anlagen und Netzbetreiber
Die bereits angesprochene Vorrangstellung des EnWG für Betreiber Kritischer Infrastruktur im Energiesektor bedeutet, dass sie den Regelungen des § 11 EnWG unterliegen und der § 8a Abs. 1 BSIG zunächst keine Anwendung findet.
Dabei unterscheidet das EnWG zusätzlich zwischen Betreibern von Energieversorgungsnetzen sowie Betreibern von Energieanlagen. Bei ersteren handelt es sich um Elektrizitäts und Gasversorgungs
netzbetreibern über eine bzw. mehrere Spannungs
ebenen oder Druckstufen, letztere betreiben Anlagen zur Erzeugung von elektrischer Energie.
Die verschiedenen Regelungen führen dabei inner
halb des EnWG zu einem unterschiedlichen Rege
lungsregime. Während für Betreiber von Energiever
sorgungsnetzen in der aktuellen Rechtsprechung nach § 11 Abs. 1a EnWG pauschal gilt, dass sie
„einen angemessen Schutz gegen Bedrohungen für Telekommunikations und elektronische Datenver
arbeitungssysteme, […]“ gemäß dem ITSicherheits
katalog für Strom und Gasnetze umsetzen müssen5,
5 OLG Düsseldorf Beschl. v. 19.7.2017 – 3 Kart 109/16, BeckRS 2017, 132865.
soweit sie den Regelungen des § 11 EnWG unterlie
gen.“ Demnach besitzt das EnWG für Betreiber von Kritischer Infrastruktur im Energiesektor grundsätz
lich eine Vorrangstellung.
2.3 Pflichten für Energiever- sorgungsunternehmen nach EnWG
Erfüllt ein Energieversorgungsunternehmen die eben erwähnten Voraussetzungen nach § 11 Abs. 1a oder 1b EnWG, ist es ebenso gesetzlich dazu verpflichtet angemessene Schutzmaßnahmen gegen Bedrohungen für Telekommunikations und elektronische Datenverarbeitungssysteme zu treffen, die für einen sicheren Netz bzw. Anlagen
betrieb notwendig sind. Hierfür hat die Bundesnetz
agentur die sog. ITSicherheitskataloge erstellt und veröffentlicht, an denen sich die betroffenen Unternehmen orientieren müssen.
Aktuell gibt es zwei verschiedene ITSicherheits
kataloge:
↳IT-Sicherheitskatalog für Strom- und Gasnetze (Stand August 2015) gemäß
§ 11 Abs. 1a EnWG für den sicheren Betrieb von Energieversorgungsnetzen (Netzbetreiber) und
↳IT-Sicherheitskatalog für Betreiber von Energieanlagen (Stand Dezember 2018) gemäß
§ 11 Abs. 1b EnWG für den sicheren Betrieb von Energieanlagen
Der § 11 Abs. 1c EnWG verpflichtet zudem, wie das BSIG auch, Störungen über eine Kontaktstelle an das BSI zu melden, welche umgehend vom BSI an die Bundesnetzagentur weitergeleitet werden. Hierzu zählen ebenfalls Störungen der Verfügbarkeit, Inte
grität, Authentizität und Vertraulichkeit ihrer IT
Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer erheblichen Beeinträch tigung der Funktionsfähigkeit des Energieversorgungsnetzes oder der betreffenden Energieanlage führen.
3 / IT-Sicherheit für KRITIS-Unternehmen in der digitalen Energiewirtschaft
2.5 Analyse: KRITIS-Betreiber für Energieanlagen
Zur Veranschaulichung werden nachfolgend die Betreiber für Energieanlagen ermittelt und analysiert, welche nach der Rechtsverordnung (BSIKritisV) als Kritische Infrastruktur bestimmt wurden. Hierfür wurde in der Kraftwerksliste der Bundesnetzagentur (Stand: 01.04.2020)6 die Anzahl sämtlicher Energie
anlagen ermittelt, welche den Schwellenwert von 420 MW aus der BSIKritisV erreichen bzw. überschreiten.
Von den Anlagen, die sich aktuell im Betrieb be
finden, werden lediglich 66 Energieanlagen als Kritische Infrastruktur klassifiziert. In Abbildung 2
6 Kraftwerksliste der BNetzA unter: https://www.bundes
netzagentur.de/DE/Sachgebiete/ElektrizitaetundGas/Unter
nehmen_Institutionen/Versorgungssicherheit/Erzeugungs
kapazitaeten/Kraftwerksliste/kraftwerkslistenode.html, aufgerufen am 10.01.2020.
gilt dies für Betreiber von Energieanlagen erst, sobald sie „durch die Rechtsverordnung gemäß
§ 10 Abs. 1 BSIG als Kritische Infrastruktur be
stimmt wurde […]“. Das bedeutet, dass Energieanla
gen zunächst den Schwellenwert von 420 MW (siehe → Tabelle 1) erreichen bzw. überschreiten müssen, damit sie gesetzlich dazu verpflichtet werden „einen angemessenen Schutz gegen Be drohungen für ihre Telekommunikations und elektronische Datenverarbeitungssysteme […]“, gemäß dem ITSicherheitskatalog für Betreiber von Energieanlagen, umzusetzen. Damit verweist das EnWG speziell für Betreiber von Energieanlagen wieder auf die Verordnung zur Bestimmung Kriti
scher Infrastrukturen nach dem BSIG.
In Abbildung 1 ist die rechtliche Einordnung und das Verhältnis zwischen EnWG und BSIG nochmal grafisch erläutert.
Energieversorgungsnetze
BSIG
Energieanlagen
Es gilt vorrangig EnWG (Anlagen zur Erzeugung
elektrischer Energie) Es gilt vorrangig EnWG
§11 Abs. 1a EnWG
Verpflichtung zu angemessenen organisatorischen und technischen Vorkehrungen […]
gem. dem Stand der Technik
Verpflichtung zur Umsetzung des IT-Sicherheitskatalog
nach §11 1b EnWG (Elektrizitäts- und
Gasversorgungs-netze über eine bzw. mehrere Spannungsebenen oder Druckstufen)
Verpflichtung zur Umsetzung des IT-Sicherheitskatalog
nach §11 1a EnWG
Prüfung, ob Kritische
Infrastruktur gem. BSI-KritisV Prüfung, ob Kritische Infrastruktur gem. BSI-KritisV
Keine gesetzl.
Verpflichtung!
Rot erklärt das unterschiedliche Regelungsregime zwischen Energieversorgungsnetzen und Energieanlagen Blau ist optional und erklärt die Stellung des BSIG
Energieversorgungsnetze
BSIG
Energieanlagen
Es gilt vorrangig EnWG (Anlagen zur Erzeugung
elektrischer Energie) Es gilt vorrangig EnWG
§11 Abs. 1a EnWG
Verpflichtung zu angemessenen organisatorischen und technischen Vorkehrungen […]
gem. dem Stand der Technik
Verpflichtung zur Umsetzung des IT-Sicherheitskatalog
nach §11 1b EnWG (Elektrizitäts- und
Gasversorgungs-netze über eine bzw. mehrere Spannungsebenen oder Druckstufen)
Verpflichtung zur Umsetzung des IT-Sicherheitskatalog
nach §11 1a EnWG
Prüfung, ob Kritische
Infrastruktur gem. BSI-KritisV Prüfung, ob Kritische Infrastruktur gem. BSI-KritisV
Keine gesetzl.
Verpflichtung!
Rot erklärt das unterschiedliche Regelungsregime zwischen Energieversorgungsnetzen und Energieanlagen Blau ist optional und erklärt die Stellung des BSIG
Abbildung 1: Rechtliche Einordnung Kritischer Infrastruktur im Energiesektor Quelle: eigene Darstellung
3 / IT-Sicherheit für KRITIS-Unternehmen in der digitalen Energiewirtschaft
Zwar wird ein gewisses Maß zum Schutz der Tele
kommunikations und elektronischen Daten
verarbeitungssysteme durch Einzelmaßnahmen, wie dem Einsatz moderner Technologien oder dem allgemeinen Aufbau von Steuerungs und Telekom
munikationssystemen nach den Anforderungen des BDEWWhitepapers, gewährleistet. Ein ganzheit
licher Ansatz wie ihn der ITSicherheitskatalog mithilfe eines InformationssicherheitsManage
mentsystem (ISMS), einem Risikomanagement und dem Aufbau einer Sicherheitsorganisation inkl. einer Meldestelle für das BSI in Unternehmen fordert, wird jedoch nicht umgesetzt.
2.6 Befreiung/Nicht-Anwendung der gesetzlichen Pflichten
Die gesetzlichen Vorschriften enthalten in der Regel keine entsprechenden Befreiungs oder Ausnahme
tatbestände für den Fall, dass der Netzbetreiber bestimmte IKTTechnologien einsetzt, die unter den Regelungsbereich des EnWG bzw. ITSicherheits
katalogs fallen. Falls der Netzbetreiber jedoch für den Betrieb seiner Anlagen nachweislich keine schützenswerte IKTTechnologie einsetzt, kann dieser gegenüber der Bundesnetzagentur eine
„verbindliche Erklärung zur Nichtanwendbarkeit des ITSicherheitskatalogs“ abgeben. Nach entspre
chender Prüfung der Netzstrukturdaten (Leitwarte, Schalthandlungen, Netzstrukturplan, etc.) entschei
det die Bundesnetzagentur, ob eine Nichtanwend
barkeit gerechtfertigt ist.
Der Netzbetreiber ist jedoch dazu verpflichtet, auch nach positiver Prüfung, bei jeder zukünftigen Verän
derung der Netzinfrastruktur erneut zu überprüfen, ob eine Nichtanwendbarkeit berechtigt ist. Diese Verantwortung wird dem Netzbetreiber allein über
lassen. Sollte sich anschließend herausstellen, dass – entgegen der getroffenen Aussagen und vorgeleg
ten Unterlagen – der Netzbetreiber gleichwohl Systeme, Anwendungen oder Komponenten betreibt, auf die der IT-Sicherheitskatalog nach § 11 Abs.
1a EnWG anwendbar ist, könnte dies aufgrund der ist eine Deutschlandkarte mit allen Energieanlagen,
die unter die KRITISVerordnung fallen, dargestellt – darunter hauptsächlich Erdgasanlagen,
Braun und Steinkohlekraftwerke sowie einige wenige Pumpspeicherkraftwerke und Windparks.
Die gesamte Anzahl an Kritischer Infrastruktur unter den Energieanlagen in Deutschland entspricht demzufolge 3,40 Prozent, womit nur ein Bruchteil überhaupt die Schwellenwerte für Betreiber Kritischer Infrastruktur in der Energieerzeugung erreicht. Aufgrund ihrer Größe bzw. der installierten Nennleistung vereinen diese Anlagen immerhin 28,72 Prozent der gesamten deutschen
NettoNennleistung und sind demnach verpflichtet die organisatorischen und technischen Maß nahmen gemäß des ITSicherheitskatalog nach § 11 Abs. 1b EnWG umzusetzen und sich innerhalb einer Frist bis zum 31.03.2021 zertifi zieren zu lassen.
Im Umkehrschluss bedeutet dies jedoch, dass es keine einheitliche Regelung in dem Umfang bzgl.
der ITSicherheit für die restlichen 71,28 Prozent der Abbildung 2: KRITIS-Stromerzeuger
(Stand: Nov. 2019) – Deutschlandkarte Quelle: eigene Darstellung
3 / IT-Sicherheit für KRITIS-Unternehmen in der digitalen Energiewirtschaft
(SubCAs), welche die Betreuung der Marktteilneh
mer übernehmen und zur Ausstellung von Zertifikaten für die Endnutzer autorisiert sind. Zu den Endnutzern selbst gehören:
↳Smart Meter Gateways (SMGW)
↳Gateway Administratoren (GWA)
↳Gateway Hersteller (GWH)
↳Externe Marktteilnehmer (EMT)
Bei Letzteren wird außerdem zwischen aktiven und passiven EMT unterschieden. Dabei nutzt ein aktiver EMT ein SMGW, um über dieses nachge
lagerte Geräte (CLS) anzusprechen, während ein passiver EMT keine nachgelagerten Geräte steuert, sondern nur Daten empfängt und die eigenen Geschäftsprozesse fortführt. Um den sicheren Regelbetrieb von Smart Meter Gateways zukünftig zu gewährleisten und Schwachstellen auf ein Minimum zu reduzieren, müssen alle Teilnehmer der Smart MeterPKI selbst ein gewisses Maß an