IT im Energiesektor: Papier ist geduldig – Hacker und der Wettbewerb nicht

Sicher, innovativ und digital? Der Energiesektor bewegt sich in einem Spannungsfeld. Ohne einen mentalen Change könnte bei einigen Versorgern über kurz oder lang das Licht ausgehen.

Vor fast genau einem Jahr habe ich die IT-Sicherheit im Energiesektor als einen zahnlosen Tiger mit Blackout charakterisiert. Zeit für ein Update. Schließlich ist in der Zwischenzeit das lang diskutierte IT-Sicherheitsgesetz in Kraft getreten und die Bundesnetzagentur hat den IT-Sicherheitskatalog veröffentlicht.

Um es kurz zu machen: Die von mir damals angesprochenen Schwächen bestehen nach wie vor. So fehlt es an übergreifenden Verfahren, um Sicherheitslücken kostengünstig zu schließen – die Politik hat weder für Standardisierung gesorgt noch konkrete Handlungsvorschläge erarbeitet. Licht ins Dunkel versuchen diverse Verbandspublikationen zu bringen. Zu nennen sind hier u.a. der „Praxisleitfaden IT-Sicherheitskatalog: Anforderungen an die IT für den sicheren Betrieb von Energieversorgungsnetzen“ des Bitkom und des Verbandes Kommunaler Unternehmen e. V. (VKU) sowie eine gemeinsame Publikation des Verbands der Elektrotechnik (VDE) und des Deutschen Vereins des Gas- und Wasserfaches (DVGW).

Kosten vs. IT-Sicherheit

Klar ist: Bis zum 31. Januar 2018 müssen Netzbetreiber ihre IT-Systeme für Kraftwerke, Netze oder Kontrollwarten (Netzleitsysteme) in ein Informations-Sicherheits-Management-System (ISMS) einbinden und basierend auf DIN ISO/IEC 27001 zertifizieren lassen. Das Problem: Die Netzleitsysteme beruhen teilweise auf Systemen, die bereits seit Jahrzehnten im Einsatz sind, Sicherheitsaspekte wurden dabei oftmals nur am Rande berücksichtigt. Entsprechend hoch ist der Aufwand. Alleine das Aufsetzen eines ISMS-Systems dürfte zwischen einem und eineinhalb Jahren in Anspruch nehmen, die Kosten bewegen sich – ohne technische und laufende Kosten – im mittleren sechsstelligen Bereich.

So mancher Umsetzungspartner empfiehlt vor diesem Hintergrund, genau abzuwägen, welche Systeme überhaupt einbezogen werden. Ein verständlicher, aber nicht unbedingt weitsichtiger Ansatz. Zum einem ist jederzeit mit wachsenden gesetzlichen Anforderungen zu rechnen und zum anderen sind Abstriche bei der IT-Sicherheit ein Spiel mit dem Feuer. Der Energiesektor wird als Ziel für Cyber-Attacken immer attraktiver: Jüngstes Beispiel ist der Angriff auf Energieversorger in der Ukraine mit der Malware Trojan.Disakil. Durch den Ausbau intelligenter Netze (Smart Grids) und die Verbreitung smarter Zähler (Smart Meter) nehmen die Angriffspunkte zudem täglich zu. Blinde Flecken bergen damit ein hohes Gefahrenpotenzial – zumal man sich eines bewusst machen sollte: Wer den IT-Sicherheitskatalog einhält und das auch nachweisen kann, der schützt seine IT „angemessen“ im Sinne des Gesetzes. Die Realität steht im Zweifelsfall auf einem ganz anderen Blatt.

Drei Fliegen mit einer Klappe schlagen

Die Erhöhung der IT-Sicherheit ist allerdings nur eine der aktuellen Herausforderungen. Noch immer kämpfen die Energieversorger mit den aus Deregulierung und Liberalisierung der Märkte resultierenden Strukturveränderungen: Ein verändertes Kundenverhalten trifft auf verkrustete Strukturen mit wenig Wettbewerbsorientierung und Ratlosigkeit in Bezug auf die Einbindung erneuerbarer Energien. Ganz abgesehen von einem Verfall der Margen. Gefragt sind Innovationen. Gerade vor dem Hintergrund, dass – und hier sind wir bei Herausforderung Nummer drei angelangt – die Digitalisierung auch vor dem Energiesektor nicht Halt macht.

Wie lassen sich die drei Dimensionen „sicher, innovativ und digital“ miteinander vereinen – vor allem aus Sicht kleinerer Energieversorger oder Stadtwerke? Bei den Entscheidungsträgern ist ein grundsätzlicher mentaler Change notwendig. Sie müssen die IT als Chance und nicht als Kostentreiber verstehen. Denn nur mit Hilfe der IT lassen sich Transparenz und Flexibilität im Sinne der Wettbewerbsfähigkeit herstellen.

Mit Portfolioeffekten zum richtigen Preis

Ein Beispiel ist die Preisermittlung für den Energievertrieb: Basis einer wettbewerbsorientierten Angebotskalkulation sind die genaue Kenntnis und Transparenz des Vertriebsportfolios. In diesem befinden sich alle Kunden eines Versorgers sowie die daraus resultierenden Strom- und Gas-Abnahmemengen. Energieversorger und Stadtwerke müssen wissen:

  • Was ist der Wert meines Portfolios?
  • Welche Kunden liegen meinem Portfolio zugrunde?
  • Welchen Beitrag leistet der Einzelkunde zum Portfoliowert?

Die Volatilität der Märkte und Veränderungen in den Portfoliozusammensetzungen erfordern eine permanente Aktualisierung der Bewertungen. Versorger müssen in der Lage sein, auf Basis von Marktdaten (Preisentwicklungen, Abnahmeverwalten etc.) Absicherungszuschläge sowie wettbewerbsfähige Vertriebspreise zu kalkulieren – und zwar tagesaktuell. Es reicht heute nicht mehr aus, den Fokus nur auf die marktüblichen Einzelkundenbewertungen zu legen. Erst über Portfolioeffekte lassen sich Vertriebspreise verursachungsgerecht kalkulieren. Manuell oder teilweise automatisiert ist das nicht zu leisten, sondern nur durch eine entsprechende IT-Unterstützung.

Aufgedrehter Wasserschlauch statt Gießkanne

Sicherheit, Innovation, Digitalisierung: Energieversorger müssen die Herausforderungen anpacken – als Gesamtkonzept und vor dem Hintergrund einer ganzheitlichen IT-Strategie. Das Gießkannenprinzip mag auf den ersten Blick attraktiv erscheinen, aber die Rechnung wird bekanntlich ganz am Ende bezahlt…

Bildquelle: Shutterstock

Schreibe einen Kommentar