Neue Energiewelt

Sicher und Cyber

Mit umfangreichem Datenschutz und nutzerfreundlichen Datenaustausch-Systemen ermöglicht die E-Wirtschaft neue Services und die Demokratisierung der Stromversorgung

Immer stärker setzt die E-Wirtschaft auf digitale Technologien. Und umso wichtiger werden Themen wie Cybersicherheit, weiß Gerald Obernosterer, der Geschäftsführer der KNG-Kärnten Netz GmbH. Bereits seit über 50 Jahren nutzt die Branche zentrale Rechenanlagen sowie Steuerungs- und Leitsysteme für den Betrieb ihrer Kraftwerke und Netze. Etliche der Unternehmen gelten als Betreiber einer „kritischen Infrastruktur“, die für das Funktionieren von Wirtschaft und Gesellschaft unverzichtbar ist. Nicht zuletzt deshalb erstellte Österreich bereits 2013 eine nationale Cybersicherheitsstrategie, an deren Ausarbeitung auch die Energiewirtschaft beteiligt war.

Im Vorfeld der flächendeckenden Ausrollung der digitalen Stromzähler (Smart Meter) erstellte die Branche eine umfassende Risikoanalyse. Ferner wurde von der E-Wirtschaft und der Gaswirtschaft das Austrian Energy CERT (CERT: Computer Emergency Response Team) eingerichtet. Es unterstützt die gesamte Energiebranche in ihrem Bestreben, sich gegen Gefahren aus dem Cyberraum abzusichern. Überdies verfügt die E-Wirtschaft über ein Datennetz (LWL) zur internen Kommunikation, das nicht mit dem Internet verbunden ist. „Die Branche ist sich ihrer Verantwortung bewusst und arbeitet aktiv an der Weiterentwicklung des Stands der Technik“, resümierte Obernosterer.

Bereits seit mehr als 50 Jahren verwendet die Branche zentrale Rechnersysteme sowie Steuerungs- und Leitanlagen für ihre Kraftwerks- und Netzinfrastruktur. Der Austausch der diesbezüglichen Daten erfolgt seit den 1980er Jahre über eigene Kommunikationsnetze. Betreut wird über diese Leitungen mehr als eine Million Datenpunkte. „Wir unterscheiden dabei sehr strikt zwischen der Software für die Betriebsführung unserer Anlagen, also der Operational IT bzw. OT, und der Business-IT. Das war von Beginn an der Fall, weil es sich um völlig unterschiedliche Technologien geht“, betonte Obernosterer. Und handelte es sich dabei früher um Nachrichtentechnik, so kommen heute umfangreiche Digitalisierungs-Anwendungen zum Einsatz.

Ebenso komplex wie die Technik selbst sind die rechtlichen Grundlagen, die die E-Wirtschaft bei ihrer Anwendung zu berücksichtigen hat. Schon im Jahr 2006 etablierte die Europäische Union ihr „European Programme for Critical Infrastructure Protection“ (EPCIP), das in Österreich 2008 mit dem „Austrian Programme for Critical Infrastructure Protection“ (APCIP) seinen Niederschlag fand. Etwa 400 Unternehmen wurden dabei als Betreiber einer kritischen Infrastruktur definiert, die für das Funktionieren von Wirtschaft und Gesellschaft unverzichtbar ist. Die Liste der Unternehmen liegt im Innenministerium auf, wird aber nicht veröffentlicht. Kein Geheimnis ist freilich, dass sie auch so manches Unternehmen der österreichischen Energiewirtschaft beinhaltet.

 

Umfassende Vorsorge

Weitere Schritte in Richtung umfassender IT-Sicherheit setzte die Republik mit ihrer Cybersecurity-Risikoanalyse von 2011 und der darauf aufbauenden IKT-Sicherheitsstrategie des Bundeskanzleramtes aus dem Jahr 2012. Beide Dokumente fanden 2013 Eingang in die „Umfassende Sicherheitsvorsorge“ sowie die „Österreichische Cybersecurity-Strategie“. In die Erarbeitung der Letzteren war auch die Elektrizitätswirtschaft eingebunden, die ihrerseits eine IKT-Risikoanalyse durchführte. In der Folge entschloss sich die Branche zur freiwilligen Selbstverpflichtung zur Umsetzung von Maßnahmen, um die IT-Sicherheit weiter zu erhöhen. Überdies führte sie ihre Risikoanalyse in den Jahren 2017/18 mit jener der österreichischen Erdgaswirtschaft zusammen. Auch die Europäische Kommission befasste sich weiterhin mit dem Thema Cybersicherheit. Sie publizierte 2016 ihre Network-Information-Security-Richtlinie (NIS-Richtlinie), die in Österreich 2019 mit dem Netzinformations-Sicherheitsgesetz (NIS-G) umgesetzt wurde.

Krisenfest kommunizieren

Bereits im Jahr 2015 entschlossen sich die Unternehmen der österreichische Elektrizitäts-, Erdgas- und Erdölwirtschaft zur Einrichtung eines Austrian Energy CERT (CERT: Computer Emergency Response Team). Dieses unterstützt die gesamte Energiebranche in ihrem Bestreben, sich gegen Gefahren aus dem Cyberraum abzusichern. Zu seinen Aufgaben gehören die Mitwirkung an der Abwehr von Cyberangriffen, die Teilnahme an internationalen Cybersicherheitsübungen sowie die Mitarbeit an der Erstellung technischer Sicherheitskonzepte für den Sektor Energie. Überdies hat das Austrian Energy CERT bzw. AEC die Rolle des Primäransprechpartners (Single Point of Contact) bei nationalen und internationalen Cybersicherheits-Vorfällen im Energiebereich. Österreichs E-Wirtschaft stellte beim Aufbau des AEC einmal mehr ihre Vorreiterrolle unter Beweis: Es handelte sich um das erste sektorale CERT in ganz Europa, das heute als internationales Vorbild angesehen wird.

Wie Obernosterer betonte, verfügt die Branche über ein Lichtwellenleiternetz (LWL) sowie eine Richtfunkschiene zur „krisenfesten Sprach- und Datenkommunikation“, die von den öffentlichen Netzen unabhängig sind. Sein Fazit: „Die Branche ist sich ihrer Verantwortung bewusst und arbeitet aktiv an der Weiterentwicklung des Stands der Technik“.

E-Wirtschaft stützt Wettbewerb

Kontinuierlich verbessert wird auch die Marktkommunikation, also der Austausch von Informationen zwischen den Marktteilnehmern von den Energieunternehmen bis zu den Kunden, erläuterte Herwig Struber von der Salzburg Netz GmbH. Und gerade auch in diesem Bereich ist die österreichische Elektrizitätswirtschaft international vorbildlich: Bereits vor mehreren Jahren etablierten 15 heimische Netzbetreiber den sogenannten „Energiewirtschaftlichen Datenaustausch“ (EDA). Dabei handelt es sich um ein „digitales Postverteilzentrum“ (Struber), über das strukturierte Daten dem Empfänger zugeordnet werden können, aber keinerlei Dateien geöffnet werden. Mittlerweile betrachtet die Europäische Kommission EDA als EU-weites Vorzeigemodell. Die Kosten liegen laut Struber bei weniger als einer Million Euro pro Jahr.

EDA als neutrale Plattform, die den verschlüsselten, standardisierten und hochautomatisierten Datenaustausch zwischen den Marktteilnehmern ermöglicht wird zu einem maßgeblichen Werkzeug der Energiewende. Die an EDA beteiligten Unternehmen decken etwa 95 Prozent des österreichischen Strommarktes ab. Über EDA erfolgt mittlerweile unter anderem der Wechsel der Stromkunden von einem Anbieter zu einem anderen. Wichtiger wird EDA im Gefolge der kommenden Umsetzung des „Clean Energy for all Europeans“-Pakets (CEP) der europäischen Union. Im Rahmen des CEP ist nicht zuletzt die Etablierung von „Lokalen Energiegemeinschaften“ geplant, bei denen Bürger untereinander mit Energie handeln können. EDA kann dabei wertvolle Unterstützung bieten.

Neue Anwendungen werden je nach Bedarf implementiert. Neben dem Lieferantenwechsel ermöglicht die Plattform zurzeit unter anderem die Rechnungslegung, den Austausch von Smart-Meter-Daten und das Customer-Consent-Management, bei dem es um die Sicherstellung der Zustimmung des Kunden zu einem Lieferantenwechsel geht. Eine weitere Anwendung befasst sich mit den „Gemeinschaftlichen Erzeugungsanlagen“ (GEA), die seit Sommer 2017 rechtlich zulässig sind. Seit damals können Stromkunden auf Mehrfamilienhäusern Anlagen zur Erzeugung elektrischer Energie installieren, gemeinsam betreiben und den nicht benötigten Strom ins öffentliche Netz einspeisen. Die diesbezüglichen Kommunikationsprozesse, nicht zuletzt mit den Netzbetreibern, lassen sich über EDA standardisiert und sicher abwickeln.