Verkehrschaos, Ausfall der Heizung oder Klimaanlage, Nahrungsmittel- und Wasserknappheit, Benzinmangel – was klingt wie aus einem apokalyptischen Katastrophenfilm kann bittere Realität werden. Denn wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) jetzt bestätigt hat, gab es 2018 einen deutlichen Anstieg von Angriffen auf kritische Infrastrukturen in Deutschland. Und dazu zählt auch das Stromnetz.

Laut BSI gab es in der zweiten Jahreshälfte 2018 insgesamt 157 Meldungen über IT-Sicherheitsvorfälle auf Betreiber kritischer Infrastrukturen. Im entsprechenden Zeitraum davor waren es 145 Meldungen, im Jahr davor sogar nur 34. Zu den kritischen Infrastrukturen zählen neben der Energiebranche auch die Wasserversorgung, die Nahrungsmittelbranche, der Gesundheitsbereich, Informationstechnik und Telekommunikation, das Finanz- und Versicherungswesen, Transport und Verkehr, Staat und Verwaltung und die Medien. Diese Branchen unterliegen dem IT-Sicherheitsgesetz, das die Sicherheit der IT-Systeme verbessern und gewährleisten soll. Die Betreiber kritischer Infrastrukturen sind demnach verpflichtet, ein Mindestniveau an IT-Sicherheit einzuhalten, ihre IT nach Stand der Technik zu schützen und erhebliche IT-Störungen an das BSI zu melden. Diese Meldepflicht gilt aber nicht für alle: Viele kleine Organisationen sind ausgenommen.

Ob es nun einen tatsächlichen Anstieg der Angriffe gab, bleibt unklar. Es ist nicht auszuschließen, dass es auch schon vor Inkrafttreten der europäischen NIS-Richtlinie und der Europäischen Datenschutzgrundverordnung (EU-DSGVO) im Mai 2018 ebenso viele Vorfälle gab. Seitdem ist vielleicht nur die Sensibilität gestiegen, diese Angriffe früher oder überhaupt zu melden. Doch selbst das BSI geht immer noch davon aus, dass es eine hohe Dunkelziffer gibt. Nicht nur, weil nicht alle Betreiber zur Meldung von Sicherheitsvorfällen verpflichtet sind, sondern auch, weil viele Versorger Imageschäden fürchten, wenn sie Angriffe melden.

Die europäische NIS-Richtlinie gilt ebenfalls seit Mai 2018 verbindlich für alle Mitgliedstaaten der EU. In Deutschland ergänzt sie das IT-Sicherheitsgesetz. Neu ist mit Umsetzung der NIS-Richtline, dass auch Betreiber digitaler Dienste Mindestanforderungen und Meldepflichten erfüllen müssen. Das betrifft beispielsweise Online-Marktplätze, Suchmaschinen und Cloud-Computing-Dienste.

Gerade Cloud-Computing-Dienste rücken hier in den Fokus. Immerhin müssen auch die Betreiber kritischer Infrastrukturen auf die Kosten achten. Die einfachste Möglichkeit ist, einige Services in die Cloud auszulagern. Der Vorteil: Rechenleistung oder Speicherplatz können jederzeit an den tatsächlichen Bedarf angepasst werden. Diese Daten müssen allerdings richtig geschützt werden. Denn was könnte alles passieren, wenn die Baupläne eines Atomkraftwerks in falsche Hände geraten? Die Hackerangriffe auf große Konzerne aus der Vergangenheit haben gezeigt, dass sensible Daten in Cloud-Umgebungen ein beliebtes Angriffsziel sind. Gerade in solchen Fällen lohnt sich ein zusätzlicher Schutz der Daten, beispielsweise mit einer Verschlüsselungslösung wie dem eperi Gateway. Solch flexible Lösungen bieten einen umfassenden Schutz der sensiblen Daten in Transit, at Rest und in Use. Gesetzliche Datenschutzvorgaben werden außerdem garantiert eingehalten. Und das bei minimalen Integrationsaufwand, der keinerlei Eingriff in bestehende IT-Systeme erfordert.

Energiekonzerne, die sich zukunftssicher aufstellen wollen, werden also am Thema Cloud-Datenschutz nicht vorbeikommen.