Das IT-Sicherheitsgesetz aus Sicht der Energiewirtschaft: Alle Strom- und Gasnetzbetreiber müssen bis zum 31.01.2018 den IT-Sicherheitskatalog der BNetzA umsetzen und ein Informationssicherheits-Managementsystem einführen. Kritische Infrastrukturen müssen Mindeststandards und Meldepflichten erfüllen.
„Das Spektrum der Bedrohungen im Cyber- und Informationsraum reicht vom Diebstahl und Missbrauch persönlicher Daten oder von der Wirtschaftsspionage über die Schädigung kritischer Infrastrukturen mit schwerwiegenden Folgen für die Zivilbevölkerung bis hin zur Störung oder Unterbindung der Regierungskommunikation einschließlich der militärischen Führungskommunikation.
Cyberangriffe auf Staaten und kritische Infrastrukturen sind schon lange keine Fiktion mehr, sondern Realität. Zahlreiche Vorfälle in ähnlich entwickelten und digitalisierten Staaten und Streitkräften in den letzten Jahren belegen dies.“
So äußert sich die Bundesregierung in dem gerade herausgegebenen Weißbuch 2016 zur Sicherheitspolitik und der Zukunft der Bundeswehr.
Entsprechende Warnungen kamen kürzlich auch vom Kaspersky Lab. Demnach sind aktuell über 220.000 Komponenten von industriellen Kontrollsystemen über das Netz weltweit verfügbar. 91,6 Prozent der Systeme nutzten unsichere Internetverbindungsprotokolle. In den vergangenen fünf Jahren seien Schwachstellen innerhalb von Industrie-Komponenten um das zehnfache gestiegen. Dass die Gefahr sehr real sei, hätten in den vergangenen Jahren mehrere Vorfälle gezeigt. So hätten 2015 Cyber-Angreifer in der Ukraine mit einer Attacke auf ein Elektrizitätswerk rund die Hälfte der Haushalte in der Region vom Strom gekappt.
Die Bundesregierung hat sich dieser Gefahren angenommen und zum Schutz kritischer Infrastrukturen – wozu insbesondere auch die Energieversorgung zählt – Gesetzesinitiativen veranlasst.
Gesetzliche Anforderungen für die Energiewirtschaft
Bereits im Rahmen der EnWG-Novelle 2011 wurde eine Verpflichtung der Strom- und Gasnetzbetreiber zum Betrieb eines sicheren Energieversorgungsnetzes nach § 11 Absatz 1a EnWG eingeführt. Hierfür wurde ein – zum damaligen Zeitpunkt noch nicht verbindlicher – IT-Sicherheitskatalog von der Bundesnetzagentur in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik erlassen.
Zum 17. Juli 2015 trat ein Artikelgesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) in Kraft. Dieses Gesetz weist dem Bundesamt für Sicherheit in der Informationstechnik (BSI) die zentrale Rolle beim Schutz kritischer Infrastrukturen zu. Entsprechend wurden insbesondere das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) aber auch weitere Gesetze wie das EnWG geändert. Das BSI wird damit zu einer weiteren relevanten Behörde in der Energiewirtschaft.
Laut neuem BSI-Gesetz sind „Kritische Infrastrukturen“ „Einrichtungen, Anlagen oder Teile davon, die
- den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
- von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.“
Was genau eine Kritische Infrastruktur darstellt, ist laut Gesetz Gegenstand einer Verordnung. Diese ist inzwischen erlassen worden, es ist die sogenannte KRITIS-Verordnung (BSI-KritisV).
Zusätzlich zum formalen Rahmen der Kritischen Infrastrukturen und der entsprechenden Pflichten wurde auch der oben erwähnte § 11, Absatz 1a des EnWG so geändert , dass der IT-Sicherheitskatalog der BNetzA nunmehr von allen Strom- und Gasnetzbetreibern umgesetzt werden muss.
Kritische Infrastrukturen (KRITIS)
Im Sektor Energie werden die folgenden Dienstleistungen als potentiell kritisch im Sinne des IT-Sicherheitsgesetzes betrachtet:
- die Versorgung der Allgemeinheit mit Elektrizität (Stromversorgung)
- die Versorgung der Allgemeinheit mit Gas (Gasversorgung)
- die Versorgung der Allgemeinheit mit Kraftstoff und Heizöl (Kraftstoff- und Heizölversorgung)
- die Versorgung der Allgemeinheit mit Fernwärme (Fernwärmeversorgung)
Die genauen Kriterien für Kritische Infrastrukturen für die Energiewirtschaft sind in Anlage 1 der BSI-KritisV angegeben. Hier sind jeweils Anlagekategorien und zugehörige Schwellenwerte genannt. Im Wesentlichen handelt es sich um:
- Erzeugungsanlagen, Speicheranlagen sowie Anlagen oder Systeme zur Steuerung/Bündelung elektrischer Leistung jeweils mit über 420 MW installierter elektrischer Netto-Nennleistung
- Stromentnahme- oder -einspeisemessstellen mit über 420 MW Einspeisung oder Entnahme
- Stromübertragungsnetze und -verteilnetze mit über 3.700 GWh/a entnommener Jahresarbeit
- Strombörsen
- Gastransportnetze, -verteilnetze und Förderanlagen mit Entnahmen bzw. Fördermengen über 5.190 GWh/a
- Heizwerke und Heizkraftwerke mit über 2.300 GWh/a ausgeleiteter Wärme
- Fernwärmenetze mit über 250 000 angeschlossenen Haushalten
- bedeutende Infrastrukturen im Zusammenhang mit der Öl- und Kraftstoffversorgung
Laut BdeW sind etwa 110 Energieversorger von den neuen gesetzlichen Regelungen betroffen.
Anforderungen an Kritische Infrastrukturen
Laut dem geänderten BSI-Gesetz sind Betreiber Kritischer Infrastrukturen verpflichtet, binnen zwei Jahren nach Inkrafttreten der KritisV am 23.04.2016, also bis zum 23.04. 2018, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen“ umzusetzen. Branchenverbände werden dazu ermutigt, branchenspezifische Mindeststandards zu erarbeiten, die dann vom BSI geprüft werden und hiernach de facto verbindlich sind.
Für Netzbetreiber ist laut EnWG der IT-Sicherheitskatalog der BNetzA relevant. Im Moment liegen keine weiteren für die Energiewirtschaft relevanten branchenspezifischen Mindeststandards vor. Eine angemessene organisatorische und technische Vorkehrung beinhaltet aber in jedem Fall die Einführung eines Informationssicherheits-Managementsystems.
1. Informationssicherheits-Managementsystem (ISMS) nach Din 27001
Als angemessenes Vorgehen zur Sicherstellung von IT-Sicherheit gilt nach internationaler Best Practice die Einführung eines sogenannten Informationssicherheits-Managementsystems (ISMS) gemäß DIN ISO/IEC 27001. Ebenso gefordert ist dessen kontinuierliche Umsetzung, Überprüfung und Anpassung. Weiterhin sind die Normen DIN ISO/IEC 27002 und gegebenenfalls DIN ISO/IEC TR 27019 (DIN SPEC 27019) in der jeweiligen Fassung zu berücksichtigen. Diese enthalten Umsetzungsempfehlungen für die verbindlichen Maßnahmen des Anhangs A der DIN 27001 beziehungsweise spezifische Regelungen für den Netzbetrieb in der Energiewirtschaft.
Das BSI stellt weitere Dokumente zur Verfügung, um die DIN 2700x-Anforderungen zu untersetzen und eine „didaktischere Darstellung der Inhalte“ zu bieten. Siehe hierzu die IT-Grundschutz BSI-Standards 1001-1004. Um insbesondere kleinen Unternehmen den Einstieg in das Thema IT-Grundschutz zu erleichtern, gibt es einen IT-Sicherheitsleitfaden des BSI.
Neben der Umsetzung eines ISMS haben alle Kritis-Betreiber Meldepflichten zu erfüllen.
2. Meldepflichten für Betreiber Kritischer Infrastrukturen
Im BSI-Gesetz §8b wird das BSI als zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit in der Informationstechnik festgelegt.
„Betreiber Kritischer Infrastrukturen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen
- führen können oder
- geführt haben
Die Betreiber Kritischer Infrastrukturen haben dem Bundesamt binnen sechs Monaten nach Inkrafttreten der BSI-KritisV am 23.04.2016, also bis zum 23.10.2016, eine Kontaktstelle für die Kommunikation mit dem BSI zu benennen. Formulare und Informationen zur Störungsmeldung finden sich auf der Internetseite des BSI.
Netzbetreiber und Genehmigungsinhaber nach § 7 Absatz 1 des Atomgesetzes (AtG) haben bereits Kontaktinformationen bei der BNetzA bzw. bei den für nukleare Sicherheit und Sicherung zuständigen Genehmigungs- und Aufsichtsbehörden des Bundes und der Länder hinterlegt. Die Hinterlegung von Kontaktinformationen beim BSI ist hier freiwillig.
Das BSI leitet Störungsmeldungen an die jeweils zuständigen weiteren Regulierungsbehörden (BNetzA, Atombehörden) weiter.
IT-Sicherheitskatalog für Strom- und Gasnetzbetreiber
Der IT-Sicherheitskatalog der Bundesnetzagentur ist nunmehr verbindlicher Mindeststandard für alle Strom- und Gasnetzbetreiber. Die Konformität mit den Anforderungen des IT-Sicherheitskatalogs muss bis zum 31.01.2018 durch ein von der BNetzA vorgegebenes Zertifikat belegt werden. Der Katalog stellt auch den laut §8a BSI-Gesetz geforderten branchenspezifischen Sicherheitsstandard für kritische Infrastrukturen im Netzbereich dar. Der Unterschied zu anderen Bereichen der Energieversorgung ist jedoch, dass dieser branchenspezifische Sicherheitsstandard nach dem geänderten EnWG für alle Netzbetreiber – nicht nur für kritische Infrastrukturen – verbindlich ist.
1. Zentrale Anforderungen
Der Netzbetreiber ist verpflichtet, der Bundesnetzagentur für die Koordination und Kommunikation der IT-Sicherheit einen Ansprechpartner zu benennen (Kap. E. VII), dessen Kontaktdaten er der BNetzA mitteilt (musste bereits zum 30.11.2015 erfolgen).
Weiterhin müssen alle Netzbetreiber ein ISMS gemäß DIN 27001 einführen.
Der IT-Sicherheitskatalog der BNetzA beinhaltet weiterhin die folgenden Konkretisierungen:
2. Erstellung eines Netzstrukturplans (Kap. E.IV)
Der Netzstrukturplan muss alle Anwendungen, Systeme und Komponenten im Geltungsbereich des IT-Sicherheitskataloges (Kap.D.) erfassen, jeweils geordnet nach:
- Leitsystem/Systembetrieb
- Übertragungstechnik/Kommunikation
- Sekundär-, Automatisierungs-und Fernwirktechnik
Der IT-Sicherheitskatalog enthält im Kapitel E.IV Beispiele und Beschreibungen für die Systemkategorien sowie Anforderungen an die Darstellung des Netzstrukturplans.
3. Risikoeinschätzung und Risikobehandlung (Kap. E.V, E.VI)
Der Netzbetreiber muss einen Prozess zur Risikoeinschätzung für mögliche Gefährdungen der oben genannten Schutzziele gemäß Kapitel der Din 27001 aufsetzen. Die Risikoeinschätzung erfolgt in den Kategorien:
- kritisch
- hoch
- mäßig
Dabei werden mindestens die folgenden Kategorien berücksichtigt:
- Beeinträchtigung der Versorgungssicherheit
- Einschränkung des Energieflusses
- Betroffener Bevölkerungsanteil
- Gefährdung für Leib und Leben
- Auswirkungen auf weitere Infrastrukturen (z. B. vor- und nachgelagerte Netzbetreiber, Wasserversorgung)
- Gefährdung für Datensicherheit und Datenschutz durch Offenlegung oder Manipulation
- Finanzielle Auswirkungen
Die Risikoeinschätzung berücksichtigt sowohl die Bedrohung durch vorsätzliche Handlungen wie z.B. gezielte IT-Angriffe, Viren usw. wie auch nicht vorsätzliche Gefährdungen z.B. durch Höhere Gewalt, menschliches Versagen, organisatorische Mängel usw..
Die Risikobehandlung muss dem „Stand der Technik“ entsprechen oder gut begründet sein.
Schlussbemerkung
Die weitreichendste Änderung für die Energiewirtschaft, die durch das IT-Sicherheitsgesetz ausgelöst wurde, ist somit die verpflichtende Anforderung für alle Netzbetreiber bis zum 31.01.2018 ein ISMS einzuführen. Sie steht nicht im Zentrum des IT-Sicherheitsgesetzes und ist nur über eine kleine, fast zufällig erscheinende Wortlautänderung des EnWG aus dem IT-Sicherheitsgesetz hervorgegangen. Das zentrale Ziel des Gesetzes – der Schutz Kritischer Infrastrukturen – betrifft wegen der hohen Schwellwerte relativ wenige Unternehmen.
