Artikel herunterladen

Stadtwerke: Den Blackout verhindern
Keyfacts
- Cyberangriffe auf Energiekonzerne haben stark zugenommen
- IT-Sicherheitsgesetz verlangt Maßnahmen bei Energieversorgern
- Kritische Vorfälle sind meldepflichtig
11. Oktober 2016
Was passieren würde, wenn ein konzentrierter Hackerangriff die Stromversorger eines Landes
vom Netz nimmt, ist bereits Thema von Bestsellern gewesen: Die Wasserversorgung bricht
zusammen, Tankstellen versiegen, Bahn und Nahverkehr kommt zum Erliegen, Licht erlischt.
Die Digitalisierung ist für den Energiesektor Chance und Herausforderung zugleich. In einem
Markt mit tendenziell rückläufigen Rohmargen sehen viele Versorger in ihr einerseits
Wachstumschancen: Intelligente Stromnetze, die als sogenannte SmartGrids Stromspeicher,
Verbraucher und Erzeuger miteinander verknüpfen, wären ohne Digitalisierung nicht denkbar.
Auf der anderen Seite gehen diese Innovationen einher mit einer wachsenden Abhängigkeit
von Informationstechnik – was wiederum das Risiko für technisches Versagen oder auch
Hackerangriffe erhöht. Nach Angaben des Weltenergierates haben Cyberattacken auf
Energiekonzerne im vergangenen Jahr weltweit stark zugenommen.
Die Folge: Informationssicherheit wird zunehmend zum Thema für Energieversorger. Das galt
1/5
auch für den diesjährigen VKU-Stadtwerkekongress in Leipzig, bei dem eine
Podiumsdiskussion diesem Thema gewidmet war.
Wir sprachen mit Wilhelm Dolle, der als Partner Cyber Security bei KPMG Deutschland
Unternehmen im Bereich Informationssicherheit berät. Beim Kongress war KPMG als einer der
Hauptakteure in diesem Markt dabei.
Herr Dolle, was verlangen Gesetzgeber und Bundesnetzagentur in Sachen IT-Sicherheit
von den Energieversorgern?
Der Gesetzgeber hat mit dem IT-Sicherheitsgesetz bereits im Sommer des vergangenen Jahres
deutliche Vorgaben für die Sicherheit informationstechnischer Systeme gegeben. Kurz gesagt
geht es darum, sicherzustellen, dass die elementaren Infrastrukturen der Versorgung
funktionsfähig bleiben. Das gilt beispielsweise für Mobilfunknetze und Krankenhäuser – aber
eben auch für Energienetze. Hier ist der im August 2015 von der Bundesnetzagentur erlassene
„IT-Sicherheitskatalog gemäß § 11, Absatz 1a Energiewirtschaftsgesetz“ entscheidend, in dem
die spezifischen Anforderungen für die IT-Sicherheit von Energienetzbetreibern geklärt werden.
Was müssen Energieversorger leisten?
Im Rahmen des IT-Sicherheitsgesetzes müssen sie umfangreiche technische und
organisatorische Maßnahmen ergreifen. Beispielsweise sind sie verpflichtet, kritische Vorfälle
in Sachen IT-Sicherheit umgehend an das Bundesamt für Sicherheit in der Informationstechnik
zu melden, wenn diese das Potenzial haben, wichtige Versorgungsdienstleistungen zu
bedrohen oder es sogar bereits zu Ausfällen gekommen ist. Außerdem müssen
Energieversorger alle zwei Jahre nachweisen, dass sie generellen und branchenspezifischen
Anforderungen an IT-Sicherheit konsequent entsprechen. Dabei müssen Sie den Stand der
Technik umsetzen. Eine Möglichkeit hierzu besteht darin, ein wirksames Managementsystem
für Informationssicherheit (ISMS) nach DIN ISO/IEC 27001 einführen. Durch den ITSicherheitskatalog gemäß § 11 Absatz 1a EnWG wird sogar die Zertifizierung des ISMS für alle
Energienetzbetreiber Pflicht. Noch gilt da eine Übergangsfrist, die allerdings am 31. Januar
2018 abläuft. Bis dahin sollte das entsprechende Zertifikat spätestens der Bundesnetzagentur
vorliegen.
2/5
2000
Anlagen
für die Bereitstellung infrastruktureller Dienstleistungen gelten
nach Schätzungen des Gesetzgebers in Deutschland als
„kritische Infrastruktur“ mit besonders hohen
Sicherheitsansprüchen.
Gelten diese Regeln für jeden Energieversorger?
Nicht unbedingt. Das IT-Sicherheitsgesetz zielt ab auf Betreiber, deren Anlagen die
Versorgungssicherheit von mindestens 500.000 Menschen beeinflussen können und die als
sogenannte „kritische Infrastruktur“ gelten. Der IT-Sicherheitskatalog gilt für jeden Strom- und
Gasnetzbetreiber.
Ab wann zählt eine Anlage als „kritische Infrastruktur“?
Das hängt ab von verschiedenen Kriterien, jedoch immer mit dem Blick auf die Betroffenheit
von 500.000 Menschen. Einige Krankenhäuser oder Telekommunikationsprovider
beispielsweise fallen auch darunter. Im Bereich der Energieerzeugung definiert der
Gesetzgeber zunächst verschiedene Dienstleistungen wie beispielsweise die Stromversorgung
und konkretisiert anschließend verschiedenen Anlagenkategorien wie Erzeugungsanlage oder
Übertragungsnetz, die zur Dienstleistungserbringung notwendig sind. Davon abhängig können
komplette Unternehmen oder nur Unternehmensteile unter die Regelungen des Gesetzes
fallen. Der Gesetzgeber rechnet hier mit etwa 2.000 kritischen Anlagen in Deutschland.
Was müssen Energieversorger nun konkret tun?
Zunächst einmal klären, ob das eigene Unternehmen durch das IT-Sicherheitsgesetz und
beziehungsweise oder den IT-Sicherheitskatalog tangiert wird. Oft überschneiden sich da die
Zuständigkeiten. So versorgt zwar manch kleineres Stadtwerk vielleicht nicht eine halbe Million
Menschen, betreibt aber ein Energienetz – und fällt damit unter die Vorgaben des ITSicherheitskataloges.
3/5
Als nächsten Schritt sollten sie ihrer Meldepflicht gegenüber dem zuständigen Bundesamt
nachkommen und ein wirksames System für das Management der Informationssicherheit
einführen. Grundsätzlich lautet mein Rat immer: Wenn Sie ausreichend Zeit und Erfahrung
haben, dann nutzen Sie die eigenen Ressourcen und orientieren Sie sich an den einschlägigen
Standards und Leitfäden. Wenn Sie weniger Zeit und Ressourcen haben, holen Sie sich die
Unterstützung von Experten dazu – und konzentrieren die eigenen Ressourcen auf das
Kerngeschäft.
Herr Dolle, vielen Dank für das Gespräch.
Zusammengefasst
»Energieversorger sollten nun klären, ob das eigene Unternehmen durch das ITSicherheitsgesetz und beziehungsweise oder den IT-Sicherheitskatalog tangiert wird. Oft
überschneiden sich da die Zuständigkeiten. So versorgt zwar manch kleineres Stadtwerk
vielleicht nicht eine halbe Million Menschen, betreibt aber ein Energienetz – und fällt damit unter
die Vorgaben des IT-Sicherheitskataloges. «
Die Digitalisierung in Energiesektor geht einher mit einer wachsenden Abhängigkeit von
Informationstechnik – was wiederum das Risiko für technisches Versagen oder auch Hackerangriffe
erhöht. Nach Angaben des Weltenergierates haben Cyberangriffe auf Energiekonzerne im vergangenen
Jahr weltweit stark zugenommen. Die Folge: Informationssicherheit wird zunehmend zum Thema für
Energieversorger.
Wilhelm Dolle
Partner, Security Consulting
4/5
ÄHNLICHER ARTIKEL
BLOG
Mehr Energiee izienz, bitte
Für den Erfolg der Energiewende kommt den lokalen Energieversorgern eine wichtige Rolle zu. Sie
stehen angesichts der derzeit niedrigen Energiepreise allerdings vor einem Dilemma: Teure...
› MEHR
© KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KMPG International
Cooperative ("KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Recht vorbehalten.
5/5

Download Report