Herr Neubauer, die Ukraine ist jetzt ans europäische Stromnetz angeschlossen. Wieso war dieser Schritt so wichtig und was heißt das fürs europäische Stromnetz?
Maik Neubauer: Die Synchronisation der ukrainischen und moldawischen Hochspannungsnetze war von langer Hand geplant und wurde nicht erst durch die russische Invasion in der Ukraine getriggert. Bereits im Juli 2017 unterzeichneten die Netzbetreiber beider Länder, Ukrenergo und Moldelectrica, ein Übereinkommen mit ENTSO-E, dem Verband der europäischen Übertragungsnetzbetreiber. Dieses Agreement sah eine Vielzahl von technischen und koordinativen Ausbaumaßnahmen vor, ohne die ein Anschluss an das kontinentaleuropäische Netz nicht möglich gewesen wäre. Diese Vorbereitungen waren ca. Ende 2021 abgeschlossen und der Angriff Russlands war nur der letzte Stein, der die finale Integration ins Rollen gebracht hat.
Am 16. März, beschleunigt durch eine Dringlichkeitsanfrage der beiden Netzbetreiber, haben die TSOs der angrenzenden EU Staaten dann begonnen die Netze in das ENTSO-E Verbundnetz zu integrieren und entsprechend technisch zu synchronisieren. Ohne die langjährige Vorbereitung dieser Integration wären die Risiken für das europäische Hochspannungsnetz zu hoch gewesen. Eine Ad-hoc Übernahme wäre nicht möglich gewesen.
Gibt es vermehrt Hackerangriffe auf das europäische Stromnetz seit Ausbruch des Krieges?
Dieses Thema wurde und wird fast täglich – vor allem in den Medien – diskutiert. Als „Mutter“ der kritischen Infrastrukturen sind die europäischen Stromnetze sicherlich im Zielfokus von wirtschaftlich oder politisch motivierten Hackerteams.
Bislang sind keine nennenswerten Störungen der europäischen Hochspannungsnetze sichtbar geworden, obwohl auf Basis meiner Informationen täglich Cyberangriffe auf Netzbetreiber gefahren werden und auch in Überwachungsprozessen erkennbar sind. Man darf zudem nicht vergessen, dass die meisten Cyberangriffe über lange Hand vorbereitet sind und die Angreifer sich bereits Monate vor der Entdeckung in den Systemen des Opfers befinden, um die Auswirkungen möglichst „optimal“ auszugestalten.
Schwerwiegende Netzausfälle, die auf Cyberattacken zurückzuführen sind, sind meines Erachtens nur mit einem „wann“ und nicht mit einem „ob überhaupt“ zu hinterfragen. Einige unserer Kunden im Netzbetreibersegment nehmen die Gefahren zunehmend ernst und rüsten Ihre Technik aber auch Ihre Expertenteams auf. Andere befinden sich leider noch in einer gefährlichen „abwartenden“ Haltung.
Ein Beispiel: Übertragungsnetzbetreiber in Osteuropa beschäftigen sich seit vielen Jahren mit der Abwehr von Cyberattacken und setzen entsprechend schlagkräftige Teams von 15-30 Mitarbeitern ein, die sich 24/7 nur mit der Analyse von Cyberattacken beschäftigen. Von diesen Organisationsstrukturen sind viele westeuropäische Netzbetreiber noch sehr weit entfernt.
Wie gefährdet ist das europäische Stromnetz von einem Blackout und Deutschland im Speziellen?
Maik Neubauer: Die Übertragungsnetzbetreiber in der EU machen seit vielen Jahren einen hervorragenden Job, um das eng vermaschte europäische Netz stabil zu halten und im Rahmen der Energiewende weiter auszubauen. Selbstverständlich könnten manche Projekte viel schneller und effizienter gehen, was aber mit über 40 nationalen Übertragungsnetzbetreibern in den wesentlichen Entscheidungsgremien, aufgrund der damit verbundenen hohen Komplexität und den erforderlichen Abstimmungen mit verschiedensten Stakeholdern und den Partikularinteressen auf EU-Ebene jedoch nicht immer einfach zu realisieren ist.
Die hohe technische, aber auch organisatorische Komplexität im europäischen Netzverbund macht eine Vorhersage von potenziellen Blackout Gefahren – als auch im Ernstfall die Behebung von Störfällen - sehr schwierig.
Viele der Netzbetreiber warnen seit langem vor einem kontinuierlich steigenden Blackoutrisiko in Europa, vornehmlich durch den viel zu langsamen Netzausbau im Zuge der Energiewende. Diese Risikoeinschätzung teile ich. Ich teile zudem auch die Ansicht des GDK, dass Deutschland, wie auch die meisten EU-Staaten, nicht auf einen flächendeckenden Blackout vorbereitet sind und im Ernstfall die wesentlichen Versorgungssysteme und Lieferketten sehr schnell versagen. Die Einzigen, das das Thema Blackoutprävention aktiv und regelmäßig in der Öffentlichkeit thematisieren, sind derzeit die Netzbetreiber in Österreich. In vielen anderen Ländern ist das Thema Blackoutgefährdung ein „Tabu-Thema“.
Auf europäischer Ebene ist in der vergangenen Zeit einiges passiert, was Maßnahmen zum Schutz kritischer Infrastrukturen anbetrifft. So wird aktuell die ECI Directive überarbeitet, um neue Resilienzvorschriften für den Schutz kritischer Infrastrukturen auf den Weg zu bringen und die NIS-2 ist aktuell im Trilogverfahren, um die Vorschriften der NIS-Richtlinie über die Sicherheit von Netz- und Informationssystemen zu verschärfen.
Was hat es mit den beiden Punkten auf sich?
Alle diese neuen Regulierungen haben erst einmal ihre Berechtigung. In den USA gibt es, insbesondere seit „9/11“, sehr viele konzertierte Gesetzgebungsinitiativen, um die Resilienz von Infrastrukturen zu verstärken und gegen verschiedenen Einflussfaktoren, insbesondere auch den Cyberterrorismus, abzusichern. Hier zieht die EU-Kommission, z.B. mit der NIS Regulierung und dem neuen ECI Gesetz nach, um einen entsprechenden Rechtsrahmen zu schaffen. Diese Gesetzesinitiativen setzen jedoch ‚Top-Down‘ an, um überhaupt erst einmal das Risikopotential in der EU zu erheben und zu verstehen, insbesondere wie sich verschiedene Systeme im Bereich der kritischen Infrastrukturen gegenseitig beeinflussen, um z.B. internationale Kettenreaktionen besser abschätzen zu können. Insbesondere die NIS2 zahlen hier auf Sicherheitsmaßnahmen im Bereich der Netzsicherheit und Cyberabwehr ein.
Diese Gesetze sollen allerdings nicht ausreichen, um Prozesse und Frühwarnsysteme in der EU zu initiieren. Vielmehr seien sie nur ein Anfangspunkt, um Cyberresilienzmaßnahmen zu starten. Was müsste jetzt getan werden? Ist das Clean-Energy-Package EU der richtige Weg, um Cyberresilienz in die nationalen und europäischen Netze zu bringen?
Das Clean-Energy-Package war nur der initiale Auslöser, um das Thema Cybersicherheit ueberhaupt auf den Weg zu bringen. Mit der Electricity Regulation 2019/943 innerhalb des CEP wurde ACER und somit die Verbände der Netzbetreiber aufgefordert eine speziellen Networkcode für das Thema Cybersecurity im Netzbereich zu erarbeiten. Dieser Prozess lief über 2 Jahre.
Am 14. Januar wurde dieser Networkcode dem europäischen Regulator ACER zur Prüfung übergeben. Was beinhaltet dieser und inwiefern schützt das die deutschen/europäischen Netze vor Attacken? Auf was müssen sich Netzbetreiber jetzt einstellen?
Der Networkcode Cybersecurity zielt primär darauf ab, einen europäischen Rahmen für die Cybersicherheit der grenzüberschreitenden Stromflüsse zu schaffen. Er enthält Regeln für die Bewertung von Cyberrisiken in diesem Bereich, gemeinsame Mindestanforderungen, die Zertifizierung von Produkten und Dienstleistungen, die Überwachung, Berichterstattung und das Krisenmanagement. Er soll zudem eine klare Definition der Aufgaben und Zuständigkeiten der verschiedenen Beteiligten für jede Tätigkeit schaffen. Aber auch dieser Networkcode kann nur die Basis für ein gemeinsames Verständnis und Handeln der Netzbetreiber geben. Nachdem dieser offiziell durch ACER und die EU Kommission verabschiedet wird – was wir im Sommer dieses Jahres erwarten können – beginnt die eigentliche Umsetzungsfrist für die Dachverbände und betroffenen Unternehmen, die wie immer viel zu knapp bemessen sein wird. Der Networkcode selbst schützt nicht vor Attacken – dafür müssen die Unternehmen proaktiv selbst sorgen.
Sie sagen auch, dass die deutschen Cybersicherheitsprozesse eine hervorragende theoretische Grundlage sind, diese aber nicht ausreichen, um Cyberattacken proaktiv zu erkennen und agil zu managen. Was wäre stattdessen nötig?
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit dem Grundschutzkompendium sicherlich ein hervorragendes Standardwerk für die Etablierung von IT-Sicherheitsprozessen in Unternehmen geschaffen. Die Umsetzung der Empfehlungen des BSI bildet einen soliden Rahmen für die Etablierung von Prozessen zur Cyberabwehr – ist aber eben nur ein „Grundschutz“. In Beratungsmandaten sehe ich oft Unternehmen, die eine vorbildliche Prozessorganisation aufgebaut und dokumentiert haben, um sich beispielsweise auf Basis der ISO 27001 zertifizieren zu lassen. Meistens haben diese Unternehmen jedoch nur einen sehr beschränkten Einblick in die aktuelle Cyber-Gefährdungslage ihres Unternehmens. Insbesondere das Management verlässt sich viel zu stark auf formale Prozesse und Zertifizierungen. Insbesondere bei Unternehmen in der Energieindustrie oder bei kritischen Infrastrukturbetreibern gehört das Thema Cybersecurity auf die Standardagenda von Vorstands- und Geschäftsführungssitzungen, denn das Management hat im Rahmen der Cybersicherheit die Verantwortung für ein angemessenes Risikomanagement. Diese Tatsache wird heute in vielen Unternehmen der Energiewirtschaft, insbesondere auch bei Stadtwerken, noch sträflich vernachlässigt.
Die Fragen stellte Stephanie Gust.
Mehr zu dem Thema Integration und Auswirkungen des ukrainischen Stromnetzes auf die EU sowie Fragen der Cybersicherheit können Sie im zweiten Teil des Interviews „Die ukrainischen Netzbetreiber leisten seit Kriegsbeginn Unvorstellbares“ in der Print-Ausgabe der ZfK (Mai) lesen. Hier geht es zum Abo und hier zum E-Paper.
