Bild im Seitenkopf

IKT-Risikoanalyse für die E-Wirtschaft 

Welche Gefahren der Strom- und Gasversorgung durch den Einsatz moderner Informations- und Kommunikationstechnologien drohen, untersuchte eine Arbeitsgruppe unter Koordination der Regulierungsbehörden für den Energie- und den Telekomsektor. 

Bereits seit 2013 läuft ein Private-Public-Dialog (PPD) mit dem Ziel, eine zwischen der Elektrizitäts- und der Gaswirtschaft abgestimmte Sicht auf die Risiken bei der Nutzung moderner Informations- und Kommunikationstechnologien (IKT) zu gewinnen. Daraus sollen abgestimmte Maßnahmen zur Minimierung allfälliger Risiken erwachsen.

Kritische Infrastruktur: Prozess der Fortentwicklung von Standards, Richtlinien und Testregimen in der IT, um den Technologiefolgeabschätzungsprozess in Gang zu bringen

Der Dialog gilt mittlerweile als wichtiger Beitrag bei der Umsetzung des Netz- und Informationssystemsicherheitsgesetzes (NISG), das auf der „Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union“ vom 6. Juli 2016 (NIS-Richtlinie) beruht. Geführt wird der Dialog in einer Arbeitsgruppe mit Vertretern des Bundeskanzleramts, des Innen-, des Verteidigungs- und des Energieministeriums (BMK), der E-Control, des Austrian Energy CERT (AEC), der Elektrizitäts- und der Gaswirtschaft sowie der wesentlichen Netz-, Kraftwerks- und Energiespeicherbetreiber. Ferner nehmen neuerdings auch Betreiber wichtiger Dienste aus der Telekommunikationswirtschaft an dem PPD teil. Dessen Koordinierung obliegt der  Rundfunk- und Telekommunikations-Regulierungsbehörde (RTR) und der E-Control. Seinen aktuellen Stand fasst die E-Control in dem Bericht „IKT-Risikoanalyse der Energiewirtschaft Version 4.1-2021“ zusammen. 

Der Dialog gilt mittlerweile als wichtiger Beitrag bei der Umsetzung des Netz- und Informationssystemsicherheitsgesetzes (NISG), das auf der „Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union“ vom 6. Juli 2016 (NIS-Richtlinie) beruht. Geführt wird der Dialog in einer Arbeitsgruppe mit Vertretern des Bundeskanzleramts, des Innen-, des Verteidigungs- und des Energieministeriums (BMK), der E-Control, des Austrian Energy CERT (AEC), der Elektrizitäts- und der Gaswirtschaft sowie der wesentlichen Netz-, Kraftwerks- und Energiespeicherbetreiber. Ferner nehmen neuerdings auch Betreiber wichtiger Dienste aus der Telekommunikationswirtschaft an dem PPD teil. Dessen Koordinierung obliegt der  Rundfunk- und Telekommunikations-Regulierungsbehörde (RTR) und der E-Control. Seinen aktuellen Stand fasst die E-Control in dem Bericht „IKT-Risikoanalyse der Energiewirtschaft Version 4.1-2021“ zusammen. 

Cyberattacken gegen kritische Infrastrukturen werden zunehmend mit höherer Expertise bzw. „Qualität“ ausgeführt.

Wie es darin heißt, bestehe das Hauptziel der Arbeitsgruppe darin, „sich verändernde Gefahren, die durch die Nutzung und Anwendung von Informations- und Kommunikationstechnologie in der Energiewirtschaft determiniert sind, zu erkennen und entsprechende Risiken zu bewerten. In der Auswirkung solcher ‚Gefahren‘ stehen ein nennenswerter und flächendeckender Stromausfall bzw. entsprechend signifikante Liefereinschränkungen im Gas im Fokus.“ Bedingt sehe die Arbeitsgruppe Gefahren grundsätzlich durch „technische Implementierungen, menschliche Fehlleistungen, Natur- und Elementarereignisse sowie durch kriminelle und/oder terroristische Aktivitäten (intentionale Gefahren)“. Was die Nutzung der IKT betrifft, betrachtet und bewertet die Arbeitsgruppe daher insbesondere die „Verfügbarkeit, Integrität und Vertraulichkeit“ der bearbeiteten Daten.

Nicht im Mittelpunkt ihres Interesses würden demgegenüber „finanzielle bzw. betriebswirtschaftliche Gefahren für Betreiber der IKT-Systeme bei Strom- und Gasnetzen, Erzeugungsanlagen, Gasspeichern sowie auch von Handelsplattformen“ stehen. Sie würden ausschließlich dann berücksichtigt, „wenn in der mittelbaren Schadwirkung die Gefahr eines nennenswerten und flächendeckenden Stromausfalls bzw. nennenswerte Liefereinschränkungen in der Gasversorgung bestehen“. Die Ziele der Evaluierung der IKT-Risikoanalyse für die Energiebranche werden in dem Bericht folgendermaßen beschrieben: „Eine Überprüfung der Risikobewertung wird als zwingend erachtet, da Maßnahmen zur Risikominimierung im Rahmen des kontinuierlichen Verbesserungsprozesses bei den Organisationen implementiert werden bzw. bereits wurden.

Andere Branchen haben inzwischen einen ähnlichen Gefahrenidentifikations- und Bewertungsprozess durchlaufen. Insbesondere die auf der Hand liegenden Interdependenzen zwischen der Telekommunikationsbranche und der Energieversorgungsindustrie erzwingen einen intensiveren Informationsaustausch. Dieser wurde im Rahmen dieses Evaluierungsschrittes erstmals begonnen und wird fortzusetzen sein.“ Für notwendig hält die Arbeitsgruppe ferner „eine wiederkehrende Evaluierung der Ergebnisse“ ihrer Diskussionen. Als Prognosehorizont des Berichts nennt sie das Jahr 2025.
 

Neun Risikokategorien. 

Behandelt werden in dem Bericht sämtliche in dem Dialog betrachteten Risiken der Elektrizitäts- und der Gaswirtschaft, erstmals aber auch Kaskadeneffekte, die sich aus der Zusammenarbeit der beiden Branchen mit dem Telekomsektor ergeben bzw. ergeben könnten. Dies geschieht in den neun Risikokategorien Design- und Architektur der IKT, Eskalation und Kommunikation, Hard- und Software, Faktor Mensch, Naturgefahren, Normung und Recht, organisatorische Sicherheit, Planungs- und Beschaffungsprozesse sowie Zugriffskontrolle und Kryptographie. Um die Risiken so weit wie möglich zu reduzieren, wurde in dem Dialog eine Reihe von Empfehlungen erarbeitet. Diese beziehen sich einerseits auf die Unternehmensprozesse, andererseits auf die Weiterentwicklung des „Stands der Technik“. Hinsichtlich der Unternehmensprozesse gehe es um die „Sicherstellung eines resilienten inter- und intraorganisatorischen Business Continuity- und Krisenmanagements“, nicht zuletzt „durch regelmäßige Teilnahme an Übungen unter Einbindung des AEC“, aber auch um die „Implementierung eines holistisch ausgeprägten Sicherheits-Managementsystems“. Was die Weiterentwicklung des Stands der Technik betreffe, handle es sich um die „Einbindung des Sachverstands österreichischer Unternehmen, Interessensvertretungen und Behörden in den EU-weiten Prozess der Fortentwicklung von Standards, Richtlinien und Testregimen, um den kommenden raschen Weiterentwicklungen in der IKT einen entsprechend ausgeprägten Technologiefolgeabschätzungsprozess entgegenstellen zu können. Damit verbunden sind Empfehlungen zur Sicherstellung der Versorgungssicherheit bei der Integration erneuerbarer Energieinfrastrukturen.“ 
 

Aggregationsrisiken.  

Erarbeitet wurden die Empfehlungen in sechs Workshops mit ihrerseits jeweils rund sechs Stunden Dauer. In diesen wurden 71 einzelne Risiken identifiziert, die sowohl für die Elektrizitäts- als auch für die Gaswirtschaft relevant sind. In einem iterativen Prozess erfolgte deren Zusammenfassung zu 17 „Aggregationsrisiken“. Maßgeblich waren dabei die Gesichtspunkte „ähnliche oder vergleichbare Ursachen inklusive vergleichbarer Tatmuster oder Angriffsvektoren“ sowie „ähnliche oder vergleichbare Maßnahmen zur Vermeidung und Risikominimierung“. Ferner erfolgte die Bewertung der Einzelrisiken im „Best Case“, im „Most Likely“-Fall und im „Worst Case“. Für den besonders kritischen„Worst Case“ ergaben sich sieben hohe, acht mittlere und zwei geringe Risiken. Was die hohen Risiken betreffe, gehe es insbesondere um die Tatsache, „dass Cyberattacken gegen kritische Infrastrukturen zunehmend mit höherer Expertise bzw. ‚Qualität‘ ausgeführt werden. Hier werden hohe Schadenspotenziale durch bis dato unerkannte Schwachstellen bei Core-Komponenten unterstellt.“ Bei den Risiken im mittleren Bereich handle es sich im Wesentlichen um solche durch den Faktor Mensch, der „die Wiederherstellungszeiten eines ‚Regelbetriebs‘ bei Schadereignissen stark beeinflussen“ könne. Ebenfalls als „mittlere Risiken“ eingestuft würden „technische Ausfälle von kritischen Komponenten in der Sensor-Steuerungs- und Aktorenkette sowie die Abhängigkeiten von qualitativ hochwertiger Beschaffung von Komponenten, die für den Betrieb signifikante funktionale Sicherheitsmerkmale aufweisen“. Als vergleichsweise „gering“ gelten demgegenüber Risiken durch den Einsatz kryptographischer Verfahren und Prozesse. 

In dem Workshop mit der Telekombranche hätten sich laut dem Bericht insbesondere folgende Erkenntnisse ergeben: 

„Technische Gebrechen wie eine Leitungsunterbrechung bei vermeintlichen Redundanzen, die jedoch physisch eng beieinanderliegen, können zu Kaskaden führen. Ein Stromausfall kann einerseits infolge der beschriebenen Szenarien auftreten, stellt aber auch allein eine entsprechende Herausforderung dar. Die Stromausfallszeiten sollten in einer eigenen Diskussionsrunde harmonisiert werden.“ Ein wesentlicher Aspekt bei möglichen Fehlerfortpflanzungen sei der „Ausfall von Services und Dienstleistungen, sei er durch kriminelles Verhalten initiiert oder technisch-organisatorischer Natur“. Dieser kann sich verstärkende Schadenswirkungen nach sich ziehen. Aller Voraussicht nach am schwierigsten zu beherrschen sein dürfte „der Umgang mit neuen Technologien“. Dies betrifft etwa das 5G-Netz. Auch könnte die mangelnde Sicherung von Internet-of-Things-Geräten hinsichtlich der Cybersicherheit grundsätzlich Stromausfälle zur Folge haben. Hinzu kommt der weitere Ausbau der Ökostromanlagen, der den Mess- und Regelaufwand für die Betreiber von Stromnetzen erhöht. Hieraus würden sich „ neue, bis dato wenig bewertbare Kaskadenpotenziale“ ergeben, heißt es warnend in dem Bericht. Und: „Kaskaden, die durch die vermehrte Nutzung von Clouddiensten entstehen, ziehen die klare Empfehlung nach sich, für die Versorgungssicherheit eigene Infrastrukturen vorzuhalten.“
 

27 Empfehlungen. 

Aus ihren Diskussionen im Zuge der Workshops leitete die Arbeitsgruppe insgesamt 27 Empfehlungen ab. Je fünf davon betreffen die Risikokategorien Normung&Recht sowie Zugangskontrolle&Krypto, je vier die Kategorien Design&Architektur, Eskalaktion&Kommunikation sowie Organisatorische Sicherheit. Drei Empfehlungen beziehen sich auf die Kategorie Hard-&Software, je eine Empfehlung wurde für die Kategorien Faktor Mensch sowie Planung&Beschaffung formuliert. Hinsichtlich der Kategorie Naturgefahren gab die Arbeitsgruppe keine Empfehlung ab. Die Empfehlungen mit der Priorität 1 sollen spätestens bis Ende des heurigen Jahres umgesetzt werden, jene mit der Priorität 2 bis Ende 2025, jene mit der Priorität 3 ab etwa 2026.