09. Juli 2018: Auch im zweiten Teil des Interviews von Sarah Schweizer mit Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), geht es um den Rollout von Smart Meter, die Standardisierungsstrategie für die sektorübergreifende Digitalisierung und den IT-Sicherheitskatalog der BNetzA.

Kommen wir nochmal zurück auf Deutschland. Nach dem Messstellenbetriebsgesetz müsste der Smart Meter Rollout bereits im vollem Gange sein. Ist er aber nicht. Unter anderem aufgrund der strengen Anforderungen Ihrer Behörde an die Hersteller. Woran hakt es denn und wann rechnen Sie mit dem Start des Rollouts?

Schönbohm: Es hakt daran, dass bislang noch kein Hersteller die Anforderungen des vom BSI entwickelten Schutzprofils zufriedenstellend umsetzen konnte. Wir reden hier über ein zentrales Element der Energiewende, über das nicht nur Kundendaten sondern auch wichtige Steuerungsbefehle für die Stabilität der Stromnetze kommuniziert werden. Wir dürfen uns dabei keine Nachlässigkeiten in der Frage der Informationssicherheit erlauben.

Im Zertifizierungsverfahren werden neben der Einhaltung der Sicherheitsvorgaben im Gateway auch die Herstellungs- und Entwicklungsprozesse des Herstellers sowie die Auslieferungsprozesse der Geräte betrachtet und durch eine Prüfstelle geprüft und bewertet. Als Basis dieser Prüfung dienen entsprechende Herstellerdokumentationen des Geräts, um weiterführende Tests der Geräte-Software durchführen zu können. Sobald die notwendigen Anforderungen auf Herstellerseite erfüllt sind, werden wir Zertifikate erteilen. Das Gesamtverfahren liegt daher nicht nur in unserer Hand. Wir befinden uns in engem Austausch mit den Prüfstellen und Herstellern, begleiten den Prozess sehr eng und befinden uns auf der Zielgeraden. Wir sind zuversichtlich, dass dies erfolgreich umgesetzt wird.

Für die Begleitung des Rollouts wurden dem BSI 30 Planstellen bewilligt. Konnten diese Stellen denn in den entsprechenden Referaten besetzt werden?

Schönbohm: Das BSI ist insgesamt seit 2016 um gut 46 Prozent gewachsen. Wir konnten praktisch alle neuen Stellen mit qualifizierten Fachleuten besetzen. Wir haben allerdings auf Grund der zunehmenden Digitalisierung und der daraus hervorgehenden neuen Aufgaben, die auf das BSI zukommen, weiterhin großen Bedarf an gutem Personal.

Die Digitalisierung hat ja nicht nur Auswirkungen innerhalb von Sektoren, gerade auch die Vernetzung der Sektoren untereinander führt zu ganz neuen Gefährdungen. Denken wir nur an Industrieunternehmen, deren Stromverbrauch sich lastvariabel über eine Smart Meter steuern lässt oder Smart Home Anwendungen, die je nach den Signalen des Strompreises die Waschmaschine anwerfen, das Elektroauto laden und zugleich auch die Haustüre öffnen oder Rollläden hochfahren können. Kann die Verletzlichkeit dieser Systeme – bei Beachtung aller Vorkehrungen für die Cybersicherheit - überhaupt beherrscht werden?

Schönbohm: Natürlich. Um dies zu erreichen müssen wir aber endlich anfangen, Informationssicherheit von Beginn mitzudenken. Sie muss bei der Konzeption und Entwicklung neuer Produkte und neuer Infrastrukturen von vorneherein eine wesentliche Rolle spielen. Sicherheit erst im Nachhinein zu implementieren ist erstens aufwändiger und führt zweitens fast zwangsläufig zu Fehlern.

Das BSI tüftelt derzeit ja an einer Standardisierungsstrategie für die sektorübergreifende Digitalisierung. Wann werden die Schnittstellen und die Nutzung von Smart-Meter-Gateways für E-Mobility, Smart Home und sonstige digitale Dienstleistungen verpflichtend?

Schönbohm: Das Bundesministerium für Wirtschaft und Energie und das BSI arbeiten derzeit eine Roadmap "Standardisierungsstrategie zur sektorübergreifenden Digitalisierung nach dem Gesetz zur Digitalisierung der Energiewende" aus, die den konkreten Arbeitsplan für alle im Gesetz umfassten Bereiche enthalten wird. Die gesetzlichen Anforderungen werden in den nächsten Jahren vom BSI über detaillierte Standardvorgaben für modulare Smart-Meter-Gateway-Komponenten spezifiziert.

Während jedoch das Messstellenbetriebsgesetz für die Bereitstellung solcher Standardvorgaben sorgt, regeln beispielsweise EEG, KWKG und EnWG entsprechende Verpflichtungen bezüglich der Anwendung solcher Standards. Die Veröffentlichung der Standardisierungsstrategie ist Sache des dem BMWi und wird voraussichtlich noch 2018 erfolgen.

Verschiedene Studien kommen zu dem Ergebnis, dass Energieversorger aus Sicherheitsgründen bei der Implementierung neuer Technologien im Vergleich zu anderen Branchen oft sehr zögerlich sind. Und dort wo bereits digitale Technologien im Einsatz sind, bestehen häufig erhebliche Sicherheitsdefizite. Gleichzeit konstatiert die BNetzA in ihrem Grundsatzpapier zur Digitalisierung, dass digitale Geschäftsmodelle für die Energieversorger künftig immer wichtiger werden (müssen). Sollten die Versorger daher beherzt im Sinne von Start-Ups nach try and error vorgehen? Was würden Sie der Branche raten?

Schönbohm: Für eine erfolgreiche Digitalisierung wird immer auch eine angemessene IT-Sicherheitsbetrachtung benötigt. Es muss sichergestellt werden, dass der Einsatz neuer Technologien die Versorgungssicherheit nicht gefährdet. In für die Versorgungssicherheit relevanten Bereichen sollten neue Technologien daher erst nach intensiver Vorbereitung und gründlicher Prüfung verwendet werden. In anderen Bereichen, die für die Versorgungssicherheit nicht oder nur minder relevant sind, wie z. B. Kundenkontakt, sind die Sicherheitsanforderungen etwas geringer, hier müssen allerdings andere Aspekte, wie z. B. der Datenschutz, stärker beachtet werden.

Kürzlich hat die BNetzA die Konsultation zu einer Neuauflage des IT-Sicherheitskatalogs nach § 11 Abs. 1 a EnWG abgeschlossen. Welche Punkte sind aus Ihrer Sicht besonders wichtig?

Schönbohm: Für die Absicherung Kritischer Infrastrukturen ist es von besonderer Bedeutung, dass die IT-Schutzziele aus den Anforderungen an die zu schützenden Anlagen abgeleitet werden. Dabei müssen insbesondere auch die  Bedeutung der Anlagen für die Erbringung der Kritischen Dienstleistung sowie der Bedeutung dieser Dienstleistung selbst beachtet werden. Der Entwurf des IT-Sicherheitskatalogs der BNetzA enthält hierfür eine sehr gute Methodik. Sie stellt bei korrekter und gewissenhafter Anwendung seitens der Betreiber sicher, dass die wesentlichen Risiken benannt und mit passenden Maßnahmen mitigiert werden können.

Kommen wir zum Schluss. Kein Interview und Gespräch zur Digitalisierung ohne die Blockchain. Wie schätzen Sie solche Technologien unter dem IT-Sicherheitsaspekt ein?

Schönbohm:  Wir beschäftigen uns im BSI sehr intensiv mit den Sicherheitsaspekten der Blockchain. Da entwickelt sich momentan eine Technologie, der großes Potenzial in nahezu allen Wirtschaftsbereichen wie auch im öffentlichen Sektor zugeschrieben wird. Blockchain allein löst jedoch keine IT-Sicherheitsprobleme. Für eine flächendeckende und langfristige Etablierung der Blockchain-Technologie in einem breiten Anwendungsspektrum sind noch viele Fragen zu klären, insbesondere auch im sicherheitstechnischen Kontext. Wir befinden uns dazu in einem intensiven Dialog mit Wissenschaft, Industrie und Gesellschaft, um letztlich sektorspezifische Empfehlungen formulieren zu können. Gleichzeitig beschäftigen wir uns mit vielen anderen zukunftsweisenden Themen, etwa dem maschinellen Lernen. Wir müssen hier unserer Zeit voraus sein.

Sehr geehrter Herr Schönbohm, ich danke Ihnen ganz herzlich für Ihre Zeit und das offene Gespräch.