IT-Security als Aufgabe des Netzbetreibers gem. § 11 EnWG

Inhaltsverzeichnis

I. Einleitung

II. Die Regelung des § 11 Ia EnWG

III. Natur und Vorgaben des Katalogs über die Sicherheitsanforde­rungen
1. Informationssicherheits-Managementsystem
a) Netzstrukturplan
b) Risikoanalyse
2. Ansprechpartner IT-Sicherheit
3. Zertifizierung

IV. Probleme der Sicherheitsanforderungen

V. Fazit

I. Einleitung

Im Laufe der Zeit gewinnt die Nutzung informationstechnischer Systeme und das Internet mit seinen vielfältigen Angeboten für den Staat, die Wirtschaft und Gesellschaft an Bedeutung.¹ Einerseits entstehen dadurch neue Potentiale, Frei­räume und Synergien aber andererseits ist die Abhängigkeit von IT-Systeme und die Bedeutung der Verfügbarkeit und Sicherheit von Daten nicht zu unterschät­zen.² Auch der Energiesektor ist davon betroffen. In der Vergangenheit gab es im Ausland drastische Störungen von Energieanlagen durch Cyberattacken wie beispielsweise einen Ausfall des ukrainischen Stromnetzes³ oder einer nahezu Auslösung einer Explosion eines Gaskraftwerkes in Saudi-Arabien⁴

Solche spektakulären Cyberangriffe sind zum Glück in Deutschland bislang aus­geblieben. Um dies zu verhindern sollen dementsprechend Netzbetreiber Maß­nahmen nach § 11 EnWG umsetzen. Diese Arbeit soll diese Pflichten erläutern und Aufschluss über die Vorgaben des BSI zur Erfüllung dieser Pflichten ge­ben. Darüber hinaus sollen über die möglichen Probleme der Sicherheitsvorga­ben aufgeklärt werden.

II. Die Regelung des § 11 Ia EnWG

Betreiber von Energieversorgungsnetze sind gem. § 11 I 1 EnWG u.a. ver­pflichtet ein sicheres Energieversorgungsnetz zu betreiben. Mit der Novelle vom 26.07.2011 wurden spezielle Vorgaben für die IT-Sicherheit in der Energiewirt­schaft durch die Einführung des § 11 Ia EnWG getroffen. Darüber hinaus wurde im Zuge des IT-Sicherheitsgesetzes § 11 Ia EnWG modifiziert und um Ib und Ic erweitert.⁵

Nach § 11 Ia 1 EnWG umfasst der Betrieb eines sicheren Energieversorgungsnet­zes einen angemessenen Schutz gegen Bedrohungen für Telekommunikations­und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind. Gemeint ist dabei, dass das Gesamtsystem durch die Sicherheit und Zuverlässigkeit dessen gegen IT-Gefahren wie beispielsweise Hackerangrif­fe geschützt werden muss.⁶ Dies soll gem. § 11 Ia EnWG durch Erfüllung des Katalogs der Sicherheitsanforderungen der Bundesnetzagentur, im Benehmen mit den Bundesamt für Sicherheit in der Informationstechnik (BSI), geschehen, der durch die Einführung des Gesetzes zur Erhöhung der Sicherheit informati­onstechnischer Systeme (IT-Sicherheitsgesetz) von 17.07.2015⁷ ergänzt wurde. Dieser Sicherheitskatalog enthält u.a. alle Anforderungen zur Einführung eines Informationssicherheits-Managements um einen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme zu erzielen. Dementsprechend soll im folgenden auf diesen Sicherheitskatalog eingegangen werden.

III. Natur und Vorgaben des Katalogs über die Sicherheitsanforderungen

Nach § 11 Ia 3 EnWG enthält der Katalog Regelungen zur regelmäßigen Über­prüfung der Erfüllung von Sicherheitsanforderungen. Adressat davon sind nach Maßgabe des § 11 Ia EnWG alle Strom- und Gasnetzbetreiber unabhängig von ihrer Art und Größe (wie z.B. auch Betreiber von geschlossene Verteilernetze i.S.v. § 110 EnWG).⁸ Kernforderung dieses Sicherheitskatalogs der Bundesnetz­agentur ist die Einführung eines Informations sicherheits-Managementsystems gem. DIN ISO/IEC 27001 sowie die Zertifizierung durch eine unabhängige hier­für zugelassene Stelle.⁹ Diese Forderung soll insbesondere durch die Auswahl geeigneter, angemessener und dem allgemein Stand der Technik entsprechender Maßnahmen zur Realisierung erreicht werden. Angemessen ist dieser Schutz für den Betrieb eines Energieversorgungsnetzes gem § 11 Ia 3 EnWG, wenn die Anforderungen des Sicherheitskatalogs erfüllt werden. Darin werden konkret als Schutzziele definiert:

- die Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Da­ten,
- die Sicherstellung der Integrität der verarbeiteten Information und Syste­me,
- die Gewährleistung der Vertraulichkeit der mit den betrachteten Systemen verarbeiteten Informationen.¹⁰

Dabei versteht man unter Verfügbarkeit (engl. availability) die Gewährleistung, dass authentifizierte und autorisierte Subjekte in der Wahrnehmung ihrer Berech­tigungen nicht unautorisiert beeinträchtigt werden können.¹¹ Die Datenintegrität bedeutet, dass es Subjekten nicht möglich ist, die zu schützenden Daten unauto­risiert und unbemerkt zu manipulieren.¹² Bei der Vertraulichkeit (engl. confitia- lity) geht es darum, dass keine unautorisierte Informationsgewinnung ermöglicht wird.¹³

Diese Schutzziele sollen konkret durch die Einführung eines Informationssicherheits­Managementsystem gem. DIN ISO/IEC 27001 sowie die Zertifizierung davon und die Ernennung eines Ansprechpartners für IT-Sicherheit erreicht werden. Dementsprechend sollen im folgenden die Vorgaben des IT-Sicherheitskatalogs der Bundesnetzagentur genauer betrachtet werden.

1. Informationssicherheits-Managementsystem

Für den Erhalt eines sicheren Netzbetrieb auf EDV-Seite ist die bloße Umsetzung von Einzelmaßnahmen, wie z.B. der Einsatz von Antivirensoftware, Firewalls usw. nicht ausreichend.¹⁴

Als ganzheitlicher Ansatz zur Erreichung der Schutzziele mit kontinuierliche Überprüfung der Leistungsfähigkeit und Wirksamkeit wird daher auf ein sog. Informationssicherheitsmanagementsystem (ISMS) zurückgegriffen.¹⁵

Dabei wird festgelegt, mit welchen Instrumenten und Methoden die Leitungs­ebene die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar gelenkt (plant, einsetzt, durchführt, überwacht und verbessert) wird.¹⁶ Konkret werden diese Prozesse beispielsweise durch Anwendung des „Plan-Do-Check-Act- Modells” (PDCA-Modell) erreicht.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: BSI-Standard 200-1, S. 15.

Dieser PDCA Zyklus ist als Regelkreis zu verstehen, d.h. man startet wieder bei „Plan” nachdem die vier Phasen durchlaufen wurden. Dabei wird eine Ist- Analyse gemacht und ein Sollwert erzielt.¹⁷ Dies soll durch die Erstellung eines Netzstrukturplans und eine Risikoanalyse umgesetzt werden.

a) Netzstrukturplan

Inhaltlich soll im Netzstrukturplan aller Systeme/Komponenten sowie deren Ver­bindungen und Schnittstellen, unterteilt in die Technologiekategorien „Leitsys- tem/Systembetrieb”, „Übertragungstechnik” und „Sekundär-, Automatisierungs­und Fernwirktechnik” aufgeführt werden.¹⁸ Kurzum muss ein Überblick über alle technische Anwendungen erschafft werden.

Dennoch kann die Anzahl an betrachteten Systeme im Netzgebiet sowie die Ver­bindungen dessen zu einer erhöhten Komplexität führen, sodass es sinnvoll sein kann gleichartige Systeme nach bestimmten Kriterien zu gruppieren.¹⁹

b) Risikoanalyse

Zum Prozess der Risikoanalyse für den Netzbetreiber gehören sowohl Risikoein­schätzung als auch Risikobehandlung.

Bei der Risikoeinschätzung sind durch den Netzbetreiber mindestens folgende Kriterien zu berücksichtigen:

- Beeinträchtigung der Versorgungssicherheit,
- Einschränkung des Energieflusses,
- Betroffener Bevölkerungsanteil,
- Gefährdung für Leib und Leben,
- Auswirkung auf weitere Infrastrukturen,
- Gefährdung für Datensicherheit und Datenschutz durch Offenlegung oder Manipulation,
- sowie finanzielle Auswirkungen.²⁰

Diese sollen dann in den Schadenskategorien „kritisch”, „hoch” und „mäßig” eingestuft werden.

Für die Risikobehandlung sollen geeignete und angemessene Maßnahmen zu den eingeschätzten Risiken ausgewählt werden. Hierbei können die Risiken vermie­den werden z.B. durch Ausschluss der Risikoursache, reduziert werden durch Modifizierung der Rahmenbedingungen die zur Risikoeinstufung beigetragen haben, transferiert d.h. teilen mit anderen Parteien wie Versicherungen oder ak­zeptiert werden.²¹ Zur Bestimmung der Geeignetheit und Angemessenheit der Maßnahmen sind konkret neben den Auswirkungen auf das Sicherheitsniveau auch Kosten-Nutzen-Aspekte und die Praxistauglichkeit zu beachten.²²

2. Ansprechpartner IT-Sicherheit

Eine weitere Anforderung des IT-Sicherheitskatalogs ist die Benennung eines IT- Sicherheitsbeauftragten als Ansprechpartner für die Bundesnetzagentur. Dieser soll u.a. Auskunft geben über den Umsetzungsstand der Anforderungen des IT- Sicherheitskatalog sowie Sicherheitsvorfälle melden.²³

Im Gegensatz zum Datenschutzbeauftragten ist der IT-Sicherheitsbeauftragte al­lein im Interesse des Unternehmens tätig.²⁴ Demzufolge sollte aus Interessens­konflikten nicht die selbe Person beide Tätigkeiten aufnehmen.²⁵

[...]

¹ BT-Drs. 18/4096, S. 1.

² BT-Drs. 18/4096, S. 1.

³ SZ, 22.01.2016, „Bundesamt geht von Hackerangriff auf ukrainisches Stromnetz aus”, https://www.sueddeutsche.de/digital/ukraine-bundesamt-geht-von-hackerangriff-auf- ukrainisches-stromnetz-aus-1.2830197, aufgerufen am: 04.09.2020.

⁴ Heise, 15.03.2018, Saudi-Arabien: „Cyberangriff hätte Explosion auslösen können - Ermitt­ler sind alarmiert”, https://www.heise.de/newsticker/meldung/Saudi-Arabien-Cyberangriff- haette-Explosion-ausloesen-koennen-Ermittler-sind-alarmiert-3996010.html,aufgerufen am: 04.09.2020.

⁵ Maximilian Emanuel Elspas u.a., Hrsg.: EnWG: Energiewirtschaftsgesetz mit AbLaV, ARegV, GasGVV, GasHDrLtgV, GasNEV, GasNZV, KAV, KraftNAV, LSV, MaStRV, NAV, NDAV, Netz- ResV, StromGVV, StromNEV, StromNZV, SysStabV, ÜNSchutzV : Kommentar. Berliner Kom­mentare. Berlin: Erich Schmidt Verlag, 2018, § 11 EnWG, Rn. 66.

⁶ Franz Jürgen Säcker, Hrsg.: Berliner Kommentar zum Energierecht. 4., völlig neu bearbeitete und wesentlich erweiterte Auflage, Frankfurt am Main: Fachmedien Recht und Wirtschaft dfv Mediengruppe, 2019, § 11, Rn. 88.

⁷ BGB1. I 2015, S. 1324.

⁸ Stefan Brühl und Michael Weise: Auswirkungen eines künftigen IT-Sicherheitsgesetzes auf Betreiber Kritischer Infrastrukturen: Herausforderungen für Strom- und Gasnetzbetreiber bei der verpflichtenden Implementierung eines ISMS nach ISO 27001 ff. In: CR 05 2015, 290­294, S. 291.

⁹ BNetzA, Sicherheitskatalog gemäß § 11 Absatz 1aEnWG, Stand: August 2015, S.3.

¹⁰ BNetzA, Sicherheitskatalog gemäß § 11 Absatz 1a EnWG, Stand: August 2015, S.5.

¹¹ Claudia Eckert: IT-Sicherheit: Konzepte - Verfahren - Protokolle. 10., erweiterte und aktuali­sierte Auflage, ISBN: 978-3-11-055158-7. DOI: 10.1515/9783110563900, S. 12.

¹² Eckert, IT-Sicherheit: Konzepte - Verfahren - Protokolle, S. 9.

¹³ Eckert, IT-Sicherheit: Konzepte - Verfahren - Protokolle, S. 10.

¹⁴ BNetzA, Sicherheitskatalog gemäß § 11 Absatz 1a EnWG, Stand: August 2015, S. 8.

¹⁵ BNetzA, Sicherheitskatalog gemäß § 11 Absatz 1a EnWG, Stand: August 2015, S. 8.

¹⁶ BSI-Standard 200-1, S. 15.

¹⁷ BNetzA, Sicherheitskatalog gemäß § 11 Absatz 1a EnWG, Stand: August 2015, S. 8.

¹⁸ BNetzA, Sicherheitskatalog gemäß § 11 Absatz 1a EnWG, Stand: August 2015, S. 11.

¹⁹ Brühl und Weise, “Auswirkungen eines künftigen IT-Sicherheitsgesetzes auf Betreiber Kriti­scher Infrastrukturen: Herausforderungen für Strom- und Gasnetzbetreiber bei der verpflich­tenden Implementierung eines ISMS nach ISO 27001 ff.”, S. 292.

²⁰ BNetzA, Sicherheitskatalog gemäß § 11 Absatz 1a EnWG, Stand: August 2015, S. 13.

²¹ BSI-Standard 200-1, S. 34.

²² BSI-Standard 200-1, S. 35.

²³ BNetzA, Sicherheitskatalog gemäß § 11 Absatz 1a EnWG, Stand: August 2015, S. 14f.

²⁴ Thomas Grützner und Alexander Jakob: Compliance von A - Z. 2. Auflage, Beck-Online Bücher. München: Beck, 2015. ISBN: 9783406678363, IT-Sicherheitsbeauftragter.

²⁵ Grützner und Jakob, Compliance vonA-Z, IT-Sicherheitsbeauftragter.