Wer Anlagen zur Erzeugung oder Speicherung von netto 10 MW elektrischer Energie oder mehr betreibt und auf der 110-kV-Ebene ins Netz einspeist, muss sich beeilen: Denn schon im Oktober tritt voraussichtlich die Pflicht in Kraft, die geplante Tagesproduktion nebst eventueller Abweichungen an den Regulierer zu melden. Dies bestimmt die im April 2014 veröffentlichte Richtlinie BK-6-13-200 der Bundesnetzagentur. Auch Anlagen der Kraft-Wärme-Kopplung und ausländische Anlagen in deutschen Bilanzkreisen sind davon betroffen.
Das vom Übertragungsnetzbetreiberverband Entso-E dafür entwickelte automatisierte XML-Austauschverfahren (Extended Markup Language) hat mit dem verbreiteten EDI (Electronic Data Interchange) nichts zu tun, sondern basiert auf Web-Technologien. Täglich bis 14:30 Uhr sind für den Folgetag Netzeinspeisung, Redispatch-Vermögen, obere/untere Leistungsgrenze, Regelleistungsvorhaltungen und Leistungsbesicherung zu melden – Abweichungen davon sofort. „Das ist für kleinere Unternehmen anspruchsvoll“, meint Dr. Andreas Lied vom auf die Energiewirtschaft spezialisierten Beratungsunternehmen Becker Büttner Held Consulting in München.
Und um die Ecke lauern schon die nächsten IT-getriebenen Aufgaben für die Unternehmen der Energiewirtschaft, die der Regulierer als kritisch einstuft. 18.000 Firmen rechne er, so sagt Berater Lied, insgesamt der Energiewirtschaft zu, was schon zeigt, dass hier kein allzu enger Kreis gezogen worden sein kann: Viele von ihnen werden schon sehr bald dem IT-Sicherheitsgesetz unterliegen. Aufgescheucht von diversen Studien als Reaktion auf den Computerschädling Stuxnet, der sich 2010 auf der ganzen Welt verbreitete und gezielt iranische Uranproduktionsanlagen lahmlegte, bemühen sich Regulierer, Politik und betroffene Unternehmen, die Gefahren der digitalen Durchdringung von kritischen Infrastrukturen durch Sicherheitsmaßnahmen gegen Ausfälle und Hackerangriffe abzufedern. Verletzlichkeiten gibt es reichlich. Fachleute schätzen, dass selbst in dem als sicher geltenden Linux-Kernel mehrere tausend Fehler stecken, jeder von ihnen ein potentieller Angriffspunkt.
Herausforderung IT-Sicherheitsgesetz
Seit 2007 arbeitet UP Kritis (Umsetzungsplan kritische Infrastrukturen), ein Gremium, dem Vertreter einschlägiger Branchen und politische Akteure angehören, an Regularien. Ein Ergebnis dieser Bemühungen ist das IT-Sicherheitsgesetz. Es ergänzt das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) um diverse Paragraphen und Bestimmungen. Gegenwärtig liegt ein Entwurf vom 18. August 2014 vor, der wohl noch dieses Jahr von den Gremien verabschiedet werden dürfte. Der Bitkom hat sich als Branchenverband der ITK-Industrie bereits positiv dazu geäußert und beziffert den Umsetzungsaufwand mit über einer Milliarde Euro.
Im Grundsatz besagt das Gesetz, dass die Betreiber kritischer Infrastrukturen durch IT-Sicherheitsmaßnahmen dafür sorgen müssen, dass ihre Infrastrukturen nicht wegen IT-Fehlern ausfallen oder gestört werden dürfen. Wer im Detail betroffen ist, bestimmt die Bundesnetzagentur per noch nicht veröffentlichter Rechtsverordnung. Diese Firmen müssen zudem sicherheitsrelevante Zwischenfälle melden (solche mit störenden Auswirkungen namentlich, andere anonym) und sich regelmäßigen Sicherheitsaudits unterziehen. Näheres regeln von Branchenspezialisten zu erarbeitende und vom BSI anzuerkennende Sicherheitsprofile, die aber derzeit noch genauso wenig vorhanden sind wie das Gesetz selbst. Um Kleinstunternehmen entsprechend EU-Empfehlung 2003/361/EG nicht zu überfordern, sind Betriebe mit weniger als 10 Beschäftigte und unter 2 Millionen Euro Jahresumsatz oder Jahresbilanzsumme von dem Gesetz ausgenommen. Auch Telekommunikationsnetzbetreiber und weitere Unternehmen, für die bereits durch andere Gesetze gleich strikte oder gar striktere Sicherheitsmaßnahmen gelten, müssen das IT-Sicherheitsgesetz nicht einhalten.
Mehr Handlungsdruck ergibt sich bereits heute für die Stromnetzbetreiber. Denn sie unterliegen bereits den Bestimmungen des §11, Abs. 1a EnWG (Energiewirtschaftsgesetz): „Der Betrieb eines sicheren Energieversorgungsnetzes umfasst … angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen. Die Regulierungsbehörde (also die Bundesnetzagentur, Anmerkung der Autorin) erstellt hierzu einen Katalog von Sicherheitsanforderungen (den IT-Sicherheitskatalog, Anmerkung der Autorin). Ein angemessener Schutz wird vermutet, wenn dieser Katalog … eingehalten und dies vom Betreiber dokumentiert worden ist. Die Einhaltung kann von der Regulierungsbehörde überprüft werden.“
IT-Sicherheitsbeauftragter für alle Netzbetreiber
Der IT-Sicherheitskatalog liegt momentan erst im Entwurf vor, er wird aber wohl noch 2014 final veröffentlicht werden. Unmittelbare Folge für alle Netzbetreiber – definiert als Firmen, die sich als Netzbetreiber bei der Bundesnetzagentur haben registrieren lassen und deshalb Durchleitungsgebühr verlangen – ist, dass sie innerhalb von zwei Monaten nach Veröffentlichung einen IT-Sicherheitsbeauftragten bestellen müssen, der Störungen meldet, für die Umsetzung von Sicherheitsmaßnahmen sorgt, sie dokumentiert und überhaupt als Ansprechpartner für den Regulierer verfügbar ist. Der IT-Sicherheitskatalog wird ohne besondere Bekanntmachung veröffentlicht – jeder ist also selbst dafür zuständig, von seiner Existenz zu erfahren.
Zur Entwicklung des IT-Sicherheitskatalogs griff der Regulierer auf Vorhandenes zurück – er wurde „im Benehmen mit dem BSI“ erstellt: Quellen waren einerseits der anspruchsvolle und kaum je zur Gänze umgesetzte BSI-Grundschutz, andererseits internationale Normen, namentlich ISO 27001. Angestrebt werden wie bei allen IT-Sicherheitsnormen Sicherheit, Integrität und Vertraulichkeit der betroffenen Systeme.
Am Ende wird der Katalog wohl im Kern von den Netzbetreibern verlangen, ein Informationssicherheitsmanagementsystem (ISMS) zu implementieren, wie es ISO 27001 beschreibt – weitere individuelle Maßnahmen nicht ausgeschlossen. Ein solches System setzt eine Erfassung aller sicherheitsrelevanten Systeme des betroffenen Bereichs (hier der Netzregelung), eine Auflistung der Risiken, denen sie ausgesetzt sind, eine Bewertung der Schwere dieser Risiken und je nach Schweregrad und Risiko die Implementierung von ausreichenden technischen und organisatorischen Gegenmaßnahmen voraus. Das alles ist durchgängig und nachvollziehbar zu dokumentieren. Zertifizierungen nach ISO 27001 müssen alle zwei Jahre erneuert werden.
Zertifizierung nach ISO 27001 bald Standard?
Aber auch ohne ISO-Zertifizierung kann ein ISMS ausreichen, die Sicherheitsanforderungen des IT-Sicherheitskatalogs zu erfüllen – jedenfalls behaupten dies die Wuppertaler Stadtwerke, wo man bereits vor zwei Jahren proaktiv ein solches System einführte. Damit ist das Unternehmen nach Meinung von Fachleuten eher eine Ausnahme. Lied: „Während in schon lange stark regulierten Branchen, etwa Chemie und Pharma, ISO-27001-Zertifizierungen sehr verbreitet sind, sind sie in der Energiewirtschaft Mangelware, insbesondere bei mittleren und kleineren Netzbetreibern.“ Und wegen der damit verbundenen Kosten könne sich der Aufbau des ISMS für sie durchaus zur „strategischen Aufgabe“ auswachsen. Der Preis der Sicherheit werde im Übrigen vom Regulierer erheblich unterschätzt. Der gehe von 10.000 bis 50.000 Euro aus, beziehe hier aber nur externe Kosten für Software oder Beratung ein. „Der interne Aufwand ist neun Mal so hoch“, warnt Lied – schließlich braucht man für den Aufbau des ISMS jede Menge Manpower. Was davon anschließend in die Berechnung der Durchleitungsgebühr eingerechnet werden kann, ist nicht entschieden – sicher scheint dies nur für Softwarekäufe und die Leistungen externer Spezialisten.
Verzichtet ein Provider auf ISMS/ISO 27001 oder gleichwertige Nachweise und Maßnahmen, liegt es im Zweifel an ihm zu beweisen, dass er die Störungen nicht hätte verhindern können. Schafft er das nicht, haftet er für Schäden. Der Unschuldsnachweis dürfte mindestens teuer und umständlich, oft aber auch unmöglich sein. Übrigens entlastet auch die Auslagerung der IT – woran wohl viele Betroffene angesichts dieser Fakten denken werden – die Netzbetreiber rechtlich nicht: Sie bleiben in der Verantwortung und müssen im Zweifel wegen gegen sie gerichteter Ansprüche durch Netzprobleme nachträglich mit dem IT-Dienstleister streiten, um ihr Geld wiederzubekommen – von der Rufschädigung einmal ganz abgesehen. Bei der Gestaltung entsprechender IT-Dienstleistungsverträge sollte also besonders sorgfältig vorgegangen werden. Trügerisch ist auch die Hoffnung, trotz unterlassener Sicherheitsmaßnahmen wenigstens finanziell ungeschoren davonzukommen, weil es ja kommunale Ausgleichskassen gibt, falls etwas schief geht. Denn die Haftung des Netzbetreibers ist umfassend, und Schäden können so groß sein, dass Nachschusspflichten zu befürchten sind.
Einziger Silberstreif am Horizont: Immerhin scheint sich bei der Umsetzung der geharnischten Anforderungen eine Gnadenfrist anzubahnen. Der niedersächsische Regulierer wenigstens ließ verlauten, Überprüfungen der Einhaltung des IT-Sicherheitskataloges werde es wohl erst ab Ende 2016 geben, um die Unternehmen nicht zu überfordern.
BSI-konforme Gateways und Administratoren
Auch die Messstellenbetreiber sehen sich neuen regulatorischen Anforderungen gegenüber, die allerdings erst mit der Verabschiedung der Messsystemverordnung (MsysV) in Kraft treten. Sie resultieren aus § 21d, Abs. 1 EnWG, der Messstellenbetreiber zum Datenschutz verpflichtet. Der Verabschiedung der MsysV steht zwar europarechtlich nichts mehr im Wege, die deutschen Instanzen hat die Norm aber noch nicht abschließend passiert.
Dickster Brocken ist hier, dass sich Smart-Meter-Gateways und ihre Administratoren entsprechend IT-Grundschutz beim BSI zertifizieren müssen. Immerhin kann die Rolle des Administrators auch von juristischen Personen eingenommen werden. Der Gateway-Administrator ist für den gesamten technischen Betrieb der Gateways und dessen Zuverlässigkeit zuständig. Zudem müssen Messstellenbetreiber ebenfalls ein ISMS einrichten und zertifizieren lassen (§§4,6 MsysV).
Die technische Gestaltung des Smart Meters bestimmen hinsichtlich der Sicherheit die Technische Richtlinie (TR) 03109 sowie zwei Schutzprofile maßgeblich, die bereits vorliegen. Hier können sich also Betroffene eigentlich schon an die Umsetzung dieser technischen Anforderungen machen.