Ein zahnloser Tiger mit Blackout: IT-Sicherheit im Energiesektor

Sabotage, Spionage & Terrorismus: Hacker haben die Industrie für sich entdeckt. Auch Branchen wie der Energiesektor rücken in den Fokus von Cyber-Attacken. Das Problem: digitale Sorglosigkeit.

Am 20. März 2015 fand die erste Lesung des IT-Sicherheitsgesetzes im Deutschen Bundestag statt. Dieses soll – kurz zusammengefasst – die Meldung von IT-Sicherheitsvorfällen sowie die Einhaltung von Mindeststandards bei der IT-Sicherheit gesetzlich verankern.

Der Anspruch ist hoch, unsere IT-Systeme und digitalen Infrastrukturen sollen die sichersten weltweit werden. Der Haken: konzeptionelle Schwächen und jede Menge offene Fragen. Mich interessiert heute besonders ein Aspekt: der Schutz von Unternehmen mit „Kritischen Infrastrukturen“. Diese sollen zukünftig besser vor Hacker-Angriffen geschützt werden. Wagen wir also einen Blick auf die IT-Sicherheit im Energiesektor: Ob Strom- und Gasnetze, die Systemsteuerung von Kraftwerken oder die hausinterne IT-Infrastruktur – unsere Energieversorgung ist mehr denn je von der Informations- und Kommunikationstechnik abhängig. Eine dezentrale und computergesteuerte Versorgung macht die Netze aber auch anfälliger für Cyber-Attacken. Die Zahl der potenziellen Angriffspunkte wächst. Wird diese Gefahr ernst genommen?

Papier ist geduldig

An Gesetzen und Richtlinien mangelt es nicht. An erster Stelle ist hier das Energiewirtschaftsgesetz (EnWG) zu nennen, konkret § 11 Abs. 1a. Ein allgemein gehaltener Paragraf zum Thema IT-Sicherheit, der auf den Sicherheitskatalog der Bundesnetzagentur (BNetzA) und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) verweist. Dieser soll alle Energieversorger zur Einrichtung eines umfassenden Informationssicherheits-Managementsystems (ISMS) gemäß DIN ISO/IEC 27001 verpflichten. Darüber hinaus werden u.a. Meldepflichten definiert. Der Startschuss für diesen Katalog fiel 2011, aktuell liegt der Referentenentwurf der Bundesregierung zum Beschluss vor. Mit einer Veröffentlichung wird im Sommer 2015 gerechnet.

Zu diesem Zeitpunkt wird voraussichtlich auch das IT-Sicherheitsgesetz in Kraft treten. Dieses verweist Energieversorger auf die Regelungen des EnWG und sieht außerdem eine Erweiterung des § 11 vor; so werden die Anforderungen beispielsweise analog auf Energieanlagenbetreiber ausgeweitet. Zu guter Letzt sei noch der EU-Richtlinienentwurf zur Informations- und Netzsicherheit (NIS) genannt. Auch dieser hat es sich zum Ziel gesetzt, Infrastrukturen besser vor Cyber-Angriffen zu schützen. Der Entwurf wurde im Februar 2013 vorgestellt und im März 2014 vom EU-Parlament abgesegnet. Noch fehlt die Zustimmung des EU-Rates; aktuell wird für 2016 mit einer Verabschiedung gerechnet.

Der Handlungsbedarf scheint erkannt. Allerdings ist Papier bekanntlich geduldig. Viele der Gesetzesvorhaben befinden sich bereits seit Jahren in Abstimmung. Ja, gut Ding will Weile haben – aber in der IT ist das Wissen von heute morgen schon wieder veraltet.

Reale Bedrohung oder Panikmache?

In seinem Roman „Blackout“ hat der Autor Marc Elsberg die Konsequenzen einer Cyber-Attacke durch Terroristen nachdrücklich beschrieben: Ampeln, Flugzeuge und Züge fallen aus, Nahrungsmittel und Medikamente werden ohne Kühlung knapp und Toilettenspülungen, Heizungen und Produktionsmaschinen sind tot. Der Dow Jones fällt im Sturzflug. Die Zivilisation steht auf der Kippe. Das mag der Worst Case sein, aber ganz reale Vorfälle sollten uns die Risiken vor Augen führen:

  • Mitte 2014 wurde bekannt, dass die Hackergruppe „Dragonfly“ bereits seit 2013 Kraftwerksleitstände, Ölpipeline-Pumpwerke und Steuerungszentralen von Stromnetzbetreibern unterminiert. Mögliches Ziel dabei: Sabotage.
  • Die Stadtwerke Ettlingen haben sich Anfang 2014 zu einem ungewöhnlichen Schritt entschlossen: Sie ließen ein Hacker-Team auf ihre Anlagen los, um zu testen, ob es ihnen gelänge, die Stromversorgung lahmzulegen. Es gelang…
  • Am 31. März 2015 legte ein Stromausfall fast die komplette Türkei lahm: In 80 der 81 türkischen Provinzen fiel der Strom aus, mehr als 76 Millionen Menschen waren von dem neunstündigen Blackout betroffen. Die Ursache ist noch unklar, ein Cyber-Angriff nicht ausgeschlossen. Schätzungen zufolge sollen sich die wirtschaftlichen Gesamtkosten des Ausfalls auf mindestens 700 Millionen US-Dollar belaufen.

Damit das Licht nicht irgendwann ausgeht…

… müssen alle beteiligten Akteure an einen Strang ziehen. Der Energiesektor beklagt vor allem die hohen zu erwartenden Kosten sowie die knappe Umsetzungsspanne der neuen regulatorischen Anforderungen. Tatsache ist: Sicherheit kostet Geld. Ein Blackout allerdings deutlich mehr. Insofern sollte der Schutz der Infrastrukturen im Eigeninteresse der Unternehmen liegen. Nachbesserungsbedarf gibt es aber auch seitens der Politik: Sie muss für Standardisierung sorgen und konkrete Handlungsvorschläge erarbeiten. Mit übergreifenden, standardisierten Verfahren ließen sich Sicherheitslücken kostengünstiger schließen. Gefragt ist ein schnelles Handeln – denn Stand heute ist die IT-Sicherheit im Energiesektor ein zahnloser Tiger mit Blackout.

Bildquelle: Shutterstock

Dieser Beitrag hat 2 Kommentare

  1. Avatar
    Marc

    Sehr brisant, in der Tat! Danke für einen profunden Artikel. Ist auch nicht mehr so üblich, heutzutage… 😉

  2. Avatar
    BS

    Ist denn in der heutigen IT landschaft, die sich dem zugang des nutzers durch komplexität immer mehr entzieht, sicherheit erreichbar? Und was heisst sicherheit? Die sicherheit des digitalen systems oder die sicherheits des nutzenden homo sapiens? Und was passiert, wenn das autonome digitale systdm nicht nur den hacker sondern auch den nutzer als risiko listet? Muss also nicht am anfang die frage zu klären sein: sicherheit für wen oder was und weshalb?

Schreibe einen Kommentar

Ähnliche Artikel