A A A
| Sitemap | Kontakt | Impressum | Datenschutz
ETZ Logo VDE Verlag Logo

IT-Sicherheitsgesetz: Herausforderung für Energieunternehmen

01  Green4net unterstützt unter anderem Mandanten aus der Energiebranche (Quelle: fotolia_kfgalore)

01  Green4net unterstützt unter anderem Mandanten aus der Energiebranche (Quelle: fotolia_kfgalore)

02  Nutzen des Management-Systems für Informationssicherheit (Quelle: Green4net)

02  Nutzen des Management-Systems für Informationssicherheit (Quelle: Green4net)

03  Betriebsführungscontrolling nach Green4net (Quelle: Green4net)

03  Betriebsführungscontrolling nach Green4net (Quelle: Green4net)

Ein gutes Jahr ist das IT-Sicherheitsgesetz (IT-SiG) in Kraft. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zieht trotz laufender Umsetzungs­fristen ein zufriedenes Resümee. Hacker lassen sich nach Erfahrung des BSI immer perfidere Methoden einfallen, um die Systeme von deutschen Behörden und Unternehmen lahmzulegen. Diese alarmierende Situation hat sich mit dem IT-SiG entspannt. Bei vielen Energieunternehmen herrscht dennoch Unsicherheit, wer von der neuen Rechtslage und der verankerten Meldepflicht tangiert ist und was zu tun ist.

BSI-Präsident Arne Schönbohm nutzte jüngst zwei eindrucksvolle Beispiele, um darzustellen, welchen Gefahren IT-Systeme täglich ausgesetzt sind. Ein führender deutscher Automobilhersteller, so sagte er in einem Interview, gebe die Zahl der Cyber-Attacken auf sein Netz mit 6 000 Fällen pro Tag an. Seine Behörde indes stelle jeden Tag mehr als 20 hoch spezialisierte Angriffe auf das Regierungsnetz fest. Hacker hätten ihre Strategien im Grundsatz verändert, betonte A. Schönbohm weiter. Hätten die Attacken vor ­wenigen Jahren noch „elektronischen Flächen-Bombardements“ mit großen Streuverlusten geglichen, seien sie heutzutage viel präziser und auf einzelne Ziele ausgelegt. Das sei für die fremden Systeme deutlich gefährlicher.
Sicherheitsexperten befürchten, Terroristen könnten über Cyberattacken die für die Versorgung einer modernen Gesellschaft lebensnotwendigen Anlagen außer Kraft setzen. Aus diesem Grund schützen das IT-Sicherheitsgesetz sowie die darin verankerte Meldepflicht genau sie, die sogenannten „Kritischen Infrastrukturen“. Neben dem Energiesektor sind die Telekommunikations- und Informationstechnik, das Finanz- und Versicherungswesen sowie die Sektoren ­Ernährung und Wasser betroffen. Betreiber müssen nicht nur die Sicherheit ihrer Anlagen garantieren, sondern dem BSI auch IT-relevante Vorfälle mitteilen oder Mindeststandards einhalten. Die Rechtslage ist für Laien schwer zu durchschauen.
Das Frankfurter Consultingunternehmen Green4net begleitet seine Mandanten auf dem wichtigen Weg zum rechtssicheren und wirtschaftlichen Energiemanagement. „Mit dem neuen IT-Sicherheitsgesetz nimmt Deutschland eine klare Vorreiterrolle ein“, betont CEO Oliver Skadow. Das BSI fungiert seiner Ansicht nach als Sammelpool: „Es erstellt aus allen Informationen ein Lagebild, sodass andere frühzeitig gewarnt werden.“ Die im „IT-SiG“ verankerte Meldepflicht geht laut O. Skadow mit klar definierten Risikokategorien um. Kriterien stellen einerseits Gefahren für die Versorgungssicherheit, finanzielle Schäden oder die Zahl der von der Versorgung abhängigen Personen dar. Andererseits zählen Datensicherheit und Datenschutz. Dementsprechend muss auch der Energiesektor gezielte IT-Angriffe mittels Viren oder Malware melden, genauso Rechnerdiebstähle, Datenklau oder Lauschangriffe. „An der konkreten Umsetzung des ,IT-SiG‘ hapert es in der Branche“, sagt O. Skadow, „und das, obwohl bei Missachtung empfindliche Bußgelder drohen.“ O. Skadow ist Befürworter des „IT-SiG“: „Erstmals ist es möglich, sich einen Überblick über reale Gefahren zu machen“, sagt der Geschäftsführer.

Normierte Informationssicherheits-Managementsysteme
Green4net unterstützt seine Mandanten aus der Energie­branche (Bild 1), Netzbetreiber, Versorgungsunternehmen, Stadtwerke oder Stromhändler, beim Erfüllen aller Normen oder dem Erwerb von Zertifikaten des IT-Sicherheitskatalogs. Zudem hilft das Unternehmen den Mandanten, Sicherheitslücken auszuhebeln sowie Netzstruktur- oder Risiko­managementpläne zu erstellen. Neben der Meldepflicht beinhaltet das „IT-SiG“ ein weiteres Element: normierte Informationssicherheits-Managementsysteme (ISMS) (Bild 2). Im Alltag von Unternehmen sind die unterschiedlichsten Stellen an der Datenverarbeitung beteiligt, extern wie intern. Ein ISMS, zertifizierbar nach ISO/IEC 27001, prüft all diese Prozesse. O. Skadow empfiehlt ein solches ISMS: „Wer seine Kunden zuverlässig bedienen möchte, muss optimale Sicherheitsvoraussetzungen bieten.“
Denn das neue Gesetz ist im Energiesektor längst nicht allen Betroffenen ein Begriff. Zum einen fehlt laut O. Skadow häufig das Problembewusstsein, zum anderen regiert Unsicherheit, wie das Regelwerk in den Alltag zu integrieren ist. Und manche Unternehmen, betont O. Skadow, brächten die notwendigen Zertifizierungsprojekte nur schleppend in Gang. Sei es, weil Institutionen wie Stadtwerke oder kommunale Energieversorger kaum über die personellen Kapazitäten für solche Projekte verfügten, sei es weil den Verantwortlichen an Zeit oder Know-how fehle. Dabei sind Meldepflicht und „IT-SiG“ vor allem für die Energiebranche ein hochbrisantes Thema: „Ein Unternehmen ist beispielsweise ab 450 MW Stromerzeugung und Speicherung meldepflichtig, genauso dann, wenn mindestens 500 000 Bürger auf eine Versorgungsleistung angewiesen sind.“ Deshalb betrifft die neue Gesetzeslage Stromversorgungsunternehmen, Netzbetreiber oder die Betreiber von Anlagen aus regenerativen Energien gleichermaßen.

Einfaches Monitoring genügt nicht mehr
Viele Firmen der Energiebranche setzen deshalb auf das Team von Green4net, um einen fachkundigen Zertifizierer oder Auditoren für vertrauliche Projekte mit sensiblen ­Daten an der Seite zu haben. Im Grundsatz mag es den Verantwortlichen der betroffenen Branchen möglich sein, selbstständig noch der Meldepflicht nachzukommen. Doch das „IT-SiG“ gibt zudem einen langen Katalog an Präventions-Maßnahmen vor, genauso die Pflicht zur Dokumentation und turnusgemäßen Überprüfungen. „Spätestens hier bedarf es der Unterstützung durch einen Fachmann“ – dessen ist sich O. Skadow sicher. Zudem sollten beispielsweise Betreiber regenerativer Großanlagen berücksichtigen, dass das Monitoring-System, mit dem sie üblicherweise Erträge oder Sonnenstunden prüfen, und die IT-Technik zusammengeführt werden müssen. Einfaches Monitoring genüge nicht mehr, betont O. Skadow. Green4net offeriert mit ­seinem eigenen System zum Betriebsführungscontrolling (Bild 3)nicht nur den Blick von außen, sondern auch die Option des sicheren Informations- und Dokumentenmanagements. Die Branchen haben bis Ende 2018 Zeit, die Maßgaben des „IT-SiG“ zu erfüllen. Im Fall von Sicherheitslücken kann das BSI laut O. Skadow sogar Einsicht in die Firmenunterlagen verlangen: „Ein Schritt, der wohl keinem Geschäftsführer leicht fällt.“ (mh)

Katja Weiger-Schick ist Pressereferentin bei Team Kipp, Marketing-Agentur für Energie, ­Umwelt und Technik, in Sulz-Kastell. kw@teamkipp.de

Katja Weiger-Schick ist Pressereferentin bei Team Kipp, Marketing-Agentur für Energie, ­Umwelt und Technik, in Sulz-Kastell. kw@teamkipp.de