IT-Sicherheitsgesetz und Sicherheitskatalog: Stadtwerke müssen sich gegen Cyber-Attacken rüsten

Am 12. Juni 2015 hat der Deutsche Bundestag das sogenannte „IT-Sicherheitsgesetz“ beschlossen. Mit der Veröffentlichung des Gesetzestextes trat das Gesetz am Samstag, den 25. Juli 2015 in Kraft. Kaum zwei Wochen später veröffentlichte die Bundesnetzagentur den IT-Sicherheitskatalog. Das IT-Sicherheitsgesetz gilt für „Betreiber kritischer Infrastrukturen“ (dazu gehören Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung und Finanz- und Versicherungswesen), der IT-Sicherheitskatalog richtet sich speziell an die Betreiber von Strom- und Gasnetzen. Unabhängig von der Größe des Unternehmens müssen Netzbetreiber basierend auf § 11 des Energiewirtschaftsgesetzes (EnWG) bis zum 31. Januar 2018 ein funktionierendes Informationssicherheits-Managementsystem (ISMS) aufbauen, zertifizieren lassen und fortwährend überprüfen. Sie müssen die im Sicherheitskatalog beschriebenen Maßnahmen umsetzen und ihre Netze gegen Manipulationen, gezielte IT-Angriffe, Computerviren, Schadsoftware, Abhören der Kommunikation oder einfach nur den Diebstahl von Rechnern absichern. Was bedeutet das für die Stadtwerke Lindau und wie schützt der regionale Energieversorger sein Netz?

„Ein sportlicher Zeitplan wurde da verabschiedet“ findet Dr. Reinhard Reiter, Leiter Netze und Anlagen bei den Lindauer Stadtwerken und dort Ansprechpartner und Beauftragter beim Thema IT-Sicherheitskatalog. Eine große Überraschung war der Katalog für ihn nicht: „Es war klar, dass die Einführung eines ISMS gemäß DIN ISO/IEC 27001 innerhalb eines relativ kurzen Zeitraumes für alle Strom- und Gasnetzbetreiber zur Pflicht werden wird“. Seine Berechtigung hat der IT-Sicherheitskatalog in Reiters Augen auf jeden Fall: Die in der Energieversorgung eingesetzten Leitsysteme sowie die Übertragungs- und Kommunikationstechnik sind grundsätzlich – wie alle EDV-Systeme – „verwundbar“ und müssen daher gegen mögliche Bedrohungen geschützt werden. Der Bestsellerautor Marc Elsberg hat die Konsequenzen eines Netzausfalls in seinem Roman „Blackout“ drastisch ausgemalt: Nach einer listigen Cyber-Attacke durch Terroristen herrscht in seiner Geschichte zwischen Rom und Brüssel Chaos, weil Ampeln, Flugzeuge und Züge ausfallen, weil Nahrungsmittel und Medikamente ohne Kühlung knapp werden und Toilettenspülungen, Heizungen und Produktionsmaschinen tot sind. Der Dow-Jones-Index fällt im Sturzflug. Die Zivilisation steht auf der Kippe…

Unsere Netze sind anfälliger für Hacker-Attacken geworden

Kurze Stromausfälle gab es schon immer - und ihre Ursachen sind in der Regel offensichtlich und schnell zu beheben. Fällt ein Baum auf eine Stromleitung oder durchtrennt ein Bagger bei Bauarbeiten versehentlich ein Stromkabel, rücken Notfallteams der Stromversorger aus und reparieren den Schaden. Aber was, wenn durch gezielte Attacken nicht nur ein Kabel, sondern gleich das ganze Netz betroffen ist? Was, wenn nicht nur einzelne Straßenzüge, sondern ganze Städte und Regionen ohne Strom dastehen - und das für Stunden, Tage oder gar Wochen? Selbst offizielle Stellen wie das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und die Bundesnetzagentur (BNA) warnen: Unsere Stromnetze sind anfälliger geworden für Hacker-Angriffe auf das IT-System. Die wirtschaftlichen Folgen eines Ausfalls der Stromversorgung könnten dramatisch sein. In einer Metropole wie Berlin würde ein einstündiger Blackout zur Mittagszeit knapp 23 Millionen Euro kosten, schätzt das Hamburger Weltwirtschaftsinstitut. Alle Systeme und Daten, die zur Steuerung eines Strom- oder Gasnetzes gebraucht werden, müssen künftig noch stärker als bislang, gegen Angriffe von außen abgesichert werden. Dritte dürfen weder die gespeicherten Daten abrufen noch unerlaubt irgendwelche gefälschten Daten in das System laden, was zum Ausfall eines Netzes führen könnte.

Sicherheit ist ein stetiger Prozess

Um die Anforderungen des Sicherheitskatalogs zu erfüllen, müssen alle Netzbetreiber ein sogenanntes Informationssicherheits-Managementsystem (ISMS) einrichten. Dieses legt fest, mit welchen Instrumenten und Methoden die gesamte Informationssicherheit innerhalb eines Unternehmens – in diesem Fall des Netzbetreibers – realisiert wird. Das ISMS muss den Anforderungen der DIN ISO/IEC 27001, 27001 und IEC TR 27019 entsprechen. Eine wesentliche Anforderung ist, dass die IT-Sicherheit bei einem Netzbetreiber keine Momentaufnahme, sondern ein stetiger Prozess ist. Die Netzbetreiber müssen ihre Telekommunikations- und EDV-Struktur immer wieder auf dem neusten Stand absichern. Das bedeutet auch, dass die in den Normen festgelegten Maßnahmen nicht ungeprüft umzusetzen sind. Vielmehr muss der Netzbetreiber das Risiko einschätzen, das von einem vorhandenen System ausgeht, sollten sich Dritte unbefugt Zugriff darauf verschaffen. Bei der Einstufung der Schadenskategorien muss der Netzbetreiber die Beeinträchtigung der Versorgungssicherheit, die Einschränkung des Energieflusses, den betroffenen Bevölkerungsanteil, die Gefährdung für Leib und Leben, die Auswirkung auf andere Infrastrukturen, die Gefährdung der Datensicherheit und des Datenschutzes durch Offenlegung oder Manipulation und die finanziellen Auswirkungen berücksichtigen.

Grundlage ist die Risikoeinschätzung

Der Netzbetreiber muss auf dieser Risikoeinschätzung aufbauend die entsprechenden Schutzmaßnahmen umsetzen, um die Auswirkungen möglicher Angriffe gering zu halten. Am Ende muss der Netzbetreiber jederzeit seine Informations- und Kommunikationstechnik (IKT) beherrschen und technische Störungen sofort erkennen und beheben. „Im Rahmen des ISMS müssen auch Risiken durch IKT-basierte Angriffe bewertet und durch geeignete Maßnahmen zum Schutz der relevanten Telekommunikations- und Datenverarbeitungssysteme behandelt werden“, schreiben die BNA und das Bundesamt für Sicherheit in der Informationstechnik vor. Reinhard Reiter schätzt, dass zur erstmaligen Einführung des ISMS ein Zeitraum von zwei Jahren erforderlich ist. Er geht davon aus, dass der Projektleiter in diesem Zeitraum ca. 50 % seiner Arbeitszeit für dieses Projekt zur Verfügung haben muss. Darüber hinaus werden erhebliche Personalressourcen aus anderen Abteilungen (Netzleitstelle, IT, Personalabteilung usw.) erforderlich sein. Der Einsatz eines Beratungsunternehmens mit umfangreicher Erfahrung in der Einführung eines ISMS in der Energieversorgung wird zur Zertifizierungsvorbereitung zwingend erforderlich sein. Die Stadtwerke rechnen mit nicht unerheblichen Beratungskosten in einer Größenordnung um 50.000 Euro. Hinzu kommen Kosten für die möglicherweise erforderliche „Aufrüstung“ der Kommunikations- und Datenverarbeitungssysteme sowie für weitere Schutzmaßnahmen, wie z.B. den Objektschutz. Da das ISMS nach der Implementierung „gelebt“ werden muss, ist mit einem dauerhaften laufenden Aufwand (Personal, Anpassung Hard-/Software u.v.m.) zu rechnen. Dr. Reinhard Reiter ist aber zuversichtlich, dass die Stadtwerke Lindau den Prozess schultern und mit der Einführung des ISMS die hohe Versorgungssicherheit der Bevölkerung noch weiter erhöhen.

manu/SW-Foto: manu

Aufrüsten zum Schutz gegen Cyber-Attacken: Das neue IT-Sicherheitsgesetz und der Sicherheitskatalog werden umgesetzt.