Mit der NIS2-Richtlinie und der KRITIS-Verordnung gelten für die Betreiber der erneuerbaren Energien verschärfte Anforderungen an die Cybersicherheit. Für viele Wind- und Solarparks ist das eine Gratwanderung: Die Anlagen müssen rund um die Uhr einspeisen, zugleich verlangt der Gesetzgeber ein belegbares Sicherheitsniveau für historisch gewachsene Technik. Die pure ISM GmbH, spezialisiert auf Informationssicherheit für erneuerbare Energien, rät zu einem strukturierten Vorgehen statt zu Aktionismus. „Viele Betreiber haben bereits Maßnahmen für die Informationssicherheit umgesetzt und wissen einfach nicht, was noch zusätzlich zu tun ist“, erklärt Marc Ratfeld, Prokurist bei der pure ISM GmbH.
Saubere Netztrennung, verlässliche Meldewege
Am Anfang steht eine nüchterne Bestandsaufnahme: Welche Anlagen laufen, wer greift aus der Ferne zu, welche Zugänge und Schnittstellen bestehen? Diese Reifegradanalyse zeigt, wo die echten Schwachstellen liegen. Erst danach folgen weitere Maßnahmen, die sich im laufenden Betrieb umsetzen lassen, etwa abgesicherte Fernzugänge, eine saubere Netztrennung und verlässliche Meldewege. Auch Zulieferer gehören dazu, denn NIS-2 nimmt die gesamte Lieferkette in die Pflicht.
Die Zusammenarbeit zwischen IT und OT wird oft unterschätzt
Ein unterschätzter Punkt ist die Zusammenarbeit zwischen IT und OT, also der Steuerungstechnik der Anlagen. Die IT möchte die Sicherheitsupdates schnell einspielen, die OT darf dafür den Betrieb nicht unterbrechen. Fühlt sich niemand klar dafür verantwortlich, beide Seiten zu verbinden, bleiben die Sicherheitsaufgaben am Ende liegen.
Betreibern, die jetzt einsteigen, rät die pure ISM nicht lange zu warten. Zuerst gelte es, die Betroffenheit zu klären, Verantwortliche zu benennen, den Reifegrad der umgesetzten Maßnahmen zu bestimmen und die größten Risiken zuerst zu schließen. Das bringe mehr als ein Konzept, das erst nach zwei Jahren fertig werde und im praktischen Alltag nie ankomme.