Die Pflicht zur Einführung von Systemen zur Angriffserkennung für alle Netzbetreiber gilt seit dem 1. Mai. Von den ersten Erfahrungen berichtet Florian Wagner*.
Seit Anfang Mai erst gilt sie, die Pflicht zum Einsatz von Systemen zur Angriffserkennung (SzA). Eine Pflicht, die zuvor nur für Betreiber von kritischen Infrastrukturen (Kritis) galt und im Bereich der Strom- und Gasverteilnetzbetreiber (VNB) nur auf wenige, vor allem größere VNB zutraf. Die mit Einführung der allgemeinen Pflicht verfolgte politische Wertentscheidung folgt aus einer generellen Gefährdungseinschätzung von Cyberangriffen auf die deutsche Netzinfrastruktur.
Gefordert ist der Einsatz „technischer Werkzeuge und die organisatorische Einbindung unterstützter Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme“ (IT-SiG 2.0). Ziel dieser Systeme ist − aufgrund kontinuierlicher und automatischer Erfassung und Auswertung von geeigneten Parametern und Merkmalen aus dem laufenden Betrieb −, den Systembetreiber in die Lage zu versetzen, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.
Die Implementierung eines SzA ist dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ebenfalls seit dem 1. Mai 2023 zu melden und ab diesem Zeitpunkt fortlaufend alle zwei Jahre. Zur Umsetzung und zur Meldung hat das BSI eine entsprechende Orientierungshilfe herausgegeben. Aufsichtsbehörde für die Einhaltung der Pflicht bleibt hingegen weiterhin die Bundesnetzagentur (BNetzA), die im Übrigen bereits seit 2015 über die Einhaltung des IT-Sicherheitskatalogs wacht und damit selbst über eine gewisse Fachkompetenz verfügt. Dabei kann die BNetzA auf ihr gesamtes Maßnahmenarsenal zurückgreifen, um die Aufgabenerfüllung durch die Netzbetreiber anzumahnen. Positiv normiert ist aber zunächst eine Reaktion durch das BSI, das eine hinreichende Systemimplementierung zu überprüfen hat. Es kann im Einvernehmen mit der Bundesnetzagentur den Netzbetreiber zur Mängelbeseitigung auffordern. Diese (vorgelagerte) Eskalationsstufe schließt aber weitere einschneidendere Maßnahmen nicht aus.
Von der Pflicht befreit sind nur wenige Sonderkonstellationen. Denn die Pflicht zum Einsatz von SzA sei insbesondere bereits dann angemessen, wenn der für den Einsatz erforderliche Aufwand nicht außer Verhältnis zu den möglichen Folgen des Ausfalls oder der Beeinträchtigung des Netzes steht. Abwägungsentscheidungen der Behörden und/oder der Gerichte liegen freilich noch nicht vor, jedoch kann auch hier auf den Erfahrungsschatz zu den Pflichten im Kontext des IT-Sicherheitskatalogs zurückgegriffen werden. Hier hatte ein Befreiungsantrag Aussicht auf Erfolg, wenn schlicht keine Systeme verfügbar waren, die man zum Gegenstand eines Information Security Management System (ISMS) machen konnte (beispielsweise bei rein druckgeregelten Gasnetzen oder von Hand geregelten Stromnetzen). In diesen Fällen besteht mangels Einsatzes von Systemen der Informations- und Kommunikationstechnik bereits kein Anknüpfungspunkt für ein ISMS und parallel auch kein Einfallstor für mögliche Systemangriffe. Darüber hinaus wird eine Abwägungsentscheidung aufgrund einer jedenfalls über 0 Prozent liegenden Angriffswahrscheinlichkeit kaum allein am Kostenaufwand scheitern, da dieser im Rahmen der Netzentgeltregulierung (zumindest teilweise) auf die Allgemeinheit abgewälzt werden kann.
Lange Lieferzeiten, Personalengpässe, KompatibilitätsproblemeDer Umstand, dass nahezu ausnahmslos alle Netzbetreiber seit Mai, ohne Abstufung nach ihrer Bedeutung, in die Pflicht zur Einrichtung von SzA genommen wurden, hat zu Umsetzungsproblemen geführt. Netzbetreiber, die erst nach explizitem Hinweisschreiben des BSI Ende 2022 reagierten, fanden sich plötzlich in einer Situation überlanger Lieferzeiten und Personalengpässen bei den Implementierungsdienstleistern wieder. Neben Verzögerungen durch immer noch aufgrund der Ausläufer der Covid-19-Pandemie merklich gestörten Lieferketten mussten einzelne Betreiber von Energieversorgungsnetzen feststellen, dass der Markt für die im Einsatz befindliche Netzleitstellentechnik überhaupt kein kompatibles SzA bereithielt.
Aber auch wer zeitnah noch die Implementierung erfolgreich umsetzen konnte, fand eine ähnliche Marktsituation bei den zur Zertifizierung eigentlich vorgesehenen akkreditierten Stellen wieder. Dies führte dazu, dass das BSI etwas mehr als zwei Monate vor Fristablauf die selbst gesetzten Vorgaben abmilderte und auf eine Zertifizierung innerhalb der ersten Meldeperiode verzichtete.
Zum Zeitpunkt dieses Beitrags sind dem Autor Reaktionen des BSI auf unterbliebene Meldungen, unzureichende Umsetzungen oder von proaktiven Reaktionen auf das Fristversäumnis nicht bekannt und auch die Frage, welche Rolle die BNetzA als (eigentliche) Aufsichtsbehörde im Kontext dieser Systeme einnehmen wird, ist noch nicht geklärt.
Festzuhalten bleibt allerdings: Anders als im Bereich der Markterklärung für intelligente Messsysteme (die mit der anstehenden MsbG-Novelle der Vergangenheit angehört), sind die SzA ein „Heimspiel“ für das BSI. Im Zusammenwirken mit der BNetzA ist (leider) zu befürchten, dass eine unzureichende und nicht fristgerechte Umsetzung der gesetzlichen Vorgaben über kurz oder lang zu behördlichen Reaktionen beziehungsweise sogar Sanktionen führen dürfte. Diese Pflichten sollten daher ernst genommen werden, wenn die Drohung eines Cyberangriffs auf die sensiblen Systeme eines Netzbetreibers nicht schon Anlass genug gibt, SzA aufzubauen.
* Florian Wagner, Rechtsanwalt, Becker Büttner Held (BBH), Erfurt
Montag, 5.06.2023, 09:00 Uhr
© 2024 Energie & Management GmbH
