Defizite eingeräumt/Stadtwerke fordern staatliche Hilfe bei Cybersicherheit

Die kommunalen Energieversorger haben Defizite bei der eigenen IT-Sicherheit eingeräumt und den Bund um Unterstützung aufgerufen. "Aus unserer Sicht ist der Schutz einer jederzeit ungestörten, sicheren Stromversorgung durch die deutschen Stadtwerke, insbesondere vor Cyberangriffen aller Art, eine Aufgabe der nationalen Sicherheit", erklärte eine Sprecherin des Verbands kommunaler Unternehmen (VKU). "Deswegen müssen wir unsere Cyber-Sicherheitsarchitektur renovieren", führte sie aus.


Hintergrund war ein Bericht des ARD-Politmagazins Report Mainz am Dienstagabend, wonach kommunale Stromanbieter per Verordnung ihre IT-Systeme nicht in besonderem Maße vor Cyberangriffen schützen müssten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) lege in der so genannten "Kritisverordnung" Schwellenwerte fest, ab denen öffentliche Institutionen oder Unternehmen als sogenannte kritische Infrastrukturen (Kritis) gelten. Darunter werden Systeme verstanden, die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen essenziell sind, wie Gerichte oder Kliniken. Diese Institutionen müssen für ihre IT-Systeme dann bestimmte Sicherheitsstandards erfüllen, um besser vor Cyberangriffen geschützt zu sein.

Der Schwellenwert für Energieunternehmen in der Sparte Strom liegt laut Report Mainz bei 3.700 Gigawattstunden verkauftem Strom pro Jahr. Diesen Schwellenwert erreichten über 90 Prozent der öffentlichen Stromversoger in den bundesweit hundert größten Städten nicht. Sie müssten somit keine hohe Standards in der IT-Sicherheit erfüllen. Auch im geplanten IT-Sicherheitsgesetz 2.0 werde das nicht angegangen.

Das Bundesinnenministerium von Horst Seehofer (CSU) verteidigte die niedrigeren IT-Standards für die Energiewirtschaft. Nicht alle Versorgungs-Infrastrukturen in Deutschland unterlägen denselben Regelungen und müssten damit auch nicht denselben IT-Sicherheitsanforderungen genügen, sagte ein Sprecher. "Ein differenzierter und verhältnismäßiger Regelungsansatz ist vielmehr erforderlich." So könnten viele Versorger etwaige Ausfälle über ihre Notstromaggregate selbst wieder auffangen. Zudem hätten Untersuchungen gezeigt, dass die Notfallsysteme etwa bei Stromausfällen, die rund eine halbe Million Menschen betreffen, ausreichten. "Anlagen und Einrichtungen, die für die Versorgung von 500.000 oder mehr Personen wichtig sind, gelten daher als Kritische Infrastrukturen im Sinne des BSI-Gesetzes", so der Ministeriumssprecher.

Der VKU forderte den Aufbau eines effektiven Cyber-Abwehrzentrums auf Bundesebene. Dieser müsse alle Akteure an einen Tisch bringen. Zudem brauche es ausreichend finanzielle Spielräume für IT-Sicherheitsmaßnahmen, so die Sprecherin. "Denn Cyber-Sicherheit zum Schutz kritischer Infrastrukturen gibt es nicht zum Nulltarif." Zugleich sieht der VKU die Dezentralität der deutschen Energiewirtschaft auch als Vorteil. "Würde ein Netz attackiert, würden Anlagen in den benachbarten Stromnetzen hochgefahren, um die Versorgung wiederherzustellen."

Der Bundesverband der Energie- und Wasserwirtschaft erklärte unterdessen, deutsche Energieversorgung zähle zu den sichersten weltweit. Im Übrigen habe sich der Schwellenwert für Kritische Infrastrukturen von 420 Megawatt installierter elektrischer Netto-Nennleistung bewährt, erklärte Martin Weyand, Mitglied der BDEW-Hauptgeschäftsführung. Es gebe somit in der deutschen Energiewirtschaft rund 950 Betreiber Kritischer Infrastrukturen. Diese seien angehalten, "die sehr hohen regulatorischen Sicherheitsanforderungen umzusetzen und nachzuweisen", so Weyand.

MBI/DJN/aul/9.7.2020