Stark zunehmende Anzahl und immer intensivere Cyberattacken kosten die deutsche Wirtschaft inzwischen jährlich Schäden im dreistelligen Milliardenbereich. Betroffen sind hiervon häufig Betreiber von Anlagen erneuerbarer Energien. Sie zählen als Stromlieferanten zur Kritischen Infrastruktur (Kritis), und als Teil dieser sind sie für das gesellschaftliche und staatliche Gemeinwesen von großer Bedeutung. Ausfälle oder Beeinträchtigungen können zu Versorgungsengpässen bis hin zur Gefährdung der öffentlichen Sicherheit führen. Ohne Energie würde die Wirtschaft kollabieren, weshalb der Energiesektor ein besonders attraktives Ziel für Cyberkriminelle darstellt. Seit dem russischen Angriff auf die Ukraine ist deshalb nicht nur die Anzahl genereller Cyberattacken gestiegen, sondern vor allem auch solche, die auf Kritis abzielen. Erneuerbare Energien waren seitdem ebenfalls betroffen. Denn zeitgleich mit dem Beginn des Ukrainekrieges fiel aufgrund einer Cyberattacke auf das KA-SAT-Satellitennetzwerk zum Beispiel die Fernüberwachung und -steuerung tausender Windkraftanlagen in Zentraleuropa aus. Allein in Deutschland meldete der Windenergieanlagenhersteller Enercon 5.800 betroffene Anlagen.
Cyberabwehr muss standhalten
Die Verwaltung von Windparks übernehmen gegenwärtig industrielle Steuerungssysteme (Industrial Control System: ICS). Hierdurch sind Turbinen, Umspannwerke oder andere Geräte mit einzelnen Computern verbunden. Diese Systeme sind vielmehr auf Effizienz als auf Sicherheit ausgelegt. Für Cyberkriminelle ist das eine einladenden Schwachstelle. Solarparks und Windturbinen sind mit entsprechenden Zugangskontrollen ausgestattet. Muss eine Verbindung hergestellt werden, wird ein Zugangscode sowie ein Passwort benötigt. Da man es in der Praxis häufig mit einer Vielzahl von Anlagen zu tun hat, ist die Gefahr groß, dass alle die gleichen Zugangsdaten erhalten. Dies stellt ebenfalls ein riskantes Einfallstor für Cyberangriffe dar. Betreiber von Windkraft- und Solaranlagen sind hierzulande immer noch nicht adäquat für den Ernstfall vorbereitet. Die Früherkennung von Attacken ist jedoch für den zuverlässigen Betrieb intelligenter Stromnetze entscheidend und muss verbessert werden.
Neues Gesetz, neue Anforderungen
Um Kritis-Betreiber und damit verbunden ebenfalls Stromlieferanten dazu zu bewegen, sich künftig besser vor Angriffen zu schützen, reagierte das Bundesministerium für Sicherheit in der Informationstechnik (BSI) mit dem neuen IT-Sicherheitsgesetz 2.0. Im Zuge dieses Gesetzes wurde ebenfalls die Kritis-Verordnung beschlossen, in der die neuen Anforderungen für Betreiber in diesem Feld bestimmt wurden. Zentrale Forderung des BSI an Kritis-Betreiber ist der Einsatz von Systemen zur Angriffserkennung (Intrusion Detection Systeme: IDS) sowie die Langzeitaufzeichnung von Ereignissen (Security Incident & Event Management: SIEM). Die Frist hierfür läuft im Mai 2023 aus. Bis dahin sind betroffene Unternehmen verpflichtet, die Software zu installieren und fortan einzusetzen. Auf diese Weise können Angriffe und Schadsoftware durch die permanente Kontrolle sämtlicher Netzwerk- und Systemaktivitäten erkannt werden.
Neue Schwellenwerte für Stromerzeuger
Im Zuge der Maßnahmen für einen besseren Schutz wurden die Schwellenwerte entsprechend angepasst. Sobald ein Unternehmen den Schwellenwert überschreitet, zählt es fortan zu Kritis. Da die Werte herabgesenkt worden sind, steigt die Anzahl der zu Kritis zählenden Unternehmen und Organisationen auf rund 1.870 Betreiber in Deutschland. Strom produzierende Energieversorger werden nun zum Beispiel als Kritis eingestuft, sobald sie pro Jahr mindestens 36 Megawatt (MW) Strom erzeugen. Zum Vergleich lag der Wert zuvor bei 420 MW. Für die dazukommenden Betriebe gelten somit ab sofort strengere Vorgaben, da sie zur Kategorie der Unternehmen mit hoher volkswirtschaftlicher Bedeutung gehören. Bis Mai 2023 müssen sie sich ebenfalls beim BSI registrieren lassen und dort schwere Störungen melden, wenn diese auftreten. Routinemäßig müssen sie alle zwei Jahre dem BSI berichten, wie der Stand der IT-Sicherheit ist, welche Sicherheitsmaßnahmen, Zertifizierungen und Audits vorgenommen worden sind.
ISO 27001 Zertifizierung
Um die durch das BSI geforderten Maßnahmen richtig umsetzen zu können, sind klare Leitlinien notwendig. Die ISO/IEC 27001 ist eine internationale Norm, welche Organisationen jeglicher Größe Leitlinien zur Planung, Umsetzung, Überwachung und Verbesserung der eigenen IT-Sicherheit bietet. Eine erfolgreiche ISO-27001-Zertifizierung ist eine gültige Referenz, um den Kritis-Anforderungen des BSI zu entsprechen. Unternehmen, die eine Zertifizierung erhalten, profitieren von einem zertifizierten Informationssicherheitsmanagementsystem, einer kontinuierlichen IT-Security, geringeren Risiken und Sicherheit als Teil der Unternehmensstruktur. Für diesen Prozess werden zertifizierte Experten benötigt, die den Unternehmen bei der Umsetzung kompetent zur Seite stehen.
Die durch das neue Gesetz beschlossenen Maßnahmen gehen hinsichtlich eines besseren Schutzes in die richtige Richtung. Jedoch ist dem hinzuzufügen, dass die Umsetzung gut funktionieren muss und die Weiterentwicklung neuer Sicherheitsstrategien angestrengt werden müssen. Denn Cyberkriminelle entwickeln permanent neue Methoden, um Netzwerke zu infiltrieren und Schaden anzurichten. Ebenfalls muss darauf geachtet werden, dass das eigene Personal im Bereich IT-Security geschult wird, damit der Faktor Mensch nicht zur Schwachstelle wird. Personal mit weitreichenden Berechtigungen können nämlich schnell zur Zielscheibe von Cyberkriminellen werden.
Webinar zu Kritis und Digitalisierung
ERNEUERBARE ENERGIEN lädt am 27. Juni zu einem Webinar ein rund um alle wichtigen Aspekte, die Sie jetzt wissen müssen zu Digitalisierung und Kritis.
Weitere Informationen:
www.erneuerbareenergien.de