News Technologie und Innovation 26. März 2019 2 min

IT-Sicherheitsstandard für kritische Infrastruktur

Anlagen und Systeme, die mehr als eine halbe Million Menschen versorgen, sind für die Sicherheit der Bevölkerung wichtig. Sie werden als kritische Infrastruktur bezeichnet. Die Fernwärmenetze in Berlin und Hamburg zählen dazu. Sie werden zunehmend digital gesteuert und müssen vor Cyberkriminalität geschützt werden. Der neue branchenspezifische Sicherheitsstandard für Fernwärmenetze (B3S) definiert die Anforderungen an die Sicherheit der genutzten IT-Systeme. Vattenfall hat diesen Standard mit erarbeitet.

Die Wärmeleitwarte, wo das Herz der Berliner Fernwärmeversorgung schlägt, Foto: Vattenfall

Beim Schutz von Fernwärmenetzen müssen nicht nur Anlagen wie Rohrleitungen, Pumpstationen oder Wärmetauscher berücksichtigt werden, sondern auch die Überwachung und Steuerung aller Funktionen. Sie erfolgt vermehrt digital, was mit neuen Anforderungen an die IT-Sicherheit verbunden ist. Diese werden jetzt erstmals in einem Branchenstandard erfasst.

Kritische Infrastrukturen: Virtuelle Bedrohungen, reale Auswirkungen

Mit zunehmender Digitalisierung ist IT-Sicherheit von immer größerer Bedeutung. Laut einer Umfrage im Auftrag des ITK-Branchenverbands Bitkom entsteht der deutschen Wirtschaft jährlich ein Schaden von 55 Milliarden Euro durch Spionage, Sabotage und Datendiebstahl. Eine Bedrohung durch Hackerangriffe ist keinesfalls nur theoretischer Natur, sondern ganz real. Betreiber von sogenannten kritischen Infrastrukturen sind gesetzlich verpflichtet, Schutzmaßnahmen für die informationstechnischen Systeme des Unternehmens umzusetzen und nachzuweisen. Das gilt auch für den Wärmebereich von Vattenfall, damit ein Szenario wie dieses nicht eintritt: Durch einen Hacker-Angriff werden an einer Pumpstation Drücke oder Temperaturen manipulativ verändert, doch auf der Wärmeleitwarte werden völlig normale Werte angezeigt. Versorgungsausfälle und schlimmstenfalls erhebliche Schäden an den Anlagen wären die Folge.

Verbandsübergreifende Zusammenarbeit für Sicherheitsstandard

Wärmeleitsystem.jpg

Damit Fernwärmenetzbetreiber generell auf die spezifischen Gefahren von Cyberkriminalität vorbereitet sind, erarbeitete eine verbandsübergreifende Arbeitsgruppe einen eigenen branchenspezifischen Sicherheitsstandard für Fernwärmenetze (B3S). Der Energieeffizienzverband für Wärme, Kälte und KWK (AGFW) und der Bundesverband der Energie- und Wasserwirtschaft (BDEW) hatten hierbei die Federführung und baten Vattenfall als Betreiber kritischer Infrastrukturen, bei der Erarbeitung des Branchenstandards mit Fachexpertise zu unterstützen.

Als Vorgabe für den Standard diente die international anerkannte Norm ISO 27001, ein internationaler Standard für Informationssicherheitssysteme. Ergänzend kamen unter anderem konkrete Schutzmaßnahmen für die Technik, die in Fernwärmenetzen zum Einsatz kommt, hinzu. Der Branchenstandard ist so angelegt, dass ihn alle Fernwärmenetze in Deutschland anwenden können.

Branchenstandard vom BSI anerkannt

Mitte des Jahres 2018 erkannte das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Branchenstandard Fernwärmenetze offiziell an. Nach einer Prüfung durch externe Auditoren haben Vattenfalls Fernwärmenetze in Berlin und Hamburg erfolgreich die Nachweisführung nach dem B3S beim BSI erbracht und wurden zudem nach ISO 27001 zertifiziert.

Dieses Zertifikat gilt für einen Zeitraum von drei Jahren, dabei muss jedoch in einem jährlichen Überwachungs-Audit überprüft werden, ob es gravierende Änderungen oder Weiterentwicklungen am Stand der Technik gibt und ob das Sicherheitsniveau nach wie vor dem Standard entspricht.

Der Branchenstandard kann im PDF-Format von der Website des BDEW heruntergeladen werden:

Branchenspezifischer Sicherheitsstandard für die Verteilung von Fernwärme (B3S VvFw)