Die Energieversorgung ist zunehmend von Informations- und Kommunikationstechnologien (IKT) abhängig, wodurch auch die Risiken steigen, dass Cyberangriffe die Versorgungssicherheit gefährden. Neben der Gestaltung des regulatorischen Rahmens für die Informationssicherheit im Energiesektor gehört mit dem Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung auch die Durchführung energiesystemischer Auswirkungsanalysen zu den Aufgaben der BNetzA.
Cybervorfall gemeldet – und dann?
Im Auftrag der BNetzA hat das Fraunhofer IOSB-AST eine Studie vorgelegt, die die methodischen Grundlagen schafft, um Sicherheitsmeldungen gemäß der NIS-2-Richtlinie ganzheitlich hinsichtlich ihrer Folgen für das Energiesystem zu bewerten.
Aktuell ermöglichen Meldungen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) über das BSI-Portal nur eine grobe Einschätzung von IT-Sicherheitsvorfällen. Eine Ableitung systemischer Auswirkungen auf das gesamte Energiesystem war bislang kaum möglich. Die BNetzA trägt in diesem Kontext Verantwortung für die Einhaltung von Sicherheitsvorgaben im Energiesektor und arbeitet eng mit dem BSI zusammen.
Die nun vorgelegte Studie des Fraunhofer IOSB-AST entwickelt erstmals eine strukturierte Vorgehensweise für die BNetzA zur Durchführung energiesystemischer Auswirkungsanalysen. Die Studie beginnt mit einheitlicher Kommunikation und Datenformaten zwischen Stakeholdern wie Netz- und Anlagenbetreibern, Herstellern und Behörden.
Auf dieser Grundlage definiert sie eine Klassifikation von Sicherheitsmeldungen sowie ein dreistufiges, risikobasiertes Bewertungsmodell. Dieses Modell ermöglicht robuste Folgeabschätzungen für das gesamte Energiesystem. Das Ergebnis sind realistische Einschätzungen der Auswirkungen einzelner Sicherheitsvorfälle auf den Energiesektor, die als Grundlage für eine effiziente Krisenvorsorge und die Einleitung angemessener Gegenmaßnahmen dienen. Eine energiesystemische und -wirtschaftliche Bewertung macht zudem praktische Zusammenhänge und Wechselwirkungen sichtbar.
Risiken eindeutig zuordnen
Die Methodik orientiert sich an der „Cyber attack classification scale“ der ENTSO-E im Rahmen des „Network Code on Cybersecurity“ (NCCS) der EU-Kommission und nutzt das Marktstammdatenregister als wesentliche Datengrundlage. Die Qualität dessen und der sichere Zugriff sind zentral, um Risiken eindeutig konkreten Anlagen zuzuordnen.
Der Bewertungsprozess umfasst:
Erfassung: Angriffsart, betroffene Akteure und erste Folgen zur initialen Einstufung.
Voranalyse: Verifizierung und Verfeinerung unter Berücksichtigung globaler Einflussgrößen, gegebenenfalls Neukategorisierung.
Auswirkungsanalyse: zusätzliche zentrale Betreiber-Kennzahlen zur Abbildung systemischer und wirtschaftlicher Effekte, dokumentierte Ergebnisse und Begründungen für die Weitergabe an zuständige Stellen.
Aufbauend auf diesen Ergebnissen kann die BNetzA in den nächsten Schritten die Implementierung und Pilotierung vorantreiben.
Zeitnahe Analyse als Schlüssel für Versorgungssicherheit
„Die Bedeutung der Energieversorgung für das tägliche Leben sowie für essenzielle Daseinsvorsorge-Aspekte, wie jüngst in Berlin deutlich wurde, erfordert eine sorgfältige Beobachtung der Auswirkungen auch von IT-Sicherheitsvorfällen auf die Versorgungssicherheit. Jeder Vorfall, der nicht umgehend analysiert wird, kann gravierende Konsequenzen für die Versorgung nach sich ziehen. Eine zeitnahe und systematische Analyse der Auswirkungen ermöglicht es den beteiligten Akteuren, im Ernstfall rechtzeitig zu handeln“, erläutert Dr.-Ing. Dennis Rösch vom Fraunhofer IOSB-AST.
Die von der BNetzA eingesetzte Logik zur globalen Risikobetrachtung kann auf nachgelagerte Ebenen von Netzbetreibern adaptiert und in lokale, operative Prozesse integriert werden, um eine verbesserte, konsistente Risikobewertung entlang der gesamten Wertschöpfungskette zu erreichen.
