Wie kann die Versorgung und Nutzung von Energie zum größtmöglichen Nutzen aller Menschen gesichert werden? Die Digitalisierung ermöglicht dem Energiesektor, die betriebliche Produktivität und Sicherheit zu erhöhen. Gleichzeitig stellt sie neue Herausforderungen dar. Einari Kisel, Regional Manager des World Energy Council für Europa, gibt Einblicke in die brisanten Themen des Energiesektors.
Was sind die größten Herausforderungen in Bezug auf Cybersicherheit für den europäischen Energiesektor?
Die größten Herausforderungen für den Energiesektor in Bezug auf Cybersecurity stehen immer im Zusammenhang mit Menschen, ob es nun um die Nutzer digitaler Systeme geht oder um deren Entwickler. Der Erfolg oder Misserfolg vieler Anwendungen wird durch den menschlichen Faktor definiert. „Cyberhygiene“ sollte Teil der täglichen geschäftlichen Aktivitäten und Praktiken jedes Energieunternehmens sein.
Der World Energy Council hat in Zusammenarbeit mit Marsh&McLennan und SwissRe soeben einen neuen Bericht über „Cyber Challenges to the Energy Transition” (siehe worldenergy.org/publications) veröffentlicht, der sich eingehend mit diesem Thema beschäftigt und die Probleme anspricht, die diesbezüglich mit dem derzeitigen Wandel im Energiebereich zusammenhängen.
Welche Probleme haben Energieversorger Ihrer Erfahrung nach bei der Sicherstellung und Umsetzung von Sicherheitsmaßnahmen? Was sind die größten Hürden?
Die grundlegende Architektur der IT-Systeme ist häufig nicht auf dem neuesten Stand und kann Hackern ermöglichen, ins System einzudringen. Daher ist es von entscheidender Bedeutung, dass die Grundlagen gut strukturiert und auf dem neuesten Stand sind. Im Weg stehen könnten dabei die eingeschränkten Kenntnisse über die Entwicklung der Cyberbedrohungen oder die Qualität der Anbieter, die IT-Lösungen für Unternehmen liefern.
Welche Art von Maßnahmen sollte die Energiebranche ergreifen, um „cybersicher“ zu werden?
Erstens sollten sich alle, die kritische Systeme betreiben, der potenziellen und wachsenden Bedrohungen bewusst sein. Das Testen von Systemen auf potenzielle Angriffe gewinnt zunehmend an Bedeutung, weil Cyberattacken immer komplexer werden und immer schwieriger zurückzuverfolgen sind. Der Informationsaustausch zwischen Energieunternehmen über Erfolge und Misserfolge ist für die längerfristige Ausfallsicherheit (Resilienz) unumgänglich.
Seit Ende Mai sind die EU-DSGVO und die NIS-Verordnung in Kraft. Glauben Sie, dass der Energiesektor bereit ist, die in diesen Vorschriften vorgegebenen Cybersicherheitsmaßnahmen zu erfüllen?
Der Energiesektor macht gleich eine Reihe von Veränderungen durch: Durch die Dekarbonisierung und Dezentralisierung der Energieerzeugung wird der Sektor zu signifikanten Veränderungen gezwungen, und als Teil davon digitalisieren und automatisieren alle Energieunternehmen ihre Aktivitäten und Verbraucherschnittstellen. Gleichzeitig müssen alle neuen Vorschriften in diesen Prozess integriert werden. In Ländern, wo seitens der Regierung keine grundlegende sichere IT-Infrastruktur zur Unterstützung von Regierungsdiensten entwickelt wurde, die auch von Unternehmen genutzt werden könnte, scheinen die Schwierigkeiten größer zu sein. In diesen Fällen müssen die Unternehmen diese Probleme selbst klären, was nicht einfach ist.
Es ist häufig die Rede vom Energie-Trilemma (Energiesicherheit, Energiegerechtigkeit und ökologische Nachhaltigkeit) als Grundlage der Energieverträglichkeit. Glauben Sie, dass der europäische Energiesektor diesem Index entsprechend vorbereitet ist und gut abschneidet? Wie hat sich der Energiesektor dadurch verändert?
Das ist eine spannende Frage. Der jüngste Bericht des World Energy Council über das „Energie-Trilemma“ (trilemma.worldenergy.org) zeigt auf, wie erfolgreich verschiedene Länder all diese Dimensionen in den letzten 20 Jahren bewältigt haben. Es gibt sehr wenige Länder, die ihre Performance in allen Aspekten des Trilemmas verbessert haben. In Europa liegt der Schwerpunkt vor allem auf ökologischer Nachhaltigkeit, während sich jedoch die Performance in Bezug auf Energiesicherheit und Energiegerechtigkeit kaum geändert hat. Und wir können nun auch die Auswirkungen dieser Politik in der Gelbwestenbewegung in Frankreich sehen, ebenso wie Schwierigkeiten in einigen Ländern bei der Gewährleistung der Stromversorgungsicherheit.
Hatte das Energie-Trilemma Auswirkungen auf Cybersicherheitsunternehmen? Wenn ja, welche sind die wichtigsten?
Cyberbedrohungen können einer der Gründe sein, weshalb Energie nicht an Kunden geliefert werden kann, und sobald etwas Derartiges geschieht, hat dies enorme Auswirkungen auf Länder. Mit der Digitalisierung des Sektors steigt auch das Risiko allmählich an. Um eine stabile Energieversorgung zu gewährleisten, müssen die Energieunternehmen zunehmend auf Fragen der Cyber-Resilienz achten, um Blackouts nach Cyberangriffen zu vermeiden. Kurzfristig bedeutet ein solcher Stromausfall einen Ausfall von Einnahmen für die Energieunternehmen; langfristig würden sie dadurch Kunden verlieren, wenn diese kein Vertrauen mehr in ihren Energieanbieter haben. Es gibt also einen riesengroßen Markt für Cybersicherheitsunternehmen, die vertrauenswürdige Systeme an Energieunternehmen liefern.
Welche Konzepte werden bei einem Sicherheitsnotfall (z.B. Ausfall der Stromversorgung eines ganzen Landes) in Europa angeboten? An wen muss man sich wenden?
Das kritische Element in jedem Energiesystem ist das Netz. Die Betreiber von Übertragungs- und Vertriebssystemen müssen enger zusammenarbeiten, um Notfälle zu vermeiden, und auch kooperieren, wenn diese auftreten. Diese Unternehmen stehen an vorderster Front im Kampf gegen Cyberverbrechen überall in Europa und auf der ganzen Welt.
Das World Energy Council hat mehr als 3000 Mitgliedsorganisationen in über 90 Ländern. Mit welchen Cyberrisiken werden Ihre Mitglieder in den nächsten Jahren konfrontiert sein?
Wie bereits erwähnt hat der Wandel im Energiebereich bereits begonnen. Er muss so ablaufen, dass die Lichter nirgends ausgehen. Durch die Dezentralisierung der Energiesysteme haben wir eine weit größere Zahl an Teilnehmern am Markt, das bedeutet auch mehr Zugriffspunkte für Hacker. All diese Systeme sollten unangreifbar gemacht werden, und alle Betroffenen müssen sich über die potenziellen Cyberbedrohungen im Zusammenhang mit diesen Entwicklungen im Klaren sein.
Auf seiner Website bietet der WEC eine Reihe von Werkzeugen für Unternehmen und Regierungen an, mit denen man dieser Art von Störungen begegnen kann, die die Zukunft des Energiesektors verändern kann. In unseren Resilienz-Berichten informieren wir über die entstehenden Risiken, auch die Cyberrisiken.
