KRITIS Energieversorger: IT-Sicherheit im Energiesektor

INHALT

• Angriffsvektoren für KRITIS Energieversorger
• Bedrohungsszenarien innerhalb des Energiesektors
• Anforderungen auf EU-Ebene
• Anforderungen auf Bundesebene
• Informationssicherheits-Managementsysteme: Was leisten sie für Energieversorger?
• Zusätzliche Maßnahmen für Informationssicherheit 
• KRITIS Energieversorger: ein Fazit 

Angriffsvektoren für KRITIS Energieversorger

Im Kontext der Energieversorgung ist die Widerstandsfähigkeit gegenüber Angriffsvektoren auf IT- und OT-Systeme (Operational Technology) zentral. Zentralisierte Steuerungs- und Überwachungssysteme erhöhen zwar die Effizienz und Sicherheit im Management dieser Systeme, schaffen jedoch gleichzeitig potenzielle Angriffspunkte. Ein einzelner, gut koordinierter Angriff auf diese zentralen Netzleitsysteme kann in der Kaskade Energieversorgungsnetze als Ganzes oder in Teilen beeinträchtigen.

Besonders kritisch ist die Sicherheit der Kommunikationsnetzwerke. Ein gezielter Angriff auf diese Netzwerke könnte nicht nur die Steuerung und Überwachung der Energieverteilung stören, sondern auch zu weitreichenden Ausfällen in der Energieversorgung führen. Daher ist es essenziell, in die Absicherung und die Resilienz dieser Kommunikationssysteme zu investieren, um die Integrität und Verfügbarkeit der Energieinfrastruktur zu gewährleisten.

Die Bedrohung durch Cyberangriffe auf Energieversorger und andere kritische Infrastrukturen ist besonders relevant, da sie unmittelbare Auswirkungen auf die öffentliche Sicherheit und das Gemeinwohl haben. Das weltweite Bewusstsein für diese Bedrohung ist spätestens seit dem großflächigen Stromausfall in der Ukraine im Dezember 2015, der durch einen Cyberangriff verursacht wurde, deutlich gestiegen. Die strategische Bedeutung der Informationssicherheit und deren Integration in die Organisationskultur von Energieversorgern ist seitdem unumstritten.

Ein proaktiver Ansatz, der alle denkbaren Risikoszenarien für kritische Infrastrukturen in Betracht zieht, ist unerlässlich. Dies beinhaltet die sorgfältige Analyse potenzieller Bedrohungen und die Implementierung von Maßnahmen zur Risikominimierung sowie die Vorbereitung auf mögliche Notfallsituationen.

Bedrohungsszenarien innerhalb des Energiesektors

In Zeiten zunehmender geopolitischer Spannungen und Konflikte, begleitet von den besonderen Herausforderungen in der Energieversorgung, nehmen bösartige, auch staatlich motivierte Cyberbedrohung, insbesondere gegenüber Energieversorgern ständig zu. Allein im Jahr 2022 belief sich der Schaden, der durch Cyberangriffe auf deutsche Unternehmen verursacht wurde, auf schätzungsweise 200 Milliarden Euro. Die Angriffe auf kritische Infrastrukturen und speziell den Energiesektor häufen sich in den letzten Jahren in demokratischen Volkswirtschaften besorgniserregend. Im Folgenden finden Sie einige Beispiele:

Im Vergleich zur Colonial Pipeline beschränken sich die deutschen Beispiele dieser Auflistung auf gehackte IT-Systeme, die bisher noch keine erheblichen Auswirkungen auf die Funktion der OT‑Netzwerke und damit auf den Energienetzbetrieb hatten. Die europäische Regulatorik und die nationalen Anforderungen, die die Bundesnetzagentur in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zum Schutz vor Bedrohungen des sicheren Netzbetriebs bereits in 2015 vorgegeben haben, scheinen also zumindest teilweise ihren Zweck zu erfüllen.

Mit den dynamischen Entwicklungen in der Informationstechnologie entwickeln Angreifer ständig neue Methoden, um Systeme und Netzwerke zu infiltrieren. Vor diesem Hintergrund ist es für Energieversorger unerlässlich, ihre Sicherheitsmaßnahmen kontinuierlich zu überprüfen und Anpassungen gemäß den neuesten Regularien zeitnah vorzunehmen.

KRITIS Energieversorger: Anforderungen auf EU-Ebene

Bereits im Jahr 2016 veröffentlichte die Europäische Union im Rahmen ihrer Cyber-Sicherheitsstrategie die NIS-Richtlinie (Network and Information Security Directive ) und entwickelte damit ein umfassendes Regelwerk für die Cybersicherheit kritischer Infrastrukturen. Ziel des europäischen Gesetzgebers ist, den Binnenmarkt durch Vorgabe eines regulatorischen Rahmens für ein hohes gemeinsames Niveau der Cyber-Resilienz besser zu schützen. Im Januar 2023 ist die überarbeitete NIS2-Richtlinie in Kraft getreten, die die EU-Mitgliedstaaten bis Oktober 2024 in nationales Recht überführen müssen.

Die überarbeitete Richtlinie erweitert die Zahl der Organisationen, die in den Anwendungsbereich fallen, um die neuen „besonders wichtigen Sektoren“ und die „wichtigen Sektoren“ zuzuordnen. Im KRITIS-Sektor Energie erbringen KRITIS-Betreiber vier kritische Dienst­leistungen zur Versorgung der Allgemeinheit mit Energie der Energie­träger Strom, Gas, Öl und Fernwärme. Sie bekommen durch die NIS2-Richtlinie ein umfangreiches Paket an erweiterten Sicherheitsanforderungen.

Die existierenden Verpflichtungen für KRITIS-Betreiber nach dem BSI-Gesetz bleiben im Kern bestehen, erfahren teilweise eine genauere Definition, Verschärfung und eine Neustrukturierung. Hierzu zählen verpflichtende Maßnahmen zu/zum ...

• Risikomanagement
• Schulungen für Geschäftsleiter
• Regeln für die Meldung von Sicherheitsvorfällen
• Aufrechterhaltung des Betriebs nach einem Notfall
• Krisenmanagement 

Auch auf technischer Seite wurden die durch die NIS-Richtlinie vorgeschriebenen geltenden Auflagen erweitert. Betreiber sind dazu verpflichtet, Zugriffskontrollen durchzuführen, Informationen strikter zu verschlüsseln, Daten systematisch zu sichern und ein sicheres technisches und systemisches Management von Schwachstellen innerhalb der IT-Architektur zu gewährleisten.

Wichtige Neuerungen im Rahmen von NIS 2 sind außerdem der ausgeweitete Fokus auf die Lieferketten – wodurch die Richtlinie für einen stark erweiterten Kreis von Unternehmen relevant ist – sowie die persönliche Haftung von Leitungsorganen, was Cybersecurity endgültig zur Chefsache macht.

KRITIS Energieversorger: Anforderungen auf Bundesebene

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) veröffentlichte bereits ein Jahr vor der ersten NIS-Fassung das IT-Sicherheitsgesetz (IT-SiG), das in seiner Zielsetzung weitestgehend deckungsgleich ist und für kritische Infrastrukturen ebenfalls einen Katalog aus technischen und organisatorischen Maßnahmen vorsieht.

Nach Überarbeitung ist im Mai 2021 das IT-Sicherheitsgesetz 2.0 in Kraft getreten und erweitert die deutsche KRITIS-Regulierung von 2015 deutlich. Damit besteht zum Beispiel zum 1. Mai 2023 die Verpflichtung zum Einsatz von sogenannten Systemen zur Angriffserkennung. Demnach müssen regulierte Betreiber im Kontext des BSIG und EnWG ein System zur Angriffserkennung (SzA) implementieren, um durch technische Werkzeuge und organisatorische Maßnahmen Anomalien und Angriffe auf informationstechnische Systeme rechtzeitig zu erkennen und Maßnahmen zu ergreifen. Das IT-SiG 2.0 nimmt einige Änderungen der NIS2-Direktive vorweg mit angepassten Sektoren und mehr Informations- und Kooperationspflichten.

Speziell für die Energiewirtschaft erstellte die Bundesnetzagentur im Benehmen mit dem BSI zwei IT-Sicherheitskataloge (IT-SiKat):

• der IT-SiKat gemäß §11 Abs. 1a EnWG gilt seit 2015 für Betreiber von Energieversorgungsnetzen,
• der IT-SiKat gemäß §11 Abs. 1b EnWG wurde im Dezember 2018 für Betreiber von Energieanlagen (Erzeugung) veröffentlicht.

In den beiden IT-Sicherheitskatalogen sind Mindestanforderungen zum Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme aufgestellt, die für einen sicheren Netzbetrieb bzw. Energieanlagenbetrieb notwendig sind.

Die IT-Sicherheitskataloge enthalten die verpflichtende Implementierung eines Informationssicherheits-Managementsystem (ISMS), das den Schutz von Informationen strategisch und ganzheitlich verankert. Dieses ist gemäß den Anforderungen und Prinzipien der international gültigen Norm ISO 27001 umzusetzen. Dabei gilt es, dass die in dritter Ausgabe überarbeitete ISO 27002:2022 mit ihren Umsetzungsempfehlungen spätestens am 01. März 2024 in den Audits zu berücksichtigen ist.

Die speziell für den Energiesektor geltende ISO 27019 erweitert die Anforderungen an das ISMS zudem um Informationssicherheitsmaßnahmen für die Energieversorgung. Die Umsetzung der IT-SiKat müssen der BNetzA durch Vorlage eines Zertifikats von einer akkreditierten Zertifizierungsgesellschaft bestätigt werden..

Im Juni 2023 wurde die DQS als eine der ersten Zertifizierungsstellen in Deutschland durch die Deutsche Akkreditierungsstelle (DAkkS) akkreditiert, um neben den Netzbetreibern (IT-SiKat § 11 Abs. 1a EnWG) auch die Betreiber von Energieanlagen gemäß IT-Sicherheitskatalog § 11 Abs. 1b EnWG (12/2018) zu zertifizieren.

Informationssicherheits-Managementsysteme: Was leisten sie für Energieversorger?

Ein robustes Managementsystem zum Beispiel nach ISO 27001 liefert einen lückenlosen Überblick über den aktuellen Stand der IT-Sicherheit und Informationssicherheit in einem Unternehmen. Indem alle Informationen übersichtlich in einem System aufgearbeitet und angezeigt werden, fällt es dem Management leichter, auf Basis dieser Informationen Entscheidungen in puncto Sicherheitsmaßnahmen für eine kritische Infrastruktur zu treffen.

Zudem werden Sicherheitsbeauftragte früher auf potenzielle Gefahren aufmerksam. Des Weiteren unterstützt es Versorger dabei, ihrer Nachweispflicht für Systeme, wie beispielsweise zur Angriffserkennung, nachzukommen.

Ein wirksames und kontinuierlich weiterentwickeltes Managementsystem bietet:

• einen permanenten Überblick über die aktuelle Risikosituation des Unternehmens
• rechtzeitiges Erkennen von möglichen Bedrohungen und Gefahren
• die Chance, mit gewonnenen Informationen geeignete Risikobehandlungsmaßnahmen zu ergreifen
• die Möglichkeit, Risiken zu identifizieren und mit den Methoden des Managementsystems zu mitigieren
• einen Nachweis gegenüber Aufsichtsbehörden zur Erfüllung von Anforderungen gemäß den einschlägigen gesetzlichen Regelungen (IT-SiG 2.0, EnWG, BSIG)

Um ein zielgerichtetes ISMS zu implementieren, müssen sich Verantwortliche vorab darüber im Klaren sein, welche Informationen im Unternehmen geschäftsrelevant sind, welche Risiken für diese Informationswerte bestehen und wie diesen Risiken entgegengewirkt werden kann.

Energieversorger sind beispielsweise verpflichtet, den ordnungsgemäßen Betrieb ihrer Telekommunikations- und Datenverarbeitungssysteme zu gewährleisten. Im Kontext des ISMS ist es erforderlich, Risiken, die von IKT-basierten Angriffen ausgehen, zu bewerten und durch angemessene Schutzmaßnahmen für die relevanten Telekommunikations- und Datenverarbeitungssysteme zu adressieren. Auf dieser Grundlage können die nächsten aktiven Schritte eingeleitet werden.

Zusätzliche Maßnahmen für die Aufrechterhaltung der Informationssicherheit

Die Funktionsfähigkeit der Energieversorgung ist von der Verfügbarkeit einer intakten Informations- und Kommunikationstechnologie (IKT) abhängig. Dies bedeutet, dass die eingesetzten IKT-Systeme und IKT-gestützten Verfahren und Prozesse zu jedem Zeitpunkt beherrscht werden und dass technische Störungen als solche erkannt und behoben werden können oder anderweitig deren Behebung sichergestellt werden kann.

Daher müssen Energieversorger auf denkbare Notfall- und Krisensituationen unmittelbar reagieren können. Das Informationssicherheits-Managementsystem eines Versorgers unterstützt Maßnahmen zum Umgang mit krisenhaften Situationen. Doch auch die Implementierung eines Business Continuity Management Systems (BCM-System) gemäß ISO 22301 ist empfehlenswert, da es die Resilienz kritischer Infrastrukturen zusätzlich stärkt und die Performanz im Notbetrieb aufrechterhält.

Für Betreiber Kritischer Infrastrukturen (KRITIS-Betreiber) stellt das BSI einen Anforderungskatalog zur Verfügung, der die Anforderungen des § 8a Absatz 1 BSIG konkretisiert. Weitere geeignete Sicherheitsanforderungen beziehungsweise Sicherheitsvorkehrungen zur Erfüllung des § 8a Absatz 1 BSIG für einen festgelegten Anwendungsbereich werden in sogenannten „branchenspezifischen Sicherheitsstandards“ (B3S) vorgegeben. Sie beinhalten Vorgaben für einen branchenspezifischen „Stand der Technik“, den Anlagenbetreiber an die IKT ihrer jeweiligen kritischen Dienstleistung (kDL) anlegen müssen.

Obwohl auch die Kombination aus ISMS, BCM-System sowie die Einhaltung sämtlicher Standards keinen Cyberangriff verhindern kann, tragen diese Faktoren doch erheblich dazu bei, dass für die Systeme und Anlagen von KRITIS Energieversorgern ein hohes Maß an Risikovorsorge getroffen werden kann. Die Chance, ein potenzielles Risiko frühzeitig zu erkennen und dementsprechend schnell handeln zu können, steigt durch ein Informationssicherheits-Managementsystem nach ISO 27001 und ISO 27019 enorm.

KRITIS Energieversorger: ein Fazit

Ein Ausfall der Energieversorgung könnte in kürzester Zeit wesentliche Bereiche unserer Gesellschaft und essentielle Dienste lahmlegen. Diese Situation birgt erhebliche Risiken, insbesondere wenn Unternehmen, die kritische Infrastrukturen betreiben (KRITIS), anfällig sind. Dies kann schwerwiegende und gefährliche Folgen für das gesellschaftliche Leben nach sich ziehen.

Um die Informationssicherheit zu stärken und Mindeststandards zu etablieren, setzen europäische und nationale Gesetzgeber einen umfangreichen regulatorischen Rahmen. Dieser beinhaltet branchenspezifische und allgemeingültige Anforderungen, die Organisationen helfen sollen, Risiken in der Informationssicherheit effektiv zu reduzieren und zu managen. Deshalb sind Informationssicherheit und ein entsprechend gut implementiertes Managementsystem bei Energieversorgern wichtige Instrumente, um als KRITIS-Betreiber für höchstmögliche Sicherheit zu sorgen und branchenspezifischen Sicherheitsstandards gerecht zu werden.

DQS – Wir können etwas für Sie tun

Die DQS ist auf Audits und Zertifizierungen für Managementsysteme und Prozesse spezialisiert. Mit der Erfahrung aus mehr als 35 Jahren und der Expertise von 2.500 Auditoren ist das Unternehmen aus Frankfurt am Main ein kompetenter Partner des Managements. Wir auditieren nach rund 200 anerkannten Normen und Regelwerken oder nach Ihren unternehmensspezifischen Vorgaben – regional, national und international.

Unparteilichkeit und Objektivität sind für uns wesentliche Elemente bei der Durchführung von Audits und Zertifizierungen. Und das gilt nicht nur für die normativen Bereiche, sondern auch für die Durchführung sämtlicher Audittätigkeiten – so auch für den B3S Energie.

Gerne helfen wir Ihnen weiter, wenn Sie das Informationssicherheits-Managementsystem Ihres Unternehmens oder Ihrer Organisation zertifizieren lassen möchten oder Unterstützung bei der Erfüllung regulatorischer Vorgaben und Sicherheitskatalogen benötigen. Wir freuen uns auf das Gespräch mit Ihnen. Jetzt Kontakt aufnehmen.

Vertrauen und Expertise

Unsere Texte und Whitepapers werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an den Autor haben, senden Sie uns gerne eine E-Mail.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.