, ,

Wie ist der Stand der Cyber-Security in der Schweizer Stromversorgung und wie sieht die Strategie für ihre digitale Zukunft aus?


Ende 2018 befasste sich das Bundesamt für Energie (BFE) in einem Dialogpapier mit der Digitalisierung im Energiesektor. Dieses identifizierte Cyber-Security als ein fundamentales Zukunftsthema für die nachhaltige Weiterentwicklung der Digitalisierung im Energiesektor.

Das Digital Innovation Office (DO) des BFE arbeitet an Grundlagen im Bereich Cyber, aus denen allfällige Massnahmen für eine zukünftig digitale und weiterhin sichere Stromversorgung abgeleitet werden können. Dazu gehört auch die Cyber-Security-Studie, deren Ergebnisse nun vorliegen.

Ausgangslage für die Cyber-Security im Stromsektor und Hintergrund der Arbeiten

Für Cyber-Security zu sorgen, ist bisher Sache der Energieunternehmen (unter dem Prinzip der Subsidiarität). Im Rahmen der Energiestrategie 2050 wurde im Energiegesetz präzisiert, dass der Schutz der kritischen Infrastrukturen auch die entsprechenden Informations- und Kommunikationssysteme umfasst. 2018 hat das Bundesamt für Wirtschaftliche Landesversorgung (BWL) zusammen mit dem Verband Schweizerischer Elektrizitätsunternehmen (VSE) und Stromunternehmen eine freiwillige Branchenrichtlinie erarbeitet. Dies auf Basis des freiwilligen Informations- und Kommunikationstechnologie (IKT) Minimalstandards. Die ElCom unterstrich danach ihre Erwartung, dass die Energieunternehmen diese Richtlinie umsetzen. Netzbetreiber können die Kosten für die Umsetzung der Branchenrichtlinie in den Netzkosten anrechnen.

Ergebnisse der Grundlagenstudie

Die Grundlagenstudie zeigt, dass die bestehenden, überwiegend freiwilligen Richtlinien eine relativ hohe Fragmentierung aufweisen. Die Zuständigkeiten für Cyber-Security im Energiesektor sind nicht immer präzise geregelt. Für die Grundlagenstudie wurde zum ersten Mal eine nationale, wenn auch freiwillige, Umfrage zur Cyber-Maturität in der Stromversorgung durchgeführt. Dieser «Reifegrad» wurde auf Basis des freiwilligen und lang bekannten IKT-Minimalstandards abgefragt, um den aktuellen Stand abzuschätzen. Die Umfrage hatte einen Rücklauf von knapp 18 Prozent. Die darauf basierende Selbsteinschätzung der befragten Stromunternehmen zu ihrer Cyber-Maturität bewegt sich auf einer Skala von 0 bis 4 lediglich zwischen 0.9 und 1.1. Allen statistischen Ungenauigkeiten zum Trotz: Das genügt den Ansprüchen an eine derart risikoexponierte kritische Infrastruktur bei weitem nicht.

Einordnung der Ergebnisse, Cyber-Strategie und weiteres Vorgehen

Die Studie zeigt, dass in der Schweiz offensichtlich ein grösserer Handlungsbedarf besteht. Im europäischen Ausland wird derzeit verstärkt an Cyber-Security und Cyber-Resilienz gearbeitet. Innert kurzer Frist werden neue Massnahmen implementiert. Dies im Rahmen des Digital Europe Programms, der Richtlinie zur Netz- und Informationssicherheit (NIS 2) und eines europäischen Netzwerk Kodizes. Für die Schweiz gilt es, technologisch und organisatorisch nicht den Anschluss zu verlieren. Das Ziel muss nun sein, möglichst zeitnah, pragmatisch und verhältnismässig Sicherheitsgewinne bei den Marktteilnehmern zu erzielen.

Zusätzlich zur Analyse liefert das DO in der Studie auch eine Strategie zur Verbesserung der Sicherheitsvorkehrungen. So sollten die Zuständigkeiten präzisiert werden. Ebenso sollten bestimmten Unternehmen verpflichtende Mindestanforderungen (Grundschutz) auferlegt und deren Einhaltung sichergestellt werden, zum Beispiel über Audits. Unternehmen, die aufgrund einer Risikoeinschätzung nicht zum Grundschutz verpflichtet werden, sollten eine regelmässige Selbsteinschätzung durchführen, diese einer zuständigen Behörde melden müssen und Stichproben unterliegen. Eine Meldepflicht zu Cyber-Vorfällen und ein intensivierter Wissensaustausch zwischen Fachämtern, Regulatoren und dem Nationalen Zentrum für Cybersicherheit (NCSC) runden die Strategie ab. Diese Ausrichtung dieser Strategie wurde jüngst im Grundsatz durch Forschende der ETH Zürich bestätigt.

Das BFE wird nun auf Basis der Grundlagenstudie in Zusammenarbeit mit dem NCSC, der ElCom, dem BWL und Branchenvertretern ein Umsetzungskonzept für den Strombereich erarbeiten. Es soll verhältnismässig und auf die heterogene Branche zugeschnitten sein. Die Umsetzung wird Schritt für Schritt erfolgen. Auch andere Energieträger wie Gas oder Öl werden dabei berücksichtigt. So kann sich die Schweiz für die Herausforderungen und Risiken einer immer digitaleren Energieversorgung wappnen, ihre Widerstandsfähigkeit gegen Angriffe aus dem Cyber-Raum stärken und damit auch die Versorgungssicherheit und den Schutz von Marktteilnehmenden.

Die Strategie Cyber Security für die Schweizer Stromversorgung finden Sie unter den Publikationen des Bundesamts für Energie.

 

Dr. Matthias Galus, Leiter Digital Innovation Office, BFE

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlassen Sie uns Ihren Kommentar!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahren Sie mehr darüber, wie Ihre Kommentardaten verarbeitet werden .