit Nennung des Betreibers. Kleinunternehmen (höchstens zehn Beschäftigte, bis zwei Millionen Euro Umsatz/Bilanzsumme) sind von dem Gesetz ausgenommen, genau wie beispielsweise TK-Netzbetreiber, die bereits durch andere Gesetze, hier das Telekommunikationsgesetz, zu strikten Sicherheitsmaßnahmen verpflichtet sind. Der Branchenverband BITKOM rechnet mit Kosten in Höhe von rund einer Milliarde Euro.

Was kritisch ist, bestimmt das BSI. Rund 18000 Unternehmen werden vom BSI der Energiebranche zugerechnet – wohl auch viele Industrieunternehmen: Firmen, die nennenswerte Mengen Strom selbst erzeugen, aber im Notfall aufs Netz zugreifen oder bei entsprechenden Konditionen einspeisen. Fällt ihre Erzeugungsanlage aus, kann eine Angebotslücke oder ein Nachfrageimpuls entstehen, der das Netz destabilisiert. Deshalb gilt eine solche Anlage unter Umständen schon ab dem Richtwert von 10 MW Erzeugungsleistung als kritisch, für ihren Betreiber gilt dann das das IT-Sicherheitsgesetz.

ISO 27000 für alle Netzbetreiber?

Bereits gültig ist §11 EnWG (Energiewirtschaftsgesetz), betroffen davon sind Netzbetreiber. Das können auch Industrieunternehmen sein, die einen Campus mit anderen Firmen teilen und sie mit Strom versorgen, sofern sie eine Netzbetreiber-Zulassung der Bundesnetzagentur haben, weil sie Durchleitungsgebühr verlangen wollen.
Nach § 11 EnWG müssen alle technischen Komponenten, die das Netz steuern oder die Netzsteuerungskomponenten beispielsweise versorgen, so gesichert werden, dass ein Ausfall ausgeschlossen ist. Ob diese Auflag erfüllt wurde, darf die Bundesnetzagentur prüfen und wenn die Auflagen nicht erfüllt sind, gegen den Netzbetreiber vorgehen.
Ausschlaggebend für gesetzeskonformes Verhalten ist das Einhalten des bei der Bundesnetzagentur in Auftrag gegebenen IT-Sicherheitskataloges, einer Untermenge des BSI-Grundschutzes. Im Kern geht es in dem Katalog um den Aufbau eines ISMS (Informationssicherheitsmanagementsystem) gemäß ISO 27000. Eine Zertifizierung nach diesem Standard ist, so Dr. Andreas Lied vom auf die Energiebranche spezialisierten Beratungsunternehmen Becker Büttner Held Consulting AG in München anlässlich einer einschlägigen Fortbildungsveranstaltung, findet sich zwar in manchen regulierungsintensiven Branchen wie Chemie und Pharma schon häufig, nicht jedoch in der Energiewirtschaft. „Wenn überhaupt, sind hier nur die ganz Großen nach ISO 27000 zertifiziert“, meint Lied. Der Aufwand sei beträchtlich. „Die Bundesnetzagentur geht von 1000 bis 50000 Euro aus, berücksichtigt aber nur externe Beratungsleistung“, erklärt er. Der interne Aufwand sei „neunmal höher“. Deshalb seien die IT-technischen Sicherheitsanforderungen auch gerade für kleine und mittlere Netzbetreiber ein „strategisches Thema“, dem sich die Unternehmen nichtsdestotrotz stellen müssen.
Denn für ISO 27000-zertifizierte Unternehmen, die ein normkonformes ISMS betreiben, gilt bei Netzausfällen zunächst die Unschuldsvermutung. Eventuelle Fehler muss die Bundesnetzagentur dem Betreiber nachweisen. Betreiber ohne ISMS müssen dem Regulierer beweisen, dass sie ihre Netze informationstechnisch ausreichend gesichert haben – ein mühseiges, teures und oft wohl auch unmögliches Vorhaben.

Auslagerung schützt nicht

Da liegt es nahe, die IT einfach an einen Dienstleister auszulagern. Das tat jüngst beispielsweise die Westfalen-Weser Energiegruppe mit Sitz in Paderborn getan, die 48 Kommunen in der Umgebung mit Energie versorgt und ein eigenes Netz betreibt. Die IT wurde an ATOS übergeben. Hinsichtlich der Verantwortung hilft das dem Netzbetreiber aber nicht, er bleibt die letzte Verantwortungsinstanz und müsste seinerseits gegen den IT-Dienstleister vorgehen, wenn das Netz aufgrund dessen mangelnder IT-Sicherheitsvorkehrungen ausfiele. Besondere Sorgfalt bei der Paraphierung von IT-Auslagerungsverträgen ist also bei Unternehmen der Energiebranche geboten.

Schwacher Trost für die Betroffenen: Auch der IT-Sicherheitskatalog ist aktuell noch nicht verabschiedet,es existiert ein Entwurf, die finalisierte Version kommt aber voraussichtlich bis Ende des Jahres. Überprüfungen des IT-Sicherheitsstatus durch die Bundesnetzagentur sind nach aktuellen Äußerungen des niedersächsischen Regulierers wohl erst Ende 2016 zu erwarten – man will die Branche nicht überfordern. Einen IT-Sicherheitsbeauftragten müssen sich die Unternehmen allerdings schon zwei Monate nach der endgültigen Veröffentlichung des IT-Sicherheitskatalogs zulegen. Zudem obliegt es ihnen, dafür zu sorgen, dass sie von der Veröffentlichung auch erfahren – gesonderte Bekanntmachungen dafür sieht das Gesetz nämlich nicht vor.

Kurz: Es gibt jede Menge zu tun, und billig wird es auch nicht. Das öffnet eine Perspektive auf die mit der Totalvernetzung bei Industrie 4.0 zu erwartenden Sicherheitsanforderungen. Sie werden alle Firmen treffen, die vollen Nutzen aus den Fähigkeiten digitaler Vernetzung ziehen und trotzdem kein Risiko eingehen möchten.