Im Interview: Anke Dethlefsen vom Bürgerwindpark Reußenköge, Holger Schrader, geschäftsführender Gesellschafter der ISecM GmbH, und Dominik Manz, Geschäftsführer von Reußenköge Netz & Infrastruktur GmbH.
Frau Dethlefsen, wann haben Sie von der NIS-2-Richtlinie erstmals erfahren? Und wann wurde Ihnen klar, dass sie auch für Ihr Unternehmen relevant sein wird?
Anke Dethlefsen: Wir haben davon erfahren, als Dominik Manz uns darauf aufmerksam gemacht hat, dass so etwas auf uns zukommt. Da die Schwelle, ab der Windparkbetreiber zur kritischen Infrastruktur zählen, bei 104 Megawatt Leistung liegt, war schnell klar, dass Reußenköge von NIS 2 betroffen sein wird. Darauf mussten wir reagieren und uns eine Zertifizierung besorgen. Was übrigens gar nicht trivial war, denn es gibt nur wenige IT-Dienstleister, die darauf spezialisiert sind.
Zu wenig Zertifizierungsfachleute: Das klingt nach einer Schwachstelle. Liegt es womöglich daran, dass der Zug hierzulande erst spät bestiegen wurde, Herr Schrader?
Holger Schrader: Zertifizierungsstellen und Auditoren für das Energiewirtschaftsgesetz gibt es zwar schon länger, aber die Prüfung nach Paragraf 11 Absatz 1b für Energieerzeugungsanlagen ist relativ neu. Und nicht jeder, der Netze prüft, darf auch Energieerzeugungsanlagen prüfen. Wir haben die Entstehungsgeschichte einer Auditorenzulassung bei Reußenköge live miterlebt: Für den Bürgerwindpark war es schwieriger, einen Auditor zu finden, als für Reußenköge Netz- und Infrastruktur.
Dominik Manz: Für uns als Netzbetreiber war das nicht das größte Problem, da der Stromnetzbetrieb in Deutschland schon lang als kritische Infrastruktur gilt und es passende Zertifizierer gibt. Aber wir wollten die Gelegenheit nutzen, ein gemeinsames Informationssicherheits-Managementsystem (ISMS) für uns und den Bürgerwindpark aufzubauen, weil wir uns Synergieeffekte erhofften. Die waren am Ende tatsächlich vorhanden, es stellte sich aber als schwierig heraus, einen IT-Dienstleister zu finden, der sich bei beidem auskennt.
Welche konkreten Herausforderungen für Betreiber von Bürgerwindparks oder andere kleinere Energieunternehmen entstehen durch NIS 2, insbesondere im Vergleich zu den Kritis-Regelungen?
Anke Dethlefsen: Nicht jeder Bürgerwindpark hat eine IT-Abteilung, die groß genug ist, um die für die Zertifizierung nötigen Schritte durchzuführen. Vielerorts ist das nötige Know-how nicht vorhanden. Vor allem für kleinere Windparks oder auch für technische Betriebsführer ist das eine echte Herausforderung – personell und finanziell. Das ist nicht mal eben so zu wuppen.
Dann schlägt die Stunde der Dienstleister, die sich in dem Segment auskennen. Doch davon gibt es bislang nur eine überschaubare Anzahl. Als sich NIS 2 am Horizont abzeichnete: Was bedeutete das für Sie, Herr Schrader?
Holger Schrader: Wir waren bereits mit dem Thema vertraut, da wir zuvor mit Kritis zu tun hatten. Als sicher war, dass NIS 2 kommen wird, haben wir rasch das Marktstammdatenregister ausgewertet und festgestellt, dass es zurzeit 48 Windparks in Deutschland gibt, die die 104-Megawatt-Schwelle überschreiten. Grund genug, unsere Kritis-Expertise auszubauen und NIS 2 ins Portfolio zu integrieren, zumal schon damals erkennbar war, dass die Erneuerbare-Energien-Branche beim Sicherheitsmanagement großen Bedarf haben würde …
... der womöglich noch immer besteht, oder?
Neben der Bedrohung in Form von Cyberangriffen und Sabotage gibt es demnach ein betriebswirtschaftliches Risiko, falls die Zertifizierung nicht erteilt wird?
Anke Dethlefsen: So ist es. Und die Bußgelder sind nicht unerheblich. Im schlimmsten Fall kann man die Betriebserlaubnis verlieren.
Holger Schrader: Damit das nicht passiert und Betreiber nicht persönlich haften müssen, wollen wir dem NIS-2-Monster die Zähne ziehen, indem wir den Unternehmen Werkzeuge an die Hand geben, die sie in die Lage versetzen, die Voraussetzungen der Zertifizierung zu erfüllen, ohne dafür riesige Investitionen in IT und Personal stemmen zu müssen.
Eines dieser Werkzeuge trägt den Namen Solvantis. Klingt wie ein Hustenlöser. Was ist es wirklich?
Holger Schrader (lacht): Husten löst Solvantis vermutlich nicht, dafür aber etliche andere Probleme. Es ist ein maßgeschneidertes Baukastensystem für die Implementierung und den Betrieb eines Managementsystems zur Informationssicherheit. Es strukturiert Maßnahmen zur Cybersicherheit und schützt dadurch die kritischen Informationen des Unternehmens. Dazu zählen Vertraulichkeit, Integrität und Verfügbarkeit von Abrechnungsinformationen sowie regulatorische Berichte. Zudem gewährleistet es die von NIS 2 geforderte Widerstandsfähigkeit der Windparks und bietet Betreibern Schutz vor digitalen Angriffen.
Ein Rundum-sorglos-Paket?
Holger Schrader: Im Idealfall schon ...
Anke Dethlefsen: … allerdings ist es ohne geschultes Fachpersonal nicht nutzbar. Bevor wir das System implementieren und einsetzen konnten, haben wir ein Lenkungskommittee eingesetzt, das eng mit ISecM zusammengearbeitet hat. Hinzu kam: Die Beschäftigten mussten für das Thema sensibilisiert werden. Sicherheitsroutinen, Passwortschutz, Home-Office-Regelungen – all das kostet nicht nur Zeit und Geld. Bisweilen ist auch viel Überzeugungsarbeit nötig.
Dominik Manz: Um das Personal zu sensibilisieren, haben wir gemeinsam mit ISecM sogar den Ernstfall simuliert, also eine Situation durchgespielt, bei der ein Windparkbetreiber digital angegriffen wird. Da wurde den Teilnehmenden schnell klar, weshalb es wichtig ist, die vielen Sicherheitsmaßnahmen zu ergreifen und sich nach den strengen Ablaufprotokollen zu richten.
Schrader: Je mehr die Belegschaft diese Routinen verinnerlicht, desto besser ist der Schutz. Wobei auch klar ist, dass die steigende Anzahl und die Intensität der digitalen Angriffe es erfordern, dass das Abwehrsystem mitwachsen muss. Damit steigen auch die Anforderungen an das Personal. Das ist die Realität. Sie zu beschönigen, hilft leider nicht.
Die Steuerungssoftware von Solaranlagen gilt als Achillesferse des Stromnetzes. Reicht die NIS-2-Richtlinie aus, um Kriminelle und Saboteure abzuschrecken?
Eine im März veröffentlichte Studie der IT-Beratungsfirma Forescout macht das Ausmaß der Gefahr für Betreiber von PV-Anlagen deutlich: Forescout identifizierte 46 schwerwiegende Sicherheitslücken bei Wechselrichtern führender Hersteller wie Sungrow, Growatt und SMA. Viele der Schwachstellen gingen auf Programmierungsfehler und laxe Sicherheitsstandards zurück. Cloud-Dienste, mobile Apps und Steuerungssoftware würden oft mit geringen Sicherheitsanforderungen entwickelt und erst nachträglich geschützt – wenn überhaupt. Eine einzige koordinierte Attacke auf weniger als zwei Prozent der in Europa installierten Solaranlagen reiche aus, um die Stabilität des Stromnetzes ernsthaft zu gefährden, warnt die Forescout-Studie. Angreifer könnten „komplette Anlagenparks abschalten und dadurch massive Frequenzschwankungen verursachen“. Die NIS-2-Richtlinie (Network and Information Security Directive 2) zwingt Betreiber kritischer Infrastruktur – darunter große Solarparks –, umfassende Sicherheitsmaßnahmen zu ergreifen. So sollen Kommunikationssysteme, Wechselrichter und Überwachungseinrichtungen kontinuierlich geprüft sowie erkannte Lücken umgehend geschlossen werden. Zudem sind regelmäßige Risikoanalysen, eine Meldepflicht für verdächtige Störungen und umfangreiche Sicherheitsschulungen für die Beschäftigten vorgeschrieben. Ferner verlangt die Richtlinie die Kontrolle der Lieferketten: Anlagen und Software sollen nur von jenen Herstellern bezogen werden, die vertrauenswürdig sind und ein hohes Maß an Cybersicherheit gewährleisten.
Ob die Richtlinie ausreicht, um das Problem zu lösen, ist ungewiss. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bemängelt etwa, dass es in der Praxis häufig unklar bliebe, wie die Richtlinie umgesetzt und kontrolliert werden kann. Vor allem kleinere Betreiber und dezentrale Anlagen könnten Probleme haben, die geforderten Sicherheitsstandards zu erfüllen. Zudem beklagt das BSI, dass es an personellen und finanziellen Ressourcen fehle, um die Richtlinie flächendeckend umzusetzen. Besonders kritisch sieht das BSI die Transparenz und Sicherheit internationaler Lieferketten.