Zum Hauptinhalt springen
27.11.24 Cybersicherheit Gesetzlicher Rahmen Infrastruktur

Cybersicherheit in der Stromwirtschaft: ein Investment, das sich auszahlt

Katerina Simou, Seniorexpertin für Infrastruktur & Gesamtsystem, erklärt gemeinsam mit Dennis Rösch vom Fraunhofer IOSB-AST in einer neuen dena-Studie, dass es sich für Unternehmen der Stromwirtschaft lohnt, in Cybersicherheit zu investieren.

Katerina Simou
Katerina Simou, Seniorexpertin für Infrastruktur & Gesamtsystem

Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wird voraussichtlich ab März 2025 in Kraft treten. Es überführt die EU-weiten Mindeststandards für Cybersecurity der EU-Richtlinie NIS2 in deutsche Regulierung. Die NIS2-Umsetzung wird mindestens 30.000 Unternehmen in Deutschland betreffen und ihre Security-Pflichten erhöhen. Es stellt eine bedeutende Verschärfung der Anforderungen dar und betrifft eine breitere Gruppe von kritischen Unternehmen. Unternehmen, insbesondere in der Energiebranche, werden verpflichtet sein, die neuen Sicherheitsanforderungen rasch umzusetzen. 

Die neue dena-Studie Cyber-Fit: Investitionen in die Cybersicherheit der Stromwirtschaft beleuchtet, wie Unternehmen im Stromsektor die Anforderungen des NIS2UmsuCG strategisch und wirtschaftlich umsetzen können, und zeigt, dass die richtigen Investitionen in Cybersicherheitsmaßnahmen nicht nur gesetzliche Anforderungen erfüllen, sondern auch konkrete finanzielle Vorteile bringen. 

Die Studie wurde im Rahmen der Branchenplattform Cybersicherheit in der Stromwirtschaft des Future Energy Labs und in Zusammenarbeit mit dem Fraunhofer IOSB-AST entwickelt. 

Außerdem legt dieser Artikel einen besonderen Fokus auf weitere Maßnahmen zur Erhöhung der Cybersicherheit in kleineren Unternehmen.

Cybersicherheit ist „Chef“sache

Die Geschäftsleitung eines Unternehmens ist dafür verantwortlich, IT-Sicherheitsmaßnahmen zu genehmigen, umzusetzen und zu überwachen. Interviews im Rahmen der Studie mit Vertreterinnen und Vertretern der Strombranche zeigen, dass die Geschäftsleitungen bereits eine hohe Sensibilität für IT-Sicherheitsmaßnahmen haben und die im NIS2UmsuCG angegebenen Erfüllungsaufwände und Schadenskostenschätzungen als plausibel betrachten. 

Die Studie unterstützt die Geschäftsleitung dabei, Kosten, Nutzen und Rentabilität von Cybersicherheitsmaßnahmen zu bewerten. Eine IT-Sicherheitsreferenzarchitektur für einen Verteilnetzbetreiber veranschaulicht mögliche Investitionen und bildet die Grundlage für die Ableitung konkreter Sicherheitsmaßnahmen.

IT-Referenzarchitektur eines beispielhaften Verteilnetzbetreibers mit Unterscheidung der Unternehmensebenen in Anlehnung an IEC 62443

Cybersicherheit lohnt sich

Darüber hinaus wird das Modell Return on Security Investment (RoSI) verwendet, um die Kosten und den Nutzen der gesetzlich vorgeschriebenen Maßnahmen zu bewerten. Die RoSI-Berechnungen zeigen, dass Investitionen in IT-Sicherheit für kritische Einrichtungen schon im ersten Jahr und für besonders kritische Einrichtungen ab dem zweiten Jahr rentabel sind – selbst bei den relativ niedrigen Schadenskostenschätzungen, die für die Strombranche angesetzt wurden.

Darstellung der Entwicklung des RoSI für beide Unternehmenskategorien unter den Annahmen aus NIS2UmsuCG

Kleinere Unternehmen können ihre Cybersicherheit trotz Ressourcenmangels stärken

1. Outsourcing und Outtasking als Chance, den Personalmangel entgegenzuwirken

Outsourcing und Outtasking werden zunehmend genutzt, um den Fachkräftemangel in der IT-Sicherheit zu bewältigen. Der Unterschied zwischen den beiden Ansätzen liegt in der Auslagerung von Aufgaben: Outtasking lagert einzelne Prozesse aus, während Outsourcing ganze Geschäftsbereiche umfasst. 

Beide Ansätze erfordern eine sorgfältige Auswahl der Dienstleister und Sicherheitszertifizierungen, um die sensiblen IT-Sicherheitsaufgaben zu gewährleisten. Besonders bei der Einführung und Wartung von Systemen zur Angriffserkennung (SzA), die spezielles Fachwissen und hohen Personalaufwand erfordern, wird Outsourcing oft genutzt.

2. Nicht jeder muss „das Rad neu erfinden“ – Engagement in Gremien und Verbänden 

Die Teilnahme an Gremien und Verbänden bietet kleineren Unternehmen der IT-Sicherheit Zugang zu Studien und Netzwerken. Dadurch erhalten sie aktuelle Informationen und Best Practices, was ihnen hilft, frühzeitig auf gesetzliche Änderungen und neue Anforderungen zu reagieren.

3. Krisenübungen helfen, die IT-Sicherheit praktisch zu testen und zu verbessern

Krisenübungen sind essenziell für die Notfallplanung: Sie verdeutlichen die Folgen von IT-Angriffen, sensibilisieren die Geschäftsführung für die Bedeutung eines Krisenstabs und stärken die Krisenkommunikation. Regelmäßige Übungen verbessern die Krisenmanagementprozesse und optimieren die Reaktionsfähigkeit im Ernstfall. 

Spezialisierte Anlaufstellen bieten wertvolle Ressourcen. Das dena-Projekt EnerCise bietet praxisorientierte Schulungen und Übungsszenarien, um die Resilienz gegen Cyberangriffe zu stärken. Auch Fraunhofer IOSB-AST bietet maßgeschneiderte Programme, um Krisenmanagement-Übungen durchzuführen. 

4. KPIs für fundierte Entscheidungen der Geschäftsleitung entwickeln

Key Performance Indicators (KPIs) sind effektiv, um den aktuellen Stand der IT-Sicherheit zu messen. Diese Kennzahlen helfen, den Fortschritt bei der Umsetzung von Sicherheitsmaßnahmen zu überwachen und deren Wirksamkeit zu bewerten. Zur Erkennung von Bedrohungen und Angriffen sollten sowohl langfristige KPIs – besonders hilfreich sind die ISO 27001, der BSI-Grundschutz und Branchenstandards, die den Reifegrad der IT-Sicherheit abbilden -, als auch kurzfristige KPIs – Beispiele hierfür sind die Erkennungsrate von Cyberangriffen oder die Anzahl abgewehrter Angriffe – berücksichtigt werden. Ein zentraler Aspekt ist, dass KPIs verständlich und handlungsrelevant für das Management sind, um fundierte Entscheidungen zur Verbesserung der IT-Sicherheit zu treffen. Dabei sollten KPIs identifiziert werden, die auf Business-Prozesse und monetäre Werte heruntergebrochen werden können, um eine universelle Verständlichkeit zu gewährleisten.

Ausblick auf das NIS2UmsuCG: Herausforderungen und Chancen

Die Studie zeigt, dass die im NIS2UmsuCG geforderten Maßnahmen nicht nur gesetzliche Vorgaben erfüllen, sondern auch wirtschaftlich sinnvoll sind. Gleichzeitig eröffnet das Gesetz Chancen, durch Vernetzung und Wissensaustausch innerhalb der Branche gemeinsam Sicherheitslösungen zu entwickeln. Entscheidend wird jedoch sein, wie insbesondere kleinere Unternehmen ihre personellen und finanziellen Ressourcen effektiv einsetzen, um den gestiegenen Anforderungen gerecht zu werden.