Cyber-Angriffe im Verteilernetz: Pflicht zur Einführung von Systemen zur Angriffserkennung für alle Netzbetreiber
Seit dem 1.5.2023 verpflichtet das IT-Sicherheitsgesetz 2.0 alle Netzbetreiber zum Einsatz von Systemen zur Angriffserkennung (SzA) – eine Pflicht, die zuvor nur für Betreiber von kritischen Infrastrukturen (KRITIS) galt und im Bereich der Strom- und Gasverteilernetzbetreiber (VNB) nur wenige, vor allem größere VNB, traf und Netzbetreiber vor Umsetzungsprobleme stellt.
Gesetzliche Vorgaben
Gefordert ist der Einsatz „technische[r] Werkzeuge und [die] organisatorische Einbindung unterstützte[r] Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme“ (IT-SiG 2.0). Ziel dieser Systeme ist es, den Systembetreiber durch kontinuierliche und automatische Erfassung und Auswertung von geeigneten Parametern und Merkmalen aus dem laufenden Betrieb in die Lage zu versetzen, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.
Die Implementierung eines SzA ist dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ebenfalls seit dem 1.5.2023, und ab diesem Zeitpunkt fortlaufend alle zwei Jahre, zu melden. Dafür hat das BSI eine entsprechende Orientierungshilfe herausgegeben. Aufsichtsbehörde für die Einhaltung der Pflicht bleibt weiterhin die Bundesnetzagentur (BNetzA), die bereits seit 2015 über die Einhaltung des IT-Sicherheitskatalogs wacht und damit selbst über eine gewisse Fachkompetenz verfügt. Dabei kann die BNetzA auf ihr gesamtes Maßnahmen-Arsenal zurückgreifen, um die Aufgabenerfüllung durch die Netzbetreiber anzumahnen. Positiv normiert ist aber zunächst eine Reaktion durch das BSI, das eine hinreichende Systemimplementierung zu überprüfen hat. Dieses kann den Netzbetreiber im Einvernehmen mit der BNetzA dazu auffordern, Mängel zu beseitigen. Diese (vorgelagerte) Eskalationsstufe schließt aber weitere, einschneidendere Maßnahmen nicht aus.
Befreiung von der Pflicht zum Einsatz von SzA
Von der Pflicht befreit sind nur wenige Sonderkonstellationen. Denn die Pflicht zum Einsatz sei insbesondere bereits dann angemessen, wenn der für den Einsatz erforderliche Aufwand nicht außer Verhältnis zu den möglichen Folgen des Ausfalls oder der Beeinträchtigung des Netzes steht. Abwägungsentscheidungen der Behörden und/oder der Gerichte liegen freilich noch nicht vor, allerdings kann auf den Erfahrungsschatz zu den Pflichten im Kontext des IT-Sicherheitskatalogs zurückgegriffen werden. Hier hatte ein Befreiungsantrag Aussicht auf Erfolg, wenn schlicht keine Systeme verfügbar waren, die man zum Gegenstand eines Information Security Management System (ISMS) machen konnte (z.B. bei rein druckgeregelten Gasnetzen oder von Hand geregelten Stromnetzen). In diesen Fällen besteht mangels Einsatz von Systemen der Informations- und Kommunikationstechnik bereits kein Anknüpfungspunkt für ein ISMS und parallel auch kein Einfallstor für mögliche Systemangriffe über diese Systeme. Darüber hinaus wird eine Abwägungsentscheidung aufgrund einer jedenfalls über null Prozent liegenden Angriffswahrscheinlichkeit kaum allein am Kostenaufwand scheitern, da der Kostenaufwand im Rahmen der Netzentgeltregulierung (zumindest teilweise) auf die Allgemeinheit gewälzt werden kann.
Umsetzung der gesetzlichen Vorgaben
Der Umstand, dass nahezu ausnahmslos alle Netzbetreiber bis zum 1.5.2023 in die Pflicht zur Einrichtung von SzA genommen wurden, hat zu Umsetzungsproblemen geführt. Netzbetreiber, die erst nach explizitem Hinweisschreiben des BSI Ende 2022 reagierten, fanden sich in einer Situation mit überlangen Lieferzeiten und Personalengpässen bei den Implementierungsdienstleistern. Neben Verzögerungen in den Lieferketten mussten einzelne Betreiber von Energieversorgungsnetzen feststellen, dass der Markt für die im Einsatz befindliche Netzleitstellentechnik überhaupt kein kompatibles SzA bereithielt. Aber auch wer die Implementierung erfolgreich umsetzen konnte, fand eine ähnliche Marktsituation bei den zur Zertifizierung eigentlich vorgesehenen akkreditierten Stellen. Dies führte dazu, dass das BSI etwas mehr als zwei Monate vor Fristablauf die selbst gesetzten Vorgaben abmilderte und auf eine Zertifizierung innerhalb der ersten Meldeperiode verzichtete.
Zum Zeitpunkt dieses Beitrags sind Reaktionen des BSI auf unterbliebene Meldungen, unzureichende Umsetzungen oder proaktive Reaktionen auf das Fristversäumnis nicht bekannt, und auch die Frage, welche Rolle die BNetzA als (eigentliche) Aufsichtsbehörde im Kontext dieser Systeme einnehmen wird, ist noch nicht geklärt.
Festzuhalten bleibt allerdings: Anders als im Bereich der Markterklärung für intelligente Messsysteme (die mit der anstehenden MsbG-Novelle der Vergangenheit angehört), sind die SzA ein „Heimspiel“ für das BSI. Im Zusammenwirken mit der BNetzA ist zu befürchten, dass eine unzureichende und nicht fristgerechte Umsetzung der gesetzlichen Vorgaben über kurz oder lang zu behördlichen Reaktionen bzw. sogar Sanktionen führen wird. Diese Pflichten sollten daher ernst genommen werden, wenn die Drohung eines Cyberangriffs auf die sensiblen Systeme eines Netzbetreibers nicht schon Anlass genug gibt, SzA aufzubauen.
Ansprechpartner*innen BBH: Dr. Florian Wagner/Alexander Bartsch/Lukas Haun
Ansprechpartner*innen BBHC: Dr. Andreas Jankiewicz/Stefan Brühl/Victor Stocker
