Cybersicherheit für die Netze – Im Gespräch mit dem Vizepräsidenten der BNetzA Peter Franke

C
Download PDF
© Laurence Chaperon

Wir haben in Vorbereitung unseres Parlamentarischen Abends Anfang November in unserem Blog eine Interviewreihe herausgegeben, in der wir das Thema Cybersicherheit aus unterschiedlichen Perspektiven beleuchtet haben: aus der Sicht des Bundeskriminalamts, des Verfassungsschutzes, einer Präventionsplattform gegen Cyberkriminalität und eines Vertreters einer kritischen Infrastruktur. Aber auch nach unserem Parlamentarischen Abend möchten wir an dem Thema Cybersicherheit dran bleiben. Heute setzen wir unsere Gesprächsreihe mit dem Vizepräsidenten der BNetzA Peter Franke fort. Die oberste Regulierungsbehörde setzt mit ihrem IT-Sicherheitskatalog an den Energiesektor nämlich gesonderte Anforderungen.

Energieblog: Spätestens seit 2015 befasst sich die Bundesnetzagentur auch mit Themen der IT-Sicherheit im Enegiesektor. Wo liegen Ihre Aufgaben?

Franke: Strom- und Gasnetze, aber auch Kraftwerke und andere Energieanlagen müssen sicher betrieben werden. Das klingt zunächst nach einer Binsenweisheit, denn Sicherheit ist eine der zentralen Säulen der Energieversorgung und ein Aufgabenfeld, um das sich die Betreiber seit jeher kümmern. Während es in der Vergangenheit jedoch vor allem darauf ankam, die zum Betrieb der Netze notwendige Technik physisch abzusichern, sehen wir uns im 21. Jahrhundert beim Thema Sicherheit im Energiesektor ganz neuen Herausforderungen gegenüber: Die Funktionsfähigkeit der Energieversorgung ist nämlich in zunehmendem Maße von einer intakten Informations- und Kommunikationstechnologie abhängig. Diese Technik gilt es vor Gefahren aus dem Cyberraum zu schützen, um damit verbundene Risiken für die Versorgungssicherheit in Deutschland möglichst gering zu halten. In zwei sogenannten IT-Sicherheitskatalogen haben wir verbindliche Mindeststandards für die IT-Sicherheit im Energiesektor vorgegeben. Bereits 2015 haben wir den IT-Sicherheitskatalog für die Strom- und Gasnetze veröffentlicht, 2018 konnten wir in einem weiteren IT-Sicherheitskatalog die Anforderungen für Betreiber größerer Erzeugungsanlagen, Gasspeicher und Gasförderanlagen festlegen. Dabei haben wir übrigens sehr eng und vertrauensvoll mit den Kolleginnen und Kollegen des BSI zusammengearbeitet. Mit dem BSI sind wir in Sachen IT-Sicherheit ohnehin im regelmäßigen Austausch.

Energieblog: Sie haben gerade beschrieben, dass Sie in Ihren IT-Sicherheitskatalogen die Mindeststandards für die IT-Sicherheit im Energiesektor definieren: Worin bestehen diese Anforderungen genau?

Franke: Die Anforderungen aus den IT-Sicherheitskatalogen beruhen auf bewährten, schon seit Langem auch international angewandten Standards zur Informationssicherheit. Das heißt konkret: Wir verpflichten die Betreiber zur Einrichtung eines sogenannten Informationssicherheits-Managementsystems nach den einschlägigen ISO-Normen. Dabei geht es um mehr als die bloße Installation eines Virenscanners oder die Einrichtung einer Firewall. Ein solches ISMS ist eine Gesamtstrategie, aus der konkrete Maßnahmen zur Gewährleistung eines angemessenen Sicherheitsniveaus des Netz- bzw. Anlagenbetreibers abgeleitet werden. Die entscheidenden Fragen, die ein Betreiber dabei für sich beantworten muss, lauten: Welche IT-Systeme und -Komponenten setze ich ein, die für den sicheren Betrieb meines Netzes bzw. meiner Energieanlage unerlässlich sind? Welchen Risiken sind diese Systeme ausgesetzt? Und zu guter Letzt: Welche Maßnahmen muss ich ergreifen, um diesen Risiken begegnen zu können? Der große Vorteil der ISO-Normen für das Managementsystem ist der risikobasierte Ansatz: Das heißt, von den Betreibern wird nicht die „schablonenhafte“ Umsetzung starr vorgegebener und für alle identischer Maßnahmen verlangt. Ganz im Gegenteil: Die Anforderungen aus den IT-Sicherheitskatalogen sind in quantitativer und qualitativer Hinsicht flexibel und risikoangemessen. Die Umsetzung der Maßnahmen bleibt damit einzelfallbezogen und kann  auf die individuelle Größe, die technische Infrastruktur und die Bedrohungslage für die Betreiber angepasst werden. Den Betreibern werden also bewusst Spielräume eingeräumt, in eigener Verantwortung die für sie individuell passende IT-Sicherheitsarchitektur einzurichten und fortlaufend auf deren Wirksamkeit zu überprüfen.

Entscheidend ist dabei auch, dass Informationssicherheit nicht nur den Schutz von Hard- und Software umfasst, sondern auch den Faktor Mensch einbezieht. Die aktuelle Erkenntnisse über die Methoden der Angreifer zeigen nämlich, dass diese nicht mehr nur Systemschwachstellen auszunutzen versuchen, sondern auch auf die Ausnutzung unbedarften menschlichen Fehlverhaltens beim Umgang mit der eingesetzten Technik setzen. Der Ansatz des IT-Sicherheitskatalogs bezieht solche Risiken daher mit ein und legt fest, dass auch insoweit Maßnahmen zur Vorsorge ergriffen werden müssen.

Energieblog: Welche Erfahrungen haben Sie seit dem Inkrafttreten der IT-Sicherheitskataloge gemacht? Ist das IT-Sicherheitsniveau im Energiesektor gestiegen?

Franke: Zum Nachweis darüber, dass die Anforderungen aus den IT-Sicherheitskatalogen umgesetzt worden sind, haben wir die Betreiber zu einem Zertifizierungsverfahren verpflichtet, das in regelmäßigen Abständen wiederholt werden muss. Auf dieser Basis haben wir erstmalig einen umfassenden Überblick darüber, dass die Betreiber von Strom- und Gasnetzen und Energieanlagen im Bereich IT-Sicherheit gut gerüstet sind und die einschlägigen Sicherheitsmaßnahmen umsetzen.

Energieblog: Das klingt aber auch nach mehr Arbeit für alle Beteiligten. Wie nehmen Sie die Resonanz aus der Branche wahr?

Franke: Natürlich stoßen  gesetzliche Anforderungen, die mit einem erheblichen Umsetzungsaufwand verbunden sind, bei den Betreibern nicht immer sofort auf ungeteilte Gegenliebe. Dafür haben wir natürlich auch in gewisser Weise Verständnis. Der unbestreitbare Nutzen und Erfolg der IT-Sicherheitskataloge besteht aber auch darin, dass die Betreiber weiter für das Thema IT-Sicherheit sensibilisiert werden. So nehmen wir durchaus wahr, dass seit der Veröffentlichung der IT-Sicherheitskataloge die allermeisten Betreiber bei der Umsetzung auch aus eigener Überzeugung aktiv mitwirken und ihre Verantwortung  sehr ernst nehmen.  Maßnahmen zur IT-Sicherheit werden also zunehmend ganz selbstverständlich als wichtiger Bestandteil der unternehmenseigenen Sicherheitsarchitektur angesehen. Und insofern bin ich auch davon überzeugt, dass das Sicherheitsniveau im Energiesektor seit dem Inkrafttreten der IT-Sicherheitskataloge gestiegen ist.

Energieblog: Sehr geehrter Herr Franke, herzlichen Dank für das Gespräch.

Folgen Sie uns auf Twitter

Kategorien

Archive

BBH Almanach

Materialien für Praktiker im
Energie-, Infrastruktur- und öffentlichem Sektor aus Wirtschaft, Recht und Steuern

Veranstaltungskalender