IT-Sicherheit in der Energiewirtschaft Netzwerksicherheit in der Energie- und Wasserwirtschaft

Autor / Redakteur: Dr. Götz Güttich / Peter Schmitz

Zu den neun, vom BSI definierten KRITIS-Sektoren gehört auch der Energiesektor. Yassin Bendjebbour, Fachgebietsleiter IT-Sicherheit und Kritische Infrastrukturen beim Bundesverband der Energie- und Wasserwirtschaft, sprach mit unserem Schwesterportal Security Insider.

Firmen zum Thema

Die Energieversorgung ist ein zentraler Bereich kritischer Infrastrukturen, der sich im Fall von Ausfällen oder Störungen extrem und unmittelbar auf Staat, Wirtschaft und Gesellschaft auswirkt.
Die Energieversorgung ist ein zentraler Bereich kritischer Infrastrukturen, der sich im Fall von Ausfällen oder Störungen extrem und unmittelbar auf Staat, Wirtschaft und Gesellschaft auswirkt.
(© Thorsten Schier- stock.adobe.com)

Das BSI hat neun Sektoren definiert, die in Deutschland die kritische Infrastruktur (KRITIS) abbilden. Zum Sektor „Energie“ gehören Elektrizität, Gas, Mineralöl und Fernwärme. In der Sektorendefinition betont das BSI: „Die Energieversorgung ist ein zentraler Bereich Kritischer Infrastrukturen, der sich im Fall von Ausfällen oder Störungen extrem und unmittelbar auch auf die anderen Sektoren und somit auf Staat, Wirtschaft und Gesellschaft auswirkt.“

Die mehr als 1.900 Mitgliedsunternehmen des Bundesverbands der Energie- und Wasserwirtschaft (BDEW) stehen unter anderem für jeweils rund 90 Prozent des Strom- und des Erdgasabsatzes in Deutschland sowie 95 Prozent der Strom- und Gasnetzlänge und 78 Prozent der Wärme- beziehungsweise Kältenetzlänge. Der BDEW formuliert die Anliegen seiner kommunalen und privaten Mitgliedsunternehmen gegenüber Politik, Fachwelt, Medien und Öffentlichkeit. Dabei orientiert er sich laut eigener Aussage an einer nachhaltigen, wirtschaftlichen und sicheren Energieversorgung. Der BDEW vertritt darüber hinaus die Wasserwirtschaft. In unserem Gespräch konzentrierten wir uns jedoch ausschließlich auf den Energiebereich, also die Strom- und Gasversorgung.

Hier hat die Sicherheit von informationstechnischen Systemen traditionell einen sehr hohen Stellenwert, da die Energiewirtschaft neben dem Telekommunikationssektor zu den am Stärksten regulierten Branchen überhaupt gehört. Die Regulierungen bestehen teilweise schon seit Mitte der 2000er Jahre und es ist für weite Teile des Sektors erforderlich, internationale Standards wie die ISO/IEC 27001 oder ISO/IEC 27019 zu erfüllen und dies den Regulierungsbehörden anhand einer erfolgreichen Zertifizierung nachzuweisen. Darüber hinaus existieren hohe regulatorische Anforderungen hinsichtlich organisatorischer und technischer Schutzmaßnahmen, die auch immer wieder an den aktuellen Stand der Technik angepasst werden müssen. Grundlage hierfür ist das IT-Sicherheitsgesetz und die IT-Sicherheitskataloge nach Paragraph 11 Absatz 1a beziehungsweise Absatz 1b Energiewirtschaftsgesetz.

Im europäischen Vergleich sind die Anforderungen an die IT-Security in Deutschland sehr hoch und gehen weit über die Vorschriften der EU – wie etwa die NIS-Richtlinie von 2016, die ein unionsweites Mindestsicherheitsniveau herstellt – hinaus.

Die Netze der Mitgliedsunternehmen

Was den Aufbau der Netzwerke von Betreibern kritischer Infrastrukturen im Energiesektor angeht, hängt deren Architektur stark vom Umfeld des jeweiligen Unternehmens ab. So haben Betreiber von Energieanlagen oft andere Anforderungen zu erfüllen als die Betreiber von Energienetzen, was sich auch in der jeweiligen Netzarchitektur niederschlägt. Generell kann festgehalten werden, dass die Segmentierung, also die Einteilung des Gesamtnetzwerks in Zonen, eine der wichtigsten Maßnahmen zur Erhöhung des Sicherheitsniveaus im Energieumfeld darstellt. Die Zonen unterscheiden sich dabei hinsichtlich ihrer Kritikalität für die Stromerzeugung beziehungsweise -verteilung.

Auf der einen Seite steht in allen Unternehmen das Büronetz, wie es auch in anderen Branchen vorhanden ist und das entsprechend durchschnittliche, allgemeine Anforderungen bezüglich des Schutzniveaus zu erfüllen hat. Auf der anderen Seite finden sich die Produktivnetze, die sehr hohen Anforderungen genügen müssen: Dazu gehören unter anderem Prozessleit- und Steuerungstechnik, Automatisierung, Sekundärtechnik und Übertragungstechnik, die zur Steuerung eines Kraftwerks oder eines Energienetzes eingesetzt werden.

Diese Trennung der kritischen Systeme von sonstigen Netzen trägt zur Minimierung von Fehlfunktionen der IT bei, die sowohl vorsätzlich als auch nicht-vorsätzlich ausgelöst werden können. Der Zugriff auf die kritischen Systeme findet meist über gesicherte Zugänge (Security Gateways) statt. Die Bundesnetzagentur legt hierbei klare Vorschriften fest, die vom BDEW regelmäßig in praktisch umsetzbare Leitfäden ausgearbeitet werden. So stellt der BDEW – gemeinsam mit dem Schwesterverband Österreichs Energie - ein Whitepaper zur Verfügung, das beschreibt, welche Anforderungen an sichere Steuerungs- und Telekommunikationssysteme in der Energiewirtschaft bestehen:.

Dazu kommen Empfehlungen zum Absichern der Netzwerkschnittstellen. Fernzugriffe haben in diesem Zusammenhang eine besonders hohe Bedeutung, um beispielsweise (externe) Wartungsarbeiten vornehmen zu können. Auch „Air Gapping“, also das komplette Abschotten einzelner Netze von der Außenwelt, wie es zum Beispiel auch bei der Bundeswehr oder bei Krankenhäusern vorkommt, ist in manchen Unternehmen des Energiesektors Realität. „In der Praxis sieht es im Moment aber eher so aus, dass IT und OT zusammenwachsen, deswegen sind auch Datentransfers zwischen den genannten Systemen zunehmend gewünscht“, meint Herr Bendjebbour dazu. Dadurch ergeben sich erhöhte Sicherheitsanforderungen an die sichere Verknüpfung der genannten Systeme, die unternehmensspezifisch umgesetzt werden.

Aufgaben der Anwender

Je nach Sektor sind die Aufgaben der Anwender in den kritischen Systemen unterschiedlich. Zu ihnen gehört beispielsweise das Steuern von Anlagen mit Prozess- und Messsteuerungstechnik. Genauso werden auch Kraftwerke und Stromnetze aus Leitstellen heraus gesteuert. Verallgemeinernd kann man sagen, dass die User in den Produktivnetzen immer Spezialisten sind, die sich materiell und physisch nicht nur mit den Kraftwerken und den anderen jeweils zu verwaltenden Komponenten auskennen, sondern auch mit der IT-Umgebung.

Kritische Komponenten und Systeme, wie beispielsweise Leitsysteme, werden in der Energieversorgung meist über mehrere Jahrzehnte hinweg eingesetzt. Diese sogenannten „Legacy-Systeme“ können nicht laufend mit den aktuellsten Patches versorgt werden. Dies ist einer der Gründe für das sehr hohe Schutzniveau für kritische Systeme.

Umsetzung des Schutzes

Grundsätzlich sollte die IT-Sicherheitsregulierung im Bereich kritischer Infrastrukturen verfahrens- und technologieoffen formuliert sein. Aus Betreibersicht ist es sinnvoll, lediglich Schutzziele regulatorisch vorzugeben. Denn nur die Betreiber selbst verfügen über das Wissen und die Erfahrung, wie ihre unternehmenseigenen Systeme aufgebaut sind und wie deren Funktionsweise während Sicherheitsvorfällen bestmöglich wiederhergestellt werden können. Die organisatorischen und technischen Schutzmaßnahmen müssen mit technologischen Neuerungen Schritt halten und spätestens alle zwei bis drei Jahre auf den Prüfstand gestellt werden.

Der BDEW steht hierzu laufend im intensiven Austausch mit den staatlichen Stellen, wie zum Beispiel dem Bundeswirtschaftsministerium, dem Bundesinnenministerium sowie der Bundesnetzagentur und dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Gesetzliche und regulatorische Vorgaben sollten gemeinsam im Sinne der energiewirtschaftlichen Begebenheiten entwickelt werden. Darauf aufbauend liefert der BDEW praktische Anwendungs- und Umsetzungshilfen. In diesem Zusammenhang gehen wir an dieser Stelle etwas genauer auf die branchenspezifischen Sicherheitsstandards ein. Diese übersetzen den – beispielsweise vom IT-Sicherheitsgesetz vorgegebenen - risikobasierten Schutzansatz mit Sicherheitsmaßnahmen nach dem Stand der Technik in konkrete Handlungsvorschläge. Diese können dann wiederum von Betreibern als Grundlage genutzt werden, um die gesetzlich vorgeschriebenen Nachweispflichten über den Schutz kritischer Infrastrukturen zu erbringen.

So veröffentlicht der BDEW zum Beispiel zwei branchenspezifische Sicherheitsstandards für die Verteilung von Fernwärme und für virtuelle Kraftwerke. Bei den virtuellen Kraftwerken handelt es sich um Aggregatoren beziehungsweise einen Pool von Erzeugungsanlagen und großen Verbrauchern, die zur ökonomischen und systemischen Optimierung über ein zentrales IT-System gesteuert werden.

Internationales Umfeld

Zum Schluss unseres Gesprächs wies uns Herr Bendjebbour nochmals auf die Bedeutung gleicher Wettbewerbsbedingungen innerhalb der Europäischen Union hin. Die Gesetzgebung in Deutschland in Bezug auf IT-Sicherheit geht verschärfend über die unionsweiten Vorgaben der Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (sogenannte NIS-Richtlinie) hinaus. Gleichzeitig ist der deutsche Energiemarkt nicht abgeschottet, sondern Teil des europäischen Strombinnenmarkts und des EU-Verbundsystems. Der Handel von Strom und Energie geht immer über Landesgrenzen hinweg und der Wettbewerb läuft international ab.

Es sei zu beobachten, dass insbesondere deutsche Unternehmen aufgrund des höheren Aufwands durch die sehr hohen Anforderungen einen schweren Stand haben. Doch nicht nur deshalb ergibt es Sinn, ein EU-weit einheitliches Sicherheitsniveau umzusetzen, es ist auch im Sinne der Verbraucher. Es ist schließlich kaum sinnvoll, wenn wenige Mitgliedstaaten in der Breite ein sehr hohes Sicherheitsniveau vorweisen und die eigene Stromversorgung dennoch durch Stromausfälle in anderen Ländern gefährdet wird, weil das Sicherheitsniveau in anderen Mitgliedsstaaten eben niedrigschwelliger ist.

Deswegen muss sich der derzeitige Zustand laut Herrn Bendjebbour in den nächsten Jahren ändern. Im Moment befindet sich das IT-Sicherheitsgesetz 2.0 in Arbeit, in dem unter anderem neue Rechte und Pflichten für Energieunternehmen als Betreiber kritischer Infrastrukturen diskutiert werden, um deren Schutz weiter zu stärken. Eine Erhöhung der nationalen Anforderungen darf jedoch nicht die Distanz zu anderen EU-Mitgliedstaaten in der Sache vergrößern. Damit es hier zu keiner einseitigen Mehrbelastung für deutsche Unternehmen kommt, ist eine europäische Harmonisierung unverzichtbar. Die Aktualisierung der NIS-Richtlinie, die kürzlich durch die EU Kommission begonnen wurde, stellt eine ausgezeichnete Gelegenheit dar, dafür zu sorgen, dass das Schutzniveau innerhalb der EU weiter angeglichen wird.

„Außerdem sollten auch die Hersteller und Lösungsanbieter von IT-Produkten und digitalen Lösungen stärker in die Verantwortung genommen werden“, so Bendjebbour weiter. „Diese fliegen immer noch teilweise unter dem Rader der Gesetzgebung zur Stärkung der IT-Sicherheit von Staat, Wirtschaft und Gesellschaft. Dabei ist ihr Handeln für das erreichbare Schutzniveau maßgeblich.“ Mit dem IT-Sicherheitsgesetz 2.0 sollen demzufolge auch die Hersteller mehr in den Fokus geraten. Dabei ist es das Ziel, nicht nur Sicherheitslücken und bekanntgewordene Bedrohungen schneller zu kommunizieren und zu beheben. Zusätzlich sollen Hersteller auch gesetzlich verpflichtet werden, Sicherheitsaspekte stärker in den Entwicklungsprozess ihrer Komponenten und Systeme zu einzubinden. Herr Bendjebbour meint dazu: „Es darf nicht nur die Aufgabe der Anwender sein, den Schutz kritischer Infrastrukturen sicherzustellen, sondern auch die der Hersteller. Das ist uns ein Anliegen und da befinden wir uns momentan auf einem vielversprechenden Weg.“

(ID:47102560)