Stadtwerke: Den Blackout verhindern

Stadtwerke: Den Blackout verhindern

Auf dem VKU-Kongress diskutierten Stadtwerke die Bedrohung durch Cyberangriffe

Keyfacts über Stadtwerke

  • Cyberangriffe auf Energiekonzerne haben stark zugenommen
  • IT-Sicherheitsgesetz verlangt Maßnahmen bei Energieversorgern
  • Kritische Vorfälle sind meldepflichtig
Zusammenfassung lesen
11. Oktober 2016

Was passieren würde, wenn ein konzentrierter Hackerangriff die Stromversorger eines Landes vom Netz nimmt, ist bereits Thema von Bestsellern gewesen: Die Wasserversorgung bricht zusammen, Tankstellen versiegen, Bahn und Nahverkehr kommt zum Erliegen, Licht erlischt. 

Die Digitalisierung ist für den Energiesektor Chance und Herausforderung zugleich. In einem Markt mit tendenziell rückläufigen Rohmargen sehen viele Versorger in ihr einerseits Wachstumschancen: Intelligente Stromnetze, die als sogenannte SmartGrids Stromspeicher, Verbraucher und Erzeuger miteinander verknüpfen, wären ohne Digitalisierung nicht denkbar. Auf der anderen Seite gehen diese Innovationen einher mit einer wachsenden Abhängigkeit von Informationstechnik – was wiederum das Risiko für technisches Versagen oder auch Hackerangriffe erhöht. Nach Angaben des Weltenergierates haben Cyberattacken auf Energiekonzerne im vergangenen Jahr weltweit stark zugenommen.

Die Folge: Informationssicherheit wird zunehmend zum Thema für Energieversorger. Das galt auch für den diesjährigen VKU-Stadtwerkekongress in Leipzig, bei dem eine Podiumsdiskussion diesem Thema gewidmet war.

Wir sprachen mit Wilhelm Dolle, der als Partner Cyber Security bei KPMG Deutschland Unternehmen im Bereich Informationssicherheit berät. Beim Kongress war KPMG als einer der Hauptakteure in diesem Markt dabei.

 

Herr Dolle, was verlangen Gesetzgeber und Bundesnetzagentur in Sachen IT-Sicherheit von den Energieversorgern?

Der Gesetzgeber hat mit dem IT-Sicherheitsgesetz bereits im Sommer des vergangenen Jahres deutliche Vorgaben für die Sicherheit informationstechnischer Systeme gegeben. Kurz gesagt geht es darum, sicherzustellen, dass die elementaren Infrastrukturen der Versorgung funktionsfähig bleiben. Das gilt beispielsweise für Mobilfunknetze und Krankenhäuser – aber eben auch für Energienetze. Hier ist der im August 2015 von der Bundesnetzagentur erlassene „IT-Sicherheitskatalog gemäß § 11, Absatz 1a Energiewirtschaftsgesetz“ entscheidend, in dem die spezifischen Anforderungen für die IT-Sicherheit von Energienetzbetreibern geklärt werden.

 

Was müssen Energieversorger leisten?

Im Rahmen des IT-Sicherheitsgesetzes müssen sie umfangreiche technische und organisatorische Maßnahmen ergreifen. Beispielsweise sind sie verpflichtet, kritische Vorfälle in Sachen IT-Sicherheit umgehend an das Bundesamt für Sicherheit in der Informationstechnik zu melden, wenn diese das Potenzial haben, wichtige Versorgungsdienstleistungen zu bedrohen oder es sogar bereits zu Ausfällen gekommen ist. Außerdem müssen Energieversorger alle zwei Jahre nachweisen, dass sie generellen und branchenspezifischen Anforderungen an IT-Sicherheit konsequent entsprechen. Dabei müssen Sie den Stand der Technik umsetzen. Eine Möglichkeit hierzu besteht darin, ein wirksames Managementsystem für Informationssicherheit (ISMS) nach DIN ISO/IEC 27001 einführen. Durch den IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG wird sogar die Zertifizierung des ISMS für alle Energienetzbetreiber Pflicht. Noch gilt da eine Übergangsfrist, die allerdings am 31. Januar 2018 abläuft. Bis dahin sollte das entsprechende Zertifikat spätestens der Bundesnetzagentur vorliegen.

2000 Anlagen

für die Bereitstellung infrastruktureller Dienstleistungen gelten nach Schätzungen des Gesetzgebers in Deutschland als „kritische Infrastruktur“ mit besonders hohen Sicherheitsansprüchen.

 

Gelten diese Regeln für jeden Energieversorger?

Nicht unbedingt. Das IT-Sicherheitsgesetz zielt ab auf Betreiber, deren Anlagen die Versorgungssicherheit von mindestens 500.000 Menschen beeinflussen können und die als sogenannte „kritische Infrastruktur“ gelten. Der IT-Sicherheitskatalog gilt für jeden Strom- und Gasnetzbetreiber.

 

Ab wann zählt eine Anlage als „kritische Infrastruktur“?

Das hängt ab von verschiedenen Kriterien, jedoch immer mit dem Blick auf die Betroffenheit von 500.000 Menschen. Einige Krankenhäuser oder Telekommunikationsprovider beispielsweise fallen auch darunter. Im Bereich der Energieerzeugung definiert der Gesetzgeber zunächst verschiedene Dienstleistungen wie beispielsweise die Stromversorgung und konkretisiert anschließend verschiedenen Anlagenkategorien wie Erzeugungsanlage oder Übertragungsnetz, die zur Dienstleistungserbringung notwendig sind. Davon abhängig können komplette Unternehmen oder nur Unternehmensteile unter die Regelungen des Gesetzes fallen. Der Gesetzgeber rechnet hier mit etwa 2.000 kritischen Anlagen in Deutschland.

 

Was müssen Energieversorger nun konkret tun?

Zunächst einmal klären, ob das eigene Unternehmen durch das IT-Sicherheitsgesetz und beziehungsweise oder den IT-Sicherheitskatalog tangiert wird. Oft überschneiden sich da die Zuständigkeiten. So versorgt zwar manch kleineres Stadtwerk vielleicht nicht eine halbe Million Menschen, betreibt aber ein Energienetz – und fällt damit unter die Vorgaben des IT-Sicherheitskataloges.

Als nächsten Schritt sollten sie ihrer Meldepflicht gegenüber dem zuständigen Bundesamt nachkommen und ein wirksames System für das Management der Informationssicherheit einführen. Grundsätzlich lautet mein Rat immer: Wenn Sie ausreichend Zeit und Erfahrung haben, dann nutzen Sie die eigenen Ressourcen und orientieren Sie sich an den einschlägigen Standards und Leitfäden. Wenn Sie weniger Zeit und Ressourcen haben, holen Sie sich die Unterstützung von Experten dazu – und konzentrieren die eigenen Ressourcen auf das Kerngeschäft.

 

Herr Dolle, vielen Dank für das Gespräch.

Zusammengefasst

»Energieversorger sollten nun klären, ob das eigene Unternehmen durch das IT-Sicherheitsgesetz und beziehungsweise oder den IT-Sicherheitskatalog tangiert wird. Oft überschneiden sich da die Zuständigkeiten. So versorgt zwar manch kleineres Stadtwerk vielleicht nicht eine halbe Million Menschen, betreibt aber ein Energienetz – und fällt damit unter die Vorgaben des IT-Sicherheitskataloges. «

Die Digitalisierung in Energiesektor geht einher mit einer wachsenden Abhängigkeit von Informationstechnik – was wiederum das Risiko für technisches Versagen oder auch Hackerangriffe erhöht. Nach Angaben des Weltenergierates haben Cyberangriffe auf Energiekonzerne im vergangenen Jahr weltweit stark zugenommen. Die Folge: Informationssicherheit wird zunehmend zum Thema für Energieversorger.

Wilhelm Dolle Partner, Security Consulting
Ganzen Artikel lesen

Kommentare

Sind die Energieversorger gerüstet für Cyberangriffe?

*Ihre E-Mail-Adresse wird nicht veröffentlicht

Das könnte Sie auch interessieren

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist. Schließen