Bundesnetzagentur will Kraftwerke besser vor Cyberangriffen schützen

"Unsere moderne Gesellschaft ist in hohem Maße von einer funktionierenden Energieversorgung abhängig", konstatiert die Bundesnetzagentur in ihrem IT-Sicherheitskatalog für Energieanlagen. "Fehlen Strom und Gas, kommt das öffentliche Leben innerhalb kürzester Zeit zum Erliegen und lebensnotwendige Dienstleistungen können nicht mehr erbracht werden."

Da die Funktionsfähigkeit des Sektors wiederum an eine intakte Informations- und Kommunikationstechnik (IKT) geknüpft sei, hat die Regulierungsbehörde für den Schutz solcher Systeme etwa in Kraftwerken spezielle Anforderungen entwickelt. Festgehalten sind diese nach einer öffentlichen Konsultation gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) in entsprechenden Regeln. Die Betreiber von Energieanlagen werden damit vor allem verpflichtet, ein "Informationssicherheits-Managementsystem" (ISMS) einzuführen.

"Angemessenes IT-Sicherheitsniveau"

Dabei handelt es sich um eine Art unternehmensinterne Gesamtstrategie, aus der heraus betroffene Versorger "konkrete Maßnahmen zur Gewährleistung eines angemessenen IT-Sicherheitsniveaus individuell" ableiten und ihre Umsetzung fortlaufend überwachen müssen. Als allgemeine Schutzziele gelten dabei die Verfügbarkeit, Integrität und Vertraulichkeit der erfassten Systemen und der von ihnen verarbeiteten Informationen. Diese sollen mit dem Präventions- und Notfallplan in Form des ISMS erreicht werden.

Anlagenbetreiber haben laut dem Dokument "nachhaltig sicherzustellen, dass der Betrieb der betroffenen Telekommunikations- und elektronischen Datenverarbeitungssysteme ordnungsgemäß erfolgt". Die eingesetzten IKT-Systeme und -Prozesse müssten "zu jedem Zeitpunkt beherrscht", technische Störungen als solche erkannt und behoben werden können. Zugleich bestehe die Pflicht, Risiken etwa durch Cyberangriffe, Abhören der Kommunikation oder den Diebstahl von Rechnern zu bewerten und durch geeignete Schutzmaßnahmen zu "behandeln". Auch höhere Gewalt, oder menschliches sowie technisches Versagen sei zu berücksichtigen.

Kritische Infrastrukturen

Die Anforderungen gelten für alle Energieanlagen, die laut BSI den kritischen Infrastrukturen zugerechnet werden. Dazu gehören insbesondere Erzeugungsanlagen ab 420 Megawatt sowie größere Gasspeicher und Förderanlagen. Um nachweisen zu können, dass sie den Auflagen entsprechen, müssen die verpflichteten Betreiber der Bundesnetzagentur bis zum 31. März 2021 den Abschluss des vorgeschriebenen Zertifizierungsverfahrens anzeigen.

Die neuen Vorgaben ergänzen einen vergleichbaren IT-Sicherheitskatalog, den die Regulierungsbehörde bereits 2015 für Strom- und Gasnetze veröffentlicht hatte. Die davon betroffenen Betreiber mussten ihr entsprechendes "Gütesiegel" schon bis Ende Januar dieses Jahres mitteilen. (jk)