Wie steht es um Cybersicherheit und Resilienz in den KRITIS-Bereichen Energie und Wasser? Das erläutern Mathias Böswetter und Tanja Utescher-Dabitz aus Sicht des Bundesverbands der Energie- und Wasserwirtschaft (BDEW).
Die Wahrnehmung von Cybersicherheit sowie Resilienz in der Energie- und Wasserwirtschaft hat sich unter dem Eindruck des völkerrechtswidrigen Angriffskriegs auf die Ukraine grundsätzlich gewandelt. Vor wenigen Jahren war es noch ein Thema für den Maschinenraum der Energie- und Wasserwirtschaft. Nun ist es in vielen Unternehmen mittlerweile fester Bestandteil der CEO-Agenda.
Steigende gesetzliche Anforderungen sowie verschärfte Haftungspflichten von Geschäftsführern im Zuge des NIS-2-Umsetzungsgesetzes werden diesen Trend weiter verstärken. Auch die Politik und die breite Öffentlichkeit haben das Thema für sich entdeckt. Sie ordnen ihm mittlerweile eine hohe Priorität zu. Die Sorge vor einem Blackout als Folge eines Cyberangriffs oder eines Sabotageakts in der Bevölkerung ist dabei groß.
In der Tat haben Quantität und Qualität von Angriffen im deutschen und europäischen Cyberraum zugenommen, obwohl dieser Befund leicht aus dem Blick geraten lässt, wie sicher und zuverlässig die Energie- und Wasserversorgung in Deutschland trotz des zunehmenden Angriffsgeschehens geblieben ist. Dabei hat sich der Trend von Ransomware-Angriffen verstärkt, von dem auch Unternehmen der Energiewirtschaft und ihre Dienstleister betroffen waren.
Krieg, Krisen, Sabotage: Störfälle für Energie möglich
Die Zahl von DDoS-Angriffen ist um 41 Prozent im Vergleich zu 2020 gestiegen, und die Bedeutung von Advanced Persistent Threats (APT), also komplexen, zielgerichteten und effektiven Cyberangriffen, steigt. Das sind aus Behördensicht Indikatoren für die zunehmende Verflechtung von Cyberkriminalität und geopolitischer Einflussnahme von Drittstaaten im deutschen sowie europäischen Cyber- und Informationsraum.
Bisher nicht gekannte Energie-Störungen sollten jetzt im Blick sein
Durch die Coronapandemie und den Krieg in der Ukraine hat sich die Exponiertheit unserer Volkswirtschaft gegenüber bisher nicht gekannten Störungen der Energieversorgung eindrücklich offengelegt. Der Ausfall des Satellitenkommunikationsnetzwerks KA-SAT in den ersten Tagen des Ukrainekriegs etwa hatte auch Folgen für die Energiewirtschaft. Infolge dieses Ausfalls waren tausende Windenergieanlagen nicht erreichbar.
Das stellte einen ungewollten Kollateralschaden dar – der Cyberangriffzielte eigentlich auf die Kommunikationsfähigkeit des ukrainischen Militärs ab. Er zeigte dann aber auch, dass die kommunikative Anbindung der Energiewende stark von Infrastrukturen abhängig ist, auf deren Funktionieren die Betreiber der Energieerzeugungsanlagen im Krisen- und Kriegsfall grundsätzlich keinen Einfluss haben.
Andere Lieferbeziehungen gewinnen an Bedeutung
Darüber hinaus hat sich die Abhängigkeit von IT-Komponenten chinesischer Hersteller im Bereich der Telekommunikation (5G-Netze) und in der Höchstspannung zunehmend als ein geopolitisches Risiko herauskristallisiert. Der Gesetzgeber versucht, dem zu begegnen, etwa für den Sektor Energie mit dem sehr aufwendigen Prüfverfahren für kritische IT-Komponenten nach § 11 Absatz 1g Energiewirtschaftsgesetz (EnWG) in Verbindung mit § 9b des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG). Bisher aber mit wenig Erfolg.
Es gilt, in Zukunft einseitige Lieferbeziehungen und kritische Abhängigkeiten abzubauen: vor allem bei physischen Lieferungen von Energieträgern, bei Hardware für erneuerbare Energien, bei IT-Komponenten, Dienstleistern sowie Betriebsmitteln in der Wasserwirtschaft (insbesondere Fällmitteln) – und dort, wo es möglich und verhältnismäßig ist, eigene Wege zu gehen, etwa beim 450-MHz-Funknetz.
Dabei sollten Verbote oder bürokratische Verfahren nicht dazu führen, dass in Ermangelung von Beschaffungsalternativen der Netzausbau verlangsamt werden. So würde nicht zuletzt die Versorgungssicherheit gefährdet werden, weil essenzielle Rohstoffe, Betriebsmittel, Hardware oder Software nicht beschafft werden können.
Die Aufgabe, Abhängigkeiten zu verringern, kann der Staat nicht allein lösen. Er setzt aber – wie im Falle der nationalen Sicherheitsstrategie oder der China-Strategie der Bundesregierung – entsprechende Rahmenbedingungen und bietet Schutz bei unvorhersehbaren Entwicklungen. Auch wichtig ist in diesem Kontext die Verteidigung und Wiedererlangung von technologischer Spitzenkompetenz, um auf diesem – für die Wirtschaft so essenziellen – Gebiet politisch und wirtschaftlich souverän agieren zu können.
Die Versorgung mit Energie und Wasser in Deutschland gehört zu den sichersten der Welt. Das hat Gründe: Mit den IT-Sicherheitskatalogen der Bundesnetzagentur (BNetzA) und den branchenspezifischen Sicherheitsstandards in den Sektoren Energie und Wasser, die von der Branche in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt werden, ist ein solides Fundament für Cybersicherheit und Resilienz geschaffen worden. Die Umsetzung technischer und organisatorischer Sicherheitsmaßnahmen in den Unternehmen der Energie- und Wasserwirtschaft ist deshalb im Ganzen betrachtet ebenfalls weit vorangeschritten.
Gute Ausgangslage für weitere Entwicklungen
Auf diesem Fundament sollten auch die zukünftige Cybersicherheitsregulierung im Rahmen des NIS-2-Umsetzungsgesetzes (NIS2UmsuCG) und die Resilienzregulierung im Rahmen des KRITIS-Dachgesetzes (KRITIS-DachG) unbedingt aufbauen. Sie sollten diese als Kataloge beziehungsweise Branchenstandards für Informationssicherheit und Resilienz weiterentwickeln.
Mathias Böswetter, Tanja Utescher-Dabitz
Die Autoren
Mathias Böswetter ist Fachgebietsleiter IT-Sicherheit, Kritische Infrastrukturen beim Bundesverband der Energie- und Wasserwirtschaft e.V. (BDEW) in Berlin. Dr. Tanja Utescher-Dabitz ist Fachgebietsleiterin Steuern und Abgaben beim BDEW.