IT-Schutz von Kraftwerken vor Cyberbedrohungen

Spätestens seit dem im Juni 2010 entdeckten Computerwurm Stuxnet (RootkitTmphider), mit dem unter Ausnutzung bis dato noch unveröffentlichter Sicherheitslücken im Betriebssystem (sog. Zero-Day-Exploits) insbesondere gezielte Angriffe auf Leittechnik und Steuerungssysteme von Kraftwerksanlagen in Westeuropa, den USA und Asien durchgeführt wurden, wird dem Thema Cyberattacken große Bedeutung zugeschrieben, infolgedessen die Bundesnetzagentur im August 2015 zum Zwecke der IT-Sicherheit im Energiesektor einen entsprechenden Sicherheitskatalog veröffentlichte, der an Betreiber von Strom- und Gasnetzen gerichtet ist.

Die Bundesnetzagentur (BNetzA), Bonn, hat nun in Ergänzung dazu gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn, einen weiteren IT-Sicherheitskatalog speziell für Energieanlagen erstellt, der vor wenigen Tagen mit dem Ziel einer jederzeit stabilen, sicheren und funktionierenden Energieversorgung veröffentlicht wurde.

Der Katalog dient zum Schutz gegen Bedrohungen der für einen sicheren Betrieb von Kraftwerken notwendigen Telekommunikations- und elektronischen Datenverarbeitungssysteme sowie der Gewährleistung einer intakten Informations- und Kommunikationstechnik (IKT) und somit der Entwicklung von Maßnahmen zur Sicherstellung eines angemessenen IT-Sicherheitsniveaus. Neben der Bedrohung durch mögliche Cyberangriffe werden jedoch auch weitere potenzielle Risiken und Gefahren wie zum Beispiel durch Abhören von Kommunikation, Verlust von Rechnern, höhere Gewalt sowie menschliches oder technisches Versagen entsprechend berücksichtigt.

Die Allgemeinverfügung richtet sich an alle Betreiber von Energieanlagen, die vom Bundesinnenministerium auf Grundlage des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) entweder als sogenannte Kritische Infrastrukturen (KRITIS) bestimmt wurden (hierzu zählen insbesondere Erzeugungsanlagen ab einer installierten Nennleistung von 420 MW sowie größere Gasspeicher und -förderanlagen) oder die generell an das öffentliche Energieversorgungsnetz angeschlossen sind.

Die primären Ziele des IT-Sicherheitskatalogs sind dabei die

  • Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten, die
  • Sicherstellung der Integrität der verarbeiteten Informationen und Systeme sowie die
  • Gewährleistung der Vertraulichkeit der verarbeiteten Informationen.

Die einschlägigen Vorgaben verpflichten Energieanlagenbetreiber zur individuellen, kontinuierlichen und nachhaltigen Umsetzung bestimmter sicherheitstechnischer Mindeststandards in ihrer system- und informationstechnologischen Infrastruktur. Die Kernanforderung stellt dabei die Implementierung eines Informationssicherheits-Managementsystems (ISMS) gemäß DIN EN ISO/IEC 27001 betr. Informationstechnik, IT-Sicherheitsverfahren, Informationssicherheitsmanagementsysteme und Anforderungen sowie dessen Zertifizierung dar, wozu auch die Erarbeitung eines geeigneten Präventions- und Notfallplans gehört. Darüber hinaus muss jeder betroffene Kraftwerksbetreiber der BNetzA einen offiziellen Ansprechpartner für sämtliche Belange im Zusammenhang mit der IT-Sicherheit des betroffenen Unternehmens nennen.

Die vorgenannten Nachweise müssen der Regulierungsbehörde bis spätestens zum 31. März 2021 erbracht werden. Die Nachweispflicht bzgl. der Anforderungen an die Betreiber von Strom- und Gasnetzen auf Grundlage des o. g. ersten Sicherheitskatalogs vom August 2015 endete bereits Anfang vergangenen Jahres. Die zugehörigen gesetzlichen Grundlagen ergeben sich im Wesentlichen aus dem § 11 Abs. 1a EnWG betr. Strom- und Gasnetze sowie aus dem § 11 Abs. 1b EnWG betr. Energieanlagen nach der BSI-Kritisverordnung (KritisV).