Neue IT-Sicherheitsauflagen zwingen Energiewirtschaft und Industrie zum Handeln

Bislang profitierte die Industrie unseres Landes von einer der zuverlässigsten Strom-, Gas- und Wasserversorgungssysteme der Welt. Leit- und Informationstechnik waren bisher fein säuberlich getrennt, die IT-Technik von Stromnetzen kaum zu hacken. Das ändert sich durch die ubiquitäre Integration prinzipiell unsicherer Informationstechnologie in Form digital steuerbarer Komponenten ins zukünftige „Smart Grid“, wie Fachleuten spätestens seit Stuxnet klar ist.

ISO 27000 – mit dem Smart Grid das Maß der Dinge in der Energiebranche? (Bild: Euroforum/BBH Consulting/ISO)

Selbst der Linux-Kernel, der zukünftig die Betriebssystembasis vieler sicherheitsrelevanter Teile von Energieleitsystemen bilden dürfte, enthält bei 15,9 Millionen Programmzeilen sehr wahrscheinlich mehrere 1000 Fehler – Fachleute gehen von einem Fehler auf 2000 Programmzeilen aus. Jeder Bug ist ein potentielles Einfallstor für Hacker. Darüber machen sich Politik und Regulierer nicht erst seit dem Elsberg-Thriller „Blackout“ Gedanken.

Ein Motor der Regulierung ist der UP KRITIS (Umsetzungsplan kritische Infrastrukturen). In den betreffenden Gremien bemühen sich schon seit 2007 Vertreter von IT-Firmen, Politik sowie der als fürs Funktionieren der Gesellschaft kritisch eingestuften Bereiche Energie, Gesundheit, Finanzen, Wasser, Medien/Kultur, Transport/Verkehr, IKT/Telekom, Ernährung sowie Staat und Verwaltung um mehr IT-Sicherheit. Die Ergebnisse werden inzwischen in Recht gegossen und könnten die IT ganzer Branchen verändern.

Alptraum IT-Sicherheitsgesetz?

In der Energiewirtschaft lässt sich exemplarisch beobachten, wie smarte Technologien den Druck erhöhen, professionelle IT-Sicherheitslösungen und –prozesse zu implementieren. Dickster Brocken dürfte für Energiefirmen das geplante IT-Sicherheitsgesetz, das in einem aktuellen Referentenentwurf vom 18.8. vorliegt, werden. Noch ist es nicht verabschiedet, das soll aber im Oktober geschehen. Die Umsetzungsfrist beträgt zwei Jahre. Welche Maßnahmen konkret umgesetzt werden müssen, wird von Vertretern der jeweiligen Branchen selbst in noch nicht verabschiedeten Richtlinien festgelegt, vom BSI bestätigt und gilt dann als Konkretisierung des Gesetzestextes.

Das IT-Sicherheitsgesetz wird das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) ergänzen. Sie verpflichten die Betreiber kritischer Infrastrukturen zu umfangreichen, ausführlich dokumentierten technischen und organisatorischen Schutzmaßnahmen ihrer informationstechnischen Systeme, zur Meldepflicht ans BSI bei IT-Sicherheitszwischenfällen, zur Ernennung von IT-Sicherheitsbeauftragten, und zu zweijährlichen Sicherheitsaudits. Die Meldung erfolgt bei Zwischenfällen ohne Auswirkung auf die kritische Infrastruktur allgemein, wenn die kritische Infrastruktur ausfällt oder gestört wird, mit Nennung des Betreibers. Kleinunternehmen (höchstens zehn Beschäftigte, bis zwei Millionen Euro Umsatz/Bilanzsumme) sind von dem Gesetz ausgenommen, genau wie beispielsweise TK-Netzbetreiber, die bereits durch andere Gesetze, hier das Telekommunikationsgesetz, zu strikten Sicherheitsmaßnahmen verpflichtet sind. Der Branchenverband BITKOM rechnet mit Kosten in Höhe von rund einer Milliarde Euro.

Was kritisch ist, bestimmt das BSI. Rund 18000 Unternehmen werden vom BSI der Energiebranche zugerechnet – wohl auch viele Industrieunternehmen: Firmen, die nennenswerte Mengen Strom selbst erzeugen, aber im Notfall aufs Netz zugreifen oder bei entsprechenden Konditionen einspeisen. Fällt ihre Erzeugungsanlage aus, kann eine Angebotslücke oder ein Nachfrageimpuls entstehen, der das Netz destabilisiert. Deshalb gilt eine solche Anlage unter Umständen schon ab dem Richtwert von 10 MW Erzeugungsleistung als kritisch, für ihren Betreiber gilt dann das das IT-Sicherheitsgesetz.

ISO 27000 für alle Netzbetreiber?

Bereits gültig ist §11 EnWG (Energiewirtschaftsgesetz), betroffen davon sind Netzbetreiber. Das können auch Industrieunternehmen sein, die einen Campus mit anderen Firmen teilen und sie mit Strom versorgen, sofern sie eine Netzbetreiber-Zulassung der Bundesnetzagentur haben, weil sie Durchleitungsgebühr verlangen wollen.
Nach § 11 EnWG müssen alle technischen Komponenten, die das Netz steuern oder die Netzsteuerungskomponenten beispielsweise versorgen, so gesichert werden, dass ein Ausfall ausgeschlossen ist. Ob diese Auflag erfüllt wurde, darf die Bundesnetzagentur prüfen und wenn die Auflagen nicht erfüllt sind, gegen den Netzbetreiber vorgehen.
Ausschlaggebend für gesetzeskonformes Verhalten ist das Einhalten des bei der Bundesnetzagentur in Auftrag gegebenen IT-Sicherheitskataloges, einer Untermenge des BSI-Grundschutzes. Im Kern geht es in dem Katalog um den Aufbau eines ISMS (Informationssicherheitsmanagementsystem) gemäß ISO 27000. Eine Zertifizierung nach diesem Standard ist, so Dr. Andreas Lied vom auf die Energiebranche spezialisierten Beratungsunternehmen Becker Büttner Held Consulting AG in München anlässlich einer einschlägigen Fortbildungsveranstaltung, findet sich zwar in manchen regulierungsintensiven Branchen wie Chemie und Pharma schon häufig, nicht jedoch in der Energiewirtschaft. „Wenn überhaupt, sind hier nur die ganz Großen nach ISO 27000 zertifiziert“, meint Lied. Der Aufwand sei beträchtlich. „Die Bundesnetzagentur geht von 1000 bis 50000 Euro aus, berücksichtigt aber nur externe Beratungsleistung“, erklärt er. Der interne Aufwand sei „neunmal höher“. Deshalb seien die IT-technischen Sicherheitsanforderungen auch gerade für kleine und mittlere Netzbetreiber ein „strategisches Thema“, dem sich die Unternehmen nichtsdestotrotz stellen müssen.
Denn für ISO 27000-zertifizierte Unternehmen, die ein normkonformes ISMS betreiben, gilt bei Netzausfällen zunächst die Unschuldsvermutung. Eventuelle Fehler muss die Bundesnetzagentur dem Betreiber nachweisen. Betreiber ohne ISMS müssen dem Regulierer beweisen, dass sie ihre Netze informationstechnisch ausreichend gesichert haben – ein mühseiges, teures und oft wohl auch unmögliches Vorhaben.

Auslagerung schützt nicht

Da liegt es nahe, die IT einfach an einen Dienstleister auszulagern. Das tat jüngst beispielsweise die Westfalen-Weser Energiegruppe mit Sitz in Paderborn getan, die 48 Kommunen in der Umgebung mit Energie versorgt und ein eigenes Netz betreibt. Die IT wurde an ATOS übergeben. Hinsichtlich der Verantwortung hilft das dem Netzbetreiber aber nicht, er bleibt die letzte Verantwortungsinstanz und müsste seinerseits gegen den IT-Dienstleister vorgehen, wenn das Netz aufgrund dessen mangelnder IT-Sicherheitsvorkehrungen ausfiele. Besondere Sorgfalt bei der Paraphierung von IT-Auslagerungsverträgen ist also bei Unternehmen der Energiebranche geboten.

Schwacher Trost für die Betroffenen: Auch der IT-Sicherheitskatalog ist aktuell noch nicht verabschiedet,es existiert ein Entwurf, die finalisierte Version kommt aber voraussichtlich bis Ende des Jahres. Überprüfungen des IT-Sicherheitsstatus durch die Bundesnetzagentur sind nach aktuellen Äußerungen des niedersächsischen Regulierers wohl erst Ende 2016 zu erwarten – man will die Branche nicht überfordern. Einen IT-Sicherheitsbeauftragten müssen sich die Unternehmen allerdings schon zwei Monate nach der endgültigen Veröffentlichung des IT-Sicherheitskatalogs zulegen. Zudem obliegt es ihnen, dafür zu sorgen, dass sie von der Veröffentlichung auch erfahren – gesonderte Bekanntmachungen dafür sieht das Gesetz nämlich nicht vor.

Kurz: Es gibt jede Menge zu tun, und billig wird es auch nicht. Das öffnet eine Perspektive auf die mit der Totalvernetzung bei Industrie 4.0 zu erwartenden Sicherheitsanforderungen. Sie werden alle Firmen treffen, die vollen Nutzen aus den Fähigkeiten digitaler Vernetzung ziehen und trotzdem kein Risiko eingehen möchten.

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

View Comments

  • Ich stimme vollumfänglich zu. Aus meiner Sicht besteht auch an anderer Front ein enormer Handlungsdruck: Entwickler – sei es in der Industrie oder in der Software-Branche – sind häufig darauf angewiesen, dass ihr Produkt einen Massenmarkt anspricht und das passiert nur, wenn sie in einen aktiven und konstruktiven Wettbewerb mit anderen Anbietern treten, sich durch die Preisgabe von Lösungsansätzen und Innovationen selbst Märkte schaffen. Was in der IT bereits Standard ist, davon kann auch die Industrie profitieren. Meine Gedanken zu Elon Musks Vorstoß, die Patente von Tesla zur allgemeinen Nutzung freizugeben: http://www.huffingtonpost.de/andre-kiehne/was-die-industrie-von-der-it-branche-lernen-kann_b_5566991.html

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago