Zustand der IT-Sicherheit der Energieversorgung
der Abgeordneten Mario Brandenburg, Frank Sitta, Jens Beeck, Dr. Jens Brandenburg (Rhein-Neckar), Britta Katharina Dassler, Dr. Marcus Faber, Otto Fricke, Markus Herbrand, Torsten Herbst, Manuel Höferlin, Reinhard Houben, Ulla Ihnen, Dr. Christian Jung, Pascal Kober, Alexander Müller, Frank Müller-Rosentritt, Dr. h. c. Thomas Sattelberger, Dr. Marie-Agnes Strack-Zimmermann, Linda Teuteberg, Michael Theurer, Gerald Ullrich und der Fraktion der FDP
Vorbemerkung
Die Aufrechterhaltung der Versorgungssicherheit ist eine Kernaufgabe des Staates. Nicht zuletzt die COVID-19-Krise hat den Fokus verstärkt auf das Funktionieren der wichtigsten und kritischen Infrastrukturen auch in Krisensituationen gelenkt. Entscheidend für die Aufrechterhaltung der öffentlichen Ordnung ist unter anderem die Resilienz der Energienetze und Kommunikationsnetze. Nach Ansicht der Fragestellerinnen und Fragesteller kann die fortschreitende Digitalisierung zu einer erhöhten Eintrittswahrscheinlichkeit von Ausfällen der Energieversorgung führen, da die fortschreitende Digitalisierung und Automatisierung die Angriffsoberfläche der Energieversorger und Energieversorgungsnetzbetreiber vergrößert. Komponenten die früher noch rein analog waren, sind an vielen Stellen inzwischen nicht nur digitalisiert worden, sondern auch mit Datennetzen verbunden.
Die fortschreitende Digitalisierung und Automatisierung in der Energieversorgung gewährleistet deren effiziente Bereitstellung und stetige Verfügbarkeit, bringt aber auch größere Herausforderungen bezüglich der IT-Sicherheit bei Energieversorgern und Energieversorgungsnetzbetreibern mit sich. Dabei sind die Aufrechterhaltung der Informations- und Kommunikationsinfrastruktur und der Energiesicherheit wechselseitig voneinander abhängig.
Diese kritischen Komponenten gelten daher als Ziele von Cyberkriminellen, möglicherweise aber auch von fremden Staaten. Vor diesem Hintergrund interessiert eine aktuelle Bestandsaufnahme der IT-Sicherheit in der Energieversorgung sowie der damit zusammenhängenden Resilienz der Informations- und Kommunikationsinfrastruktur.
Wir fragen die Bundesregierung:
Fragen15
Wie schätzt die Bundesregierung die Versorgungssicherheit der Energieversorgung im europäischen Verbundnetz ein?
Wie groß schätzt die Bundesregierung die Gefahr eines teilweisen oder vollständigen Blackouts (langanhaltenden und mindestens überregionalen Stromausfalls) in den nächsten fünf Jahren (bitte getrennt nach den untenstehenden Buchstaben a bis c beantworten):
a) überregional,
b) bundesweit,
c) im gesamten europäischen Verbundnetz?
Wie schätzt die Bundesregierung die tatsächliche IT-Sicherheit der deutschen Energieversorger und Energieversorgungsnetze ein?
Wie bewertet die Bundesregierung die föderale Struktur der Bundesrepublik Deutschland im Hinblick auf die Schaffung, Einhaltung und Kontrolle von Vorschriften zur IT-Sicherheit in kritischen Infrastrukturen nach KritisV (bitte getrennt beantworten und nach allen Anhängen der KritisV aufschlüsseln)?
Wie viele meldepflichtige Vorfälle nach § 8b Absatz 4 des BSI-Gesetzes (BSIG) sind in den Jahren 2017, 2018 und 2019 gemeldet worden (bitte getrennt nach Jahren und nach Meldungen nach § 8b (4) 1. und § 8b (4) 2. auflisten und nach allen Anhängen der KritisV aufschlüsseln)?
Wie oft wurden Hersteller in den Jahren 2017, 2018 und 2019 nach § 8b Absatz 6 BSIG zur Mitwirkung bei der Beseitigung oder Vermeidung einer Störung aufgefordert (bitte nach Jahren getrennt auflisten)?
In wie vielen Vorfällen in den Jahren 2017, 2018 und 2019 konnten Cyberkriminelle teilweisen, vollständigen oder auch rein lesenden Zugriff auf die Netzwerke der deutschen Energieversorger, die unter Anhang 1 Teil 3 KritisV fallen, (bitte nach Jahren getrennt auflisten):
a) auf informationstechnische Netzwerke,
b) auf operationstechnische Netzwerke erlangen?
c) Bei wie vielen Vorfällen kann ein unberechtigter Zugriff zwar nicht eindeutig belegt werden, aber auch nicht ausgeschlossen werden?
In wie vielen Vorfällen in den Jahren 2017, 2018 und 2019 konnten Personen oder Personengruppen mit Bezug zu oder im Auftrag von fremden Staaten teilweisen, vollständigen, oder auch rein lesenden Zugriff auf die Netzwerke der deutschen Energieversorger, die unter Anhang 1 Teil 3 KritisV fallen, (bitte nach Jahren getrennt auflisten):
a) auf informationstechnische Netzwerke,
b) auf operationstechnische Netzwerke erlangen?
c) Bei wie vielen Vorfällen kann ein unberechtigter Zugriff zwar nicht eindeutig belegt werden, aber auch nicht ausgeschlossen werden?
Welche Bemühungen hat die Bundesregierung unternommen, um die Empfehlungen der Enquete Kommission für Internet und digitale Gesellschaft (EIDG) auf Bundestagsdrucksache 17/12541, insbesondere die Empfehlungen auf Seite 97 Abschnitt 4. „Sicherstellung des technischen Schutzes“ Unterabschnitt b) „SCADA- und PLC-Systeme“ umzusetzen?
a) Welche Maßnahmen hat die Bundesregierung durchgeführt, um Hersteller von SCADA und PLC-Systeme dazu zu bringen, den Quellcode in kritischen Infrastrukturen zugänglich zu machen?
b) Wie erfolgreich waren diese Maßnahmen?
Welche Empfehlungen der EIDG hat die Bundesregierung in die Cybersicherheitsstrategie verbindlich aufgenommen, umgesetzt oder plant die Umsetzung der Empfehlungen (bitte auflisten nach Drucksache der EIDG, Kapitel und Abschnitt auflisten)?
a) Welche Empfehlungen wurden wann erfolgreich umgesetzt?
b) Welche Empfehlungen sind aktuell in der Umsetzung? Bis wann wird die Umsetzung vorrausichtlich abgeschlossen sein?
c) Welche Empfehlungen sind geplant umzusetzen? Wann wird die Umsetzung beginnen?
d) Welche Empfehlungen wurden bisher nur in die Cybersicherheitsstrategie aufgenommen?
Welche Vorschriften existieren nach Kenntnis der Bundesregierung zur Verwendung von Verschlüsselung, Authentifizierung und digitalen Signaturen im Bereich der fernwirkenden drahtgebundenen operationstechnischen Netzwerke von Energieversorgern, die unter Anhang 1 Teil 3 KritisV fallen?
a) Ist ein unverschlüsselter Betrieb von operationstechnischen Netzwerken zulässig?
b) Ist es rechtlich zulässig, Steuerbefehle in operationstechnischen Netzwerken ohne Authentifizierung zu verwenden?
c) Ist es rechtlich zulässig, Steuerbefehle in operationstechnischen Netzwerken ohne digitale Signatur zu verwenden?
d) Wie oft wird die Einhaltung dieser Vorschriften durch wen geprüft?
e) Wie oft wurden Mängel festgestellt?
Welche Vorschriften existieren nach Kenntnis der Bundesregierung zur Verwendung von Verschlüsselung, Authentifizierung und digitalen Signaturen im Bereich der drahtgebundenen informationstechnischen Netzwerke von Energieversorger die unter Anhang 1 Teil 3 KritisV fallen?
a) Ist ein unverschlüsselter Betrieb von informationstechnischen Netzwerken zulässig?
b) Ist es rechtlich zulässig, Betriebsdaten in informationstechnischen Netzwerken ohne Authentifizierung zu versenden?
c) Ist es rechtlich zulässig, Betriebsdaten in informationstechnischen Netzwerken ohne digitale Signatur zu versenden?
d) Wie oft wird die Einhaltung dieser Vorschriften durch wen geprüft?
e) Wie oft wurden Mängel festgestellt?
Welche Vorschriften existieren nach Kenntnis der Bundesregierung zur Verwendung von Verschlüsselung, Authentifizierung und digitalen Signaturen im Bereich der drahtlosen operationstechnischen Netzwerke, beispielsweise auf Basis von TETRA, von Energieversorgern die unter Anhang 1 Teil 3 KritisV fallen (vgl. auch https://fragdenstaat.de/a/170138 und https://fragdenstaat.de/a/171389)?
a) Ist ein unverschlüsselter Datenfunk in operationstechnischen Netzwerken zulässig?
b) Ist es rechtlich zulässig, Steuerbefehle in drahtlosen operationstechnischen Netzwerken ohne Authentifizierung zu verwenden?
c) Ist es rechtlich zulässig, Steuerbefehle in drahtlosen operationstechnischen Netzwerken ohne digitale Signatur zu verwenden?
d) Wie oft wird die Einhaltung dieser Vorschriften durch wen geprüft?
e) Wie oft wurden Mängel festgestellt?
Welche Vorschriften existieren nach Kenntnis der Bundesregierung zur Verwendung von Verschlüsselung, Authentifizierung und digitalen Signaturen beim Handel von Energieprodukten an Strombörsen, die unter KritisV Anhang 1 Teil 1 Absatz 2 Buchstabe g fallen,
a) für die digitale Kommunikation zwischen den Marktteilnehmern an der Börse:
b) für die digitale Kommunikation der Liefermengen und Abnahmemengen an die Leitstände der Energieversorger,
c) für die digitale Kommunikation der Handelsergebnisse an die Übertragungsnetzbetreiber?
d) Wie oft wird die Einhaltung dieser Vorschriften durch wen geprüft?
e) Wie oft wurden Mängel festgestellt?
Welche Kommunikationsmittel stehen der Bevölkerung während einem langanhaltenden und überregionalen Stromausfall zur Verfügung?
a) Wie viele Stunden Stromausfall können die Mobilfunknetze ohne Versorgungseinschränkung der Mobilfunkversorgung der Bevölkerung (nicht nur Notrufe) tolerieren?
b) Wie viele Stunden Stromausfall kann das Festnetztelefonnetz ohne Versorgungseinschränkung der Bevölkerung überbrücken?
c) Welche Möglichkeiten für Notrufe stehen der Bevölkerung zur Verfügung nach Ablauf der Zeit (Buchstaben a und b) zur Verfügung?
d) Welche Veränderung der Angaben auf die Antworten zu den Fragen 15a bis15c beobachtet die Bundesregierung im Vergleich zur Versorgungssicherheit vor der Umstellung auf NGN (New Generation Network) oder VoIP (Voice over IP)?