Dank Kritis-Dachgesetz wird jetzt zum ersten Mal das Gesamtsystem zum physischen Schutz Kritischer Infrastrukturen (Kritis) in Deutschland in den Blick genommen und im Rahmen der dem Bund zustehenden Zuständigkeiten gesetzlich geregelt. Das Kritis-Dachgesetz ergänze damit auch die bestehenden Regelungen zum Cyberschutz von Kritischen Infrastrukturen. Es soll zu einem kohärenten und resilienten System beitragen. Mit dem Dachgesetz soll auch die Zusammenarbeit der am Schutz Kritischer Infrastrukturen beteiligten Akteure auf staatlicher Seite und bei den Betreibern verbessert und klarer strukturiert werden. Das Gesetz soll die bestehende Bestimmung Kritischer Infrastrukturen mit dem Fokus auf mögliche Beeinträchtigungen der Versorgungssicherheit durch Bedrohungen aus dem Cyberraum durch eine „systematische und umfassende Identifizierung aller besonders schützenswerten Kritischen Infrastrukturen“ ergänzen. Identifiziert werden sollen Kritische Infrastrukturen mindestens in den Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, Digitale Infrastruktur, öffentliche Verwaltung, Weltraum und Lebensmittel (Produktion, Verarbeitung und Vertrieb).
Schutzmaßnahmen verstärken
Betreiber Kritischer Infrastrukturen, die für den unmittelbaren Schutz ihrer Anlagen Verantwortung tragen, müssen ihre Schutzmaßnahmen verstärken. Systeme müssen besser gegen Ausfälle geschützt sein. In allen Sektoren sollen daher die gleichen Mindestvorgaben im Bereich der physischen Sicherheit gelten. Dazu zählt beispielsweise die Einrichtung eines betrieblichen Risiko- und Krisenmanagements, die Erstellung von Resilienzplänen oder die Umsetzung geeigneter und verhältnismäßiger technischer, personeller und organisatorischer Maßnahmen.
Parallel zum bestehenden Meldewesen im Bereich Cybersicherheit soll es zudem künftig ein zentrales Störungsmonitoring geben, welches einen Gesamtüberblick über mögliche Schwachstellen beim physischen Schutz Kritischer Infrastrukturen ermöglichen soll. Ziel ist es, andere Einrichtungen oder sogar Mitgliedsstaaten bei drohender Gefahr warnen zu können.
Bei Enova hat Miriam Bruns als Leiterin technische Betriebsführung den Blick auf sichere Infrastruktur bei Kunden und eigene Windparks. Sie verrät, worauf Betreiber und Betriebsführer jetzt achten müssen.
Können Sie Ziele des Kritis-Dachgesetzes benennen?
Miriam Bruns: Grundsätzlich geht es ja bei Kritis darum, die Funktionsfähigkeit der kritischen Infrastruktur, sprich Energieversorger, Wasser- und Lebensmittelversorgung etc. sicherzustellen. Bislang haben aber die einzelnen Branchen sehr isoliert daran gearbeitet. Das Dachgesetz soll nun dazu beitragen, den Schutz holistischer auszugestalten. Außerdem sollen die Regelungen verschlankt und übersichtlicher gestaltet werden. Das wäre tatsächlich sehr positiv, da es aktuell schwierig ist zu überschauen, wer konkret für was verantwortlich ist.
Das BSI leistet aber im Zweifel auch gute Hilfestellung.
Was wäre eine erste Maßnahme, um sich gegen Hackerangriffe zu schützen?
Miriam Bruns: Der erste Schritt sollte darin bestehen, den Windpark über ein sogenanntes VPN anzubinden. Einen öffentlichen Zugriff darf es nicht geben. Das VPN kann über einen Router mit Firewallfunktionen realisiert werden. Dabei ist es jedoch wichtig, dass die Konfiguration professionell durchgeführt wird.
Wer ist überhaupt verantwortlich, wenn es um Kritis geht? Betreiber, Betriebsführer, Energieversorger oder Direktvermarkter?
Miriam Bruns: Aktuell ist jeder, der mehr als 104 MW in einem System steuern kann, Kritis-pflichtig und entsprechend verantwortlich. Das können bei einem Park daher gleich mehrere Akteure sein. Wir als Betriebsführer haben meist nur einen Überwachungsvertrag und lesen zwar die Anlagendaten, können technisch aber nicht in die Steuerung eingreifen. Bei Serviceunternehmen und Direktvermarktern ist das jedoch anders. Das Thema und die Verantwortlichkeit sollten dort vertraglich klar geregelt werden.
Was empfehlen Sie Betreibern?
Miriam Bruns: Betreiber sollten sich einen versierten Dienstleister suchen, der die Maßnahmen koordiniert und mit den einzelnen Akteuren abstimmt. Auch eine Versicherung gegen Cyber-Angriffe kann Sinn machen. Im März letzten Jahres haben wir gesehen, dass ein Windpark auch als Kollateralschaden bei Großangriffen betroffen sein kann. Man sollte sich jedenfalls nicht auf die bestehenden Verträge verlassen, sondern sichergehen, dass alles geregelt ist.
Wenn man gehackt wird, wie geht man damit um?
Miriam Bruns: Auch mit den besten Maßnahmen ist man niemals 100 Prozent sicher. Man sollte daher unbedingt einen Notfallplan haben, um im Zweifel schnell reagieren zu können. Diesen sollte man auch regelmäßig simulieren und auf Stand halten. Wenn man Kritis-pflichtig und wie vorgeschrieben beim BSI registriert ist, muss man den Vorfall umgehend melden und wird von dort Unterstützung erhalten. Generell sollte man die dort angebotenen Hilfestellungen in Anspruch nehmen.
Konferenz:
Service – Instandhaltung – Betrieb
Hamburg ist der Veranstaltungsort für eine Konferenz des Bundesverbands Windenergie zu Service, Instandhaltung und Betrieb am 11. und 12. Mai 2023. Dort geht es unter anderem um Cybersicherheit.
Informationen und Anmeldung:
www.bwe-seminare.de/sib23