Zwar sei kein IT-System »unhackbar«, aber die deutschen Netzbetreiber sind bei der IT-Sicherheit gut aufgestellt, unterstreicht der Verband kommunaler Unternehmen (VKU) auf Nachfrage der ZfK.
Netzbetreiber verfolgen vor allem zwei Ansätze, um die Energieversorgung zu sichern: Zum einen haben sie ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 eingeführt, das im Rahmen von Audits durch externe Sachverständige regelmäßig weiterentwickelt und geprüft wird.
Dezentralität macht Netze sicherer
Zum anderen stärken die Netzbetreiber die Resilienz des Systems, indem sie Krisenpläne erstellen und Krisenübungen durchführen. So könne im Ernstfall schnell reagiert und die Versorgung wiederhergestellt werden.
"Zusätzlich wappnet uns die dezentrale Struktur der Verteilnetze. Sie sorgt dafür, dass ein erfolgreicher Angriff auf ein einzelnes Netz nicht gleich zum Zusammenbruch des gesamten Netzsystems führt", so der VKU.
Tägliche Angriffe auf die Stromversorgung
Der Verband wird konkreter: Seine Mitglieder registrieren täglich Angriffe auf die Stromversorgung und wehren sie ab. Dadurch, dass mehr als 800 Verteilnetzbetreiber die Stromversorgung aber nicht nur über einen Server aus steuern, sondern von mehreren hundert bundesweit, werde ein flächendeckender Blackout extrem unwahrscheinlich. Stabile Inseln würden so stets bestehen bleiben. Durch diese stabilen „Netz-Inseln“ lässt sich ein System lokal schneller wieder aufbauen.
Zwar entstünden durch die dezentrale Struktur der EEG-Erzeugungsanlagen mehr Angriffspunkte, schränkt der Verband ein. Die Dezentralität stärke jedoch zugleich die Resilienz des Stromsystems – vorausgesetzt die installierten Anlagen sind ausreichend heterogen, so wie es aktuell der Fall sei.
Security-by-Design-Ansatz zur Unterstützung
"Die Pläne des Bundeswirtschaftsministeriums, die Netze nur über wenige Server zu steuern, lehnen wir deshalb aus Sicherheitsgründen ab. Ein zentral gesteuertes System würde es Angreifern klar erleichtern, das Stromsystem großräumig zu stören und die Versorgungssicherheit einzuschränken", unterstreicht der VKU.
Dennoch sei es wichtig, Risiken zu minimieren. Ein erhebliches Einfallstor würden Sicherheitslücken in der Hard- und Software darstellen, so der Kommunalverband. Mit einem Security-by-Design-Ansatz würden sich solche Lücken deutlich verringern lassen.
Hersteller in Verantwortung nehmen
Hersteller von Hard- und Software müssten Verantwortung für ihre Produkte übernehmen und wären verpflichtet, die gestiegenen Anforderungen an die Sicherheit schon bei der Herstellung beziehungsweise Programmierung zu berücksichtigen und aufgedeckte Sicherheitslücken schnell zu beheben.
Insgesamt ermögliche es die Digitalisierung, durch Automatisierung effizienter zu arbeiten und so Kosten zu sparen. So würden die Netzbetreiber die Effizienzvorgaben der Bundesnetzagentur erfüllen, an die wiederum das Budget gekoppelt ist. "Zugleich steigen aber natürlich auch die Risiken: Neben Cyber-Attacken gehört zu den Kehrseiten, dass im Ernstfall kein Mensch, sondern eine Maschine die Entscheidungen trifft", heißt es von Seiten des VKU.
Resilienz stärken
Resilienz müsse daher gefördert werden: Die Maschinen müssen lernen, wie sie richtig in ganz unterschiedlichen Angriffssituationen reagieren. Allerdings sei Resilienz nichts neues für die Verteilnetzbetreiber: Man arbeite daran seit Jahren, diese zu verbessern und greife auf ein breites und bewährtes Instrumentarium zurück, dazu gehören auch Informations- und Kommunikationstechnologien.
Der VKU appelliert an die Politik, zu überdenken, wie sinnvoll es sei, den Effizienz- und Kostendruck weiter so zu erhöhen, dass irgendwann die Sicherheitsstandards für die Netzbetreiber nicht mehr zu halten seien.
Effizienz- und Kostendruck überdenken
Das Durchspielen diverser Krisenszenarien und die Erarbeitung von Lösungen brauchen Zeit und Personal, so der Verband. Beides werde in den Budgets, die die Bundesnetzagentur vorgebe, immer knapper.
"Hier haben wir Nachholbedarf: Die Effizienzvorgaben dürfen nicht zulasten der Sicherheit gehen. Wir brauchen ausreichende Spielräume für Personal und IT-Sicherheitsmaßnahmen, um die Energieversorgung weiter auf diesem hohen Niveau zu schützen", bekräftigt der Verband.
Die ZfK startet von heute an eine Serie zu Fragen der IT-Sicherheit in der Kommunalwirtschaft. Interviewt werden unter anderem Florian Haacke von Innogy zu dem neuen Sicherheitstraining-Zentrum, Eberhard Oehler, Geschäftsführer der Stadtwerke Ettlingen, zu Attacken auf Versorger, die deutsche Telekom als Betroffener von massiven Hackerangriffen sowie zwei Sicherheitsfirmen und ihre Sicht auf die bundesweite IT-Sicherheit. (sg)
