In den vergangenen Monaten hat die NATO ihre Präsenz im Osten verstärkt. Der Grund: Zunehmende Drohnenaktivitäten und verstärkte Bewegungen der russischen Schattenflotte. Letztere steht unter anderem im Verdacht, Sabotageakte an Datenkabeln und Pipelines durchzuführen. Das gefährdet die Sicherheit kritischer Infrastrukturen wie der Energieversorgung. „Mit dem Angriff auf die Ukraine hat sich die Bedrohungslage deutlich verschärft. Wir nehmen verstärkt Drohnensichtungen wahr, auch im Offshore-Bereich in der Ostsee. Und wir registrieren immer mehr Cyber-Angriffe“, berichtet Roger Rentschler, Sicherheitschef der EnBW und verantwortlich für den Bereich Corporate Security, der Informationssicherheit, Konzernsicherheit, Business Continuity und Krisenmanagement bündelt.
Robuste Schutzmaßnahmen sind gefragt – insbesondere für die sogenannten kritischen Infrastrukturen, kurz KRITIS, die für das Funktionieren der Gesellschaft, die Versorgung der Bevölkerung und das tägliche Leben unerlässlich sind.
Was sind kritische Infrastrukturen?
Zu den Branchen und Sektoren des KRITIS-Bereichs zählen unter anderem die Energie- und Wasser- sowie die Lebensmittelversorgung ebenso wie staatliche Einrichtungen oder das Gesundheitswesen. Derzeit gibt es in Deutschland über alle Sektoren hinweg fast 2.000 KRITIS-Betreiber (301 im Energiesektor) und mehr als 2.100 Anlagen (Energie: 505), deren Funktionieren von besonderer Bedeutung ist.
Welche Gefahren gibt es für KRITIS-Unternehmen?
Die KRITIS-Unternehmen müssen einen zuverlässigen und sicheren Betrieb ihrer Anlagen gewährleisten und ihre Infrastrukturen umfassend gegen vielfältige Gefahren wappnen. Dabei liegt ein starker Fokus neuer Richtlinien und Gesetze auf einer wirkungsvollen Cyberabwehr.
Denn in seinem Bericht „Die Lage der IT-Sicherheit in Deutschland 2024“ stuft das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Situation als „besorgniserregend“ ein – unter anderem, da die Zahl der Cybervorfälle in kritischen Infrastrukturen steigt.
726 Meldungen gingen im Berichtszeitraum aus den KRITS-Sektoren ein (2023: 490), 137 davon aus der Energieversorgung. „Die Bedrohungslage im Sektor Energie ist unverändert hoch. Die Betreiber von Kritischen Infrastrukturen sehen sich mit verschiedensten Angriffsszenarien konfrontiert“, so der Bericht. Sicherheitsexperte Rentschler geht davon aus, dass die Zahl der Angriffe noch deutlich höher sein könnte. „Der Bericht zählt umfassende, meldepflichtige Vorfälle auf. Kleinere Attacken mussten bisher von den Unternehmen nicht zwingend an die Behörden weitergegeben werden.“
Schäden durch physische Sicherheitsvorfälle und Naturgewalten
Auch außerhalb des Cyberumfelds stellen kriminelle Aktivitäten ernsthafte Bedrohungen für Anlagen und Systeme dar. Um diese Risiken systematisch zu erfassen, hat die Konzernsicherheit der EnBW elf spezifische meldungspflichtige Gefährdungen definiert. Dazu gehören unter anderem Spionage, Sabotage, Ausspähungen, Vandalismus und Diebstahl.
Roger Rentschler erklärt: „Die Gefährdungen werden konzernweit in aggregierter Form gemeldet. Aktuell erleben wir zum Beispiel sehr viel Kabelklau an unseren Ladestationen, der vor allem einen hohen wirtschaftlichen Schaden mit sich bringt."
Auch Extremwetterereignisse sind eine zunehmende Bedrohung für die Energieinfrastruktur, da sie massive Schäden an Leitungen und Anlagen sowie weitreichende Versorgungsunterbrechungen verursachen können. Die steigende Zahl und Intensität solcher Ereignisse aufgrund des Klimawandels erfordert eine kontinuierliche Anpassung der Schutz- und Resilienzstrategien.
Meldepflichtige Sicherheitsvorfälle (Gefährdungen)
|
Gefährdungsart
|
Gefährdung
|
|---|---|
|
Gefährdungsart
G1
|
Gefährdung
Unberechtigter Zutritt zu Anlagen und Betriebsstätten
|
|
Gefährdungsart
G2
|
Gefährdung
Einbruch
|
|
Gefährdungsart
G3
|
Gefährdung
Diebstahl
|
|
Gefährdungsart
G4
|
Gefährdung
Sachbeschädigung, Vandalismus, Zerstörung
|
|
Gefährdungsart
G5
|
Gefährdung
Sabotage, Spionage, Ausspähung, Drohnensichtungen
|
|
Gefährdungsart
G6
|
Gefährdung
Mängel in der Sicherheitskonzeption oder unzureichende Kontrollen
|
|
Gefährdungsart
G7
|
Gefährdung
Demonstration/Protestaktion
|
|
Gefährdungsart
G8
|
Gefährdung
Terrorismus
|
|
Gefährdungsart
G9
|
Gefährdung
Auffinden eines nicht zuordenbaren Gegenstandes/Bombendrohung/Räumung
|
|
Gefährdungsart
G10
|
Gefährdung
Bedrohungen/Personenschäden
|
|
Gefährdungsart
G11
|
Gefährdung
Ausfall von Systemen zur Objektsicherheit
|
|
Gefährdungsart
Sonstiges
|
Gefährdung
Zutritt von Ermittlungsbehörden, Polizei
|
Quelle: EnBW
Welche Gesetze und Richtlinien gelten für kritische Infrastrukturen?
Damit die Versorgungssicherheit auf einem hohen Niveau bleibt, gilt für KRITIS-Betreiber in Deutschland ein umfassendes Regelwerk aus nationalen und europäischen Gesetzen sowie aus sektorspezifischen Vorgaben. Dazu gehören aktuelle Sicherheitsstandards, regelmäßige Risikoanalysen und eine enge Zusammenarbeit mit Behörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI).
IT-Sicherheitsgesetz 2.0 und NIS2
Besonders im Bereich IT-Sicherheit gibt es immer wieder neue Richtlinien oder Gesetzesnovellen. Zu den relevanten Vorgaben für deutsche KRITIS-Betreiber zählen aktuell das „Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz 2.0) und die KRITIS-Verordnung (KritisV). Dabei definiert die KritisV, welche Anlagen, Unternehmen und Organisationen als KRITIS gelten und welche Pflichten die Betreiber haben. Das IT-Sicherheitsgesetz 2.0 stärkt die Kompetenzen des BSI und verschärft die Anforderungen an KRITIS-Betreiber – etwa durch neue Mindeststandards für die IT-Sicherheit.
Die EU-weite „Network and Information Security Directive 2“ (NIS2) wiederum soll ein gemeinsames, hohes Niveau an Cyber-Sicherheit in bestimmten Sektoren stärken. Die Richtlinie tritt in Deutschland wahrscheinlich Ende 2025 in Kraft, zu einem späteren Zeitpunkt wird dann das KRITIS-Dachgesetz zur Stärkung der Resilienz und der physischen Sicherheit kritischer Infrastrukturen die Anforderungen ergänzen. „NIS2 sieht beispielsweise vor, dass sicherheitsrelevante Ereignisse, die eine Auswirkung auf unsere kritischen Geschäftsvorfälle haben, innerhalb von 24 Stunden gemeldet und innerhalb bestimmter Fristen Berichte erstellt werden müssen. Ich gehe davon aus, dass aufgrund dieser strengen Meldepflichten auch die Zahl der registrierten Vorfälle noch einmal deutlich steigt“, erläutert Sicherheitschef Rentschler.
Was schützt kritische Strominfrastruktur vor physischen Bedrohungen?
Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe sieht vor, dass sich kritische Infrastrukturen nach einem sogenannten
Berücksichtigung aller Gefahrenarten (zum Beispiel Naturgefahren, technologische Gefahren) im Rahmen des Risiko- und Krisenmanagments.
Allerdings, so erläutert Roger Rentschler, sei es unrealistisch, tausende Kilometer Stromtrassen schützen zu wollen. „Das ist auch nicht notwendig. Denn nicht nur Prävention gehört zum Resilienz-Konzept. An vielen Stellen sind Backups und schnelle Wiederherstellungsmaßnahmen deutlich effizienter.“ Diese machen einen wichtigen Pfeiler der EnBW-Sicherheitsstrategie aus.
An anderen Stellen setzt das Unternehmen auf umfangreiche Sicherheits- und Vorsorgemaßnahmen. „Für neuralgische Elemente unserer Infrastruktur wie zentrale Umspannwerke mit der höchsten Priorität, prüfen wir aktuell neue Schutzmaßnahmen und rüsten nach: Wir verstärken Zäune und den Übersteigschutz, wir optimieren die Sicherheitstechnik – zum Beispiel mit Videoüberwachungssystemen vor Ort, die Aufzeichnungen in Echtzeit an eine Sicherheitsleitstelle übertragen und eine zeitnahe Intervention gewährleisten.“
Wie beugt die EnBW Notfällen und Ausfällen vor?
KRITIS-Bereiche unterliegen regelmäßigen Prüfungen hinsichtlich ihrer Resilienz, die von unabhängigen Stellen wie dem TÜV bestätigt wird. Kommt es dennoch zu Schadenereignissen und die Energieversorgung ist gefährdet oder unterbrochen, setzt das Notfall- und Krisenmanagement ein. Detailliert ausgearbeitete Kontinuitätspläne aus dem Business Continuity Management zielen darauf ab, den Betrieb aller kritischen Geschäftsprozesse jederzeit aufrecht zu erhalten. Umfangreiche Trainings für die Beschäftigten bereiten kontinuierlich auf den Ernstfall vor.
Regelmäßige Risikoanalysen dokumentieren die Gefährdungslage
Konsequente Wartungen der Hardware sowie Sicherheitsprotokolle helfen, Risiken durch technische Ausfälle zu minimieren. Schulungen sensibilisieren die Beschäftigten dafür, Gefahren zu erkennen, einzuordnen und an die entsprechenden Stellen weiterzugeben. „Wichtig ist dies insbesondere bei der IT-Sicherheit. Hier suchen Angreifer nach wie vor Einfallstore über E-Mails oder vergleichbare Kommunikationswege“, erklärt Rentschler. Gemeinsam mit seinem Team bewertet er in regelmäßigen Risikoanalysen die jeweilige Gefährdungslage und hält sie für den zweiwöchentlichen Intelligence Report der EnBW fest.
„Wir tauschen uns dazu auch mit anderen Unternehmen der Branche aus. So erhalten wir wichtige Informationen weit über die Grenzen unseres eigenen Konzerns hinaus“, berichtet Rentschler.
Branchenübergreifende Kooperationen und gegenseitige Unterstützung werden im KRITIS-Bereich in Zukunft noch bedeutender werden, so die Einschätzung des Sicherheitsexperten. „Besonders für kleinere Stadtwerke oder Energieversorger wird diese Zusammenarbeit erforderlich, um das geforderte Sicherheitsniveau mit den entsprechenden Nachweisen erreichen zu können, da ihnen gegebenenfalls die Expertise und die Ressourcen fehlen.“