Digitale Angriffswellen gegen Energieunternehmen sind keine Seltenheit mehr.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Verfassungsschutz warnen vor zielgerichteten Attacken gegen Energieversorger. Nicht zum ersten Mal. Bereits im Sommer 2017 gab es Hinweise, dass die Netzwerke der Strom- und Gaslieferer von Cyber-Angriffen bedroht sind. Für die Experten steht fest: Die digitalen Angriffe auf die Energiewirtschaft laufen konstant und flächendeckend. Ein Grund mehr, die IT-Infrastruktur der Versorger gründlich abzusichern. Denn ein Blackout hätte schwerste Auswirkungen auf Staat, Wirtschaft und Gesellschaft.
In Deutschland waren die Cyber-Attacken auf das Energienetz bisher erfolglos – in der Ukraine konnten russische Hacker dagegen die Stromversorgung mit dem Schadprogramm „Black Energy“ stilllegen. Damit es hierzulande weiterhin keine flächendeckenden Ausfälle gibt, wurde das IT-Sicherheitsgesetz erlassen. Es verpflichtet Energieunternehmen, die verwendeten Systeme und Netzwerke funktionsfähig zu halten. Dafür wurde von der Bundesnetzagentur der IT-Sicherheitskatalog erstellt. Der Katalog definiert entsprechende Anforderungen speziell für Strom und Gaslieferanten. Er betrifft alle Versorger, die an ein Energieversorgungsnetz angeschlossen sind als kritische Infrastrukturen, die von der BSI-Kritis-Verordnung anhand von Schwellenwerten bestimmt wurden.
„Die Kernforderung des IT-Sicherheitskatalogs ist die Einführung eines Informationssicherheits-Managementsystems und dessen Zertifizierung von einer unabhängigen und zugelassenen Prüforganisation“, erklärt Marcus Ackermann, Lead-Auditor für Informationssicherheits-Managementsysteme bei TÜV Hessen. „So bleiben die zu schützenden Systeme und Daten verfügbar und die Integrität der verarbeiteten Informationen wird dauerhaft gewährleistet.“
Normen fördern Sicherheit
Ein Informationssicherheits-Managementsystem definiert die notwendigen Regeln und Methoden zum Schutz der Informations- und Kommunikationstechnik. Orientierung bei der Einführung eines solchen Systems gibt die Norm ISO 27001. Sie enthält die Anforderungen an die Managementprozesse und 114 konkret erforderliche Maßnahmen. Damit bietet sie einen systematischen und strukturierten Ansatz um die Informationssicherheit im Unternehmen zu erhöhen. Die Norm ISO 27002 ergänzt diesen Rahmen als Leitfaden – ohne konkrete Vorschriften zu machen. Damit ist sie eine hilfreiche Anleitung zur Umsetzung der 114 erforderlichen Maßnahmen. Denn bei der Implementierung des Informationssicherheits-Managementsystems können Unternehmen und Organisationen die Vorschläge des Leitfadens individuell gestalten. Für Energienetzbetreiber, die den IT-Sicherheitskatalog verbindlich umsetzen müssen, ist die Norm ISO 27019 ebenfalls relevant. Sie definiert über die ISO 27001 hinaus elf weitere Sicherheitsaspekte mit hoher Bedeutung für eine sichere Energieversorgung.
Aus den verschiedenen gesetzlichen Vorgaben entsteht ein großer Handlungsdruck für Netzbetreiber. Denn unabhängig von ihrer Unternehmensgröße mussten sie fristgerecht bis Ende Januar 2018 die Umsetzung des IT-Sicherheitskataloges nachweisen und somit ein Informationssicherheits-Managementsystem etablieren und eine Zertifizierung nach ISO 27001 vorweisen.
„Das enge Zeitfenster zwischen der Veröffentlichung des IT-Sicherheitskatalogs und dem geforderten Nachweis der Zertifizierung war eine große Herausforderung“, sagt Günter Haag, Werkleiter der Stadtwerke Eberbach. Das kommunale Versorgungsunternehmen setzte sich frühzeitig mit den neuen Anforderungen auseinander. Eine Projektgruppe befasste sich zeitnah mit der Umsetzung der Vorgaben.
Landkarte mit Flecken
Nicht jeder Energieversorger reagierte sofort auf die neuen Richtlinien. Die Stadtwerke Eberbach kümmerten sich dagegen zeitnah um die fristgerechten Nachweise. „Wir haben zunächst unsere bestehenden Maßnahmen überprüft.“, sagt Günter Haag, „So konnten wir feststellen, ob sie dem aktuellen Stand der Technik entsprechen“. Anschließend wurde unter fachkundiger Beratung ein Informationssicherheits-Managementsystem eingerichtet, um die bestehenden Prozesse fortlaufend zu optimieren.
Davon profitiert der Versorger jeden Tag. Weil die technischen und organisatorischen Sicherheitsvorkehrungen kontinuierlich verbessert werden, lässt sich das Restrisiko einfacher kontrollieren und bewerten. So erhöhte sich während der Implementierung des Informationssicherheits-Managementsystems auch das Sicherheitsbewusstsein innerhalb des Unternehmens. Damit können die Mitarbeiter gezielt Vor- und Nachteile bewerten, beispielsweise beim Kauf von Produkten, mit denen die IT-Sicherheit erhöht wird.
Nachgewiesener Schutz
Um das implementierte System zu zertifizieren, wendeten sich die Stadtwerke an TÜV Hessen und warteten gespannt auf das Ergebnis der Zertifizierung. „In Eberbach herrschte eine gewisse Vorfreude auf das Audit“, berichtet Marcus Ackermann mit einem Schmunzeln. „Wenn ein Unternehmen gut aufgestellt ist und nichts zu befürchten hat, ist die Stimmung immer positiver“. Zunächst wurde die Bereitschaft des Unternehmens für das Audit bewertet. Dabei wird geprüft, ob die Voraussetzungen für eine Zertifizierung gegeben sind. Nach dem diese Hürde gemeistert wurde, folgte einige Wochen später die Prüfung der konkreten Umsetzung und der Wirksamkeit des Informationssicherheits-Managementsystems. Dabei wurde der Prüfer als Fachexperte für Strom und Gas mit seinen Branchenkenntnissen als kompetenter Ansprechpartner geschätzt.
In Eberbach kam das Know-how gut an. „Das Audit von TÜV Hessen war konstruktiv und zielführend“, sagt Günter Haag. „Aus dem Zertifizierungsprozess konnten wir einige wertvolle Erkenntnisse für die weitere Verbesserung unserer Informationssicherheit gewinnen“. Kein Wunder, dass die Zusammenarbeit fortgesetzt werden soll. Eine jährliche Überprüfung der implementierten Verfahren und Strukturen ist sowohl erforderlich als auch bereits geplant. Die Stadtwerke Eberbach erhoffen sich von den regelmäßigen Prüfungen weitere Erkenntnisse, um ihre Systeme noch besser zu schützen. „Informationssicherheit ist ein kontinuierlicher Prozess, der die Awareness fördert“, bilanziert Marcus Ackermann, „wenn sich daraus Methoden entwickeln, die das Bewusstsein von Mitarbeitern für digitale Bedrohungen schärfen, ist es für jedes Unternehmen ein Gewinn“.