Die Energie-, bzw. Stromversorgung sind die Lebensadern moderner Industriegesellschaften. Ein Ausfall oder eine Störung der Energieversorgung hat innerhalb kürzester Zeit gravierende Auswirkungen auf die Industrie, Privathaushalte und das gesamte öffentliche Leben einschließlich Sicherheitseinrichtungen, Infrastruktur und Gesundheitsversorgung. Die komplexe Energieversorgung erfordert aber auch entsprechende Informations- und Kommunikationstechnologie (IKT), um das reibungslose Funktionieren des Systems an allen Stellen und zu jeder Zeit zu gewährleisten. IKT-Systeme sind jedoch vulnerabel und unterliegen aus diesem Grunde besonders hohen Sicherheitsanforderungen, um unsere kritische Lebensader „Energie“ vor Bedrohungen und feindlichen Angriffen adäquat zu schützen. Ereignisse der jüngsten Vergangenheit, z.B. im Gesundheitswesen, im Handel oder der Medienbranche, haben gezeigt, dass es sich dabei um eine echte Bedrohungslage handelt, die eine sehr hohe Resilienz gegenüber Cyber-Angriffen erfordert. Demensprechend verpflichtet der Gesetzgeber die Betreiber von Energieanlagen zur Umsetzung IT-sicherheitstechnischer Mindeststandards mit konkreten Vorgaben für die Erhöhung der IT-Sicherheit. Mit dem „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)“ wurde ein ganz konkreter Rahmen geschaffen, der in weiteren gesetzlichen und regulatorischen Vorgaben konkretisiert und ständig weiterentwickelt wird; aktuell mit dem IT-Sicherheitsgesetz 2.0 und der aktualisierten KRITIS (kritische Infrastruktur)-Verordnung.
Die Aktivitäten der vgbe-Mitgliedsunternehmen, die unter dem Begriff „IT-Sicherheit“ zusammengefasst werden, sind seit einigen Jahren fester Bestandteil der operativen und strategischen Geschäftsaktivitäten. Die vgbe-Mitglieder sind sich dabei ihrer Verantwortung bewusst, dass sie mit ihren Anlagen systemkritische Dienstleistungen erbringen und behandeln das Thema IT-Sicherheit mit sehr hoher Priorität. Aus diesem Grunde hat vom 8. bis 9. November 2022 die zweite vgbe-Fachtagung „IT-Sicherheit für Energieanlagen“ in Moers stattgefunden. Die Veranstaltung wurde von einer Fachausstellung begleitet. Neben dem Networking, den Fachgesprächen und dem Informationsaustausch in der Ausstellung, hatten die Aussteller am ersten Veranstaltungstag zusätzlich Gelegenheit, ihre Produkte und Dienstleistungen im Plenum kurz vorzustellen.
Aussteller
Der Schwerpunkt dieser Veranstaltung lag auf der konkreten Umsetzung der gesetzlichen und regulatorischen Anforderungen aus Sicht der Anlagenbetreiber. Neben Vorträgen der Anlagenbetreiber haben das BSI (Bundesamt für Sicherheit in der Informationstechnik), der BDEW (Bundesverband der Energie- und Wasserwirtschaft), Auditoren und Fachexperten sowie Dienstleister und Hersteller aktive Beiträge geleistet, die Dank des entsprechend gestalteten Vortragsprogramms auch wieder ausreichend diskutiert und bei der Abendveranstaltung vertieft werden konnten.
In den Vortragsblöcken wurden insbesondere nachfolgende Themen behandelt:
- Update Regulierung und Basics zur IT-Sicherheit
- Angriffserkennung, Orientierungshilfe, SIEM-Lösungen (Security Information and Event Management)
- Auditierung nach IT-Sicherheitskatalog §11 1b EnWG
- Security Operation Center (SOC)
- Nachweisführung nach §8a BSI-Gesetz (Branchenstandards)
- Betrachtung der Lebenszyklen und der Compliance im Europäischen Kontext
Im Block 1 wurden Updates zur Regulierung, die in Deutschland ständig weiterentwickelt wird und sich auch aus europäischen Richtlinien und internationalen Normen speist, sowie Basics zur IT-Sicherheit gegeben. Diese Themen wurden aus verschiedenen Blickwinkeln und in unterschiedlicher Tiefe behandelt.
Die Frage, warum das Thema IT-Sicherheit überhaupt so weit oben auf der Prioritätenliste steht, hat Daniel Jedecke in seinem Beitrag „Typische IT- und OT-Risiken – Informationssicherheit und Gefahrenabwehr in Energieanlagen“ beantwortet. Es wurden aus dem Lagebild des BSI konkret die zehn wesentlichen Bedrohungen für industrielle Leitsysteme aufgriffen und die für den Anlagenbetreiber typischen IT- und OT-Risiken dargestellt und erläutert.
Im Block 2 „Angriffserkennung, Orientierungshilfe, SIEM-Lösungen“ wurden die großen Herausforderungen – und damit auch einer der Schwerpunkte der Fachtagung – zur Einführung eines Angriffserkennungssystems gemäß IT-Sicherheitsgesetz 2.0 diskutiert. Über die Ausprägung derartiger Systeme gehen die Meinungen noch weit auseinander, da die Aufwendungen vielfach unangemessen scheinen und verschiedene Systeme noch nicht marktbewährt sind. Zudem könnte gegebenenfalls durch Überfunktion der Angriffserkennungssysteme die Verfügbarkeit der Energieanlagen negativ beeinflusst werden, was sich wiederum auf die erforderliche Versorgungssicherheit negativ auswirken würde.
In weiteren Blöcken wurde der Erfahrungsaustausch zur Nachweisführung/Zertifizierung nach IT-Sicherheitskatalog §11 1b EnWG und zum operativen Betrieb aus Sicht der Informationssicherheit intensiv geführt. So wurde beispielsweise in einem Impulsvortrag von Dirk Meyer der „Aufbau eines eigenen Security Operations Center (SOC) durch einen Betreiber“ vorgestellt.
Von besonderem Stellenwert war der Vortrag von Holger Bajohr-May „Risiko Cybercrime – Was tun bei einem „Hackerangriff“, in dem die konkreten Szenarien eines erfolgten Angriffs, die Vorgehensweise des Anlagenbetreibers sowie Maßnahmen und Schlussfolgerungen dargestellt wurden.
In dem Beitrag von Tarkan Yavas „Erfahrungsbeitrag eines Betreibers zur Nachweisführung nach §8a BSI-Gesetz (B3S)“ wurden Gesetzesgrundlage, Umfang der Zertifizierung, Nachweiserbringung sowie Erfahrungswerte dargestellt und diskutiert.
Die zweite vgbe-Fachtagung „IT-Sicherheit für Energieanlagen“ ist bei den rund 110 Teilnehmenden wieder sehr positiv aufgenommen worden. Die Diskussionen und das Networking haben den Stellenwert der IT-Sicherheit deutlich gemacht und erneut gezeigt, wie wertvoll eine vgbe-Fachtagung zu diesem Thema ist.
Das Tagungsteam bedankt sich bei allen Teilnehmenden, Vortragenden und Ausstellern für ihre wertschöpfenden Beiträge. Die dritte vgbe-Fachtagung „IT-Sicherheit für Energieanlagen“ ist für 2023 an einem zentraleren Veranstaltungsort geplant. Informationen dazu werden rechtzeitig im vgbe-Veranstaltungsportal sowie im vgbe energy journal bekanntgegeben.
