Seit vielen Jahren steigt die Zahl der Cyberangriffe auf Betreiber kritischer Infrastrukturen kontinuierlich an. Angriffe auf das ukrainische Stromnetz sowie die Hackerattacken auf die Colonial Pipeline in den USA sind nur einige prominente Beispiele. Auch in Europa arbeitet die EU-Kommission kontinuierlich an einer abgestimmten Cybersicherheitsstrategie sowie speziellen Vorschriften für besonders gefährdete Branchen und Industrien.
Aufbauend auf der neuen Europäischen Cybersicherheitsstrategie, die im Dezember 2020 formal verabschiedet wurde, wird derzeit vor allem die sogenannten „ECI Directive“ überarbeitet, um eine neue „Resilienzvorschrift“ für den Schutz von kritischen Infrastrukturen auf den Weg zu bringen. Zudem befindet sich auch die sogenannte „NIS-2“ im Trilogverfahren, die die Vorschriften der NIS-Richtlinie über die Sicherheit von Netz- und Informationssystemen aus dem Jahre 2016 ersetzen und weiter verschärfen wird. Auch wenn die erste NIS-Richtlinie die Mitgliedstaaten in Sachen „Cybersicherheitsstrategie“ wachgerüttelt hat, war sie bei weitem nicht ausreichend, um ausreichende Prozesse und Frühwarnsysteme in der EU zu initiieren. Auch für den wichtigen Energiesektor und die Netzbetreiber in der EU waren die Vorschriften in der NIS nur der Anfangspunkt ihrer Cyberabwehraktivitäten.
Im Rahmen des „Clean Energy Package“ und der dazugehörigen Regulierung 2019/943, Artikel 59 (9), hat die EU-Kommission die Vereinigungen der europäischen Transportnetzbetreiber ENTSO-E und die Vertretung der Verteilnetzbetreiber EU DSO aufgefordert, einen gemeinsamen Vorschlag für die Verbesserung der Cyberresilienz in den nationalen und europäischen Netzen zu entwickeln.
Cybersicherheit für grenzüberschreitende Stromflüsse
Dieser sogenannte „Networkcode for Cybersecurity (NCCS)“ wurde von beiden Verbänden am 14. Januar 2022 nach einer langen Vorbereitungs- und Konsultationsphase bei ACER, dem EU-Energiemarktregulator, zur finalen Prüfung und Stellungnahme eingereicht. Eine finale Inkraftsetzung wird Mitte dieses Jahres erwartet.
Der NCCS zielt primär darauf ab, einen europäischen Rahmen für die Cybersicherheit der grenzüberschreitenden Stromflüsse zu schaffen. Er enthält Regeln für die Bewertung von Cyberrisiken in diesem Bereich, gemeinsame Mindestanforderungen, die Zertifizierung von Produkten und Dienstleistungen, die Überwachung, Berichterstattung und das Krisenmanagement. Er soll zudem eine klare Definition der Aufgaben und Zuständigkeiten der verschiedenen Beteiligten für jede Tätigkeit schaffen.
Weshalb greift die EU gerade im Bereich der grenzüberschreitenden Stromflüsse nach einer Sonderregulierung für die Netzbetreiber? Das europäische Hochspannungsnetz besteht aus mehr als 500.000 km Leitungen. Sie bilden das Rückgrat der europäischen Wirtschaft und Logistikketten. Kleinste operative Störungen oder Frequenzschwankungen in diesem aufeinander fein abgestimmten Gebilde können gravierende Kettenreaktionen, Energieversorgungsengpässe oder sogar Blackout-Situationen auslösen.
Enge Zusammenarbeit der Dachverbände war sinnvoll
Zwischen den Nationalstaaten auf dem europäischen Kontinent existieren zudem circa 420 grenzüberschreitenden Koppelleitungen, die für den Stromhandel zwischen den Mitgliedstaaten, aber auch dem entsprechenden Last- und Energiemanagement im EU-Verbundnetz notwendig sind. Insbesondere durch den starken Ausbau der Erneuerbaren Energien wird der grenzüberschreitende Stromhandel und die dafür notwendigen technischen Kapazitäten immer wichtiger, um ein stabiles Stromnetz in Europa zu gewährleisten.
Aber auch die Stromverteilnetze, die bis zu den Endverbrauchern in den Nationalstaaten reichen, müssen sich für Cybervorfälle rüsten. Aus Sicherheitsvorfällen in großen Verteilnetzen können zudem Kettenreaktionen entstehen, die im Ernstfall auch systemtechnische Auswirkungen auf der Transportebene nach sich ziehen können. Daher war die enge Zusammenarbeit der beiden europäischen Dachverbände im Rahmen der Erstellung des neuen Networkcode Cybersecurity ein logischer und sinnvoller Schritt.
Auf was müssen sich die Netzbetreiber jetzt einstellen?
Zunächst einmal auf eine noch höhere Komplexität im Dickicht der relevanten Compliance-Vorschriften auf internationaler und nationaler Ebene. Neben grundlegenden Arbeiten, die im Rahmen der Cyberrisikoanalysen und der entsprechenden Vorbereitung von technischen und organisatorischen Strukturen anfallen, müssen die Netzbetreiber im Zuge der Umsetzung des NCCS noch viel stärker kooperieren. Sie müssen gemeinsam integrierte Frühwarnsysteme und Prozesse aufsetzen, die bei potenziellen Cyberangriffen sofort und lückenlos funktionieren, um Blackout-Situationen im Verteil- oder sogar Transportnetz abzuwenden.
Die notwendige Analyse der komplexen Schnittstellen sollte weit vor der offiziellen Inkraftsetzung des neuen Networkcode begonnen werden. Potenzielle Angreifer werden nicht auf eine Freigabe der ACER oder der EU-Kommission warten. Generell wird mit der Umsetzung der komplexen Leitlinien des neuen Networkcode nur eine abstrakte Struktur geschaffen, die primär auf die internationale Zusammenarbeit von Unternehmen abzielt.
Die „Hausaufgaben“ muss jedoch jeder Netzbetreiber für sich machen. Und diese beginnen mit den entsprechenden Risikoanalysen sowie der Schaffung einer Cybersicherheitsorganisation inklusive den dazugehörigen Notfallprozessen im eigenen Unternehmen. Die bislang sehr starren und leblosen deutschen Cybersicherheitsprozesse, die viele Unternehmen im Rahmen der Umsetzung einer ISO 27001 Zertifizierung oder bei der Umsetzung der BSI-Leitlinien geschaffen haben, sind zwar eine hervorragende theoretische Grundlage, reichen aber nicht aus, um Cyberattacken proaktiv zu erkennen und agil zu managen.
Agile Cyberabwehr muss feste Organisationseinheit werden
„You cannot manage what you cannot measure“ – dieser Leitsatz von Peter Drucker gilt insbesondere auch im Bereich der IT-Sicherheit. Viele Unternehmen, insbesondere Energieunternehmen und Netzbetreiber verlassen sich derzeit noch auf perfekt geplante Penetrationstests und die Fragerunden bei der ISO Re-Zertifizierung. Was jedoch tagtäglich aus dem Cyberspace in ihren Unternehmen landet, wissen die meisten Geschäftsleitungen nicht. Hier hilft nur die Schaffung einer Organisationseinheit, die nicht nur mit IT-Spezialisten besetzt ist, die im Ernstfall eingreifen können, sondern auch der Aufbau eines IT-gestützten „Attack-Surface-Managements“, das rund um die Uhr die IT-Systeme des Unternehmens aber auch die der Outsourcing-Partner (Cloud & Software-as-a-Service-Anbieter) überwacht und bereits bei ersten Verdachtsmomenten die entsprechenden Schutzprozesse im Unternehmen auslöst.
Von diesen agilen Cyberabwehrstrukturen sind viele Unternehmen in der Energiewelt heute leider noch weit entfernt. Die derzeitige Ruhe vor dem Sturm – die formale Wartezeit vor einer finalen Verabschiedung von NIS-2 sowie der Inkraftsetzung des neuen Networkcode Cybersecurity -– sollte von den Unternehmen daher proaktiv genutzt werden.
Maik Neubauer, Senior Advisor Decomplexity Europe. Er berät Energieversorger und Betreiber von kritischen Infrastrukturen im Bereich Unternehmenstransformation, EU-Regulierung und Cybersicherheit. Bis 2020 war er Geschäftsführer von TSCNET, einem der größten Sicherheitskoordinatoren für das europäische Stromnetz.