Sicherheitsrisiken bei deutschen Energieunternehmen?

Ab Juni muss die Kommunikation zwischen den Unternehmen verschlüsselt werden, aber es bleiben Fragen offen

Ab 1. Juni treten für die Kommunikation der deutschen Energieunternehmen neue Regeln in Kraft. Die Bundesnetzagentur (BNetzA) und EDI@Energy vom Bundesverband der Energie- und Wasserwirtschaft e.V. (BDEW) als projektführende Organisation haben die EDIFACT-Kommunikationsregeln zum sicheren Austausch von EDIFACT-Übertragungsdateien entwickelt, die ab 1. Juni verwendet werden müssen.

Die Energiefirmen gehören zur kritischen Infrastruktur. Es wird die Sicherheit im Austausch von Daten und deren Formate über Applicability Statement 2 (AS2) und eMail via SMTP geregelt. 2016 erst hat die Bundesnetzagentur zwingend Verschlüsselung gefordert, was nun in den neuen Regeln umgesetzt wurde: "Jede E-Mail, mit der in der deutschen Energiewirtschaft eine EDIFACT-Übertragungsdatei ausgetauscht wird, ist zu verschlüsseln und zu signieren, spätestens ab dem 01.06.2017." Verlangt wird eine Verschlüsselung nach dem S/MIME-Standard, wie dies die BSI-Richtlinie TR-03116 vorsieht.

Man könnte sagen, dass die Energiefirmen noch einmal Glück gehabt haben, wenn die Verschlüsselung erst so spät erfolgt, obgleich die Diskussion über Cybersicherheit und den Schutz der Infrastruktur vor Cyberangriffen schon viele Jahre geführt wird. Jetzt muss die RSA Schlüssellänge mindestens 2048 Bit betragen, die Zertifikate müssen von bestimmten Zertifizierungsstellen bestätigt sein. Sofern ein Zertifikat abläuft, muss bereits zwei Wochen zuvor ein Nachfolgezertifikat zur Verfügung gestellt werden, so dass zwei Wochen lange zwei Zertifikate parallel im Einsatz sind.

Zwar ist "jeder Marktpartner verpflichtet, mindestens einmal täglich zu prüfen, ob keines der Zertifikate seiner Marktpartner gesperrt wurde, in dem er alle von ihm verwendeten Zertifikate gegen die Sperrlisten (CRL) prüft. Die Sperrliste ist öffentlich mindestens per http zugänglich zu machen." Von den Zertifizierungsstellen wird aber nicht verlangt, die geforderten öffentlich zugänglichen Sperrlisten auch täglich zu aktualisieren.

Das sind einige Punkte, die die Gas- und Energiegenossenschaft Ost- und Mitteldeutschland eG (GEG) in einem Schreiben an das Bundeskanzleramt und die Bundesnetzagentur moniert hat. Es werden schwere Vorwürfe erhoben: "Ein Test hat ergeben, dass bei ca. 50% der gemäß der Beschlüsse der Bundesnetzagentur zur Kontaktaufnahme/Austausch von Kommunikationsdaten versendeten Nachrichten nach 6 Stunden das reale Sicherheitsrisiko besteht, dass Daten unbefugt heruntergeladen, Daten manipuliert und ganze Computer per Remote/Spionagesoftware übernommen werden. Die Bundesnetzagentur wurde bereits informiert."

Insbesondere wird kritisiert, dass weiterhin unverschlüsselte Excel-Dateien verwendet werden können. Als Beispiel für eine mögliche Gefährdung wurde Telepolis gegenüber beschrieben: "Ein bekannter Marktpartner hat vor wenigen Tagen eine Excel-Datei mit solchen Kommunikationsdaten verschickt, welche beim Öffnen automatisch Daten aus dem Internet nachlädt (das war in der eMail sogar angekündigt). Dies hat bei 90% der angeschriebenen Energieunternehmen geklappt. Ein Angreifer hätte über diesen Weg Daten herunterladen oder Spionagesoftware nachladen können."

Zudem würden für die fortgeschrittenen Signaturen nicht wie im Signaturgesetz vorgesehe Zertifikate verlangt, die auf natürliche Personen ausgestellt sind, sondern es könne etwa auch ein Firmenname bzw. eine juristische Person verwendet werden. Kritisiert wird überdies, dass "bei der Erarbeitung und Entwicklung von Kommunikationsvorgaben in der Energiewirtschaft ein privatrechtlicher Verein/Verband federführend (ist), dessen Mitglieder und Arbeitsgruppen keinerlei Sicherheitsüberprüfung unterliegen".

Telepolis hat sich an das Bundeskanzleramt gewandt und gefragt, ob die Warnhinweise berechtigt sind und welche der vorgeschlagenen Maßnahmen erwogen und/oder übernommen würden. Geantwortet hat das Presse-und Informationsamt der Bundesregierung am 15. Mai: "Die von der Gas- und Energiegenossenschaft Ost- und Mitteldeutschland eG (GEG) übermittelten Hinweise sind der Bundesnetzagentur (BNetzA) bekannt. Die BNetzA als für die Marktkommunikation im Energiemarkt zuständige Behörde prüft die Hinweise und Anregungen und hat diese z.T. bereits gegenüber der GEG beantwortet. Konkrete Anhaltspunkte für sicherheitsrelevante Vorfälle liegen der BNetzA bisher nicht vor."

Excel-Dateien und natürliche Personen

Die Verwendung von Excel-Formularen wird zugestanden und wird auf die Wünsche der Branche zurückgeführt, indirekt oder hinter verhaltender Hand werden auch die damit einhergehenden möglichen Sicherheitsrisiken eingeräumt: "Es trifft zu, dass bestimmte Daten im Verhältnis zwischen Netzbetreibern und Netznutzern nach Vorgaben der BNetzA mittels Excel-Formularen ausgetauscht werden. Dies entspricht laut BNetzA den vielfach geäußerten Forderungen der Branche, ein automatisiert verarbeitbares Datenformat anstelle eines Schriftverkehrs auf Papier zu nutzen."

Die BNetzA, wird versichert, nehme die Warnungen ernst und prüfe, "ob für den Stammdatenaustausch geeignetere massengeschäftstaugliche Möglichkeiten existieren". In der Zwischenzeit besteht also ein gewisses Sicherheitsrisiko.

Zurückgewiesen wird die Kritik, dass vom Signaturgesetz Zertifikate nur auf persönliche Personen ausgestellt werden sollen, nicht aber auf juristische Personen, also beispielsweise auf Firmen, wie dies die neuen EDIFACT-Kommunikationsregeln ermöglichen: "Die von GEG vertretene Rechtsauffassung zur Erforderlichkeit der Ausstellung fortgeschrittener Zertifikate auf natürliche Personen trifft aus Sicht der BNetzA nicht zu", so die Antwort, allerdings ohne weitere Begründung.

Ob dies zutrifft, wäre die Frage. Vorgeschrieben ist nach dem Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz - SigG), dass ein Zertifizierungsdiensteanbieter eine Person, die ein qualifiziertes Zertifikat beantragt, zuverlässig identifizieren muss. Das Zertifikat kann "auf Verlangen eines Antragstellers Angaben über seine Vertretungsmacht für eine dritte Person sowie berufsbezogene oder sonstige Angaben zu seiner Person (Attribute) enthalten". §2 macht deutlich, dass "fortgeschrittene elektronische Signaturen … ausschließlich dem Signaturschlüssel-Inhaber zugeordnet sind" und dass "Signaturschlüssel-Inhaber natürliche Personen" sind, nur "Zertifizierungsdiensteanbieter" können natürliche oder juristische Personen sein.