Quelle: Fotolia / Sergey Nivens
Ab dem 1. Mai dieses Jahres haben Betreiber kritischer Infrastruktur neue, erweiterte Berichtspflichten. Sie müssen Systeme zur Erkennung von Cyberattacken nachweisen.
Die sogenannten „Vulkan Files“ ließen vor wenigen Wochen aufhorchen. Die von einer internationalen Recherchegruppe aufgespürten Dokumente legen den Schluss nahe, dass Russland groß angelegte Hackerangriffe mit Hilfe privater Softwareunternehmen plant. Eines davon ist NTC Vulkan. Demnach sollen unter anderem Stromnetze sabotiert, die IT-Strukturen von Flughäfen lahmgelegt oder die Bahninfrastruktur gestört werden.
Doch nicht erst seit dieser Erkenntnis sind die Behörden und die Infrastrukturbetreiber in Deutschland alarmiert. Der jährlich im Herbst erscheinende Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Lage der Cybersicherheit in Deutschland und Veröffentlichungen wie das Gutachten der Deutschen Energie-Agentur (Dena) mit dem Titel „EnerCrypt – Cyberinnovationen für das sichere Energiesystem der Zukunft“ zeugen davon.
Allerdings zeigen die Berichte auch, dass die Bedrohungslage sich stetig verschärft. Und dass die Gefahr eines Hackerangriffs real ist, haben zahlreiche Unternehmen aus der Energiewirtschaft und ihrem Umfeld schon leidvoll erfahren müssen. Dass kleine Unternehmen genauso betroffen sein können wie Großkonzerne zeigt ein Blick auf die diversen Listen, die einen Überblick über die angegriffenen Firmen geben. Hier finden sich neben den Stadtwerken Dillingen-Lauingen und der Stadtreinigung Kassel beispielsweise der Rüstungskonzern Rheinmetall und Thyssenkrupp.
Die Funktionalitäten Protokollierung, Detektion und Reaktion sind vorgeschriebenAm 1.
Mai 2023 tritt eine Verpflichtung, die auf das IT-Sicherheitsgesetz und den Paragrafen 11
des Energiewirtschaftsgesetzes (EnWG) zurückgeht, in Kraft. Sie trägt dieser steigenden Bedrohung Rechnung. Demnach müssen die „Betreiber von Energieversorgungsnetzen und von solchen Energieanlagen, die nach der Rechtsverordnung gemäß §
10 Absatz
1 des BSI-Gesetzes als Kritische Infrastruktur gelten“ ab diesem Stichtag dem BSI nachweisen, dass sie „in angemessener Weise“ Systeme und Prozesse zur Angriffserkennung implementiert haben, die „dem Stand der Technik“ entsprechen und bestimmte Anforderungen erfüllen. So müssen diese beispielsweise in der Lage sein, kontinuierlich Bedrohungen zu identifizieren beziehungsweise zu vermeiden und eingetretene Störungen zu beheben.
IT-Sicherheitsspezialisten mahnen im Vorfeld des 1.
Mai, diese Verpflichtung zur Einführung von Systemen zur Angriffserkennung ernst zu nehmen. Schließlich stünden kritische Infrastrukturen mehr denn je im Fokus von Hackern. „Das gilt für kommunale Wasserversorger genauso wie für bundesweite Stromanbieter“, sagt Alexander Häußler. Die Verpflichtung sieht der Lead Auditor von der TÜV Süd Management Service GmbH als logische Konsequenz auf diese Entwicklung.
Eine vom BSI herausgegebene zwölfseitige Orientierungshilfe zur Umsetzung der Angriffserkennung enthält sowohl Kann- als auch Muss-Formulierungen, die sich auf die drei Funktionalitäten Protokollierung, Detektion und Reaktion beziehen − sowohl auf deren Planung als auch deren Umsetzung. Für alle drei Bereiche gilt: Es müssen technische, organisatorische und personelle Voraussetzungen erfüllt sein.
Einen ausführlichen Beitrag zu diesem Thema lesen Sie in der Printausgabe von Energie & Management, die am 2. Mai erscheint.
Donnerstag, 27.04.2023, 15:58 Uhr
© 2024 Energie & Management GmbH
