Risiken für Energieversorger und Netzbetreiber werden weiter stark steigen
Wie entwickelt sich das Thema IT-Sicherheit 2025 und in den nächsten fünf Jahren? Die ZfK hat Maik Neubauer von der Unternehmensberatung AXXCON um eine Einschätzung gebeten.
„Die deutsche Energiewirtschaft steht mit Ihren weit verzweigten – insbesondere kommunalen – technischen und prozessualen Strukturen und komplexen Wertschöpfungsketten im Mittelpunkt von potenziellen physischen oder cyberbezogenen Angriffen“, sagt Maik Neubauer, Partner Energy & Critical Infrastructures bei AXXCON Management Consultants.
Nach der Umsetzung von Basisschutzmechanismen auf Basis des IT- Sicherheitsgesetzes 2.0 und der Einführung von Informationssicherheitsstandards auf Basis von ISO 27001 stehe dieses Jahr die NIS-2-Umsetzung sowie die Umsetzung der Vorschriften des Kritis-Dachgesetzes auf der Agenda. Für die nationale Umsetzung der NIS 2 wird das sogenannte NIS-2-UmsuCG final diskutiert, die EU-Vorgaben für Betreiber von kritischer Infrastruktur, worunter die meisten großen Energieunternehmen fallen, werden im Rahmen des KRITIS-DachG und abgeleiteter Verordnungen und Leitlinien implementiert.
„Aufgrund der aktuellen (geo-)politischen Lage und vieler Unsicherheiten, aber auch der fortschreitenden Entwicklungen von KI- Algorithmen, die auch im Rahmen von Cyberattacken eine Rolle spielen, werden die Risiken für Energieversorger und Netzbetreiber potenziell weiter stark ansteigen“, so Neubauers Prognose.
Viele Energieversorger haben aktuell Schwierigkeiten den ‘Wald vor lauter Regulierungsbäumen’ klar zu erkennen und aus den vielfältigen Gesetzen, Leitfäden zur Cybersicherheit und Vorschriften für sich eine schlanke, aber effiziente Handlungsstrategie abzuleiten.
Herausfoderungen für Stadtwerke
„Viele Energieversorger haben aktuell Schwierigkeiten den ‘Wald vor lauter Regulierungsbäumen’ klar zu erkennen und aus den vielfältigen Gesetzen, Leitfäden zur Cybersicherheit und Vorschriften für sich eine schlanke, aber effiziente Handlungsstrategie abzuleiten“, so die Beobachtung des Expertens. Viele Stadtwerke stünden dabei noch ziemlich am Anfang und versuchen sich mit der Implementierung von relativ statischen Informationsmanagementprozessen vor potenziellen Angriffen zu schützen.
„Dieses ist aber leider ein Trugschluss, da Informationsschutz- und Cybersicherheit proaktiv umgesetzt werden muss. Es geht hier um eine 24/7-Überwachung von Daten- und Informationssystemen mit Hilfe von professionellen Monitoringtools, die potenzielle Gefahren- und tatsächliche Attacken detektieren, analysieren und Risikominderungsmaßnahmen initiieren. Erst wenn die Gefahren analysiert und erkannt werden können, greift eine koordinierte Prozesswelt im Rahmen von ISMS-Strukturen.“
Die Chancen für Stadtwerke liegen Neubauer zufolge in einer systematischen Analyse der möglichen Risiken, da auf dieser Basis auch eine kontinuierliche Optimierung der IT-Landschaft unterstützt werden kann, die Kosteneinsparungs- und Effizienzpotenzial mit sich bringt. Alle Resilienz- und Schutzmaßnahmen müssten in sogenannten Business-Continuity-Management-Systemen (BCMS) organisiert und verankert werden. „Diese BCM-Maßnahmen sollten an bereits vorhandene BCM-Systeme, Dokumentationen und Prozesse angelehnt werden und sollen auf Basis entsprechender ISO-Standards, z. B. ISO 22301 oder ISO 22361 zertifiziert werden“, so Neubauers Rat.
Er rät zu einer Synchronisation mit anderen Managementsystemen (wie etwa einem ISMS gemäß ISO 27001, den BSI-Standards oder allgemeinen Governance-, Compliance- und Riskmanagementsystemen), um der Geschäftsführung ein umfangreiches Kontroll- und Reaktionsinstrumentarium an die Hand zu geben.
Informations-, Cyber- und Infrastruktursicherheit in Kooperationsprojekten angehen
Nach der Frage, wie sich Stadtwerke positionieren sollten, damit sie in diesem Rahmen Geschäftsmodelle unter Abwägung der Risiken und Chancen sinnvoll umsetzen können, rät Neubauer Stadtwerken dazu, das Thema Informations-, Cyber- und Infrastruktursicherheit in Kooperationsprojekten anzugehen. „Alle Energieversorger stehen vor den gleichen Fragen, müssen ähnliche Prozess-, Melde- und Reaktionsketten aufbauen und sich ähnliche Monitoringsysteme aufbauen, um das Gefahrenpotenzial messbar zu machen.“
Gemäß Peter Druckers „What you cannot measure, you cannot manage“ stehe die Erkennung und Bewertung von Gefahren ganz am Anfang der notwendigen Aufgaben in diesem Kontext. Auch bei der Analyse der gesetzlichen Rahmenbedingungen und Anforderungen – bis hin zu den Verpflichtungen der Geschäftsführer und Vorstände, sollten Stadtwerke zusammenarbeiten. „Die Stadtwerkeverbunddienstleister wie Thüga, Trianel und andere können in diesem Kontext spezifische Dienstleistungen anbieten, um ihre Stadtwerkepartner bei der Implementierung von Schutzmechanismen zu unterstützen. Hier sehen wir noch ein erhebliches Innovations- und Nachholpotenzial für die Servicegeber im Stadtwerke-Ökosystem“, so Neubauer.
Quelle: Zeitung für kommunale Wirtschaft, 17. Februar 2025
