03. Juli 2018: Auch in der Energiewirtschaft wird Cybersecurity zur zentralen Herausforderung. Sarah Schweizer hatte Gelegenheit mit jemanden zu sprechen, der weiß, worauf es ankommt: Arne Schönbohm, Präsident des BSI. Im ersten Teil geht es um die Verletzlichkeit der Energieinfrastruktur und die Unterstützung kleiner Netzbetreiber.

Herr Schönbohm, wie würden Sie jemandem, der noch nie vom Bundesamt für Sicherheit in der Informationstechnik gehört hat, die Aufgaben Ihrer Behörde beschreiben?

Schönbohm: Das BSI ist die nationale Cyber-Sicherheitsbehörde. Wir gestalten Informationssicherheit in der Digitalisierung für Staat, Wirtschaft und Gesellschaft. Das bedeutet, dass wir die Entwicklung, die uns mit der Digitalisierung bevorsteht, aktiv begleiten, Standards setzen und die Sicherheit in dieser zunehmend vernetzten Welt erhöhen. Wir sind überzeugt davon, dass die Digitalisierung nur gelingen kann, wenn wir die Informationssicherheit als ihre Voraussetzung verstehen. Niemand setzt sich in ein autonom fahrendes Auto, wenn es nicht die höchsten Sicherheitsstandards erfüllt. Niemand wird mehr bei einem Anbieter online einkaufen, wenn dieser die Kundendaten nicht dauerhaft zuverlässig schützen kann. Diese Prämisse setzen wir aktiv für die Regierungsnetze, in Kooperation mit der Wirtschaft und beratend für die Bürger um.

Kommen wir zum Energiesektor. Wie sicher sind unsere Energieerzeugungsanlagen, d.h. vor allem die Kernkraftwerke und unsere Stromnetze vor Hackern?

Schönbohm: Nicht zuletzt dank des IT-Sicherheitsgesetzes haben wir im Bereich der Kritischen Infrastrukturen ein hohes IT-Sicherheitsniveau. Dass dies auch nötig ist, zeigen die Angriffe auf Unternehmen aus der Energiebranche in jüngster Vergangenheit sehr eindrucksvoll. Während die kritischen Netze, etwa für Steuerungsanlagen, bislang erfolgreich geschützt werden konnten, sind Büronetzwerke mehrerer Unternehmen erfolgreich infiltriert werden. Wir müssen daher das IT-Sicherheitsgesetz fortschreiben und das IT-Sicherheitsniveau insgesamt weiter erhöhen.

Kritisch sind aber nicht nur die „kritischen Infrastrukturen“. So kann ein zeitgleicher Angriff auf die 1,6 Mio. kleinen Erzeugungsanlagen in Deutschland ebenfalls zu einem Systemzusammenbruch führen. Wie sehen hier die Schutzmechanismen aus?

Schönbohm: Ein solches Szenario erscheint mir sehr unrealistisch, aber auch in geringerem Ausmaß kann natürlich ein erfolgreicher Angriff enormen Schaden verursachen. Daher müssen auch die kleineren Versorger die Sicherheit ihrer Netzwerke als oberste Priorität einrichten. Das BSI trägt dem Rechnung, indem es auch für kleinere Betreiber Kritischer Infrastrukturen, die entsprechende Anlagen betreiben, allerdings in geringerem Umfang zur Versorgung beitragen, viel anbietet. Das BSI schließt auch diese kleineren KRITIS-Betreiber an sein Melde- und Informationswesen an und versorgt sie dadurch mit aktuellen Informationen, Warnungen und Empfehlungen zur IT-Sicherheit. Zudem steht diesen Unternehmen auch der UP KRITIS offen. Das ist die öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen. In diesem Rahmen werden sowohl branchenspezifische als auch branchenübergreifende Themen der IT-Sicherheit besprochen, Informationen zur Sicherheitslage ausgetauscht und gemeinsame Initiativen zur Verbesserung der Informationssicherheit in Kritischen Infrastrukturen voran gebracht.

Darüber hinaus bietet das BSI mit dem modernisierten IT-Grundschutz gut strukturierte Ansätze, um ein hohes IT-Sicherheitsniveau zu erreichen. Nicht zuletzt erwarten wir auch, dass der Stand der Technik, wie er im Rahmen des IT-Sicherheitsgesetzes definiert wird, auch bei den kleineren Versorgern Einzug hält.

Mit dem Gesetz zur Umsetzung europäischen Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie), das zum 30. Juni 2017 in Kraft trat, gelten nun hinsichtlich IT-sicherheitsrelevanter Vorfälle Meldepflichten für alle Betreiber von Energieversorgungsnetzen – also nicht nur für kritische Infrastrukturen. Ist die Bedeutung des Themas IT-Sicherheit Ihrer Meinung nach bereits bei allen 900 Verteilernetzbetreibern angekommen? Wenn nein – wie können sie unterstützt werden?

Schönbohm: Die allermeisten haben die Notwendigkeit der IT-Sicherheit mittlerweile auf der Agenda. Das sieht man auch daran, dass sich viele bereits beim BSI gemeldet haben, um sich an das Melde- und Informationswesen anzuschließen. Einige arbeiten auch aktiv im UP KRITIS mit. Allerdings dürfen wir in unseren Bemühungen nicht nachlassen. Wir nutzen daher unsere Kooperationsplattformen, etwa den UP KRITIS, die Allianz für Cyber-Sicherheit und unsere guten Kontakte zu Verbänden Kritischer Infrastrukturen, um das Bewusstsein für die Bedrohungslage weiter zu erhöhen.

Was ist das aus Ihrer Sicht realistischste Bedrohungsszenario im Bereich der IT-Sicherheit und welche grundlegenden Schutzvorrichtungen würden Sie allen Akteuren der Energiewirtschaft empfehlen?

Schönbohm: Es gibt im Prinzip zwei Szenarien: Gezielte Angriffe und ungezielte Angriffe. Zu letzteren zählt etwa Ransomware, die über Spam-Wellen verteilt wird oder auch die großen Vorfälle des vergangenen Jahres wie WannaCry und NotPetya. Gegen diese Angriffe kann man sich mit der konsequenten Umsetzung von grundlegenden IT-Sicherheitsmaßnahmen wie sie etwa im IT-Grundschutz beschrieben sind, gut schützen. Gezielte Angriffe haben oft einen nachrichtendienstlichen Hintergrund, bei denen die Angreifer über mehrstufige und langfristige Angriffsversuche Zugang zu den Netzwerken suchen. Auch davor kann man sich präventiv schützen und reaktiv auf bestehende Notfallkonzepte und Notfallkontakte zurückgreifen. Wir haben zu den aktuellen Fällen schon seit einiger Zeit konkrete Warnungen und Empfehlungen für die KRITIS-Betreiber herausgegeben.

In der Energiewirtschaft wird ja gern über die Frage dezentral vs. zentral und Verteilernetzbetreiber vs. Übertragungsnetzbetreiber diskutiert. Was ist aus IT-Sicherheitsaspekten die bessere Lösung?

Schönbohm: Grundsätzlich muss jede Nutzung von Daten für Zwecke des Netzbetriebs geeignet informationstechnisch abgesichert erfolgen. Dies gilt unabhängig davon, wie die für den Betrieb von Stromversorgungsnetzen, den sogenannten "Netzbetrieb", relevanten Daten im Detail gesammelt und verteilt werden. Es ist also nicht wichtig, ob diese durch die Verteilernetzbetreiber gesammelt und den Übertragungsnetzbetreibern zur Verfügung gestellt werden oder ob die Daten durch letztere gesammelt und aggregiert und nach Bedarf den Verteilernetzbetreibern bereitgestellt werden.

Entscheidend ist vielmehr, dass auch mittels IT-Sicherheit garantiert wird, dass es zu keiner Beeinträchtigung der (elektrotechnischen) Netzstabilität bzw. des sicheren Netzbetriebes im Gesamtnetz der deutschen Stromversorgung und dem europäischen Verbundnetz kommen kann. Nach Einschätzung des BSI sind beide Varianten ähnlich gut informationstechnisch abzusichern. Diese notwendige Absicherung muss aber schon von den ersten Architekturüberlegungen an konsequent mitgedacht und in der weiteren Implementierung entsprechend umgesetzt werden.

Sollte bei kritischen Infrastrukturen nicht viel stärker auf Open Source gesetzt werden?

Schönbohm: Unabhängig davon, ob es sich um Open Source Software oder rein kommerziell angebotene Anwendungen handelt, kommt es in Kritischen Infrastrukturen darauf an, Anforderungen zu identifizieren, die im jeweiligen Anwendungskontext erfüllt sein müssen. Über reine IT-Sicherheitsaspekte hinaus muss die Nutzung von Software in Kritischen Infrastrukturen auch allgemein den Anforderungen an Qualität, Zuverlässigkeit und Robustheit oder auch langfristiger Wartbarkeit genügen, die aus dem Einsatzzweck hervorgehen – auch dies unabhängig davon, ob es sich um Open Source Software oder rein kommerziell angebotene Anwendungen handelt.

Künftig scheint sich die Europäische Kommission in dem Bereich Cybersicherheit die Entscheidungshoheit vorbehalten zu wollen. Nach dem von der KOM vorgeschlagenen Legislativpaket „Clean Energy for all“ soll die Kommission künftig Regelungen zur Cybersicherheit festlegen können. Und Kommissionspräsident Juncker hat angekündigt, die EU-Agentur für Netz- und Informationssicherheit ENISA zu einer Behörde für „Cybersicherheit“ auszubauen. Was halten Sie von diesen Bestrebungen?

Schönbohm: Die ENISA hat über die letzten Jahre hinweg auf europäischer Ebene an Bedeutung gewonnen, etwa indem sie die Mitgliedsstaaten beim Aufbau von Kapazitäten oder bei der Umsetzung der NIS-Richtlinie und anderer EU-Rechtsakte unterstützt. Daher ist die geplante Schaffung eines permanenten und finanziell gut ausgestatteten Mandats für die ENISA sowie einen Ausbau der Behörde zum zentralen Vermittler von Wissen und Informationen zum Thema Cybersicherheit in der EU zu begrüßen. Ein Ausbau von ENISA zu einer operativen Cybersicherheitsbehörde - etwa beim Umgang mit europaweiten Cybersicherheitskrisen oder kritischen Infrastrukturen - würde allerdings in die wesentlichen Kompetenzen und Zuständigkeiten der Mitgliedsstaaten eingreifen. Zumal die ENISA dazu einen enormen Personalaufwuchs bräuchte. Diese Fachkräfte sind in den Mitgliedsstaaten und natürlich auch in Deutschland bereits vorhanden, Doppelstrukturen sollten hier unbedingt vermieden werden. Deswegen muss für Betreiber Kritischer Infrastrukturen der primäre Ansprechpartner die jeweils zuständige nationale Behörde sein und bleiben - dies ist auch eine zentrale Forderung der deutschen Energiewirtschaft.

Das war der erste Teil des Interviews mit Arne Schönbohm. Im zweiten Teil geht es um den Rollout von Smart Meter, die Standardisierungsstrategie für die sektorübergreifende Digitalisierung und den IT-Sicherheitskatalog der BNetzA.