IT-Sicherheit: BSI fordert mehr Anstrengungen im Energiesektor

Freital (energate) - Nach den Drohnensichtungen über europäischer kritischer Infrastruktur im September ist der Schutz von Energieinfrastruktur wieder in den Fokus gerückt. Diesen Schutz will die Bundesregierung mit dem Kritis-Dachgesetz und dem NIS-2-Umsetzungsgesetz auch rechtlich regeln. Ein guter Schritt, findet Timo Hauschild, Abteilungsleiter Cybersicherheit in der Wirtschaft beim BSI. Seiner Behörde gehen die neuen Vorgaben zum Schutz kritischer Infrastruktur aber nicht weit genug. "Wir müssen alles dafür tun, die neuen Herausforderungen zu erkennen und die Infrastruktur im Cyberbereich, aber auch physisch, adäquat zu schützen", sagte er im Interview mit energate. Die verschärfte Bedrohungslage sei die eine große Herausforderung, die Änderungen am Energiesystem, die mit der Energiewende einhergehen, eine weitere. 

Zusammenarbeit der Behörden im Fokus

Hauschild sieht Verbesserungsbedarf bei der Aufgabenverteilung, die die Gesetzentwürfe vorschlagen. Aus Sicht seiner Behörde sollte die Zuständigkeit für die Cybersicherheit stärker beim BSI zentralisiert werden, sagte er im Gespräch mit energate. Zudem müssten die Prozesse mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe "wirklich aus einer Hand gestaltet" werden. Dazu gebe es schon gute Ansätze, sie müssten aber zu Ende gedacht werden. "Auch mit der Bundesnetzagentur müssen wir eine ausgewogene Zusammenarbeit finden, in der der Fokus auf Cybersicherheit beim BSI liegt und der Fokus auf Energiesicherheit bei der Bundesnetzagentur", so der Abteilungsleiter beim BSI. Für eine allgemeine Stärkung des BSI hatten sich Union und SPD in ihrem Koalitionsvertrag ausgesprochen. 

Das NIS-2-Umsetzungsgesetz hat das Ziel, die IT-Sicherheit in kritischen Bereichen zu verbessern. Es nimmt auch kleinere Unternehmen in den Blick. Energieversorger sind künftig schon dann von erhöhten Anforderungen im Bereich IT-Sicherheit und Risikomanagement betroffen, wenn sie in den relevanten Bereichen mindestens 50 Mitarbeiter oder einen Jahresumsatz und eine Jahresbilanzsumme von mehr als 10 Mio. Euro haben. Der Gesetzesentwurf betrifft unter anderem Netzbetreiber, Betreiber von Erzeugungsanlagen sowie Lieferanten von Strom, Gas oder Fernwärme. Zugleich soll das Kritis-Dachgesetz den physischen Schutz von kritischer Infrastruktur verbessern. 

"Noch eine Schippe drauflegen"

Hauschild betonte in dem Interview: Das europäische Verbundnetz müsse auf Angriffe auf die Energieinfrastruktur vorbereitet sein. Das BSI sehe "durchaus den Bedarf, bei der Sicherheit noch eine Schippe draufzulegen". Darauf habe seine Behörde auch in ihrem Positionspapier hingewiesen. Im Energiesektor habe das BSI nicht die gleichen Durchgriffsrechte wie in anderen Bereichen - etwa bei der automatischen Angriffserkennung und der Reaktion darauf. "Es ist aber absolut erforderlich, solche Systeme zu haben, um überhaupt erkennen zu können, wenn Angreifer versuchen, Netze zu infiltrieren", so Hauschild. Viele Angriffe liefen über lange Zeit - beginnend mit der Informationsgewinnung über eine Erstinfektion bis hin zur eigentlichen Schädigung der IT-Strukturen. "Es ist sehr wichtig, Systeme vor Ort zu haben, die so etwas frühzeitig merken, und auch, die Sicherheitsverantwortlichen dazu zu befähigen, handeln zu können", sagte der Abteilungsleiter.

Die Debatte über die Sicherheit kritischer Infrastruktur war zuletzt wieder aufgeflammt, nachdem wiederholt Drohnen über europäischer Infrastruktur gesichtet wurden. Die Diskussionen reichten bis zu einem möglichen Abschuss von Drohnen und den entsprechenden Zuständigkeiten. Gerade die weit verteilte Energieinfrastruktur, beispielsweise Netzknotenpunkte, Kraftwerke und andere Anlagen, bietet viel potenzielle Angriffsfläche. Beim BDEW-Kongress im Juni hatte Cathryn Clüver Ashbrook, Senior Advisor des Programms "Europas Zukunft" bei der Bertelsmann-Stiftung, gewarnt, die Infrastruktur in Deutschland sei "so löchrig wie ein Schweizer Käse".

Cybersicherheitsmaßnahmen hochfahren

BSI-Experte Hauschild sieht seine Behörde beim Thema Cybersicherheit in zentraler Rolle. Im Gespräch forderte er noch stärkere Befugnisse für das BSI, beispielsweise bei der Kontrolle von Betreibern kritischer Infrastrukturen. Diese müssen dem BSI nachweisen, wie sie bei der Cybersicherheit und beim Kontinuitätsmanagement aufgestellt sind. Letzteres bezieht sich auf eine Planung dazu, wie es weitergeht nach einer Störung oder einem Angriff. "Ich halte es für absolut entscheidend, dass Betreiber ihre Hausaufgaben machen und ihre Cybersicherheitsmaßnahmen hochfahren auf ein Maß, mit dem eine Basissicherheit gegeben ist", so Hauschild. /kij

Das ganze Interview lesen Sie im Strom-Add-on.