Cyberattacken und Cybersecurity: Risiken und Maßnahmen für Energieversorger

Energieversorger stehen nicht nur wegen der vor Jahren eingeläuteten Energiewende, sondern zusätzlich auch aufgrund einer zunehmenden Anzahl von Cyberattacken unter großem Druck. Energieversorger und Netzbetreiber müssen nicht nur eine immer stärkere Schwankung von Erzeugung und Verbrauch beherrschen, sondern sich dazu auch noch vor Hackerangriffen von außen wappnen. Lassen Sie sich von unserem Energierechts-Experten Dr. Markus Böhme erläutern, warum die Gefahr für Energieversorger gestiegen ist und wie Sie sich gegen Hackerangriffe rüsten. Erfahren Sie außerdem von Patrick Porsch, wie man in der Praxis von Rheinenergie mit den Gefahren umgeht.

Eine verlässliche Energieversorgung ist in der heutigen Zeit für das Funktionieren des Wirtschafts- und Privatlebens unabdingbar. Hierbei spielt insbesondere der Strombereich eine bedeutende Rolle, wenn man sich vergegenwärtigt, welche Konsequenzen es hätte, wenn der Strom für eine Stunde, einen Tag oder eine Woche ausfiele. Könnte man einen Stromausfall von einer Stunde noch als kurzfristige Versorgungsunterbrechung und somit als kurzfristiges Ärgernis abtun, sähe es bei einem Stromausfall von einem Tag schon anders aus. In einer zunehmend digitalisierten Wirtschaft wäre ein vernünftiges Arbeiten schon nicht mehr möglich, da die gesamte Büroinfrastruktur nicht funktionieren würde. Computer fielen dabei bei einer Cyberattacke genauso aus wie der Aufzug im Büro.

Ähnliche Effekte hätte eine derartige Versorgungsunterbrechung im häuslichen Umfeld, da die Unterhaltungselektronik, Telefone, Küchengeräte und die Beleuchtung ihren Dienst einstellen würden. Ferner läuft in den meisten Heizungskellern eine elektrisch betriebene Wärmepumpe, die für die Wärme- und Warmwasserversorgung von Immobilien unerlässlich ist. Diese Wärmepumpe fiele bei Stromausfall ebenfalls aus, sodass es nicht nur dunkel, sondern auch kalt würde. Die vorstehend beschriebenen Effekte würden sich bei einem Stromausfall von einer Woche noch verschlimmern, weil dann beispielsweise auch in Krankenhäusern und sonstiger öffentlicher Infrastruktur nicht mehr auf eine gegebenenfalls vorgehaltene Notstromversorgung zurückgegriffen werden könnte. Die dortigen Brennstofftanks dürften dann erschöpft sein.

Insofern kann es nicht verwundern, dass sich derartige Infrastruktur bei Energieversorgern einer zunehmenden Zahl an Cyberattacken ausgesetzt sieht, die teilweise staatlich gelenkt ist. Die Anzahl solcher Angriffe steigt beständig, wobei einige Fälle der jüngeren Vergangenheit besonders erwähnenswert sind. So ließ sich ein südwestdeutsches Stadtwerk vor einiger Zeit mittels eines bewusst erteilten Auftrags hacken, um zu testen, ob eine Unterbrechung der Stromversorgung möglich wäre.

Darüber hinaus berichteten die Medien Ende Juli 2018 recht breit darüber, dass russische Hacker in amerikanische Energieversorgungsnetze eingedrungen seien und Moskau nunmehr amerikanischen Bürgern den Strom abstellen könne. Insgesamt soll es hunderte Betroffene im Rahmen dieser Cyberattacke gegeben haben. Neben der Stromversorgung wurden dabei auch Kernreaktoren und Wasserkraftwerke in den Fokus genommen.

Europa hat sowohl auf europäischer als auch auf mitgliedstaatlicher Ebene Schritte ergriffen, um derartige Risiken zu minimieren. So sprach sich das europäische Parlament am 13. Juni 2018 dafür aus, dass sämtliche Organe und Einrichtungen der EU und in den Mitgliedstaaten Cyberabwehrkapazitäten und Lösungen für politische, rechtliche und organisatorische Hindernisse entwickeln sollten. Im deutschen Kontext ist auf das IT-Sicherheitsgesetz und die Kritis-Verordnung zu verweisen, die gefährdeten Bereichen besondere Schutzmaßnahmen abverlangt. Die geschilderten Angriffe auf Energieversorger verdeutlichen, wie notwendig dieses Vorgehen ist.

Mit Blick auf eine zunehmende digitale Durchdringung sämtlicher Lebensbereiche stellt sich im Energiekontext die Frage, ob die Digitalisierung hier zu einer zunehmenden Gefährdung oder stattdessen gerade zur Sicherheit der Energieversorgung beiträgt. Der deutsche Staat hat hier vor einiger Zeit mittels des Gesetzes zur Digitalisierung der Energiewende eine Vielzahl von Maßnahmen angestoßen und beim Überschreiten bestimmter Verbrauchswerte insbesondere den Einbau sogenannter „Smart Meter“ (also intelligenter Stromzähler) vorgesehen. Während konventionelle beziehungsweise „dumme“ Stromzähler schlicht den Energieverbrauch maßen und diesen mittels eines Zählerwerks anzeigten, sollen die Smart Meter einen viel größeren Anwendungsbereich haben, um eine bessere Verbrauchstransparenz und Verbrauchseinsparungen realisieren zu können.

Problematisch ist jedoch, dass nunmehr auch von außen auf diese Smart Meter zugegriffen werden kann (beispielsweise um die Verbrauchsdaten fernauszulesen) und hierbei Daten sowohl in das Gerät hinein als auch aus dem Gerät hinaus geschickt werden. Das würde hunderttausendfach installierte Smart Meter zu einem prädestinierten Einfallstor für missbräuchliche Cyberattacken machen, um flächendeckend die Energieversorgung lahmzulegen. Insofern kann es nicht verwundern, dass der Gesetzgeber in technischer Hinsicht besonders hohe Anforderungen an die Sicherheit dieser Smart Meter aufgestellt hat. Diese Geräte müssen vor ihrer Zulassung eine entsprechende Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik in Bonn durchlaufen.

Ein „Roll-out“ kann erst dann beginnen, wenn mindestens drei voneinander unabhängige Unternehmen intelligente Messsysteme anbieten, die den gesetzlichen beziehungsweise behördlichen Anforderungen genügen. Dieser Prozess verzögert sich mittlerweile immer mehr. Zunächst sollte der Roll-out ab Herbst 2017 starten. Nunmehr gehen wir bereits auf den Herbst 2018 zu und es ist immer noch kein einziges Gerät zugelassen, sondern sämtliche Produkte befinden sich noch immer im Zertifizierungsprozess.

Insofern ist zwar zu begrüßen, dass Sorgfalt vor Schnelligkeit geht. Ob die fertig zertifizierten Smart Meter dann aber tatsächlich sämtlichen Cyberattacken werden standhalten können, wird sich aller Voraussicht nach erst in der Praxis zeigen. Sollte es trotz aller Vorsichtsmaßnahmen zu einem hackerbedingten Stromausfall mit entsprechenden Schäden und Schadensersatzforderungen der Kunden kommen, zeigt sich, welche Bedeutung diesem Thema zukommt. Insofern sollte jeder Betreiber kritischer Infrastrukturen durch entsprechende Vorsichtsmaßnahmen sicherstellen, dass ihm kein Verschuldensvorwurf bei einer Unterbrechung der Stromversorgung gemacht werden kann.

RheinEnergie AG hat in den vergangenen Jahren groß aufgerüstet in Sachen Cybersecurity. Patrick Porsch hat uns im Interview verraten, wie man sich bei seinem Unternehmen vor Hackerangriffen zu schützen versucht und welche Maßnahmen auch Sie als Energieversorger jetzt ergreifen sollten.

Für Energieversorger hat Cybersecurity einen sehr hohen Stellenwert. Wie sehr haben Sie in den letzten Jahren aufgerüstet, um ideal vorbereitet zu sein?

Oberste Priorität hatte für uns die Einführung eines Informationssicherheits-Managementsystems (ISMS) und der damit verbundenen Prozesse. Anstatt ausschließlich die technische Cybersecurity zu verbessern, haben wir dem ISMS entsprechend unsere Risiken analysiert sowie Audits und Penetrationstests durchgeführt. Dabei haben wir vor allem organisatorische Verbesserungspotentiale festgestellt, beispielsweise bei der Berechtigungsvergabe oder der Pflege von Betriebshandbüchern. Aufgrund des kontinuierlichen Verbesserungsprozesses innerhalb des ISMS haben wir diese Verbesserungspotentiale bereits umgesetzt, werden aber weiterhin regelmäßig die Informationssicherheit überprüfen.

Haben Sie einen Notfallplan? Wie gehen Sie mit Vorfällen um?

Für den Umgang mit Informationssicherheitsvorfällen haben wir unternehmensweit einen einheitlichen Prozess definiert. Wenn Mitarbeiter einen Cybersecurity-Vorfall feststellen, können sie sich etwa an den IT-Service Desk oder nachts an die Querverbundleitstelle wenden. Dieses Vorgehen hat den Vorteil, dass sich die Mitarbeiter keine zusätzliche Telefonnummer merken müssen, da sie bei normalen Störungen ebenfalls den IT-Service Desk kontaktieren. Darüber hinaus haben sie mit der Querverbundleitstelle eine Anlaufstelle, die rund um die Uhr besetzt ist.

Wurde ein Sicherheitsvorfall gemeldet, verschafft sich der First-Level-Support einen ersten Überblick über die Situation und leitet den Fall dann an die jeweiligen Spezialisten weiter. Falls ein Vorfall größeren Schaden verursachen könnte, klassifizieren wir ihn als Notfall. Dann greifen vorbereitete Notfallpläne, die von der Notfallorganisation verwendet werden.

Analysieren Sie stetig, welche Cyberangriffe es schon gab, um sich vorzubereiten?

Wir stehen im engen Austausch mit den Behörden, IT-Sicherheitsexperten sowie anderen Energieversorgern. Zusätzlich erhalten wir als kritische Infrastruktur auch Warnmeldungen vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Aus all diesen Punkten leiten wir entsprechende Maßnahmen ab.

Welche Auswirkungen hat das IT-Sicherheitsgesetz für Sie in der Praxis?

Nach der BSI-Kritis-Verordnung verfügen wir über vier kritische Infrastrukturen:

Infolgedessen ist das IT‑Sicherheitsgesetz für uns von großer Bedeutung. Es sorgt dafür, dass wir die Cybersecurity in alle bereits etablierten Prozesse integrieren und damit ein wesentlicher Bestandteil unserer täglichen Arbeit wird. Ob ich nun ein neues Produkt einkaufe, einen neuen Mitarbeiter einstelle oder ein neues System aufsetze, immer sind dabei die ISMS-Vorgaben einzuhalten und Risiken abzuwägen. Der mit dem IT-Sicherheitsgesetz einhergehende kontinuierliche Verbesserungsprozess und das Bereitstellen entsprechender Ressourcen sind die Grundbausteine, um die Informationssicherheit erfolgreich in unsere täglichen Abläufe zu integrieren.

Welche Maßnahmen empfehlen Sie Energieversorgern in der Praxis als erste konkrete Schritte?

Aus meiner Sicht hat es oberste Priorität, den Vorstand in die Cybersecurity frühzeitig einzubinden. Denn dieser trägt letztendlich die Verantwortung für die Informationssicherheit im Unternehmen und muss entsprechende Ressourcen zur Verfügung stellen. Ein ISMS lässt sich einfacher Top-Down als Bottom-Up implementieren. Ist die Ressourcenfrage geklärt, geht es darum, den Geltungsbereich zu bestimmen.

Zur Beantwortung dieser Fragen kann es sinnvoll sein, einen kompetenten Berater einzubinden, insbesondere dann, wenn im eigenen Unternehmen noch keine ausreichende Expertise vorhanden ist.

Ansonsten gibt die ISO-Norm 27001 vor, was bei einem ISMS zu berücksichtigen ist. Falls trotz aller Vorteile eines ISMS keine ausreichenden Ressourcen zur Verfügung stehen, empfehle ich, einen Penetrationstest durchzuführen. Dieser zeigt die technischen Schwachstellen und Einfallstore auf und sorgt für eine angemessene Sensibilisierung bei den eingebundenen Mitarbeitern und Führungskräften.