Vor wenigen Wochen ließen die „Vulkan Files“ aufhorchen. Eine internationale Recherchegruppe hatte Dokumente aufgespürt, die den Schluss nahelegen, dass Russland groß angelegte Cyberattacken mithilfe privater Softwarefirmen plant. Eine davon: NTC Vulkan. Die Journalisten und Analysten berichten von Plänen, nach denen Stromnetze sabotiert, die IT-Strukturen von Flughäfen lahmgelegt oder die Bahninfrastruktur gestört werden sollen. Doch nicht erst seit dieser Erkenntnis sind die Behörden und die Betreiber kritischer Infrastruktur in Deutschland alarmiert.
In seinem aktuellen Bericht vom Oktober 2022 zur Lage der IT-Sicherheit in Deutschland beziffert das Bundesamt für Sicherheit in der Informationstechnik (BSI) den täglichen Zuwachs neuer Malware-Varianten im vorangegangenen April und Mai mit knapp 300.000. Der höchste Wert im Berichtszeitraum, der von Juni 2021 bis Mai 2022 reicht, hatte mit durchschnittlich knapp 450.000 neuen Varianten pro Tag im Oktober 2021 gelegen.
Insgesamt hatte nach Angaben des BSI die Anzahl der Schadprogramme in den betrachteten zwölf Monaten um 116,6
Millionen zugenommen. Der Grundtenor des Reports lässt sich in einem Satz auf den Punkt bringen: „Die Gefährdungslage der kritischen Infrastrukturen in Deutschland hat sich weiter verschärft.“ In den kommenden Wochen werden die Beamten des BSI die aktuelle Lage erneut dokumentieren. Alles andere als eine Fortführung des besorgniserregenden Trends der vergangenen Jahre wäre eine Überraschung.
IT-Sicherheit als Gestaltungsfaktor der Energiewende Im März 2022 hatte die Deutsche Energie-Agentur (Dena) ein Gutachten unter dem Titel „EnerCrypt − Cyberinnovationen für das sichere Energiesystem der Zukunft“ veröffentlicht. Es sollte deutlich machen, wie sehr der Erfolg der Energiewende auf „Cyberinnovationen“ angewiesen ist. Gleichzeitig ging es den Autoren auch darum, die IT-Sicherheit als Gestaltungsfaktor der Energiewende in der fachlichen und politischen Diskussion zu etablieren.
Im Spätsommer des vergangenen Jahres legte die Dena dann mit einer Umfrage unter Energieversorgern und Verteilnetzbetreibern nach, um deren Einschätzung zur Gefährdung der Stromnetze zu erfahren. Kleine Stadtwerke kamen ebenso zu Wort wie große Verteilnetzbetreiber mit mehr als 1
Million Zählpunkten. Die Mehrheit der Befragten (58
Prozent) gab an, einen erfolgreichen Cyberangriff für unwahrscheinlich zu halten. Die restlichen 42
Prozent schätzten das Risiko als hoch ein.
Dass zumindest die Gefahr eines Angriffs real ist, haben zahlreiche Unternehmen aus der Energiewirtschaft schon erfahren müssen. Nicht immer kamen sie so glimpflich davon wie im März 2022 die Stadtwerke Karlsruhe. Bisher ist − nach eigenen Angaben auch den Stadtwerken selbst − unklar, wie der Informationsfluss bis zur Identifizierung des befallenen Computers tatsächlich war. Eine zumindest offiziell unbekannte Quelle hatte offensichtlich den Angriff über die Analyseplattform „virustotal.com“ erkannt und noch rechtzeitig eine entsprechende Warnung nach Karlsruhe geschickt, bevor sich die Schadsoftware im Netzwerk des Versorgers ausbreiten konnte. Andere Versorger hatten nicht so viel Glück und waren den Erpressungsversuchen der Cyberkriminellen ausgesetzt.
Dass kleine Unternehmen genauso betroffen sein können wie Großkonzerne, zeigt ein Blick auf die diversen Listen, die einen Überblick über die angegriffenen Firmen geben. Hier finden sich neben den Stadtwerken Dillingen-Lauingen und der Stadtreinigung Kassel beispielsweise der Rüstungskonzern Rheinmetall und Thyssen Krupp.
Nicht alle Angriffe werden bekannt, nicht alle Unternehmen sprechen darüber so offen wie beispielsweise die Kisters AG. Das Unternehmen, das als IT-Dienstleister für die Energiewirtschaft selbst zwar nicht kritische Infrastruktur betreibt, aber Betreiber kritischer Infrastruktur als Kunden hat, wurde Ende 2021 gehackt. Auf die Erpressungsversuche ließen sich Firmenchef Klaus Kisters und seine Mitarbeiter allerdings nicht ein.
Wie zurückhaltend sich Energieversorger und Netzbetreiber zum Thema Cybersicherheit meist äußern, zeigt auch der öffentliche Umgang mit einer zum 1.
Mai 2023 in Kraft getretenen Verpflichtung, die auf das IT-Sicherheitsgesetz und den §
11 des Energiewirtschaftsgesetzes (EnWG) zurückgeht. Demnach müssen die „Betreiber von Energieversorgungsnetzen und von solchen Energieanlagen, die nach der Rechtsverordnung gemäß §
10 Absatz
1 des BSI-Gesetzes als Kritische Infrastruktur gelten“ von diesem Stichtag an dem BSI nachweisen, dass sie „in angemessener Weise“ Systeme und Prozesse zur Angriffserkennung implementiert haben, die „dem Stand der Technik“ entsprechen und bestimmte Anforderungen erfüllen. So müssen diese beispielsweise in der Lage sein, kontinuierlich Bedrohungen zu identifizieren beziehungsweise zu vermeiden und eingetretene Störungen zu beheben (siehe auch Kasten "Geprüfte Sicherheit" unten).
Kritis mehr denn je im Fokus von Cyberkriminellen Einige Unternehmen lehnten − zum Teil mit Verweis auf urlaubs- und krankheitsbedingte personelle Engpässe − eine Stellungnahme zur Implementierung der Systeme zur Angriffserkennung gänzlich ab. Bei einigen fielen die Rückmeldungen dünn aus. Auf Anfrage von
E&M bat beispielsweise ein Eon-Sprecher stellvertretend für die Verteilnetzbetreiber des Konzerns um Verständnis, dass man sich angesichts der Sensibilität des Themas zugeknöpft gebe.
Nur so viel: „Als Betreiber Kritischer Infrastrukturen unterliegen wir schon seit Jahren der Gesetzgebung aus dem IT-Sicherheitsgesetz, insbesondere den Vorgaben, die in das Energiewirtschaftsgesetz aufgenommen wurden. Diese Vorgaben haben wir umgesetzt und die Umsetzung wird jährlich durch unabhängige dritte Zertifizierungsgesellschaften bestätigt. Auch auf die zukünftigen nationalen Regulierungsanforderungen, die aus der europäischen CER-Richtlinie (Richtlinie über die Resilienz kritischer Einrichtungen; d. Red.) resultieren werden, ist Eon bestmöglich vorbereitet. Hierzu gehören sowohl der Schutz vor physischen Bedrohungen als auch die Abwehr von Cyberangriffen.“
IT-Sicherheitsspezialisten haben im Vorfeld des 1.
Mai noch einmal gemahnt, die Verpflichtung zur Einführung von Systemen zur Angriffserkennung ernst zu nehmen. Schließlich stünden kritische Infrastrukturen mehr denn je im Fokus von Hackern. „Das gilt für kommunale Wasserversorger genauso wie für bundesweite Stromanbieter“, sagt Alexander Häußler. Die nun in Kraft getretene Verpflichtung sieht der Lead Auditor von der Tüv Süd Management Service GmbH als logische Konsequenz aus dieser Entwicklung.
Natürlich hatten die Betreiber einer kritischen Infrastruktur bislang schon Anforderungen bezüglich ihrer IT-Sicherheit zu erfüllen. Stromnetz Hamburg ist ein solcher Kritis-Betreiber und hat seit Jahren ein zertifiziertes Informationssicherheitsmanagementsystem gemäß den Anforderungen des IT-Sicherheitskatalogs der Bundesnetzagentur. Daher hatte das Unternehmen bereits vor dem 1.
Mai verschiedene technische und organisatorische Maßnahmen zur Angriffserkennung etabliert, etwa Firewalls, Intrusion Detection Systems (IDS), ein Security Information and Event Management System (SIEM) sowie Meldeprozesse für Informationssicherheitsvorfälle und -ereignisse.
Auf den bestehenden Systemen und Prozessen habe man nun gut aufsetzen können, heißt es vonseiten des Netzbetreibers. „In erster Linie haben wir die bisherigen Systeme und Prozesse im Hinblick auf die Anforderungen der BSI-Orientierungshilfe weiter geschärft und ausgebaut“, sagte eine Sprecherin zu
E&M. Der Aufbau eines internen Security Operations Centers sei dagegen direkt auf die neuen Anforderungen zur Angriffserkennung zurückzuführen. „Damit können wir nun noch zeitnaher Informationssicherheitsvorfälle und -ereignisse qualifiziert prüfen und darauf reagieren“, so die Sprecherin.
Sowohl Kann- als auch Muss-Vorgaben Die Orientierungshilfe des BSI umfasst zwölf A4-Seiten. Sie enthält sowohl Kann- als auch Muss-Formulierungen, die sich auf die drei Funktionalitäten Protokollierung, Detektion und Reaktion beziehen − sowohl auf deren Planung als auch deren Umsetzung. Für alle drei Bereiche gilt: Es müssen technische, organisatorische und personelle Voraussetzungen erfüllt sein.
Den Aufwand zur Erfüllung der Anforderungen des Gesetzgebers und des BSI empfanden die Verantwortlichen in der Hansestadt als erheblich. Man habe an verschiedenen Stellen „punktuell“ bei der Umsetzung Unterstützung von Beratern und externen Dienstleistern erhalten, hieß es. Die Projektleitung und Dokumentation der technischen und organisatorischen Maßnahmen wurden jedoch in Eigenregie durchgeführt. Bei aller Unterstützung durch Externe sei deren Steuerung und die bedarfsgerechte Anpassung der Ergebnisse auf das eigene Unternehmen durch interne Mitarbeiter allerdings unerlässlich.
Als besondere Herausforderung sowohl für den Netzbetreiber als auch die Auditoren sei hinzugekommen, dass sich die formalen Anforderungen erst im vergangenen Winter abschließend in der Anwendungshilfe des BSI manifestiert hätten. Die Umsetzung dürfte deshalb nicht nur in Hamburg ein „sportliches“ Unterfangen gewesen sein. Denn das Thema Angriffserkennung sei komplex und erfordere eine ganzheitliche technische und organisatorische Ende-zu-Ende-Betrachtung − von der Protokollierung über die Detektion bis zur Reaktion.
Allerdings − und darauf weist auch der Netzbetreiber der Hansestadt hin − ist mit der Einführung der Systeme zur Angriffserkennung nur der erste Schritt getan. Nun gelte es, die Systeme und Prozesse kontinuierlich zu verbessern.
Energienetzbetreiber haben nach dem Energiewirtschaftsgesetz die Pflicht, bestimmte Mindeststandards in der IT-Sicherheit einzuhalten. Ob sie dies auch tun, kann von der Bundesnetzagentur überprüft werden. Außerdem haben Netzbetreiber, deren Anlagen zur kritischen Infrastruktur gehören, besondere Berichts- und Nachweispflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI).
Grundsätzlich müssen regulierte Unternehmen alle zwei Jahre einen Nachweis einreichen, dass sie die Anforderungen aus dem BSI-Gesetz erfüllen. „Nachweise, die dem BSI ab dem 1. Mai 2023 vorgelegt werden, müssen auch Aussagen zur Umsetzung des § 8a Absatz 1a BSIG, also zum Einsatz von Angriffserkennungssystemen, enthalten“, heißt es in der Orientierungshilfe der Behörde. Diese weist darauf hin, dass Betreiber von Energieversorgungsnetzen und solchen Energieanlagen, die als kritische Infrastruktur gelten, die einschlägigen Vorschriften des Energiewirtschaftsgesetzes beachten müssen. Ihre Nachweispflicht ergibt sich aus dem § 11 Absatz 1 EnWG. Gemäß § 11 Absatz 1f EnWG haben sie dem BSI „erstmalig am 1. Mai 2023 und danach alle zwei Jahre die Erfüllung der Anforderungen nach § 11 Absatz 1e EnWG nachzuweisen“.
Was als kritische Infrastruktur gilt, definiert unter anderem § 2 der BSI-Kritisverordnung. Anhang 1 der Verordnung enthält die entsprechenden Schwellenwerte für die Energiewirtschaft. Bei Stromübertragungs- und -verteilnetzen sind dies beispielsweise 3.700 Millionen kWh/Jahr an Energie, die von Letztverbrauchern oder Weiterverteilern entnommen werden.
Donnerstag, 4.05.2023, 10:40 Uhr
© 2024 Energie & Management GmbH
