Systemische Folgeabschätzung von IT-Sicherheitsvorfällen in der Energieversorgung für die Bundesnetzagentur

(WK-intern) – Ilmenau/Bonn – Die Energieversorgung ist zunehmend von Informations- und Kommunikationstechnologien (IKT) abhängig – entsprechend steigen die Risiken, dass Cyberangriffe die Versorgungssicherheit gefährden.

Neben der Gestaltung des regulatorischen Rahmens für die Informationssicherheit im Sektor Energie gehört mit dem Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung auch die Durchführung energiesystemischer Auswirkungsanalysen zu den Aufgaben der BNetzA.

Im Auftrag der BNetzA hat das Fraunhofer IOSB-AST eine Studie vorgelegt, die die methodischen Grundlagen schafft, um Sicherheitsmeldungen gemäß NIS-2-Richtlinie ganzheitlich hinsichtlich ihrer Folgen für das Energiesystem zu bewerten.

Aktuell ermöglichen Meldungen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) über das BSI-Portal nur eine grobe Einschätzung von IT-Sicherheitsvorfällen. Eine systemische Ableitung von Auswirkungen auf das gesamte Energiesystem war bislang kaum möglich. Die BNetzA trägt in diesem Kontext Verantwortung für die Einhaltung von Sicherheitsvorgaben im Energiesektor und arbeitet eng mit dem BSI zusammen.

Die nun vorgelegte Studie des Fraunhofer IOSB-AST entwickelt erstmals eine strukturierte Vorgehensweise für die BNetzA zur Durchführung energiesystemischer Auswirkungsanalysen. Die Studie beginnt bei einheitlicher Kommunikation und Datenformaten zwischen Stakeholdern wie Netz- und Anlagenbetreibern, Herstellern und Behörden.

Darauf aufbauend definiert sie eine Klassifikation von Sicherheitsmeldungen und ein dreistufiges, risikobasiertes Bewertungsmodell, das robuste Folgeabschätzungen für das gesamte Energiesystem ermöglicht. Ergebnis sind realistische Einschätzungen der Auswirkungen einzelner Sicherheitsvorfälle auf den Energiesektor – als Grundlage für effiziente Krisenvorsorge und die Einleitung passender Gegenmaßnahmen. Eine energiesystemische und -wirtschaftliche Bewertung macht zudem praktische Zusammenhänge und Wechselwirkungen sichtbar.

Die Methodik orientiert sich am Cyber attack classification scale der ENTSO-E im Rahmen des Network Code on Cybersecurity (NCCS) der EU-Kommision und nutzt das Marktstammdatenregister als wesentliche Datengrundlage. Dessen Qualität und sicherer Zugriff sind zentral, um Risiken eindeutig konkreten Anlagen zuzuordnen. Der Bewertungsprozess umfasst:

• Erfassung: Angriffsart, betroffene Akteure und erste Folgen zur initialen Einstufung
• Voranalyse: Verifizierung und Verfeinerung unter Berücksichtigung globaler Einflussgrößen, ggf. Neukategorisierung
• Auswirkungsanalyse: zusätzliche zentrale Betreiber-Kennzahlen zur Abbildung systemischer und wirtschaftlicher Effekte, dokumentierte Ergebnisse und Begründungen für die Weitergabe an zuständige Stellen

Aufbauend auf diesen Ergebnissen können in den nächsten Schritten die Implementierung und Pilotierung durch die BNetzA vorangetrieben werden.

„Die Bedeutung der Energieversorgung für das tägliche Leben sowie für essenzielle Daseinsvorsorge-Aspekte, wie jüngst in Berlin deutlich wurde, erfordert eine sorgfältige Beobachtung der Auswirkungen auch von IT-Sicherheitsvorfällen auf die Versorgungssicherheit. Jeder Vorfall, der nicht umgehend analysiert wird, kann gravierende Konsequenzen für die Versorgung nach sich ziehen. Eine zeitnahe und systematische Analyse der Auswirkungen ermöglicht es den beteiligten Akteuren, im Ernstfall rechtzeitig zu handeln“, erläutert Dr.-Ing. Dennis Rösch vom Fraunhofer IOSB-AST.

Die von der BNetzA eingesetzte Logik zur globalen Risikobetrachtung kann auf nachgelagerte Ebenen von Netzbetreibern adaptiert und in lokale, operative Prozesse integriert werden – für eine optimierte, konsistente Risikobewertung entlang der gesamten Wertschöpfungskette.

Über das Fraunhofer IOSB-AST:

Das Fraunhofer IOSB-AST ist Teil der Fraunhofer-Gesellschaft, der weltweit führenden Organisation für angewandte Forschung. Wir sind die Experten für Angewandte Systemtechnik. Seit über 30 Jahren machen wir kritische Infrastrukturen effizient, resilient und nachhaltig. Unsere Forschungsschwerpunkte sind Kognitive Energiesysteme und Energiemanagement, Eingebettete Intelligente Systeme und Unterwasserrobotik. Wir überführen unsere Ergebnisse in den Bereichen Elektrotechnik, Informations- und Kommunikationstechnologie sowie technischer Kybernetik in marktreife Systemlösungen für Wirtschaft und öffentliche Auftraggeber.

PM: Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB

PB: Risikobewertung: Abschätzung von IT-Sicherheitsvorfällen in der Energieversorgung / ©: FhG_IOSB_AST