Meldepflicht nicht auf die leichte Schulter nehmen

Betreiber so genannter „kritischer Infrastrukturen” müssen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) auch IT-relevante Vorfälle wie Cyber-Attacken mitteilen. Wir sprachen mit Oliver Skadow, CEO beim Frankfurter Beratungshaus green4net, das zahlreiche Energieunternehmen bei der Umsetzung der Normen oder dem Erwerb von Zertifikaten aus dem IT-Sicherheitskatalog unterstützt.

Herr Skadow, wie ist die Energiebranche hinsichtlich der Meldepflicht insgesamt einzuordnen?

Oliver Skadow, CEO beim Frankfurter Beratungshaus green4net
Oliver Skadow, CEO beim Frankfurter Beratungshaus
green4net

Die Energiebranche ist klarer Spitzenreiter, was die neue Meldepflicht angeht – und das hat einen einfachen Grund: Die Bundesregierung legt als Bemessungsgrundlage die so genannte „500.000-er Regel“ zugrunde. Das bedeutet konkret: Sobald mindestens 500.000 Bürger auf eine Versorgungsleistung angewiesen sind, greift die Meldepflicht. Das, was die Kunden verbrauchen oder nutzen, wird indes in einem Schwellenwert kalkuliert. Im Energiesektor liegt dieser beispielsweise bei 450 MW pro Jahr für Stromerzeugung oder -speicherung.

Welche Unternehmen sind somit konkret in der Verpflichtung?

Das sind im wesentlichen Energieversorgungsunternehmen und Netzbetreiber, auch Stadtwerke und Arealnetzbetreiber.

Was genau müssen diese Unternehmen wem und in welcher Form melden?

Gemeldet werden müssen sicherheitsrelevante Vorfälle, die ganz unterschiedlicher Natur sein können – vom menschlichen oder technischen Versagen über Computer-Viren oder den Diebstahl von Hardware bis hin zum gezielten Cyber-Angriff oder sogenannten elementaren Gefährdungen. Dabei muss eine Einstufung des Vorfalls in Schadensund Risikokategorien nach folgenden Kriterien erfolgen:

• Beeinträchtigung der Versorgungssicherheit,
• Einschränkung des Energieflusses, betroffener Bevölkerungsanteil,
• Gefährdung für Leib und Leben,
• Auswirkungen auf weitere Infrastrukturen (z. B. vor- und nachgelagerte Netzbetreiber),
• Wasserversorgung,
• Gefährdung für Datensicherheit und Datenschutz durch Offenlegung oder Manipulation,
• Finanzielle Auswirkungen.

Des Weiteren muss ein „Ansprechpartner IT-Sicherheit“ mit Kontaktdaten gemeldet werden. Die Meldungen erfolgen zum einen über Meldeformulare, die auf der Internetseite der Bundesnetzagentur (BNA) verfügbar sind und über Meldebögen die dem zertifizierten ISMS entspringen.

Wie werden die Anforderungen aktuell in der Branche umgesetzt? Wie sind Ihre Erfahrungen aus der Praxis?

Allen betroffenen Unternehmen ist bewusst, dass sie die Anforderungen bis 31.01.2018 umgesetzt haben müssen. Allerdings laufen die Zertifizierungsprojekte hierfür vor allem bei Stadtwerken nur sehr schleppend an, da diese weder über die personellen Ressourcen und oftmals auch nicht über das nötige Know-How verfügen.

Was raten Sie betroffenen Unternehmen?

Es ist nicht empfehlenswert, die Thematik auf die leichte Schulter zu nehmen. Bei Missachtung drohen empfindliche Bußgelder, die durchaus in fünfstelliger Höhe liegen können. Im Fall von Sicherheitslücken kann das Bundesamt für Sicherheit in der Informationstechnik (BSI) neben dem Beseitigen der Mängel sogar Einsicht in die Firmenunterlagen verlangen. Daher sollte sich jedes betroffene Unternehmen umgehend an geeignete Zertifizierer und Auditoren wenden und die Beauftragung des Zertifizierungsprojekts an die BNA melden, um etwaige Fristversäumnisse zu vermeiden.