Sektorstudie Energie - Kritis
Transcrição
Sektorstudie Energie - Kritis
KRITIS-Sektorstudie Energie Öffentliche Version – Revisionsstand 5. Februar 2015 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-5098 E-Mail: [email protected] Internet: https://www.bsi.bund.de © Bundesamt für Sicherheit in der Informationstechnik 2014 Danksagung Danksagung Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat 2014 vier Studien zur Analyse der „Kritischen Infrastrukturen“ (KRITIS) in Deutschland in Auftrag gegeben. Ziel der Studien ist es, einen umfassenden Überblick über die KRITIS-Sektoren und die darin erbrachten kritischen Dienstleistungen zu erhalten. Die Sektorstudien sollen weiterhin den sektorspezifischen Stand der Cyber-Sicherheit sowie Probleme und Trends zusammenfassen. Die KPMG AG Wirtschaftsprüfungsgesellschaft hat durch das BSI Anfang 2014 den Auftrag erhalten, alle vier Sektorstudien in der Zeit von Januar bis Dezember 2014 zu erstellen. Die Studien wurden durch das KPMG Security Consulting Team Berlin unter der Leitung von Herrn Wilhelm Dolle erstellt. Alle damit zusammenhängenden Tätigkeiten wurden studienübergreifend durch den KRITIS-Projektleiter, Herrn Torsten Redlich, koordiniert. Herr Jan Hoff leitete fachlich die Studie im Sektor Energie. Die Erstellung der KRITIS-Sektorstudien wäre ohne die enge Zusammenarbeit mit zahlreichen Vertretern von Betreibern und Verbänden in den KRITIS-Sektoren nicht möglich gewesen. Unser besonderer Dank gilt den Betreibern, die trotz des sensiblen Themas und der vollen Terminkalender Zeit und Motivation fanden, uns bei der Durchführung der Studie mit Experteninterviews aktiv zu unterstützen. Sie haben mit ihrem Fachwissen und Engagement wesentlich zum Gelingen der Studie beigetragen. Wir sind ebenso den vielen Experten dankbar, die uns in Hintergrundgesprächen hilfreiche Diskussionsmöglichkeiten und wertvolle Impulse gegeben haben. In gleicher Weise möchten wir uns bei den Mitarbeitern des BSI für die konstruktive und offene Zusammenarbeit bedanken, die eine kontinuierliche Studienbegleitung und letztlich den erfolgreichen Projektabschluss ermöglicht haben. Berlin, im Dezember 2014 Wilhelm Dolle, Partner Bundesamt für Sicherheit in der Informationstechnik Jan Hoff, Assistant Manager 3 Inhaltsverzeichnis Inhaltsverzeichnis Danksagung.......................................................................................................................................................................................... 3 Einleitung............................................................................................................................................................................................ 10 1 Sektorüberblick................................................................................................................................................................................. 13 2 Branchen.............................................................................................................................................................................................. 16 2.1 Elektrizität.................................................................................................................................................................................... 16 2.1.1 Branchenüberblick............................................................................................................................................................ 16 2.1.2 Branchenstruktur............................................................................................................................................................... 31 2.2 Gas.................................................................................................................................................................................................... 40 2.2.1 Branchenüberblick............................................................................................................................................................ 40 2.2.2 Branchenstruktur............................................................................................................................................................... 48 2.3 Mineralöl....................................................................................................................................................................................... 55 2.3.1 Branchenüberblick............................................................................................................................................................ 55 2.3.2 Branchenstruktur............................................................................................................................................................... 62 3 Kritische Dienstleistungen.......................................................................................................................................................... 68 3.1 Stromversorgung (DL1).......................................................................................................................................................... 70 3.1.1 Prozessschritt „Stromerzeugung“ (PS1).................................................................................................................... 74 3.1.2 Prozessschritt „Stromübertragung“ (PS2)............................................................................................................... 87 3.1.3 Prozessschritt „Stromverteilung“ (PS3).................................................................................................................... 97 3.2 Gasversorgung (DL2)............................................................................................................................................................. 103 3.2.1 Prozessschritt „Gasförderung“ (PS1)........................................................................................................................ 105 3.2.2 Prozessschritt „Gastransport“ (PS2)......................................................................................................................... 109 3.2.3 Prozessschritt „Gasverteilung“ (PS3)....................................................................................................................... 116 3.3 Treibstoff- und Heizölversorgung (DL3)...................................................................................................................... 119 3.3.1 Prozessschritt „Ölförderung“ (PS1).......................................................................................................................... 122 3.3.2 Prozessschritt „Rohöl- und Mineralöltransport“ (PS2)...................................................................................127 3.3.3 Prozessschritt „Heizöl- und Kraftstoffverteilung“ (PS3)................................................................................132 4 4.1 4.2 Vorfallsammlung........................................................................................................................................................................... 135 Nationale Vorfälle................................................................................................................................................................... 137 Internationale Vorfälle......................................................................................................................................................... 140 5 Cyber-Sicherheit............................................................................................................................................................................ 149 5.1 Cyber-Sicherheit im Sektor Energie.............................................................................................................................. 150 5.2 Gesetzliche Anforderungen............................................................................................................................................... 155 5.3 Umsetzungsgrad der Cyber-Sicherheit........................................................................................................................ 157 5.3.1 Sicherheitsorganisation und -management........................................................................................................ 158 5.3.2 Technische IT-Sicherheit.............................................................................................................................................. 159 5.3.3 Überwachung und Monitoring (Detektion und Reaktion)..........................................................................161 5.3.4 Externe Abhängigkeiten............................................................................................................................................... 162 5.4 Herausforderungen und Trends...................................................................................................................................... 163 6 6.1 6.2 6.3 Schlussfolgerungen und Ausblick......................................................................................................................................... 168 Fazit und Zusammenfassung............................................................................................................................................ 168 Notwendiger Handlungsbedarf....................................................................................................................................... 172 Weiterer Untersuchungsbedarf........................................................................................................................................ 175 Anhänge............................................................................................................................................................................................. 179 Bundesamt für Sicherheit in der Informationstechnik 5 Inhaltsverzeichnis Stichwort- und Abkürzungsverzeichnis....................................................................................................................... 179 Glossar.......................................................................................................................................................................................... 187 Literaturverzeichnis..................................................................................................................................................................... 191 6 Bundesamt für Sicherheit in der Informationstechnik Inhaltsverzeichnis Abbildungsverzeichnis Abbildung 1: Energieflussbild für Deutschland 2011 (in Mio. t SKE)....................................................................................15 Abbildung 2: Vergleich von Strommengen in der deutschen Stromversorgung (2013, in GWh)............................16 Abbildung 3: Nennleistung deutscher Stromerzeugungsanlagen nach Energieträger in MW (2013)...................18 Abbildung 4: Struktur der Stromerzeugung nach Energieträger in GWh (2013)............................................................18 Abbildung 5: Altersstruktur des Kraftwerksparks (2013)............................................................................................................ 19 Abbildung 6: Deutschland im europäischen Netzverbund (2013)..........................................................................................21 Abbildung 7: Grobes und prinzipielles Schema der Stromversorgung in Deutschland..............................................24 Abbildung 8: Karte der Stromnetzbetreiber in Deutschland (2011)......................................................................................33 Abbildung 9: Vergleich unterschiedlicher Gasmengen in der deutschen Gasversorgung (2012, in Mrd. m³)....40 Abbildung 10: Die Wertschöpfungskette der Gasversorgung................................................................................................... 41 Abbildung 11: Vergleich unterschiedlicher Mengen in der deutschen Mineralölbranche (2012, in Mio. t Rohöl oder Rohöläquivalente)............................................................................................................................................................................... 55 Abbildung 12: Anteil von Mineralölprodukten am Gesamtumsatz der Branche (2012)..............................................57 Abbildung 13: Wertschöpfungskette Öl.............................................................................................................................................. 58 Abbildung 14: Marktanteile der Mineralölkonzerne in Deutschland in Prozent (2011)..............................................63 Abbildung 15: Modellierung kritischer Dienstleistungen.......................................................................................................... 68 Abbildung 16: Prozessschritt Beispiel (PS(n))................................................................................................................................... 69 Abbildung 17: Schematische Darstellung der kritischen Dienstleistung „Stromversorgung“ (DL1).....................70 Abbildung 18: Prozessschritt „Stromerzeugung“ der kritischen Dienstleistung „Stromversorgung“...................74 Abbildung 19: Prozessschritt „Stromübertragung“ der kritischen Dienstleistung „Stromversorgung“...............87 Abbildung 20: Prozessschritt „Stromverteilung“ der kritischen Dienstleistung „Stromversorgung“....................97 Abbildung 21: Schematische Darstellung der kritischen Dienstleistung „Gasversorgung“.....................................103 Abbildung 22: Prozessschritt „Gasförderung“ der kritischen Dienstleistung „Gasversorgung“............................105 Abbildung 23: Prozessschritt „Gastransport“ der kritischen Dienstleistung „Gasversorgung“..............................109 Abbildung 24: Prozessschritt „Gasverteilung“ der kritischen Dienstleistung „Gasversorgung“............................116 Abbildung 25: Schematische Darstellung der kritischen Dienstleistung „Treibstoff- und Heizölversorgung“ ............................................................................................................................................................................................................................. 119 Abbildung 26: Prozessschritt „Ölförderung“ der kritischen Dienstleistung „Treibstoff- und Heizölversorgung“ ............................................................................................................................................................................................................................. 122 Abbildung 27: Prozessschritt „Rohöl- und Mineralöltransport“ der kritischen Dienstleistung „Treibstoff- und Heizölversorgung“...................................................................................................................................................................................... 127 Abbildung 28: Prozessschritt „Heizöl- und Kraftstoffverteilung“ der kritischen Dienstleistung „Treibstoffund Heizölversorgung“............................................................................................................................................................................ 132 Abbildung 29: Standards und Best Practices für die Cyber-Sicherheit im Energiesektor in Deutschland.......150 Abbildung 30: Regulatorische Anforderungen im Energiesektor in Deutschland......................................................155 Bundesamt für Sicherheit in der Informationstechnik 7 Inhaltsverzeichnis Tabellenverzeichnis Tabelle 1: Sektoreinteilung der Kritischen Infrastrukturen in Deutschland.....................................................................10 Tabelle 2: Abhängigkeitsverhältnisse ausgewählter Abnehmergruppen von der Stromversorgung.....................27 Tabelle 3: Die größten Kraftwerksbetreiber in Deutschland (2013).......................................................................................34 Tabelle 4: Die größten Kraftwerksanlagen in Deutschland (März 2014).............................................................................34 Tabelle 5: Übertragungsnetzbetreiber in Deutschland (2013)..................................................................................................35 Tabelle 6: Größte Stromversorger in Deutschland (2010)........................................................................................................... 35 Tabelle 7: Abhängigkeitsverhältnisse ausgewählter Abnehmergruppen von der Gasversorgung..........................47 Tabelle 8: Bedeutende Gas-Fördergesellschaften in Deutschland (2012)............................................................................50 Tabelle 9: Bedeutende Gasversorger in Deutschland (2013)...................................................................................................... 51 Tabelle 10: Anteile der größten Unternehmen im Gasmarkt (2012)......................................................................................52 Tabelle 11: Die wichtigsten Rohölexporteure nach Deutschland (2012).............................................................................57 Tabelle 12: Abhängigkeitsverhältnisse ausgewählter Abnehmergruppen von der Ölversorgung...........................61 Tabelle 13: Ölfördergesellschaften in Deutschland (2012).........................................................................................................63 Tabelle 14: Bedeutendste Raffineure in Deutschland (2014).....................................................................................................64 Tabelle 15: Größte Raffinerien in Deutschland (2014).................................................................................................................. 64 Tabelle 16: Wichtigste Pipelinebetreiber und entsprechende Pipeline (2012)..................................................................64 Tabelle 17: Marktanteile der führenden Tankstellenbetreiber am Kraftstoffabsatz (Januar 2014).........................65 Tabelle 18: Betriebsinterner Prozess „Brennstoffversorgung“ (DL1 PS1 BP1)...................................................................76 Tabelle 19: Betriebsinterner Prozess „Ansteuerung von Anlagen“ (DL1 PS1 BP2)..........................................................77 Tabelle 20: Betriebsinterner Prozess „Energieumwandlung“ (DL1 PS1 BP3).....................................................................79 Tabelle 21: Betriebsinterner Prozess „Energieeinspeisung“ (DL1 PS1 BP4)........................................................................81 Tabelle 22: Betriebsinterner Prozess „Entsorgung von Rückständen“ (DL1 PS1 BP5)...................................................83 Tabelle 23: Betriebsinterner Prozess „Einsatzplanung“ (DL1 PS1 BP6)................................................................................85 Tabelle 24: Betriebsinterner Prozess „Kopplung im Übertragungsnetz“ (DL1 PS2 BP1)..............................................88 Tabelle 25: Betriebsinterner Prozess „Übertragung“ (DL1 PS2 BP2)......................................................................................90 Tabelle 26: Betriebsinterner Prozess „Systemdienstleistungen“ (DL1 PS2 BP3)...............................................................92 Tabelle 27: Betriebsinterner Prozess „Energiehandel“ (DL1 PS2 BP4)...................................................................................94 Tabelle 28: Betriebsinterner Prozess „Störungsmanagement (Strom)“ (DL1 PS2 BP5).................................................96 Tabelle 29: Betriebsinterner Prozess „Kopplung im Verteilnetz“ (DL1 PS3 BP1).............................................................99 Tabelle 30: Betriebsinterner Prozess „Zähler- und Anschlussbetrieb“ (DL1 PS3 BP2).................................................101 Tabelle 31: Betriebsinterner Prozess „Exploration und Erschließung“ (DL2 PS1 BP1)...............................................106 Tabelle 32: Betriebsinterner Prozess „Förderung und Produktion“ (DL2 PS1 BP2).....................................................107 Tabelle 33: Betriebsinterner Prozess „Aufbereitung“ (DL2 PS1 BP3)...................................................................................108 Tabelle 34: Betriebsinterner Prozess „Gaseinspeisung“ (DL2 PS2 BP1)..............................................................................110 Tabelle 35: Betriebsinterner Prozess „Gasdurchleitung“ (DL2 PS2 BP2)............................................................................111 Tabelle 36: Betriebsinterner Prozess „Gashandel“ (DL2 PS2 BP3).........................................................................................113 Tabelle 37: Betriebsinterner Prozess „Gasspeicherung“ (DL2 PS2 BP4).............................................................................114 Tabelle 38: Betriebsinterner Prozess „Störungsmanagement (Gas)“ (DL2 PS2 BP5)....................................................115 Tabelle 39: Betriebsinterner Prozess „Gasübernahme“ (DL2 PS3 BP1)...............................................................................117 Tabelle 40: Betriebsinterner Prozess „Zähler und Anschlussbetrieb (Gas)“ (DL2 PS3 BP2).......................................118 Tabelle 41: Betriebsinterner Prozess „Exploration und Erschließung (Öl)“ (DL3 PS1 BP1)......................................123 Tabelle 42: Betriebsinterner Prozess „Ölförderung“ (DL3 PS1 BP2).....................................................................................124 Tabelle 43: Betriebsinterner Prozess „Raffinierung“ (DL3 PS1 BP3)....................................................................................125 Tabelle 44: Betriebsinterner Prozess „Produktabgabe“ (DL3 PS1 BP4)...............................................................................126 Tabelle 45: Betriebsinterner Prozess „Öleinspeisung“ (DL3 PS2 BP1).................................................................................128 Tabelle 46: Betriebsinterner Prozess „Öltransport“ (DL3 PS2 BP2)......................................................................................129 Tabelle 47: Betriebsinterner Prozess „Öllagerung“ (DL3 PS2 BP3).......................................................................................130 Tabelle 48: Betriebsinterner Prozess „Störungsmanagement (Öl)“ (DL3 PS2 BP4).......................................................131 Tabelle 49: Betriebsinterner Prozess „Heizölvertrieb“ (DL3 PS3 BP1).................................................................................133 Tabelle 50: Betriebsinterner Prozess „Kraftstoffvertrieb“ (DL3 PS3 BP2)..........................................................................134 Tabelle 51: Überblick der Eigenschaften der gesammelten Vorfälle...................................................................................136 8 Bundesamt für Sicherheit in der Informationstechnik Inhaltsverzeichnis Bundesamt für Sicherheit in der Informationstechnik 9 Einleitung Einleitung Kritische Infrastrukturen (KRITIS) sind „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“ [BMI 2009]. Sie erbringen kritische Dienstleistungen, die für Deutschland einen bedeutenden Beitrag zur Sicherung des Gemeinwohls leisten. Das Dokument „UP KRITIS – Grundlagen und Ziele“ von 2013 definiert kritische Dienstleistungen wie folgt: „Kritische Dienstleistungen sind für die Bevölkerung wichtige, teils lebenswichtige Güter und Dienstleistungen. Bei einer Beeinträchtigung dieser kritischen Dienstleistungen würden erhebliche Versorgungsengpässe, Störungen der Öffentlichen Sicherheit oder vergleichbare dramatische Folgen eintreten“ [UP KRITIS 2013]. Die Auswahl an kritischen Dienstleistungen kann zum einem auf den staatlichen Auftrag zur Daseinsfürsorge zurückgeführt werden, zum anderen auf ihre Bedeutung als technische Basisinfrastrukturen für andere kritische Dienstleistungen. Die zuverlässige Erbringung der kritischen Dienstleistungen bildet die Grundlage vieler alltäglicher Prozesse und Abläufe für die Bevölkerung und in der Wirtschaft. Sie ist Voraussetzung für die ausreichende Versorgung der Bevölkerung mit Lebensmitteln, Wasser, Elektrizität, Gesundheitsleistungen und vielen anderen wichtigen oder lebensnotwendigen Ressourcen. Vor diesem Hintergrund ist der Schutz Kritischer Infrastrukturen eine gesamtgesellschaftliche Aufgabe, die im Zusammenspiel von Staat, Wirtschaft und Öffentlichkeit erfolgt. Als Grundlage für die Kooperation von Staat und Wirtschaft beim Schutz Kritischer Infrastrukturen dient die Sektoren- und Brancheneinteilung. Sie bildet einen konzeptionellen Rahmen, der die Analyse und Behandlung einzelner technischer Basisinfrastrukturen und sozioökonomischer Dienstleistungs-infrastrukturen ermöglicht. Die Betreiber von KRITIS umfassen dabei sowohl staatliche als auch privatwirtschaftliche Organisationen. Sektoren Kritischer Infrastrukturen Energie Transport und Verkehr Informationstechnik und Telekommunikation Finanz- und Versicherungswesen Gesundheit Staat und Verwaltung Wasser Medien und Kultur Ernährung Tabelle 1: Sektoreinteilung der Kritischen Infrastrukturen in Deutschland Jeder KRITIS-Sektor ist in verschiedene Branchen aufgeteilt. Sowohl zwischen den Branchen innerhalb eines Sektors als auch zwischen den verschiedenen Sektoren existieren vielfältige Interdependenzen. Beispielsweise ist die Stromversorgung eine Grundvoraussetzung für die Erbringung praktisch aller anderen kritischen Dienstleistungen. Ein weiteres Beispiel sind die Leistungen des Sektors Transport und Verkehr, die Voraussetzung für die Logistik von Nahrungsmitteln, Materialien für die Gesundheitswirtschaft und weiteren Gütern sowie für die Beförderung von Personen sind. Der Sektor Informationstechnik und Telekommunikation nimmt hierbei vor dem Gedanken der starken Durchdringung von Informations- und Telekommunikationstechnologie in allen anderen Sektoren eine Sonderrolle ein. Eine effiziente Leistungserbringung in den Sektoren ist heute ohne die Inanspruchnahme der Informations- und Telekommunikationsdienstleistungen nicht mehr vorstellbar. Die weiter zunehmende Verbreitung und Durchdringung von Informations- und Kommunikationstechnologien in allen Sektoren birgt jedoch gleichzeitig bekannte und neue Risiken. 10 Bundesamt für Sicherheit in der Informationstechnik Einleitung Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eine der zentralen Stellen unter den zuständigen Behörden zum Schutz von Kritischen Infrastrukturen. Mit unterschiedlichen Aktivitäten wie der Organisation von Branchengesprächen, der Bereitstellung von Standards und Leitfäden zu wichtigen IT-Sicherheitsthemen und nationalen Projekten sowie der Koordination des UP KRITIS1 verfolgt das BSI die Umsetzung der Nationalen Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie) und der nationalen Cyber-Sicherheitsstrategie. In seinen Arbeiten ist das BSI auf genaue Kenntnisse zu den Funktionen kritischer Dienstleistungen und der damit verbundenen Bedeutung wichtiger Anlagen und Einrichtungen (KRITIS) angewiesen. Dabei ist es wichtig, die wirtschaftlichen, technologischen, politischen und regulatorischen Rahmenbedingungen und Besonderheiten der Sektoren und deren Branchen genau zu verstehen. Dies umfasst gleichermaßen die Kenntnis zukünftiger Entwicklungen. Mehr als zehn Jahre nach der Erstellung der ersten KRITIS-Sektorstudien hat das BSI 2014 die Wirtschaftsprüfungs- und Beratungsgesellschaft KPMG mit der Erarbeitung von vier Studien zu den folgenden Sektoren beauftragt: • Energie • Ernährung und Wasser • Informationstechnik und Telekommunikation • Transport und Verkehr Die Erarbeitung der vier Sektorstudien erfolgte von Februar bis Dezember 2014. Ziel der Studien ist es, einen aktuellen Überblick über den Sektor, dessen Branchen sowie die im Sektor und den Branchen erbrachten kritischen Dienstleistungen zu gewinnen. Dies beinhaltet Analysen zur Kritikalität der sektortypischen Dienstleistungen sowie deren betriebsinternen Prozessen. Weiterhin soll der Grad der Abhängigkeiten betriebsinterner Prozesse von IKT ermittelt und die Frage beantwortet werden, welche Rolle Informationen, der Einsatz von IKT und die Nutzung von IKT-Prozessen für die Ausführung der betriebsinternen Prozesse spielt. Die Sektorstudien sollen sektor- und branchenspezifisch den Stand der IKT-Sicherheit zusammenfassen und aktuelle Probleme sowie zukünftige Trends in Bezug auf IKT-Sicherheit und -Zuverlässigkeit herausstellen. Neben dem vorhandenen Expertenwissen sowie öffentlich verfügbaren Informationen und Unterlagen bildet die in allen vier Sektoren durchgeführte Betreiberbefragung eine wesentliche Informationsgrundlage der Sektorstudien. Hierfür wurden wichtige Betreiber, Verbände und ggf. weitere wichtige Akteure der jeweiligen Sektoren im Studienzeitraum in zahlreichen persönlichen und telefonischen Gesprächen zum Stand der Cyber-Sicherheit befragt. Die Angaben sind in anonymisierter Form in die Studien eingeflossen, sodass keine Rückschlüsse auf einzelne Befragte gezogen werden können. Dies ist die öffentliche Fassung der KRITIS-Sektorstudie Energie. Alle Inhalte der öffentlichen Fassung finden sich ebenfalls in einer nicht-öffentlichen Fassung. Gegenüber der nicht-öffentlichen Fassung der KRITIS-Sektorstudie Energie wurden Teile herausgenommen. – Informationen zu neuralgischen Punkten in Kritischen Informationsinfrastrukturen, die geeignet sind, um besondere Ziele für Angriffe auf die Versorgungssicherheit auszuwählen, wurden herausgenommen. – Die Diskussion der Versorgungsmerkmale ist Teil des Verfahrens zur Erstellung der Rechtsverordnung nach § 2 Abs. 10 Satz 2 und § 10 Abs. 1 BSIG (in der Fassung des Regierungsentwurfes für ein IT-Sicherheitsgesetz vom 17.12.2014). 1 Der UP KRITIS ist eine Kooperation zwischen (KRITIS-)Betreibern, Verbänden und staatlichen Stellen, u. a. dem BSI (siehe www.upkritis.de). Bundesamt für Sicherheit in der Informationstechnik 11 Einleitung Zur Vereinheitlichung unterliegen alle vier Studien der gleichen Struktur. Sie unterteilen sich in die folgenden Kapitel: Kapitel 1 bietet einen Überblick über den in der jeweiligen Studie behandelten Sektor. Kapitel 2 vertieft den Einblick in den Sektor, indem es die einzelnen Branchen im Detail vorstellt. In diesem Kapitel werden die Branchenstruktur, die Bedeutung der Branchen für Staat und Gesellschaft, der volkswirtschaftliche Kontext, die Marktteilnehmer, die Beziehungen innerhalb der Branche, die Rolle der öffentlichen Hand sowie die aktuellen Entwicklungen aufgegriffen und erläutert. Kapitel 3 enthält eine detaillierte Auseinandersetzung mit den kritischen Dienstleistungen. Dies sind im vorliegenden Fall die Dienstleistungen „Stromversorgung“ (DL1), „Gasversorgung“ (DL2) und „Treibstoff- und Heizölversorgung“ (DL3). Einer strukturellen Zerlegung der Dienstleistungen folgt die Analyse der kritischen betriebsinternen Prozesse und die Ermittlung der Risikoelemente. Kapitel 4 liefert eine Sammlung bedeutsamer Sicherheitsvorfälle im Sektor. Diese sind nach internationalen und nationalen Vorfällen differenziert sowie anhand wichtiger Eigenschaften zur Sensibilisierung und Aufklärung aufbereitet. Kapitel 5 setzt sich sowohl mit den geltenden Normen und Standards als auch mit den gesetzlichen Anforderungen für IT-Sicherheit im betrachteten Sektor auseinander. Darüber hinaus wird auf den etablierten Stand der Cyber-Sicherheit sowie auf Herausforderungen und Trends in der IT-Sicherheit eingegangen, was insbesondere aus den Ereignissen der Betreiberbefragung ermittelt wurde. Kapitel 6 führt die Ergebnisse aus den vorherigen Kapiteln als Fazit zusammen, schafft einen Überblick über die wesentlichen Erkenntnisse und stellt wichtige Handlungsempfehlungen zur Stärkung der IT-Sicherheit im betrachteten Sektor heraus. 12 Bundesamt für Sicherheit in der Informationstechnik Sektorüberblick 1 Sektorüberblick Durch die Dienstleistungen des Sektors Energie wird die deutsche Gesellschaft und der Staat mit Energie versorgt. Die Versorgung mit Energie ist eine Grundvoraussetzung für das Funktionieren fast aller gesellschaftlichen Bereiche. Ohne Energieversorgung kann es keine funktionierende Volkswirtschaft geben, der Alltag der deutschen Bürger wird empfindlich gestört und eine Aufrechterhaltung der öffentlichen Ordnung ist nicht möglich. In dieser Sektorstudie werden die wichtigsten Energiedienstleistungen betrachtet sowie ihre Relevanz und Kritikalität für Deutschland untersucht. Der Sektor umfasst sowohl die im Energiewirtschaftsgesetz (EnWG) definierten leitungsgebundenen Versorgungsleistungen mit Elektrizität/Strom, Ferngas und Nah- und Fernwärme2 als auch die Versorgung von Endkunden mit Energieträgern wie Heizöl und Treibstoffen (zum Beispiel Diesel- und Benzinkraftstoffe oder Kerosin) und Flüssiggas. Bei der Versorgung mit Strom und Gas handelt es sich laut EnWG um eine Grundversorgungsleistung. Es ist daher Aufgabe des Staates, die Versorgung der Bevölkerung mit diesen Gütern sicherzustellen. Die Umsetzung dieser Aufgabe übergibt der Staat an Energieversorgungsunternehmen (EVU). Diese sind gesetzlich dazu verpflichtet, eine „möglichst sichere, preisgünstige, verbraucherfreundliche, effiziente und umweltverträgliche leitungsgebundene Versorgung der Allgemeinheit mit Elektrizität und Gas“ zu gewährleisten (§§ 2, 3 EnWG). Dies umfasst Haushalte, die Elektrizität und Gas für das tägliche Leben benötigen, die Industrie, für die Strom und Gas unersetzliche Produktionsfaktoren darstellen, sowie den Staat, bei dem die Aufrechterhaltung seiner Funktionen ohne Elektrizität und Gas ebenfalls nicht möglich ist. Neben Strom und Gas ist die deutsche Gesellschaft auch auf eine zuverlässige Versorgung mit Öl und den daraus gewonnenen Mineralölprodukten angewiesen. Besonders für den Transport bleibt Mineralöl der zentrale Energieträger. Auch in seiner Verwendung als Heizstoff und als Rohstoff für die Industrie ist es unersetzlich. Der Energiesektor ist eine wichtige Stütze der Wirtschaft, er nimmt bei der Bereitstellung von Produktionsfaktoren eine wichtige Rolle ein. Praktisch jeder Wirtschaftszweig ist auf Elektrizität, Wärme und Kraftstoffe angewiesen. Eine stabile und wirtschaftliche Versorgung mit Energie ist daher ein wichtiger Standortfaktor für die Industrie und den Dienstleistungssektor. Nicht nur als Versorger sondern auch als eigener Wirtschaftszweig hat der Energiesektor große Bedeutung für die deutsche Volkswirtschaft: Die Bruttowertschöpfungsleistung des Sektors macht einem Anteil von 1,7 Prozent des Bruttoinlandsproduktes aus Im Sektor waren im Jahr 2012 etwa 212.000 Arbeitnehmer beschäftigt [BMWi 2013d]. Der Sektor Energie stellt insbesondere auch Basisdienstleistungen für andere Sektoren der Kritischen Infrastrukturen zur Verfügung. Ein Ausfall der Energieversorgung würde schon nach kürzester Zeit zu einem Ausfall der meisten anderen Kritischen Infrastrukturen Deutschlands führen und hätte dramatische Konsequenzen für alle Lebensbereiche. So ist der Betrieb der Verkehrsinfrastruktur in weiten Teilen nicht ohne Elektrizität und eine verlässliche Kraftstoffversorgung möglich. Die Wasserwirtschaft und Abwasserbeseitigung sind für den Betrieb von Pumpen und Ventilen ebenfalls auf Strom angewiesen. Auch der Informations- und Telekommunikationssektor verbraucht einen zunehmenden Anteil der erzeugten Elektrizität in Rechenzentren und für den Betrieb von Daten-Netzwerken. In den KRITIS-Sektoren Gesundheit, Ernährung, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur ist eine Aufrechterhaltung der wesentlichen Dienstleistungen ohne die durchgängige Verfügbarkeit von Energie in der jeweils benötigten Form nicht möglich. Energie in Deutschland Der Energieverbrauch Deutschlands lässt sich in einer Gesamtbilanz darstellen. In dieser Bilanz unterscheidet man Primärenergie, Sekundärenergie und Endenergie. Von Primärenergie wird gesprochen, wenn es sich um die Energiemenge in den ursprünglichen Trägern wie Erdgas, Steinkohle oder Kernenergie 2 Eine Analyse der Dienstleistungen der Nah- und Fernwärme ist nicht Bestandteil dieser Studie. Bundesamt für Sicherheit in der Informationstechnik 13 1 Sektorüberblick handelt. Das Energieflussbild der AG Energiebilanzen e. V. (Abbildung 1, Seite 15) zeigt den Primärenergieverbrauch Deutschlands im Jahr 2011. Mineralöl ist mit 154 Mio. t Steinkohleeinheiten (SKE) die größte Position und stellt einen wichtigen Energieträger für die deutsche Gesellschaft dar. Deutlich wird, wie sehr die Energieversorgung in Deutschland weiterhin von fossilen Brennstoffen abhängig ist. Der Anteil erneuerbarer Energieträger an der Gesamterzeugung steigt, der Großteil der Primärenergie wird aber weiterhin durch fossile Brennstoffe erzeugt. In den meisten Fällen ist eine Nutzung der Primärenergieträger durch die Endnutzer nicht ohne weitere Umwandlung in oder über Zwischenprodukte möglich. Nur in Ausnahmen, wie etwa bei Erdgas hoher Qualität, findet keine oder nur eine geringfügige Aufbereitung vor der Nutzung statt. Die fossilen Primärenergieträger werden in Kraftwerken und Raffinerien in andere Energieträger umgewandelt, da diese leichter zu transportieren, lagern oder zur weiteren Umwandlung in andere Energieformen geeignet sind (wie elektrischer Strom, Mineralöl, Koks, Briketts etc.). Die Produkte solcher Verarbeitungsprozesse werden als Sekundärenergieträger bezeichnet. Das Energieflussbild stellt die Umwandlung und Nutzung unterschiedlicher Energieträger dar. Die Endenergie ist jener Teil der Sekundärenergie, der nach verlustbehafteter Umwandlung und Übertragung beim Endverbraucher tatsächlich verfügbar ist. Diese Verbraucher (Bürger, Staat sowie Industrie und Wirtschaft inklusive der Betreiber weiterer Kritischer Infrastrukturen) nutzen die Energie für unterschiedliche Zwecke: • für die Erzeugung von Raumwärme für Wohnungen oder Betriebsstätten (durch Gasheizungen, Fernwärme oder elektrische Nachtspeicherheizungen); • für die industrielle Produktion (beispielsweise durch Umwandlung von mechanischer Energie oder Prozesswärme); • für den Betrieb elektrisch betriebener und elektronischer Geräte in Haushalten (inklusive Warmwasserzubereitung); • für den Betrieb anderer Kritischer Infrastrukturen (Transport, IKT, Wasserversorgung, Finanzwesen). Ein Teil der Energie geht auf dem Weg zum Verbraucher verloren. Darunter fallen Umwandlungsverluste in Kraftwerken oder Raffinerien, Leitungsverluste bei der Übertragung von Elektrizität oder undichte Systeme beim Transport und der Speicherung von Gasen. Auch für den Betrieb von Kraftwerken und Speicheranlagen wird Energie benötigt, die nicht für Endnutzer zur Verfügung steht. Das Energieflussbild verdeutlicht diese Verluste und fasst die Energieflüsse in Deutschland zusammen. 14 Bundesamt für Sicherheit in der Informationstechnik Sektorüberblick Abbildung 1: Energieflussbild für Deutschland 2011 (in Mio. t SKE) Quelle: Mit freundlicher Genehmigung der Arbeitsgemeinschaft Energiebilanzen e. V. (www.ag-energiebilanzen.de) Bundesamt für Sicherheit in der Informationstechnik 15 2 Branchen 2 Branchen 2.1 Elektrizität Unter Elektrizität wird im Verlauf dieser Studie der elektrische Strom/die elektrische Energie verstanden. Durch die elektrotechnischen Sachverhalte und die damit verbundenen Abhängigkeiten unterscheidet sich die Branche Elektrizität wesentlich von den beiden anderen Branchen des Sektors. Abbildung 2 zeigt als Einstieg und erste Orientierung einen Vergleich von verschiedenen Strommengen in der deutschen Stromversorgung. 633,6 599,8 151,7 33,8 davon aus erneuerbare Energien Stromproduktion Stromverbrauch Stromexport (Saldo) Abbildung 2: Vergleich von Strommengen in der deutschen Stromversorgung (2013, in GWh) Quelle: Arbeitsgemeinschaft Energiebilanzen e.V. Energie ist grundsätzlich die Fähigkeit, Arbeit zu verrichten. In der Elektrizität resultiert die elektrische Arbeit durch die Übertragung elektrischer Energie. Bei der Stromerzeugung, -übertragung und -verteilung wird in der Regel von elektrischer Leistung gesprochen. Die elektrische Leistung ist die Energie, die in einem bestimmten Moment an einen Verbraucher abgegeben wird. Wird ein Verbraucher beispielsweise mit einem Kilowatt (kW) Leistung für den Zeitraum einer Stunde betrieben, so wird eine Kilowattstunde (kWh) elektrische Arbeit benötigt. Die durch den Verbraucher genutzte elektrische Arbeit über einen bestimmten Zeitraum ergibt die von ihm verbrauchte Energiemenge. 2.1.1 2.1.1.1 Branchenüberblick Einführung in die Branche Elektrizität Die Branche Elektrizität umfasst nach der KRITIS-Branchenaufteilung des Bundesministeriums des Innern alle für eine durchgängig verfügbare leitungsgebundene Stromversorgung über das öffentliche Netz nötigen Aktivitäten und Akteure [BMI 2011a]. In den folgenden Kapiteln werden – die Produktion und der Import, 16 Bundesamt für Sicherheit in der Informationstechnik Branchen – der Transport, Handel und die Speicherung sowie – die Verteilung und der Vertrieb von elektrischem Strom an Haushalte oder die Wirtschaft (inklusive Rückwirkungen und Einspeisungen) betrachtet. Elektrizität wird von Privathaushalten, Gewerbe und Industrie für verschiedene Verbrauchsarten benötigt. Dies reicht beispielsweise bei Privathaushalten von der Beleuchtung über den Betrieb von Elektronikgeräten wie Computern bis hin zu Haushaltsgeräten oder Gartenpumpen. Im gewerblichen und industriellen Umfeld werden Gebäude beheizt, Maschinen betrieben und Prozesswärme in Öfen erzeugt. Allgemeines Elektrische Leistung entsteht in der Elektrizitätsversorgung durch die Umwandlung anderer (Primär-)Energieformen wie chemischer, potenzieller, kinetischer, thermischer Energie oder Lichtenergie. Sie ist in erster Linie ein effizienter Energieträger, der sich am Bestimmungsort leicht wieder in andere Energieformen umwandeln lässt. Erzeugung Die Erzeugung von Elektrizität wird auf unterschiedlichen Wegen realisiert. Kraftwerke zur Stromerzeugung lassen sich dabei anhand ihrer Größe und ihrer relativen Nähe zum Verbrauchsort unterscheiden. Zum einen erzeugen konventionelle Großkraftwerke den Großteil der deutschen Elektrizität. Ein Block eines Kernkraftwerkes kann derzeit bis zu 1,4 Gigawatt (GW) Strom erzeugen. Zum Anderen gibt es auch kleinere konventionelle Kraftwerke, sogenannte Blockheizkraftwerke (BHKW). Diese erzeugen Strom und Wärme (über die Kraft-Wärme-Kopplung) mit einer um Größenordnungen geringeren Leistung als konventionelle Anlagen näher am Verbrauchsort. Die typische Leistung eines BHKW bewegt sich im Bereich von wenigen Kilowatt (kW) bis wenigen Dutzend Megawatt (MW). Diese Art der Erzeugung wird auch als dezentrale Stromerzeugung bezeichnet. Haushalte und Kleinbetriebe bringen außerdem auf dezentralem Weg über Photovoltaikanlagen elektrische Leistung in das Stromnetz ein. Neben der Erzeugung und Einspeisung durch Stromkonzerne, Mittel- und Kleinbetriebe sowie Haushalte betreiben auch Industrieunternehmen Kraftwerke, die zur Erzeugung und bei geeigneter Einbindung in die Netzsteuerung auch zur Systemstabilität beitragen. Alle konventionellen Kraftwerke haben gemeinsam, dass Brennstoffe oder spaltbares Material benötigt werden, um elektrische Energie zu erzeugen. Bei der Erzeugung spielt somit auch die zuverlässige Belieferung von konventionellen Kraftwerken mit Primärenergieträgern eine wichtige Rolle. Neben konventionellen Kraftwerken werden vermehrt Erzeuger der erneuerbaren Energien (EE) wie Sonnenenergie, Windenergie und Wasserkraft in die Elektrizitätsversorgung eingebunden. Teils werden diese mit angelieferten Primärenergieträgern betrieben (Biomasse), meist wird aber direkt auf natürliche Energieströme zugegriffen. Die Betreiber der EE-Anlagen haben aufgrund der wechselnden natürlichen Bedingungen nur eingeschränkte Möglichkeiten, ihre Produktion zu beeinflussen. Ist kein Wind vorhanden, kann eine Windenergieanlage auch keinen Strom produzieren. Bei zu hoher Produktion hingegen kann eine Anlage aus dem Wind gedreht und somit die Leistung reduziert werden. Erzeugungsanlagen auf Basis erneuerbarer Energien werden einzeln mit relativ geringer Leistung (beispielsweise eine alleinstehende Windenergieanlage) oder zusammengeschaltet zu sogenannten virtuellen Kraftwerken mit mehreren hundert Megawatt Leistung betrieben (siehe auch Abschnitt 2.1.1.5). Ein virtuelles Kraftwerk ist beispielsweise ein größerer Windpark, der aus vielen Windenergieanlagen besteht – die Erzeugung und die Steuerung werden hier aggregiert und sind in der Gesamtleistung mit einem größerem konventionellem Kraftwerk vergleichbar. Bei der Produktion muss die Regelfähigkeit (d. h. die Anpassung der abgegebenen Strommenge) und die Verlässlichkeit sowie Planbarkeit der Erzeuger berücksichtigt werden. Großkraftwerke sind meist nicht kurzfristig regelbar und erzeugen während der Laufzeit kontinuierlich elektrische Leistung. Muss die Produktion angepasst werden, ist dies meist nur (stark) zeitlich verzögert möglich. Der bisher von vorhandenen konventionellen Grundlastkraftwerken (mit meist gleichbleibender oder langsam anpassbarer Erzeugung) erbrachte Anteil an eingespeister Leistung wird zunehmend durch Bundesamt für Sicherheit in der Informationstechnik 17 2 Branchen erneuerbare, aber weniger planbare Energieerzeugungsformen abgelöst. Es wird daher in steigendem Maße Regelenergie aus den verhältnismäßig wenigen Kraftwerken benötigt, die Fluktuationen dynamisch kompensieren können [SRU 2009]. Bei der Produktion von Elektrizität kann, beispielsweise bei Blockheizkraftwerken, auch gleichzeitig Wärme produziert werden. Diese Wärme der Kraft-Wärme-Kopplung (KWK) wird zur Nah- und Fernwärmeversorgung der Bevölkerung und von Unternehmen verwendet. Sie ist jedoch nicht direkter Teil der Branche Elektrizität oder des KRITIS-Sektors Energie. Abbildung 3 zeigt die Nennerzeugungsleistung innerhalb Deutschlands und die Verteilung dieser Leistung auf die Primärenergieträger. Abbildung 4 zeigt die tatsächliche Erzeugung in Gigawattstunden je Energieträger. 40 36 35 30 32 27 25 25 21 20 15 12 10 9 4 5 6 4 5 1 0,5 0 Abbildung 3: Nennleistung deutscher Stromerzeugungsanlagen nach Energieträger in MW (2013) Quelle: [BNetzA 2013a] (gerundet) 180 160 140 120 100 80 60 40 20 0 162 124 98 67 53 32 30 48 20 Abbildung 4: Struktur der Stromerzeugung nach Energieträger in GWh (2013) Quelle: [AGEB 2014c] (gerundet) 18 Bundesamt für Sicherheit in der Informationstechnik Branchen Die in Abbildung 3 und Abbildung 4 zusammengefassten Anlagen haben im Jahr 2013 insgesamt 633,6 GWh Strom erzeugt. Den größten Anteil hatten dabei mit 45,2 Prozent Kraftwerke, die Strom aus Kohle produzieren. Deutlich geringer fallen die Anteile von Kernenergie (15,4 Prozent)3 und Erdgas (10,5 Prozent) aus. Alle erneuerbaren Energieträger zusammen erzeugten 23,9 Prozent der Elektrizität. Unterschiede zwischen der Nennleistung und dem tatsächlich produzierten Strom ergeben sich aus verschiedenen Jahreslaufzeiten der Kraftwerke. Erdgaskraftwerke stellen meist nur temporäre Regelenergie bereit und sind deshalb nicht durchgehend in Betrieb. Der durch erneuerbare Energien erzeugte Strom muss gemäß gesetzlicher Anforderung im Erneuerbare-Energien-Gesetz (EEG) jederzeit durch die Netzbetreiber abgenommen werden und in das Netz eingespeist werden (sogenannte Vorrangeinspeisung). Bevor die Anlagen der erneuerbaren Energien oder der Kraft-Wärme-Kopplung abgeregelt werden dürfen, müssen stattdessen konventionelle Kraftwerke abgeregelt werden. Der Einsatz konventioneller Kraftwerke zur Deckung des Bedarfs über dem garantiert abgenommenen Angebot der erneuerbaren Energien orientiert sich an der sogenannten Merit Order.4 Der Preis für eine Megawattstunde Strom wird an der Börse über das jeweils höchste Gebot festgelegt. Dementsprechend werden zur Deckung des Bedarfs Kraftwerke in der Reihenfolge der steigenden Erzeugungskosten (Grenzkosten) zugeschaltet. Die Verdrängung teurerer Kraftwerke durch die bevorzugte Behandlung von regenerativen Energieerzeugungsformen wird als Merit-Order-Effekt bezeichnet [EWI 2012]. 35.000 30.000 25.000 20.000 15.000 10.000 5.000 0 vor 1950 50er Erdgas Mineralölprodukte Wasser 60er 70er Steinkohle Sonstige (Nicht-EE) Pumpspeicher 80er 90er Braunkohle Solar Biomasse 00er seit 2010 Kernenergie Wind Abbildung 5: Altersstruktur des Kraftwerksparks (2013) Quelle: [BNetzA 2014c] (eigene Darstellung) Bei der konventionellen Stromerzeugung in Deutschland ist das Alter der Kraftwerke ein wichtiger Indikator für den technischen Stand der Anlagen. Wie in Abbildung 5 dargestellt, sind die bestehenden Kohlekraftwerke teils zwischen 30 und 40 Jahren alt; neue Kernkraftwerke wurden in Deutschland seit mehr als 20 Jahren nicht gebaut. Dieser Umstand hat großen Einfluss auf Befunde hinsichtlich des Stands der 3 Eine Außerbetriebnahme aller deutschen Atomkraftwerke ist bis zum Jahr 2022 vorgesehen. 4 „Merit Order“ beschreibt die Einsatzreihenfolge der Kraftwerke. Bundesamt für Sicherheit in der Informationstechnik 19 2 Branchen eingesetzten IKT. Turbinen und Generatoren wurden jedoch ersetzt oder ertüchtigt, weshalb auch neuere IKT in alten Kraftwerken eingesetzt wird. Photovoltaikanlagen sind weitestgehend kleiner als 10 MW Nennleistung dimensioniert. Somit wurden in der vorherigen Statistik in Abbildung 5 lediglich größere Photovoltaik-Anlagen berücksichtigt. Die Regelung der Erzeugung erfolgt primär auf Stundenbasis. Dies bedeutet, dass Kraftwerksfahrpläne in der Regel in Stundenblöcken mit relativ abrupten Wechseln geplant und ausgeführt werden und nicht als langsam in andere Zustände übergehende Kurven. Dadurch entstehen zu den Stundenwechseln jeweils stärkere Frequenzänderungen (Spitzen), die kurzfristig durch den Einsatz von Regelenergie kompensiert werden. Fehler im Netz zu diesen Zeiten können großen Einfluss auf die Netzstabilität nehmen [VGB 2012].5 Die Netzstabilität ist direkt mit der Versorgungssicherheit bzw. -qualität verbunden. Je weniger das Netz (ungeplant) gesteuert werden muss, desto stabiler ist es. Die Netzstabilität wird primär von zwei Faktoren beeinflusst: Der Netzfrequenz und der Netzspannung. Werden diese nicht in zuvor festgelegten Grenzen gehalten, so kann das Stromnetz nicht mehr aufrechterhalten werden und es kommt zu Ausfällen in der Versorgung. Für die Erzeugung von Strom aus Kohle, Öl und Gas werden gemäß der Umweltgesetzgebung Emissionszertifikate für den Ausstoß klimaschädlicher Gase (vor allem Kohlendioxid) benötigt. Dies hat lediglich über den Preis einen direkten Einfluss auf die Erzeugung und wird daher im Verlauf dieser Studie nicht weiter betrachtet. Import und Export von Elektrizität Das Stromnetz und die Stromversorgung in Europa bestehen nicht (mehr) ausschließlich aus in sich abgeschlossenen Systemen nationaler Kraftwerke. Stattdessen findet zunehmend ein grenzüberschreitender Austausch statt. Dies bedeutet, dass neben der Produktion und dem Verbrauch für den Eigenbedarf elektrische Leistung im- und exportiert wird. Die Lage Deutschlands im europäischen Netzverbund wird in Abbildung 6 dargestellt. Technisch handelt es sich beim Im- und Export um eine grenzübergreifende Bilanzierung unterschiedlicher Regelkreise in einem Verbundsystem. Es erfolgt somit kein klassischer Im- oder Export von Gütern, sondern es wird elektrische Leistung bei einer Über- oder Unterproduktion mit den an das fast europaweite Verbundnetz ENTSO-E angeschlossenen Ländern ausgeglichen. Aus Sicht des Energiehandels stellt sich der Im- und Export jedoch anders dar. Es kann finanziell attraktiver sein, Regelenergie aus dem Ausland zu beziehen, als diese selbst zu erzeugen oder im Inland zu „ordern“. Die Preisbildung bei Strom und die Aufrechterhaltung der Netzstabilität werden durch die europäische Vernetzung insgesamt komplizierter. Eine Folge dessen sind steigende Anforderungen an die Leistungsfähigkeit und Zuverlässigkeit automatisierter elektronischer Systeme. Deutschland importierte beispielsweise 2013 Strom aus Frankreich und Tschechien, wohingegen der Export vor allem in die Niederlande, die Schweiz sowie nach Österreich stattfand [AGEB 2014a]. Die alleinige Betrachtung von Salden ist jedoch nur bedingt aussagekräftig, da der zeitliche Verlauf von Zu- und Abflüssen daraus nicht deutlich wird. Aus Sicht der Netzstabilität sind insbesondere ungeplante Änderungen physikalischer Stromflüsse relevant, da diese großen Einfluss auf die Stabilität des Gesamtsystems haben. Ein Ausfall der Zuführung von Strom aus Frankreich oder der Ausfuhr von Strom in die Niederlande müsste beispielsweise durch die Regelung innerhalb Deutschlands kompensiert werden. Dieser Vorgang wird im folgenden Abschnitt „Transport und Übertragung“ detailliert erläutert. 5 Die Frequenzschwankung zum Stundenwechsel kann unter anderem auf der Webseite „www.netzfrequenz.info“ beobachtet werden. 20 Bundesamt für Sicherheit in der Informationstechnik Branchen Abbildung 6: Deutschland im europäischen Netzverbund (2013) Quelle: ENTSO-E, AG Energiebilanzen über [BMWi 2014c] Transport und Übertragung Elektrizität wird über Leitungsnetze weitestgehend auf Basis der Drehstrom-Hochspannungs-Übertragung transportiert. Den Übertragungsnetzen sind ein oder mehrere niederspannigere, kaskadierende Verteilnetze nachgeschaltet, die im Abschnitt „Verteilung“ weiter beschrieben werden. Ein Transport über längere Strecken wird teils auch über speziell dafür konstruierte Hochspannungs-Gleichstrom-Übertragungsleitungen (HGÜ) realisiert [TenneT 2014]. Eine Alternative zum netzgebundenen Transport wäre allenfalls der Transport über Akkus (beispielsweise in Elektroautos) oder mit Wasserstoff und Brennstoffzellen, die jedoch aus Effizienzgründen noch nicht wirtschaftlich sind und daher für die Elektrizitätsversorgung in Deutschland derzeit keine Rolle spielen. Alle an das Verbundnetz angeschlossenen Erzeuger werden mit gleicher Frequenz der Wechselspannung betrieben. Diese Frequenz ist in allen angeschlossenen Übertragungs- und Verteilnetzen identisch. Die Netze und Erzeuger werden deshalb synchronisiert. Im europäischen Verbundnetz liegt die Zielfrequenz bei 50,0 Hz. Einzelne Netzbereiche innerhalb des Verbundnetzes dürfen von dieser Frequenz nicht abweichen, da es sonst zu einer automatischen Netztrennung und im schlimmsten Fall zum Zusammenbruch des Netzes kommt. Der Zielwert wird erreicht, indem Produktion und Abnahme im Idealfall im gesamten Verbundnetz in Summe vollständig identisch sind. Wird an einem Punkt innerhalb des Netzes zu viel Strom zu einem Zeitpunkt verbraucht, so muss dies über die Erzeugerseite kompensiert werden. Gleiches gilt für einen sinkenden Verbrauch im Netz. Werden die Zielnetzfrequenz oder die Phasenlage zwischen Teilnetzen nicht gehalten, kommt es zu Kurzschlüssen und die Stabilität des gesamten Verbundes ist gefährdet. Dies betrifft Frequenzen außerhalb des Toleranzbereichs von 49,8 Hz bis 50,2 Hz. Nicht-kompensierte Veränderungen zwischen Teilnetzen können zu Frequenzabweichungen im Verbundnetz außerhalb des sicheren Bereichs führen. In Folge kommt es zu Schäden an verbrauchenden Bundesamt für Sicherheit in der Informationstechnik 21 2 Branchen Geräten und Generatoren. Um dies zu verhindern, werden Anlagen (beispielsweise bei einem Abfall der Frequenz unter die Toleranzschwelle) automatisch vom Netz getrennt. In einem solchen Fall werden Zerstörungen der Infrastruktur verhindert, einzelne Elemente des Netzes fallen jedoch aus. Der Prozess des vorgeplanten und kontrollierten Ausfalls von Komponenten ohne Ausfall des Gesamtsystems (rollierende Abschaltung) wird in Anlehnung an einen Prozess in der IT auch „Graceful Degradation“ genannt. Die Übertragungsnetzbetreiber haben Frequenzen zwischen 47,5 Hz und 51,5 Hz zu unterstützen, wobei jedoch unterhalb von 49,5 Hz bereits erste Abschaltungen durchgeführt werden. Über 50,2 Hz wird die Erzeugung sukzessive gedrosselt [VDE 2010]. Läuft im schlimmsten Fall die Störung des Netzes unkontrolliert und übergreifend ab, fallen nicht nur einzelne Komponenten und Netzbereiche aus sondern das Gesamtnetz – dies führt zum sogenannten „Blackout“. Bei einer Netzfrequenz über 50,2 Hz werden ältere Photovoltaikanlagen aus Sicherheitsgründen eigenständig abgeschaltet. Geschieht dies bei einer großen Anzahl von Erzeugern, droht eine Beeinträchtigung der Netzstabilität. Um dem vorzubeugen, wurde die Systemstabilitätsverordnung (SysStabV) verabschiedet, die ein Umrüsten der Anlagen erfordert. Nach ihrer Umsetzung sollen Abschaltungen und Wiederanschaltungen derartiger Anlagen sukzessiv von 50,2 Hz bis 51,0 Hz erfolgen können [BMWi 2013a]. Der Übertragungsnetzbetreiber (ÜNB) ist dafür verantwortlich, die Frequenzhaltung im Rahmen der Systemdienstleistungen durch kompensierende Maßnahmen zu gewährleisten. Alle ÜNB sind über das Rahmenwerk „Transmission Code 2007“ des ehemaligen Verbands der Netzbetreiber (jetzt Teil des Bundesverbandes der Energie- und Wasserwirtschaft e. V.) zu entsprechenden Handlungen verpflichtet [VDN 2007a]. Alle Systemdienstleistungen der Übertragungsnetzbetreiber können dem „Transmission Code“ entnommen werden. Ein großer Teil dieser Anforderungen wird durch IT-Systemen unterstützt bzw. erfüllt. Für die Regelung des Netzes kommen unterschiedliche Mechanismen zum Einsatz, die über Netzleitstellen und Kraftwerksleitstellen automatisiert und teilautomatisiert durchgeführt werden [Amprion 2014a]: 1. Primärregelung (Beispielsweise durch eine kurzzeitige Erhöhung der Produktion bis 30 Sekunden Dauer. Diese wird durch alle am Verbundnetz teilnehmenden Netzbetreiber geleistet, insbesondere durch eine kurze Anpassung der Leistung.) 2. Sekundärregelung (Beispielsweise durch Pumpspeicherkraftwerke. Diese wird durch den betroffenen Übertragungsnetzbetreiber geleistet.) 3. Manueller Einsatz von Minutenreserve (Ersetzt nach ca. 15 Minuten die Sekundärregelung in Teilen.) 4. Manueller Einsatz von Stundenreserve (Ersetzt nach ca. einer Stunde die vorherigen Regeltechniken beispielsweise durch ein zusätzliches Hochfahren von konventionellen Kraftwerken.) Die deutsche Stromversorgung ist in ein kontinentaleuropäisches Verbundnetz eingebunden. Dieses wird in den zugehörigen Ländern mit gleicher Netzfrequenz (50 Hz) und identischer Phasenlage (der Verlauf der Frequenz ist zeitlich identisch) betrieben und vom Verband Europäischer Übertragungsnetzbetreiber (ENTSO-E) koordiniert. Neben diesem Verbundnetz existieren benachbarte Netze. Diese sind nicht synchron mit dem kontinentaleuropäischen Netz verbunden, haben aber asynchrone Austauschpunkte über die HGÜ. Durch das europäische Verbundnetz können bis zu 3 GW Leistungsdefizit kompensiert werden, die über die Primärregelung abgedeckt werden [BMWi 2011]. Die im Abschnitt „Erzeugung“ beschriebene Stundenwechselproblematik auf Seite 20 ist primär für die Übertragungsnetzbetreiber relevant, da diese auf Änderungen der Frequenz mit Regelenergie reagieren müssen. In Deutschland gibt es ein physisches Leitungsnetz von 1,8 Mio. km (Übertragung und Verteilung), in dem die beschriebenen Regelprozesse wirken [BDEW 2013a]. Unterirdische Leitungen machen 80 Prozent der gesamten Leitungslänge aus, die überirdische Verlegung 20 Prozent. Der Leitungstyp wird über die angelegte 22 Bundesamt für Sicherheit in der Informationstechnik Branchen Spannung unterschieden. Die Höchstspannungsleitungen (ca. 35.000 km) übertragen den Strom überregional (über das Verbundnetz auch in oder aus dem Ausland) mit einer Spannung von über 125 kV, meist 220 kV oder 380 kV. Hochspannungsleitungen, in den meisten Fällen Überlandleitungen, werden mit 72,5 kV bis 125 kV betrieben und haben in Deutschland eine Länge von knapp 80.000 km. Die Verwendung von Höchstspannung und Hochspannung ist notwendig, da bei höheren Spannungen deutlich geringere Verluste auftreten als bei niedrigen Spannungen. An Mittelspannungsleitungen (513.000 km) liegt eine Spannung von einem bis 72,5 kV an. Der größte Teil des Netzes wird hingegen mit Niederspannung betrieben; die Netzlänge beträgt insgesamt 1,16 Mio. km. Niederspannungsnetze werden in Deutschland für gewöhnlich mit einer Spannung von 230 V oder 400 V betrieben. Industrielle Netze können teils auch höhere Spannungen bis zu 1 kV ausweisen. Zwischen den einzelnen Spannungsebenen findet eine Umwandlung durch die feste Kopplung mittels Transformatoren in Umspannwerken statt. Die Frequenz des Netzes bleibt jedoch über alle Ebenen identisch. Je nach Typ und Beschaffenheit der Leitung kann diese nur eine bestimmte maximale Stromstärke transportieren. Ferner wird zur Übertragung in einigen Fällen Gleich- anstatt Wechselstrom genutzt, sofern die Bedingungen oder Wirtschaftlichkeit es erfordern. Bei der Übertragung von Wechselstrom über größere Strecken gibt es deutliche Übertragungsverluste. Im gesamten deutschen Netz summieren sich diese Verluste derzeit auf ca. 6 Prozent des Stromverbrauchs [Destatis 2014e]. Das (N-1)-Kriterium ist ein wesentliches Merkmal des deutschen Stromnetzes und der Stromversorgung, es wird über den Transmission Code festgelegt. Demnach sollen Netzbetreiber den Betrieb so ausrichten, dass pro Kategorie mindestens eine systemrelevante Komponente (der Kategorien Umspannwerke, Hochspannungsleitungen etc.) ausfallen kann, ohne dass es zu einer Beeinträchtigung der Versorgung kommt. Die Stromausfälle der Vergangenheit waren oftmals auf Verletzungen des (N-1)-Kriteriums zurückzuführen. Zur Berechnung der (N-1)-Abhängigkeiten kommen IKT-gestützte Leitsysteme zum Einsatz [BNetzA 2007]. Neben dem öffentlichen Stromnetz gibt es in Deutschland in großen Teilen ein unabhängiges Bahnstromnetz mit einer Frequenz von 16,7 Hz. In manchen Gegenden werden die Bahntrassen dezentral über das öffentliche Netz und über Um- und Gleichrichter versorgt. Die Bahntrassen sind von der eigentlichen Versorgung der Allgemeinheit mit Strom unabhängig und werden im Rahmen der KRITIS-Sektorstudie Transport und Verkehr betrachtet. Das öffentliche Stromnetz ist für einen dauerhaften Betrieb ausgelegt. Insbesondere ist die überwiegende Zahl der Kraftwerke bei Abschaltungen für ein Wiederanfahren auf die Stromversorgung aus dem Netz angewiesen. Teils kann dies durch Notstromsysteme wie Gasturbinen kompensiert werden. Auf das gesamte Netz gesehen ist es jedoch wichtig, eine ausreichende Anzahl an Schwarzstart-fähigen Kraftwerken verfügbar zu haben. Diese könnten im Ernstfall nach einem Zusammenbruch des Netzes die Stromversorgung wieder schrittweise aufbauen. 6 Abbildung 7 zeigt den schematischen Aufbau des deutschen Stromnetzes. 6 Siehe dazu auch die Abschnitte 3.1.1.3 und 3.1.1.4. Bundesamt für Sicherheit in der Informationstechnik 23 2 Branchen Abbildung 7: Grobes und prinzipielles Schema der Stromversorgung in Deutschland Quelle: [Riepl 2008] Lizenz: Creative Commons Attribution-Share Alike 2.0 Germany Speicherung Elektrizität ist im Gegensatz zu anderen Energiearten grundsätzlich schwer zu speichern. Speicher sind nicht leistungsfähig genug (Kondensatoren), haben einen relativ geringen Wirkungsgrad (Brennstoffzelle), sind schwierig zu errichten (Pumpkraftwerke) oder sind für die tatsächlich gespeicherte Energiemenge verhältnismäßig teuer (Schwungräder). Aus diesem Grund findet der Lastenausgleich im öffentlichen Netz weiterhin zum größten Teil über die entsprechenden Erzeugungsreserven statt. Im Zuge der Energiewende (siehe Abschnitt „Trends“) und der schwankenden Verfügbarkeit der erneuerbaren Primärenergiequellen Wind und Sonne steigt jedoch der Bedarf nach Speichertechnik. Von allen derzeit verfügbaren Techniken werden Pumpspeicher dabei am häufigsten eingesetzt. Sie dienen insbesondere dem Auffangen von Leistungsspitzen, beispielsweise bei großflächigen hohen Windstärken und einem entsprechend hohen Angebot an Windenergie [Eurostat 2014]. 24 Bundesamt für Sicherheit in der Informationstechnik Branchen Zukünftig ist auch eine Speicherung in den Akkumulatoren von Elektrofahrzeugen möglich. Da ein Pkw die meiste Zeit nicht bewegt wird, sondern in einer Garage oder auf einem Stellplatz abgestellt ist, könnten die Akku-Kapazitäten der Elektroauto-Flotte zusammengenommen als flexibler Stromspeicher genutzt werden. Dieser Stromspeicher könnte auch zur Regelung der Netzfrequenz durch ein Einspeisen von Regelenergie hilfreich sein. Handel Der Handel mit Strom findet unter anderem über Strombörsen statt. Die größte Börse für Strom ist die European Energy Exchange (EEX) mit Sitz in Leipzig. Alternativ zum Börsenhandel kann Strom auch direkt zwischen zwei Parteien gehandelt werden. Dieser Handel wird „Over The Counter“ (OTC) genannt und teilweise auch von Börsen wie der EEX zu Zwecken des betriebswirtschaftlichen Clearings begleitet. Strom wird sowohl kurzfristig gehandelt als auch in langfristigen Termingeschäften „geordert“. Beim kurzfristigen Verkauf wird das Eigentum an tatsächlich produziertem Strom übertragen, der aus physikalischen Gründen nicht gespeichert, sondern sofort verbraucht werden muss. Bei Termingeschäften wird dagegen die zukünftige Lieferung einer bestimmten Menge über einen bestimmten Zeitraum zugesagt. Diese Strommenge muss aufgrund der mangelnden Speicherfähigkeit und der Planungssicherheit zum entsprechenden Zeitpunkt nicht nur garantiert produziert, sondern auch abgenommen werden. Termingeschäfte ermöglichen eine langfristige Planung der Produktion und Abnahme von Elektrizität im Verbundnetz. Übertragungsnetzbetreiber nutzen einen separaten Regelenergiemarkt für die Beschaffung von Regelenergie. Primär- und Sekundärleistung werden dort im wöchentlichen Zyklus ausgeschrieben; die Minutenreserve täglich [Amprion 2014a]. Die bei einem Abruf der Regelleistung entstehenden Kosten (Regelenergie ist meist teurer als der langfristige Einkauf) werden über die einzelnen Handelsebenen an die Stromkunden weitergereicht. Mit der insgesamt zu beobachtenden Belebung des Handels gehen jedoch auch Risiken einher. 2012 gab es Berichte, wonach Bilanzkreisverantwortliche, statt zwischenzeitlich stark verteuerten Strom zu erwerben, auf die Inanspruchnahme der Regelreserve setzten. Diese war zum entsprechenden Zeitpunkt günstiger für die Unternehmen. Durch dieses Handeln wurde die Reserve jedoch fast vollständig ausgereizt und eine Instabilität des Netzes riskiert [Welt.de 2012]. Verteilung Die Verteilung von Strom an die Endverbraucher erfolgt auf unterschiedliche Weise. Der klassische Haushaltskunde besitzt einen Hausanschluss als Stromanschluss, der mit 230 Volt (V) oder 400 V von einer Ortsnetzstation versorgt wird. Je nach geschätztem Bedarf und angeschlossenen Wohneinheiten wird ein Hausanschluss gewöhnlich mit 50 bis 100 Ampere (A) Stromstärke bereitgestellt und abgesichert. Industriekunden werden auch mit höheren Spannungen direkt versorgt, sofern sie einen entsprechenden Bedarf oder höhere Abnahmemengen haben. Die Verteilnetzbetreiber (VNB) als Bereitsteller der Anschlüsse unterliegen dem „Distribution Code“ des Verbandes der Netzbetreiber (VDN), der den Anschluss an das Übertragungs- und Verteilnetz regelt [VDN 2007b]. Die Anschlüsse der Verbraucher/Kunden an das Netz werden normalerweise vom lokalen Netzbetreibern bereitgestellt, einschließlich eines entsprechenden Stromzählers. Die früher stark verbreiteten rein elektrotechnisch arbeitenden Zähler werden in Zukunft durch elektronische Zähler ersetzt. 7 Die Beziehungen zwischen Lieferant, Netzbetreiber und Kunden werden durch die Bundesnetzagentur (BNetzA) vorgeschriebenen Marktpartnerprozesse abgebildet. Diese sind zwingend von den Marktpartnern einzuhalten, beispielsweise bei einem Lieferantenwechsel. Die Marktrolle Lieferant bezeichnet ein Unternehmen, das elektrische Leistung aus dem In- und/oder Ausland bezieht und an Endverbraucher abgibt. Der Lieferant trägt dafür Sorge, dass den Kunden die elektrische Leistung zur Verfügung steht. Für die Übertragung greift der Lieferant auf die Netzbetreiber zurück. Für die durch den Kunden bezogene elektrische Arbeit wird ein festgelegter Preis erhoben (in der Regel pro kWh). Zu Stromlieferanten siehe auch Abschnitt 2.1.2.1. 7 Zu elektronischen Zählern mit erweiterten Funktionalitäten („Smart Metern“) siehe Abschnitt 2.1.1.5. Bundesamt für Sicherheit in der Informationstechnik 25 2 Branchen Der Grundversorger als Kernkonzept der Stromversorgung ist jenes Unternehmen, das im entsprechenden Netz die größte Zahl an Kunden (Haushalten) versorgt. Dieser Status wird vom Netzbetreiber in regelmäßigen Abständen festgelegt. Grundversorger müssen nach dem Energiewirtschaftsgesetz (EnWG) alle Anschlussinhaber mit Strom versorgen. Die genauen Vorgaben für diese Anbieter sind seit 2006 in der Stromgrundversorgungsverordnung (StromGVV) festgehalten. Bei Stadtnetzen ist der Grundversorger meist das entsprechende Stadtwerk oder der Regionalversorger. Dieses Konzept ist analog zum Grundversorger im Gasmarkt (siehe Abschnitt 2.2.1.1). Trends In der deutschen Stromversorgung sind folgende Trends erkennbar: • Das für die Branche Strom mit Abstand wichtigste Thema ist die sogenannte Energiewende. Ihre Umsetzung hat zur Folge, dass ein immer größerer Anteil des Stroms im Netz regenerativen Ursprungs ist. Um unter diesen Voraussetzungen das Netz stabil betreiben zu können, ist eine verstärkte Einbindung und Steuerung der Erzeuger und Verbraucher im Netz notwendig. Eine große Herausforderung ist dabei, dass mit der zunehmenden Verbreitung von Photovoltaik und anderen erneuerbaren Energieerzeugungsformen rotierende Massen (in Form der klassischen Turbine-Generator-Kombination) zur Dämpfung von Spannungsschwankungen und unerwünschten Nebenfrequenzen immer weniger verbreitet sind. Anlagen, die über Wechseltrichter Strom einspeisen, können deren stabilisierende Funktion ohne zusätzliche kompensierende Systeme nicht erfüllen. • Ein weiterer Trend ist das Thema Smart Grid (siehe Abschnitt 2.1.1.5). • Eine wichtige Rolle spielt auch die Rekommunalisierung. Dabei werden ehemals privatisierte Stadtnetze und Stadtwerke durch Kommunen zurückerworben. • Mit der Öffnung der Märkte geht des Weiteren eine Belebung des Marktgeschehens einher. So nimmt nicht nur der Handel mit Strom an der Strombörse zu, es gibt auch eine steigende Anzahl an Anbietern. Damit steigt auch die Bedeutung der Marktpartnerprozesse für die Netzstabilität. • Ein weiterer Trend sind Dienstleistungen wie die Zusammenfassung von dezentralen EEG-Anlagen und steuerbaren Lasten zur Bündelung und Vermarktung als virtuelles Kraftwerk oder zur Bereitstellung von Regelleistung (siehe Abschnitt 2.1.1.5). Soweit heute absehbar, wird eine solche Bündelung immer wichtiger für die Aufrechterhaltung der Stabilität des Elektrizitätsnetzes. 2.1.1.2 Bedeutung für Staat und Gesellschaft Ein großflächiger und langanhaltender Ausfall der Stromversorgung ist bereits nach kürzester Zeit mit schweren Konsequenzen verbunden. Er kann die Fortführung des alltäglichen Lebens deutlich erschweren oder unmöglich machen. Dass die Speicherung von Elektrizität nur sehr eingeschränkt möglich ist und mit hohen Effizienzverlusten einhergeht, steigert die Abhängigkeit der Gesellschaft von einer kontinuierlichen Stromproduktion und -verteilung. Eine wirkliche Vorratsbildung für Elektrizität ist technisch nicht möglich. Bei Engpässen kann die Versorgung der Gesellschaft allenfalls mit Hilfe von Nachbarstaaten gewährleistet werden. Zwar verfügen einzelne Anlagen und Organisationen über Notstromaggregate, aus gesamtgesellschaftlicher Perspektive können diese aber nur einen kleinen Teil der Kritischen Infrastruktur für begrenzte Zeit aufrechterhalten. Insbesondere ist die Elektrizitätsversorgung selbst auf die Verfügbarkeit von Elektrizität angewiesen. Bei länger anhaltenden, großflächigen Stromausfällen wird die Wiederherstellung der Versorgung schon aufgrund der den Anlagen fehlenden Elektrizität problematisch. 8 Ein vollständiger Wiederanlauf nach einem großflächigen Stromausfall musste in der Vergangenheit noch nicht durchgeführt werden. Deshalb gibt es keine Erfahrungswerte, ob ein Wiederaufbau des Netzes möglich ist. Elektrizität ist nicht nur in ihrer direkten Versorgungsfunktion unabdingbar. Auch die Erbringung zentraler Dienstleistungen anderer Branchen und Sektoren ist ohne Elektrizität nicht möglich. So wäre beispielsweise 8 Siehe Schwarzstart-Problematik auf Seite 23. 26 Bundesamt für Sicherheit in der Informationstechnik Branchen in den Sektoren Informations- und Kommunikationstechnologie oder Transport und Verkehr mit massiven Einschränkungen zu rechnen, sofern die Versorgung mit Elektrizität nicht mehr gewährleistet wäre. Ein regionaler oder nationaler Ausfall der Stromversorgung hätte also nicht nur dramatische Folgen für den Sektor selbst, sondern für alle Teile der Gesellschaft. In der folgenden Tabelle werden exemplarisch unterschiedliche Abhängigkeitsverhältnisse von Teilbereichen aus Staat, Wirtschaft und der Bevölkerung von der Stromversorgung gezeigt. 9 Folgende Verbrauchergruppen sind nach verfügbarer Datenlage und Expertenmeinung in unterschiedlichem Maße von der öffentlichen Stromversorgung abhängig: Verbrauchergruppe Haushalte Bedeutung (in %) Substituierbarkeit 99 (Hausanschlüsse) Elektrische Haushaltsgeräte 100 Kurzfristig (Batteriebetrieb und Notstrom) Unterhaltungselektronik 100 Kurzfristig (Batteriebetrieb und Notstrom) Heizung (Typ) 6,11 Kurzfristig (Mobile Gas-Heizstrahler) Heizung (Betrieb) Kochen Keine Daten Ggf. manuelle Zündung > 90* Kurzfristig (Mobile Gaskocher) Gewerbe und Dienstleistungen > 99 - Elektrik und Elektronik 100 Kurzfristig (Batteriebetrieb und Notstrom) Heizung Landwirtschaft Industrie Staat Verkehr < 10* Kurzfristig (Mobile Heizstrahler) Keine Daten > 90* Keine Daten 2,32 - Pkw (rein elektrisch) 0,043 Langfristig (Pkw mit Verbrennungsmotor) Schienennetz 59,24 Kurzfristig (Dieselbetrieb) Elektronische Stellwerke 12,25 Schwer (Manuelle Bedienung) Öffentlicher Nahverkehr 50* Schwer 1 [BDEW 2013d] [dena 2012] 3 [KBA 2014] 4 [DB 2013] 5 [DB 2013] * Schätzung 2 Tabelle 2: Abhängigkeitsverhältnisse ausgewählter Abnehmergruppen von der Stromversorgung 9 Mangels Daten müssen Schätzungen genutzt werden. Der Wert „< 10“ in der Zeile „Heizung“ innerhalb der Verbrauchergruppe „Gewerbe und Dienstleistungen“ soll beispielsweise aussagen, dass geschätzt weniger als 10 Prozent aller Gewerbeimmobilien mit Strom beheizt werden. Bundesamt für Sicherheit in der Informationstechnik 27 2 Branchen 2.1.1.3 Wahrnehmung der Branche Ausfall oder Störung der Dienstleistung Gesamtgesellschaftlich besteht eine hohe Abhängigkeit von einer ununterbrochen verfügbaren Elektrizitätsversorgung und ihr Funktionieren wird im täglichen Leben als selbstverständlich angenommen. Gleichzeitig sind Ereignisse wie Stromausfälle sehr selten. Die durchschnittliche Dauer von Versorgungsunterbrechungen je Stromverbraucher betrug im Jahr 2012 knapp 16 Minuten [BNetzA 2013b]. In der Öffentlichkeit rückt die Gefahr eines Ausfalls der Stromversorgung in unregelmäßigen Abständen durch Medienberichte in den Fokus. Die seltenen Vorfälle zeigen, dass Endverbraucher eine sehr geringe Toleranz für Störungen oder Ausfälle aufweisen. Abnehmer, die von einer stabilen Stromversorgung in besonderem Maße abhängig sind, verfügen über Notstromsysteme 10 oder Überspannungsschutzmaßnahmen. Bei Privatverbrauchern sind diese jedoch wenig verbreitet. Aufgrund der hohen Qualität der Stromversorgung sind tatsächliche Ausfälle in Deutschland im Vergleich zu den vorangegangenen Jahrzehnten noch seltener geworden [BNetzA 2013b]. Auch im europäischen Vergleich liegen die deutschen Werte unter dem Durchschnitt [Statista 2014]. Es gibt allerdings Bedenken, dass der Ausbau der erneuerbaren Energien und die damit einhergehende Heterogenisierung der Erzeugungslandschaft sowie die damit verbundenen komplexeren Regelmaßnahmen zukünftig wieder zu einem Anstieg der Ausfälle führen könnten. Diese Bedenken werden unter anderem auf automatisierte Abschaltmechanismen in vielen älteren dezentralen Erzeugungsanlagen zurückgeführt, die jedoch mittlerweile schrittweise überholt und umgerüstet werden [Ecofys 2011]. Allgemeine Wahrnehmung der Branche Im Rahmen der Energiewende nimmt der Ausbau der Energienetze für den Transport der Elektrizität von den Produktionsregionen im Norden und Osten in die großen Industriezentren in Mittel- und Süddeutschland zu. Die Ausbausteuerung erfolgt dabei durch das 2011 in Kraft getretene Netzausbaubeschleunigungsgesetz (NABEG). Der im März 2013 von den Übertragungsnetzbetreibern vorgestellte Netzentwicklungsplan kam zu dem Ergebnis, dass der Neubau von 3.900 km Stromleitungen sowie der Ausbau von bereits bestehenden 4.400 km des Stromnetzes notwendig sind. Für den Ausbau sind vier Korridore, sogenannte „Stromautobahnen“ vorgesehen, die von Nord nach Süd verlaufen. Die Gesamtkosten wurden mit 21 Mrd. Euro veranschlagt [NEP 2013]. Dieses Thema prägt gegenwärtig die Wahrnehmung der Strombranche in der Öffentlichkeit. 2.1.1.4 Volkswirtschaftlicher Kontext Der Umsatz der Branche Elektrizitätsversorgung belief sich laut dem Statistischen Bundesamt auf 416 Mrd. Euro im Jahr 2011 [Destatis 2013]. Die Stromwirtschaft investiert hohe Summen in den Auf- und Ausbau der Kraftwerks- und Netzstruktur. Im Jahr 2011 wurden etwa 10 Mrd. Euro investiert [BDEW 2012b]. Das Statistische Bundesamt gibt an, dass im Januar 2014 ca. 174.000 Personen in Betrieben mit dem Schwerpunkt Elektrizitätsversorgung tätig waren. Im Energiesektor insgesamt sind im Jahr 2013 im Durchschnitt etwa 233.000 Personen tätig gewesen. Somit machen die Beschäftigten in der Branche Elektrizitätsversorgung den größten Teil (ca. 75 Prozent) der Beschäftigten des gesamten Energiesektors aus [Destatis 2014c]. Durch eine effizientere Energieproduktion geht die Zahl der Beschäftigten im Energiesektor jedoch über die letzten Jahrzehnte deutlich zurück. Im Jahr 1991 waren noch über 550.000 Beschäftigte im Energiesektor tätig. Die Anzahl der Beschäftigten ist in den Jahren vor 2012 deutlich langsamer gesunken und scheint sich bei etwas über 200.000 zu stabilisieren. 10 Beispielsweise eine Unterbrechungsfreie Stromversorgung (USV). 28 Bundesamt für Sicherheit in der Informationstechnik Branchen 2.1.1.5 Schwerpunktthemen „Smart Grid“ und „Virtuelle Kraftwerke“ Aufgrund der Komplexität der Thematik und der aktuellen Debatte werden die Begriffe „Smart Grid“ und „Virtuelle Kraftwerke“ im Folgenden ausführlicher betrachtet. Nicht zuletzt als Folge des Ausstiegs aus der Kernenergie wird die Energieerzeugung aus erneuerbaren Energien in Deutschland stark gefördert. Dabei steigt sowohl die Zahl der Erzeuger als auch die Menge der Einspeisung aus diesen Energieformen (vor allem Solarenergie, Windenergie, Wasserkraft und Biomasse) deutlich an. Der Anteil des Stroms aus erneuerbaren Energien an der Bruttostromerzeugung betrug im Jahr 2013 bereits 23,4 Prozent [BMWi 2014b]. Durch den wachsenden Anteil dieser im Vergleich mit der konventionellen Erzeugung eher volatilen Energieerzeugungsformen verändern sich auch die Anforderungen an das Stromnetz, das ursprünglich für eine gleichmäßige und berechenbare Einspeisung durch Kraftwerke in die Höchstspannungsebene konzipiert wurde. Verteilungsnetze hatten in diesem Modell in der Regel nur die Aufgabe, Energie aus höheren Spannungsebenen an niedrigere Ebenen zu verteilen. Zunehmend wird jedoch Energie von dezentralen Erzeugern in die Verteilungsnetze eingespeist, zum Beispiel durch Windkrafträder. Das Verteilungsnetz muss also nicht nur Energie aus einer höheren Spannungsebene verteilen, sondern auch in der Lage sein, lokal erzeugte Energie weiterzuleiten und an höhere Spannungsebenen abzugeben [BDEW 2012a]. Diese neue Aufgabe erfordert ein Netzmanagement auch in den Verteilungsnetzen. Es gilt, langfristig den Verbrauch von Energie auf deren Erzeugung abzustimmen. Ebenso müssen neue Möglichkeiten der Speicherung beim Netzmanagement berücksichtigt werden. Dies wird durch den Einsatz von Technologien ermöglicht, die unter dem Begriff Smart Grid (intelligentes Stromnetz) zusammengefasst werden. Die schwankende Energieerzeugung bedarf einer Regelung auf Netzebene (Netzsteuerung), um die Netzstabilität sicherstellen zu können. So müssen künftig abhängig von der aktuellen Netzsituation Verbraucher bzw. Einspeiser zugeschaltet oder abgetrennt werden können – je stärker die Erzeugung auch aus dem Verteilnetz heraus erfolgt, desto mehr ist eine Steuerung der Einspeiser und Verbraucher auf dieser Ebene notwendig. Ebenso muss der Transport von Energie aus den Verteilungsnetzen in die Übertragungsnetze gesteuert werden. Mit Hilfe einer geeigneten Automatisierung und steuerungstechnischen Ertüchtigung der unteren Verteilnetzebenen könnten auch Lastspitzen oder -abfälle antizipiert und dynamisch und automatisiert kompensiert werden. Das Prinzip der selektiven Abschaltung von Verbrauchern wird Laststeuerung oder im Englischen Demand Side Management (DSM) genannt. Beispiele für solche steuerbaren Lasten sind Kühlhäuser, die bei hohem allgemeinem Stromverbrauch ihre Kühlung per Fernsteuerung eine gewisse Zeit pausieren können, um das Netz zu entlasten. Dies setzt voraus, dass die Kühlhäuser zuvor stärker vorgekühlt wurden. Intelligente Sekundärtechnik, wie regelbare Ortsnetztrafos, wird im Verbund mit intelligenten Ortsnetzstationen, die über Messdaten aus dem Nieder- und Mittelspannungsnetz verfügen können, eingesetzt. Dadurch wird der Zubau und Betrieb von Anlagen der erneuerbaren Energien (EE-Anlagen) ermöglicht, ohne zusätzliche Leitungen zu legen oder Einspeiser zu häufig abregeln zu müssen [B.A.U.M. 2012]. Diese Techniken ermöglichen die Abstimmung von Erzeugung und Verbrauch auf regionaler Ebene. Durch variable Tarife können ökonomische Anreize für Verbraucher geschaffen werden, ihren Verbrauch an die aktuelle Marktsituation anzupassen. So können zeitlich flexible Vorgänge, wie der Betrieb einer Waschmaschine, in Zeiten ausgeführt werden, in denen ein Überangebot von Energie besteht und daher der Strompreis niedrig ist. Dies macht eine Anpassung des Verbrauchs an die Erzeugung möglich. Digitale Messeinrichtungen zur Erfassung des Verbrauchs von Strom, Gas, Wärme oder Wasser, die Informations- und Kommunikationstechnologie zum Betrieb nutzen, werden als Smart Meter bezeichnet. In Deutschland stellen sie als Kombination eines intelligenten Zählers in Verbindung mit einem Smart Meter Gateway (SMGW) und daran angeschlossenen Steuereinheiten einen wichtigen Baustein des Smart Grid dar. Sie ermöglichen mittels elektronischer Zähler zum einen die Anzeige des aktuellen, tatsächlichen Energieverbrauchs und der Nutzungszeit für den Verbraucher. Zudem sollen sie dabei unterstützen, Bundesamt für Sicherheit in der Informationstechnik 29 2 Branchen Einsparpotenziale zu erkennen und zu nutzen. Zum anderen können sie diese Daten der Netzsteuerung zur Verfügung stellen, die damit den Stromverbrauch besser erfassen und das Netz besser steuern kann. Ebenso wird eine Kommunikation der Marktteilnehmer mit den Verbrauchern ermöglicht. Hierbei werden über ein Smart Meter Gateway, sofern dieses kompatibel gemäß der Spezifikation BSI TR-03109 des BSI ist, Komponenten beim Verbraucher mit Systemen der Marktteilnehmern verbunden. Die Kommunikation erfolgt verschlüsselt über das Gateway und erfüllt somit die Anforderungen an die Sicherheit der Informationstechnik. Es können unter anderem Preissignale (Tarife) gesendet und Verbrauchsgeräte und Erzeugungsanlagen gesteuert werden, um Einsparpotenziale zu nutzen. Das Smart Meter Gateway oder der Stromzähler ist gemäß Spezifikation nicht für die Steuerung zuständig, sondern leitet lediglich die Kommunikation zwischen den einzelnen Komponenten weiter. Neben Smart Metern sind intelligente Zähler ein Thema. Der Gesetzgeber bezeichnet mit diesem Begriff ein Messsystem zur Erfassung elektrischer Energie, das den tatsächlichen Energieverbrauch und die tatsächliche Nutzungszeit widerspiegelt [dena 2013]. Diese Geräte verfügen jedoch nicht zwingend über eine IKT-Anbindung. Eine Kommunikation von intelligenten Zählern im Smart Grid erfordert ein Smart Meter Gateway. Durch den Einsatz von IKT im Smart Grid kann der Netzstatus genauer überwacht werden. Damit können Netzengpässe lokalisiert und der Netzentwicklungsbedarf bemessen werden. Gleichzeitig können die vorhandenen Netzkapazitäten besser ausgeschöpft werden. Die Daten von Verbrauchern und Einspeisern sollen dezentral gespeichert und über ein Dienstverzeichnis zugänglich gemacht werden, das den Marktteilnehmern diskriminierungsfreien Zugriff auf die Daten ermöglicht [B.A.U.M. 2012]. Die steigende Anzahl von sogenannten „Prosumern“, also Verbrauchskunden, die gleichzeitig auch Produzenten von Energie sind, wird voraussichtlich die neue Marktrolle des Aggregators (oder auch Demand-Side-Managers oder Pool-Managers) geschaffen, der eine Geschäftsbeziehung mit einer Vielzahl von Kleinerzeugern und -verbrauchern eingeht und deren Leistung bündelt, um sie dann optimal auf dem Markt anbieten zu können (siehe dazu auch die folgenden Absätze zu virtuellen Kraftwerken). Unter Umständen wird eine neue Rolle des IKT-Betreibers entstehen, der das Management aller erzeugten Daten der Marktteilnehmer übernimmt. Diese Rolle könnte auch den Netzbetreibern zusätzlich zufallen. Der hohe Grad an Vernetzung der einzelnen Systeme bei Erzeugern, Netzsteuerung und Verbrauchern sowie deren bidirektionale Kommunikation erfordern geeignete Maßnahmen zum Datenschutz und zur Aufrechterhaltung der Informationssicherheit. Das BSI hat deshalb für das Smart Meter Gateway, die „Datendrehschreibe“ einer Smart Meter Infrastruktur, Schutzprofile nach Common Criteria (CC) sowie eine technische Richtlinie erstellt. Alle anderen Teile des Smart Grid sicher betrieben werden, um die Versorgungssicherheit zu gewährleisten. Dies gilt nicht zuletzt für die Kommunikation der einzelnen Teilnehmer im Smart Grid. Die Notwendigkeit des Schutzes vor verschiedenen Bedrohungen zeigen die Vorfälle in Kapitel 4. Virtuelle Kraftwerke Ein virtuelles Kraftwerk (auch Kombikraftwerk, Schwarmkraftwerk, Dezentrale-Erzeugungsanlagen-Cluster) ist ein Verbund aus mehreren dezentralen Energieerzeugern (wie Photovoltaikanlagen, Windenergieanlagen, Blockheizkraftwerken oder Biogasanlagen), aus Speichern (beispielsweise Elektrofahrzeuge oder Power-to-Gas) und aus Verbrauchern, die von einem zentralen Management gesteuert und verwaltet werden. Die dezentralen Erzeugungsarten, mit Ausnahme von Biomasse, zeichnen sich häufig durch eine schwer planbare Stromerzeugung aus. Durch die Bündelung mehrerer kleinerer Kraftwerke unterschiedlicher Energieträger können Leistungseinbrüche einer Erzeugungsart jedoch durch andere Energieträger kompensiert werden. So kann bei Windstille ein virtuelles Kraftwerk, das Windkraftwerke und Photovoltaikanlagen verbindet, durch Solarenergie weiter Strom liefern. Im Falle kurzzeitiger Spitzen in der Stromerzeugung können Verbraucher zugeschaltet werden, um die Effekte der Überproduktion auf das Netz mindern. Dies führt zu einer besseren Plan-, Steuer- und Berechenbarkeit der Stromerzeugung. Zusätzlich können virtuelle Kraftwerke auch zur Verbesserung der allgemeinen Netzstabilität beitragen, indem sie durch ihre Speicher Regelleistung in Form einer Minutenreserve zur Verfügung stellen. 30 Bundesamt für Sicherheit in der Informationstechnik Branchen Auch eine Kombination von bereits bestehenden kleinen Stromerzeugern, beispielsweise Photovoltaikanlagen oder Blockheizkraftwerken im Besitz von Privatpersonen, zu einem virtuellen Kraftwerk bietet Vorteile. Der dort produzierte Strom wird meist vom Betreiber selbst verbraucht. Sollte ein Überschuss bestehen, so wird dieser in das Stromnetz eingespeist und der Netzbetreiber ist verpflichtet, diesen Strom zu vergüten. Werden nun aber viele kleine Anlagen zu einem virtuellen Kraftwerk zusammengeschlossen, so kann diese aggregierte Strommenge insgesamt am Markt gehandelt werden. Ausblick Aktuell bestehen virtuelle Kraftwerke meist aus zusammengeschlossenen Kraft-Wärme-Kopplungsanlagen (KWK) oder Erneuerbare-Energien-Anlagen bei Privatpersonen oder Unternehmen. Zum Zweck des Verkaufs überschüssigen Stroms wird der Bau von KWK-Anlagen durch den Staat gefördert. Der Anteil der erneuerbaren Energien an der Stromerzeugung soll bis zum Jahr 2050 auf 80 Prozent ausgeweitet werden. Um dieses Ziel zu erreichen, ist nach Ansicht von Experten der Ausbau von Smart Grids und die Integration der erneuerbaren Energien in Form von virtuellen Kraftwerken nötig [BMWi 2014a]. Analog zu den Anforderungen an das Smart Grid stellen sich hohe Anforderungen an die Versorgungssicherheit und den Datenschutz beim Betrieb virtueller Kraftwerke. Beim Zusammenschluss von Anlagen privater Anbieter muss die Versorgungssicherheit stets sichergestellt sein und Reservekapazitäten vorgehalten werden, um im Falle einer Störung oder fehlerhafter Steuerung von Kapazitäten die Netzstabilität nicht zu gefährden. Um die Akzeptanz virtueller Kraftwerke bei den Betreibern privater Anlagen zu fördern, müssen alle Aspekte des Datenschutzes wie beim Smart Grid gewährleistet werden. 2.1.2 2.1.2.1 Branchenstruktur Strukturierung und Organisation der Branche Die Struktur der Elektrizitäts- oder Strombranche wird in die einzelnen Rollen entlang der Wertschöpfungskette differenziert. Dies reicht von der Produktion und dem Import über den Transport und die Speicherung hin zu den Verteilern und schlussendlich den Verbrauchern. Im nächsten Abschnitt „Marktteilnehmer“ werden den Rollen konkrete Unternehmen zugeordnet. Stromerzeuger und Kraftwerksbetreiber sind für die Erzeugung elektrischer Energie bzw. für die Bereitstellung von Leistung verantwortlich. Den Import von Strom leisten Übertragungsnetzbetreiber. Die Situation in der Übertragung und in der Verteilung von Strom ist deutlich komplexer als die Produktion. Das im Jahr 2005 neu beschlossene Energiewirtschaftsgesetz (EnWG) hatte eine Entflechtung der bis dahin stark vertikal integrierten Elektrizitätsversorgungsunternehmen zur Folge (siehe auch den Abschnitt „Gesetzliche Rahmenbedingungen“, Seite 38). Anstelle von Unternehmen, die Aufgaben sowohl aus der Übertragung oder der Verteilung als auch der Erzeugung oder dem Vertrieb erbringen, muss seitdem eine Unterteilung in überregionale Übertragungsnetzbetreiber, regionale Verteilungsnetzbetreiber und die eigentlichen Stromlieferanten ohne eigene Netze stattfinden.11 Nach Verabschiedung des Dritten Energiepakets, das 2009 vom Europäischen Parlament beschlossen wurde, gibt es nun insgesamt vier Übertragungsnetzbetreiber (ÜNB)12, welche die Infrastruktur der überregionalen Hochspannungsnetze in Deutschland zur Verfügung stellen [NEP 2014]. Die Aufgaben eines ÜNB sind: • Die überregionalen Stromnetze zu betreiben, zu warten und auszubauen bzw. angemessen zu dimensionieren; 11 Eine Übersicht aller aktuell gemeldeten Stromnetzbetreiber (Übertragung und Verteilung) findet sich bei der Bundesnetzagentur [BNetzA 2014b]. 12 Engl. Transmission System Operator (TSO). Bundesamt für Sicherheit in der Informationstechnik 31 2 Branchen • Stromhändlern und -versorgern mit Endkundenbeziehungen diskriminierungsfreien Zugang zu ihren Netzen zu gewähren; • die Frequenz des Netzes stabil zu halten, indem Regelenergie zugeschaltet oder im Extremfall Großverbraucher vom Netz getrennt werden bzw. die Erzeugung gedrosselt wird. Mit Ausnahme von industriellen Großverbrauchern sind keine Endverbraucher an das Übertragungsnetz angeschlossen. Die elektrische Energie wird stattdessen an die engmaschigen Verteilnetze mit Mittel- oder Niederspannung weiterverteilt. Ein Sonderfall unter den Netzbetreibern ist die für den Betrieb des Bahnstromnetzes allein verantwortliche DB Energie GmbH, die ein eigenständiges, vom Verbundnetz entkoppeltes Netz betreibt. Mit dem Netz der ÜNB verbunden sind die Netzinfrastrukturen der Verteilnetzbetreiber (VNB)13, die Strom regional über Niederspannungs- und Mittelspannungsnetze weitertransportieren. Die Netzstrukturen werden daher auch Verbundnetze genannt. Auch die Verteilnetzbetreiber sind verpflichtet, ihr Netz allen Lieferanten zur Verfügung zu stellen, ohne dabei einzelne Marktteilnehmer zu diskriminieren. Dies kann durch eine Entflechtung des Netzbetriebs von anderen Bereichen, wie dem Vertrieb und der Erzeugung, erreicht werden. Abbildung 8 auf der folgenden Seite zeigt die geographische Verteilung der Gebiete der Übertragungsnetzbetreiber und der nachgeschalteten Verteilnetze in Deutschland. Stromlieferanten versorgen Endkunden über den Handel und die Netze mit Energie. Der Lieferant, der in einem Netzgebiet die größte Zahl an Endkunden versorgt, wird vom Netzbetreiber zum Grundversorger bestimmt. Dieser ist verpflichtet, jeden Kunden in seinem Gebiet mit Strom zu versorgen. Er kann aber vom Abnehmer innerhalb einer definierten Kündigungsfrist gegen einen anderen Lieferanten getauscht werden. Bei den Grundversorgern handelt es sich meist um die ehemals vertikal integrierten Stromversorger oder das lokale Stadtwerk. 13 Engl. Distribution System Operator (DSO). 32 Bundesamt für Sicherheit in der Informationstechnik Branchen Abbildung 8: Karte der Stromnetzbetreiber in Deutschland (2011) Quelle: [enet 2014] Lizenz: Namensnennung – Weitergabe unter gleichen Bedingungen 3.0 Deutschland Bundesamt für Sicherheit in der Informationstechnik 33 2 Branchen 2.1.2.2 Marktteilnehmer Durch die Trennung von Netz- und Vertriebsstrukturen wurde in den vergangenen Jahren eine Vielzahl neuer Unternehmen gegründet und bestehende umstrukturiert, geteilt oder oftmals umfirmiert. Zudem muss mit weiteren Veränderungen in ähnlichem Umfang gerechnet werden. Diese Umstände erschweren die Erstellung eines (langfristig) gültigen Überblicks der unten genannten Marktteilnehmer. Die vier großen Kraftwerksbetreiber stellten im Jahr 2013 Erzeugungskapazitäten (konventionell und erneuerbar): Unternehmen Installierte Leistung (MW) 43,2 Prozent der vorgehaltenen Deutschlandweiter Anteil (in %) RWE 30.078 16,4 E.ON 19.018 10,4 Vattenfall 16.364 8,9 EnBW 13.802 7,5 Weitere 95.616 52,1 Industrie 8.769 4,8 Tabelle 3: Die größten Kraftwerksbetreiber in Deutschland (2013) Quelle: [RWE 2014a] Die nächstgrößeren Unternehmen Statkraft (1,5 Prozent), Stadtwerke München (1,1 Prozent), GDF SUEZ (1,1 Prozent) und Stadtwerke Duisburg (0,2 Prozent) besitzen zusammen 3,9 Prozent. Die gesamte Stromerzeugung aller Energieversorger und Betreiber entspricht 95,2 Prozent. Die restlichen 4,8 Prozent werden von der Industrie direkt produziert [RWE 2014b]. Die größten Anlagen (Kraftwerksblöcke) nach Erzeugungskapazität in Deutschland sind derzeit ausschließlich Kernkraftwerke. Die Bundesregierung hat eine Abschaltung dieser Kraftwerke und damit auch aller folgend genannten Kraftwerksblöcke bis 2022 beschlossen: Kraftwerksname Nennleistung (MW) Betreiber KKW Brokdorf 1.410 E.ON Kernkraft GmbH KKW Isar 2 1.410 E.ON Kernkraft GmbH KKW Philippsburg 2 1.402 EnBW […] Erzeugung AG (EZG) KKW Grohnde 1.360 E.ON Kernkraft GmbH KKW Emsland 1.329 Kernkraftwerke Lippe-Ems GmbH (KLE) Tabelle 4: Die größten Kraftwerksanlagen in Deutschland (März 2014) Quelle: [BNetzA 2014c] Zum Vergleich: Das größte Kraftwerk mit erneuerbarer Energieerzeugung ist der Windpark BARD Offshore 1 mit einer kombinierten Nennleistung von 400 MW. BARD Offshore 1 ist ein virtuelles Kraftwerk. Dies bedeutet, dass die einzelnen Windräder kombiniert wie ein einzelner Block behandelt werden (siehe Abschnitt 2.1.1.5). Ausländische Kraftwerke (mit geographischer Lage in Luxemburg, Frankreich, der Schweiz und Österreich) speisen direkt in das deutsche Stromnetz ein. Diese Kraftwerke sind jedoch nicht den gleichen Standards und (IT-)Sicherheitsvorschriften (Meldepflichten etc.) wie innerdeutsche Anlagen unterworfen. In Deutschland gibt es vier Übertragungsnetzbetreiber. Eine Rangliste dieser Betreiber wurde anhand der entnommenen Jahresarbeit erstellt: 34 Bundesamt für Sicherheit in der Informationstechnik Branchen Unternehmen Versorgte Fläche Netzlänge (km) (km²) Amprion1 Tennet TSO2 50 Hertz Transmission3 TransnetBW Entnahmestellen Entnommene Jahresarbeit (TWh) 73.100 11.000 1.099 (inkl. Einspeisestellen) 191,0 ca. 140.000 10.946 288 85,0 109.360 9.994 76 58,1 34.600 3.363 105 46,0 4 1 [Amprion 2014b] [TenneT 2013] 3 [50Hertz 2013] 4 [TransnetBW 2014] 2 Tabelle 5: Übertragungsnetzbetreiber in Deutschland (2013) Bei den nachgeschalteten Verteilnetzbetreibern (VNB) handelt es sich neben den großen deutschen Energiekonzernen als überregionale Netzbetreiber häufig um kommunale Energieversorgungsunternehmen wie Stadtwerke. Diese sind im Verband der Kommunalen Unternehmen (VKU) zusammengeschlossen und versorgen ungefähr 54 Prozent der Haushalte in Deutschland mit Strom [Welt.de 2010]. Weitere aktuelle und vergleichbare Zahlen zu den Verteilnetzbetreibern in Deutschland sind bei kommerziellen Anbietern erhältlich.14 Den mit Abstand höchsten Absatz bei Stromlieferanten (Stromversorgern im engeren Sinne) erreichten 2012 die vier großen Konzerne („Big 4“). Für eine genaue Statistik der bedeutendsten Unternehmen stehen aktuell nur Zahlen aus dem Jahr 2010 zur Verfügung: Unternehmen Stromabgabe an Letztverbraucher (Mrd. kWh) Marktanteil (in %) RWE AG 86,1 15,9 EnBW Energie Baden-Württemberg AG 68,9 12,7 E.ON AG 59,7 11,0 Vattenfall Europe AG 23,6 4,4 EWE Aktiengesellschaft 11,0 2,0 Tabelle 6: Größte Stromversorger in Deutschland (2010) Quelle: [BDEW 2013b] Basierend auf der Erhebung der Bundesnetzagentur gibt es in Deutschland insgesamt 483 Unternehmen aller Größen, die Endverbraucher mit Strom beliefern [BNetzA 2014a]. Verbände Bedingt durch das hohe Maß an Selbstregulierung in der Strombranche nehmen Verbände zentrale, koordinierende Positionen ein. Vielfach gehen die Verbände in ihren Aktivitäten über die Strombranche hinaus und vertreten Interessen weiterer Versorgungsunternehmen des Sektors Energie und anderer Sektoren, wie etwa Wasser. Im Folgenden finden sich die wichtigsten Stromverbände und Vereinigungen des deutschen Strommarktes. Der Bundesverband der Energie- und Wasserwirtschaft (BDEW) ist der größte Verband deutscher Energieunternehmen. Über Organisationen aus der Strombranche hinaus vertritt er auch die Interessen von 14 Beispielsweise www.energiemarktdaten.de und www.enet.eu. Bundesamt für Sicherheit in der Informationstechnik 35 2 Branchen Unternehmen aus den Bereichen Erdgas, Fernwärme, Wasser und Abwasser. Nach eigenen Angaben verzeichnen die vom BDEW repräsentierten Unternehmen etwa 90 Prozent des Stromabsatzes, mehr als 60 Prozent des Nah- und Fernwärmeabsatzes, 90 Prozent des Erdgasabsatzes, 80 Prozent der Trinkwasserförderung sowie etwa 33 Prozent der Abwasserentsorgung [BDEW 2014a]. Der Verband kommunaler Unternehmen (VKU) vertritt nach eigenen Angaben 1.420 Mitgliedsunternehmen, die in der kommunalen Versorgungs- und Entsorgungswirtschaft in Deutschland tätig sind. Die Mitgliedsunternehmen versorgen im Endkundensegment wesentliche Anteile der jeweiligen Versorgungs- und Entsorgungsmärkte: 46 Prozent in der Strom-, 62 Prozent in der Erdgas-, 80 Prozent in der Trinkwasser-, 63 Prozent in der Wärmeversorgung und 24 Prozent in der Abwasserentsorgung [VKU 2014]. Der Bundesverband Erneuerbare Energie e. V. (BEE) ist der Dachverband von 26 Fachverbänden aus den unterschiedlichen Bereichen der erneuerbaren Energie. Er vertritt über 30.000 Einzelmitglieder und Organisationen aus den Bereichen Wasserkraft, Windenergie, Bioenergie, Solarenergie und Geothermie [BEE 2014]. Der Bundesverband Neuer Energieanbieter (BNE) koordiniert und vertritt die Interessen netzunabhängiger Energieanbieter aus den Bereichen Strom und Gas in Deutschland. Nach eigenen Angaben versorgen die 38 Mitglieder des BNE derzeit über 7 Mio. Kunden mit Gas und Elektrizität in Deutschland. Der Verband der Industriellen Energie- und Kraftwirtschaft e. V. (VIK) ist ein Verband für Energiekunden aus Gewerbe und Industrie. Er vertritt damit die Interessen eines signifikanten Teils der Nachfrageseite im Strommarkt. EFET Deutschland – Verband Deutscher Gas und Stromhändler e. V. ist die in Deutschland tätige Tochter der international agierenden European Federation of Energy Traders (EFET). Zu den 29 Mitgliedern zählen die überregionalen Gas- und Stromhändler Deutschlands sowie internationale Konzerne wie BP oder Gazprom (als assoziiertes Mitglied). Der VGB PowerTech e. V. ist ein auf europäischer Ebene organisierter Verband von Strom- und Wärmeerzeugern. Der Fokus des Vereins liegt auf der Vermittlung von Wissen und der Interessenvertretung für Großkraftwerksbetreiber. Der VGB Power Tech e. V. arbeitet auf nationaler Ebene eng mit dem BDEW zusammen. 2.1.2.3 Beziehungen innerhalb der Branche Im Folgenden wird eine Übersicht darüber gegeben, inwieweit die Unternehmen der Strombranche eigentumsrechtlich verflochten sind und ob bedeutende Kapazitäten und Leistungen oder mehrere Rollen in einem Unternehmen konzentriert sind. Die Branche Elektrizität weist aufgrund der elektrotechnischen und energiewirtschaftlichen Sachverhalte starke Beziehungen der Marktteilnehmer untereinander auf. Trotz der eigentumsrechtlichen Entflechtung ist es zwingend notwendig, dass die für das Netz und die Erzeugung verantwortlichen Unternehmen mit den im Endkundengeschäft tätigen Unternehmen Geschäftsverbindungen halten. Eine Belieferung der Abnahmestelle ist nur möglich, wenn zum gegebenen Zeitpunkt auch die entsprechenden Erzeugungsanlagen sowie die Transport- und Verteilnetze zur Verfügung stehen. Gleichzeitig kann eine zuverlässige Planung der Stromerzeugung und des Netzes nur unter Berücksichtigung des erwarteten Stromverbrauchs durchgeführt werden. Aus energiewirtschaftlicher Sicht sind Prozesse und Unternehmen daher stark miteinander verbunden. Dies prägt die Beziehungen innerhalb der Branche. Elektrotechnisch sind die Beziehungen bzw. Abhängigkeiten auf Netzebene noch wesentlich stärker ausgeprägt. Wird durch den Übertragungs- und Verteilnetzbetreiber nicht regulierend auf Frequenz, Spannung oder Blindleistung eingewirkt, so können Erzeuger bzw. Verbraucher Schaden nehmen. Insbesondere zwischen den Übertragungsnetzbetreibern ist ein hohes Maß an Zusammenarbeit notwendig, um für Deutschland und Europa ein zuverlässiges und sicheres Netz bereit zu stellen. Veränderungen und Fehler in der Erzeugung oder den Verteilnetzen haben einen sofortigen Einfluss auf die Stromversorgung, da 36 Bundesamt für Sicherheit in der Informationstechnik Branchen durch die elektrotechnischen Effekte wirtschaftlich getrennte Unternehmen trotzdem miteinander verbunden sind. Diese Beziehung innerhalb der Branche Elektrizität ist einzigartig für den KRITIS-Sektor Energie und bedarf besonderer Beachtung bei den Prozessen und den IKT-Abhängigkeiten. Es sind laut Monopolkommission [Monopolkom. 2013]: vier abgrenzbare Märkte in der Stromerzeugung aktiv – der Markt für den ersten Verkauf des produzierten oder zu produzierenden Stroms (Erstabsatzmarkt), – der Markt für Strom aus erneuerbaren Energien, – der Markt für die Regelenergie und – der Markt für die Abgabe von bereits eingeplanter Kapazität an Weiterverkäufer oder Endabnehmer. Die Marktteilnehmer der jeweiligen Märkte sind in unterschiedlichem Maße konzentriert oder verteilt. So sind laut Monopolkommission beispielsweise 68 Prozent aller Erzeugungskapazitäten im Erstabsatzmarkt unter Kontrolle der vier großen Energieunternehmen. Trotz der erfolgten Entflechtung von Netz und Vertrieb pflegen Lieferanten und Netzbetreiber weiterhin enge Beziehungen. Dies betrifft die wirtschaftliche und technische Ebene. So sind viele der Netzbetreiber zwar wirtschaftlich entflochten, befinden sich jedoch weiter im Besitz des Unternehmens, in das sie ursprünglich integriert waren. Im Sinne der Leistungserbringung ist überdies eine enge Abstimmung zwischen Netzbetreiber und Lieferanten erforderlich. Aus den Eigenschaften der Aktivitäten in den jeweiligen Märkten ergeben sich spezifische IT-Anforderungen. So stehen beim Erstabsatzmarkt die langfristige Planung von Kapazitäten und die Kommunikation kurzfristiger Ausfälle im Vordergrund. Beim Markt für erneuerbare Energien hat dagegen die Kommunikation der tatsächlich zu einem bestimmten Zeitpunkt eingespeisten Strommenge Priorität. Beim Markt für Regelenergie geht es stattdessen um die sehr kurzfristige Steuerung von Frequenzänderungen (meist im Sekunden- bis Minutenbereich). Hier liegt der Fokus entsprechend auf hochverfügbaren und leistungsstarken Systemen. Bei der Abgabe des Stroms handelt es sich dagegen vorrangig um langfristige betriebswirtschaftliche Prozesse. 2.1.2.4 Rolle der öffentlichen Hand Aufsichtsbehörden Im Rahmen des Energiewirtschaftsgesetzes (EnWG) besitzt die Bundesnetzagentur (BNetzA) weitgehende, vorwiegend energiewirtschaftliche Aufsichts- und Eingriffsrechte. Schwerpunkte der Arbeit sind die Missbrauchsaufsicht, die Überwachung der Entflechtung sowie die Durchsetzung eines diskriminierungsfreien Zugangs zu den Netzen [EnWG 2005]. Die BNetzA ist außerdem für die Festlegung der Marktpartnerprozesse zuständig. Hierzu gehören auch die Geschäftsprozesse zur Kundenbelieferung mit Elektrizität (GPKE), die für die einzelnen Marktteilnehmer festlegen, welche Informationen wann und in welcher Form mit Marktteilnehmern ausgetauscht werden müssen [BNetzA 2011c]. Die BNetzA hat in der Strombranche besondere Aufgaben. Sie kann unter anderem auch die Abschaltungen von Kraftwerken verhindern (§ 13a EnWG), wenn dies für den Erhalt der Systemstabilität notwendig ist [Handelsblatt 2014b]. Elektrotechnische Sachverhalte werden durch die Bundesnetzagentur hingegen kaum reguliert. Der Fokus der Regulierung liegt auf den Prozessen am Markt und der Umsetzung und Kontrolle der Liberalisierung [BDEW 2014b]. Die BNetzA legt zudem die Netzentgelte fest. Nach der Liberalisierung haben die Netzbetreiber ihre Entgelte begründet vorgeschlagen und diese (mindestens zum Teil) von der BNetzA genehmigen lassen. Dieses Verfahren wurde nach 2009 durch die Anreizregulierung15 ersetzt. Hierbei werden durch die BNetzA Erlösobergrenzen festgelegt und dadurch den Netzbetreibern Anreize für höhere Effizienz gegeben. Im 15 Vgl. Anreizregulierungsverordnung (ARegV). Bundesamt für Sicherheit in der Informationstechnik 37 2 Branchen Zusammenhang mit der Anreizregulierung wird momentan auch über eine Vergütung von Investitionen in die Informationssicherheit diskutiert [BDEW 2013f]. Meldepflichten Für die Übertragungsnetzbetreiber besteht die Vorgabe, planmäßige Nichtverfügbarkeiten (beispielsweise Wartungsmaßnahmen) oder außerplanmäßig auftretende Ausfälle (zum Beispiel in Folge technischer Störungen der IT) von Kraftwerken mit einer Leistung von mehr als 100 MW zu melden. Diese Ausfälle werden minutengenau auf der Transparenzplattform der EEX-Börse veröffentlicht [EEX 2014]. Im Durchschnitt betraf dies im Jahr 2012 15 Prozent der deutschen Stromerzeugungskapazität. Im Maximum können temporär jedoch auch Nichtverfügbarkeiten von über 25 GW entstehen. Bei Ausfällen findet lediglich eine Kategorisierung als „Failure“ oder „Other“ statt; eine IKT-Ursache ist daraus nicht direkt ersichtlich [Monopolkom. 2013]. Durch das geplante „IT-Sicherheitsgesetz“ soll eine Meldepflicht für Vorfälle in IKT-Systemen für Betreiber kritischer Infrastrukturen eingeführt werden [BMI 2013]. Eine solche Pflicht besteht bisher nicht. Ein größerer Ausfall der Versorgung wird durch die Aufsichtsbehörden registriert und geprüft. Dies gilt besonders dann, wenn eine unmittelbare, von den Anlagen ausgehende Gefahr für Menschen oder Umwelt besteht oder bestanden hat. Gesetzliche Rahmenbedingungen Die öffentliche Hand nimmt in unterschiedlicher Form Einfluss auf die Elektrizitätsbranche. Verschiedene gesetzliche Regelungen auf Ebene der EU und des Bundes setzen den Rahmen für die Aktivitäten der Branchenakteure. Dabei steht die Liberalisierung des Energiemarktes im Vordergrund. Die Entflechtung der verschiedenen Bereiche, beispielsweise von Übertragungs- und Verteilernetzen, hat zu komplexeren Prozessen innerhalb des Sektors geführt. 2005 wurde die zweite Novelle des Energiewirtschaftsgesetzes (EnWG) durch den Bundestag beschlossen, mit dem Ziel eine „möglichst sichere, preisgünstige, verbraucherfreundliche, effiziente und umweltverträgliche leitungsgebundene Versorgung der Allgemeinheit mit Strom sicherzustellen“. Da der Betrieb von Netzen ein natürliches Monopol darstellt, sieht das EnWG neben Genehmigungspflicht und der Begrenzung der freien Preisbildung für Netzbetreiber auch eine eigentumsrechtliche Entflechtung der Energieversorgungsnetze vor. Die Entflechtung von Betreibern der Übertragungs-, (Gas-)Fernleitungs- und Verteilernetze wurde 2011 durch die letzte Novelle des EnWG abermals vorangetrieben. Das EnWG enthält ebenfalls erste Ansätze zum Aufbau von Smart Grids in Deutschland (siehe Abschnitt 2.1.1.5). Diese können dabei helfen, die Energieversorgung zu flexibilisieren und sicherstellen, dass eine schwankende Einspeisung und Entnahme elektrischer Leistung keine Gefährdung für eine stabile Versorgung darstellt (§ 13 EnWG). Hierbei steigt die Bedeutung des Themas Sicherheit, denn Smart Grids schaffen zusätzliche Angriffs- bzw. Ausfallrisiken. § 21 EnWG schreibt für Messsysteme zur Erfassung elektrischer Energie deshalb vor, dass diese „Datenschutz, Datensicherheit und Interoperabilität“ gewährleisten müssen. Dem EnWG zufolge müssen Betreiber die notwendigen Maßnahmen ergreifen, um „die Vertraulichkeit und Integrität der Daten“ intelligenter Messsysteme sicherstellen zu können. Neben dem geplanten IT-Sicherheitsgesetz, das für Betreiber Kritischer Infrastrukturen Anwendung finden soll, ist in der Energiewirtschaft (Strom, Gas und Wärme) über § 11 Abs. 1a EnWG festgelegt, dass Netzbetreiber die Anforderungen eines „Sicherheitskatalogs“ einzuhalten haben. Er verlangt von den betroffenen Unternehmen, dass sie ein Informationssicherheits-Managementsystem (ISMS) aufbauen, einen strukturierten Netzplan pflegen und einen Sicherheitsbeauftragten benennen. Eine verabschiedete Fassung des Sicherheitskatalogs liegt zum Zeitpunkt der Erstellung der Studie noch nicht vor. Schutz Kritischer Infrastrukturen Kritische Infrastrukturen werden in der Elektrizitätswirtschaft durch die öffentliche Hand zum Teil besonders geschützt, da nach § 36 EnWG eine Grundversorgungspflicht der Elektrizitätsversorger gegenüber den Verbrauchern besteht. 38 Bundesamt für Sicherheit in der Informationstechnik Branchen Bei der Regulierung der Sicherheit setzt die öffentliche Hand allerdings nach § 12g Abs. 2 EnWG vor allem auf die Eigenverantwortlichkeit der Betreiber. Diese wird im Sinne des § 49 Abs. 2 EnWG unter anderem durch die Umsetzung der technischen Regeln des Verbandes der Elektrotechnik Elektronik Informationstechnik e. V. (VDE) wahrgenommen. Die Übertragungsnetzbetreiber haben außerdem gemäß § 12 EnWG die Aufgabe, einen sicheren Netzbetrieb zu gewährleisten. Ungeachtet dessen behält sich das Bundesministerium für Wirtschaft und Energie (BMWi) in § 49 Abs. 4 EnWG vor, zu jeder Zeit Rechtsverordnungen zu schaffen, um die technische Sicherheit zu gewährleisten. Die Identifikation der Kritischen Infrastrukturen findet unter Mitwirkung der öffentlichen Hand statt. Hierzu bestimmt nach § 12g Abs. 1 EnWG die Regulierungsbehörde alle 2 Jahre die als kritisch für die Versorgung anzusehenden Anlagen und Teile. Zur Überprüfung und Sicherstellung der Netzsicherheit im Sinne des § 12 EnWG führt das BMWi alle zwei Jahre ein Monitoring zur Versorgungssicherheit durch. Dieser Vorgang beruht auf § 51 EnWG. Daneben sind die Netzbetreiber nach § 52 EnWG zur jährlichen Meldung von Versorgungsstörungen an die Bundesnetzagentur verpflichtet. Bundesamt für Sicherheit in der Informationstechnik 39 2 Branchen 2.2 Gas Nach Mineralöl und Kohle ist Gas der drittwichtigste Primärenergieträger für die Volkswirtschaft [AGEB 2014b]. Die Bedeutung von Erdgas im Vergleich zu Erdöl wird in absehbarer Zukunft mit hoher Wahrscheinlichkeit weiter steigen. Dies ist eine Konsequenz daraus, dass eine Aufrechterhaltung oder gar Steigerung der Fördermengen von Erdöl aufgrund abnehmender Reserven und zunehmender Komplexität der Abbaumethoden stetig schwieriger und weniger wirtschaftlich wird. Die weltweiten Gasvorkommen sind dagegen weniger gefördert worden und die unkonventionelle Förderung zeigt zumindest in der Theorie ein hohes Potenzial [BGR 2013]. Die nachfolgende Abbildung 9 zeigt zum Einsteig und als erste Orientierung einen Vergleich von verschiedenen Gasmengen in der deutschen Gasversorgung. 98,4 89,3 20,9 22,7 11,7 Gasförderung Gasverbrauch Total Gasexport Gasimport Kapazität Gasspeicher Abbildung 9: Vergleich unterschiedlicher Gasmengen in der deutschen Gasversorgung (2012, in Mrd. m³) Quelle: eigene Darstellung (gemäß der im Kapitel genannten Quellen) 2.2.1 2.2.1.1 Branchenüberblick Einführung in die Branche Gas Nach der KRITIS-Branchenaufteilung des Bundesministeriums des Innern umfasst die Gas-Branche alle für eine konstante Gasversorgung nötigen Aktivitäten und Akteure. Im Rahmen der Studie werden – die Produktion und der Import, – der Transport und die Speicherung sowie – die Verteilung und der Vertrieb von Erdgas an Haushalte oder die Wirtschaft betrachtet. Abbildung 10 zeigt schematisch den Aufbau der gesamten Wertschöpfungskette der Gasversorgung für den US-Amerikanischen Markt. Die dargestellten Schritte sind für die den deutschen Markt größtenteils identisch, die Grafik zeigt jedoch nicht die komplexere Struktur der Netzbetreiber und Gashandelsunternehmen. 40 Bundesamt für Sicherheit in der Informationstechnik Branchen Abbildung 10: Die Wertschöpfungskette der Gasversorgung Quelle: Mit freundlicher Genehmigung des American Petroleum Institute (API) [API 2013a] Erdgas wird überwiegend für die Wärmeerzeugung in Gasheizungen sowie zur Erzeugung von Prozesswärme in der Industrie und Wirtschaft verwendet. Gleichzeitig stellen Gaskraftwerke und Gasheizkraftwerke einen wichtigen Bestandteil der Stromerzeugung dar. Diese Kraftwerke können vergleichsweise schnell bei Lastspitzen aktiviert werden und eignen sich somit besonders gut für die Bereitstellung elektrischer Regelenergie. Die Gasbranche ist dadurch auch für die Elektrizitätsversorgung eine wichtige Komponente. Allgemeines Erdgas wird in Deutschland in zwei Typen unterschieden. Das sogenannte H-Gas 16 zeichnet sich durch einen vergleichsweise hohen Methangehalt (bis zu 98 Prozent) aus. L-Gas17 enthält dagegen nur Methan mit einem Anteil von 85 Prozent. Aufgrund dieser Unterscheidung wird H-Gas und L-Gas in eigenen Netzen transportiert und verteilt. Außerdem müssen gasverbrauchende Geräte je nach Typ unterschiedlich eingestellt werden, um eine effiziente und rückstandsfreie Verbrennung zu gewährleisten. Da L-Gas vor allem in Deutschland gefördert wird und die deutsche Förderung stark zurückgeht, wird davon ausgegangen, dass bis ca. 2029 die komplette hiesige Versorgung schrittweise auf H-Gas umgestellt wird [Prognos 2013]. Erdgas wird in unterschiedlichen Zuständen gelagert und transportiert: • Reguläres Erdgas (NG, Natural Gas) wird für den Transport je nach Leitungstyp auf weniger als 100 bar verdichtet und stellt das primäre Produkt der Branche dar. • CNG (Compressed Natural Gas) bezeichnet stark verdichtetes Erdgas. Durch den hohen Druck von mehr als 200 bar kann das Volumen auf weniger als 1 Prozent des Ursprungsvolumens (bei Normaldruck) verringert werden. • LNG (Liquefied Natural Gas) wird auch Flüssigerdgas genannt. Dabei wird Gas auf eine Temperatur von ca. -164 °C herunter gekühlt. Durch diesen Vorgang wird das Gas flüssig und das Volumen ebenfalls stark verringert. LNG ist nicht mit LPG (Liquefied Petroleum Gas) zu verwechseln, das bei der Herstellung von Benzin und Diesel aus Rohöl anfällt. 16 „H“ steht für high calorie (hoher Energiegehalt). 17 „L“ steht für low calorie (niedriger Energiegehalt). Bundesamt für Sicherheit in der Informationstechnik 41 2 Branchen • Der Vollständigkeit halber ist auch die Abkürzung SNG (Synthetic Natural Gas) zu erwähnen. Dieses aus Kohle oder Biomasse hergestellte Gas (auch Bio-SNG genannt) kann nach einer Aufbereitung dem fossilen Erdgas beigemischt werden. Gleiches gilt für synthetisches Gas aus der Elektrolyse von Wasser zu Wasserstoff („Power-to-Gas“). Beide Verfahren spielen momentan nur eine geringe Rolle; ihnen wird jedoch großes Potenzial zugeschrieben. Förderung und Produktion Gefördert wird Erdgas an Land oder auf See. Es fällt außerdem bei der Förderung von Erdöl als Nebenprodukt an. Vor der Förderung muss ein Vorkommen jedoch erst eingegrenzt (Prospektion) und untersucht sowie erschlossen werden (Exploration). Hierbei kommen geologische Erkundungsverfahren zum Einsatz. Sobald ein entsprechendes Fördergebiet erschlossen wurde, kann die Gasförderung beginnen. Hierbei wird, vergleichbar mit der Ölförderung, eine Bohrung bis zum Vorkommen durchgeführt und dann durch den natürlichen Gasdruck das Erdgas an die Oberfläche gefördert. Relevant für eine Bewertung der Kritikalität und der (IT-)Sicherheit der Erdgasförderung sind technische Methoden im Betrieb der Förderanlagen. In der Phase der Exploration gibt es beispielsweise bedeutende Risiken durch unkontrolliertes Austreten von Gas. Um dies zu verhindern, werden Sicherheitsschieber eingesetzt, die mit Sensoren und automatischen Notfall-Systemen verbunden sind. Dem deutschen Verbrauch von 89,3 Mrd. m³ Erdgas im Jahr 2012 stehen eine inländische Förderung von 11,7 Mrd. m³ gegenüber [LBEG 2013a]. Eine Deckung des Bedarfs aus deutscher Förderung ist somit nicht möglich. 96 Prozent des Deutschen Erdgases werden in Niedersachsen gefördert, davon mehr als 50 Prozent im Gebiet „Weser-Ems“ [WEG 2014b]. Die Offshore-Förderung im einzigen 2012 genutzten Gasfeld A6/B4 in der Nordsee hatte mit knapp 1,4 Prozent nur einen geringen Anteil an der Gesamtförderung. Nach der Förderung wird das Erdgas meist nahe an der Förderstelle aufbereitet. Deutschland verfügt zu Anfang 2014 noch über Reserven von ca. 100 Mrd. m³ konventionellem Erdgas, die jedoch stark abnehmen. Dies ergibt eine statische Reichweite 18 von zehn Jahren [LBEG 2014]. Anders sieht es bei der Förderung von unkonventionellem Erdgas aus, dem sogenannten Hydraulic Fracturing oder „Fracking“. Dabei wird bislang nicht förderbares Schiefergas unter Einsatz von Wasserdruck und Chemikalien aus dem Untergrund gelöst. Die technisch förderbaren Ressourcen (förderbare Reserven inklusive noch nicht wirtschaftlich abbaubarer oder exakt erfasster Vorkommen) wurden 2012 von der Bundesanstalt für Georohstoffe auf ca. 1.300 Mrd. m³ geschätzt, und damit deutlich höher als bei konventionellem Erdgas [BGR 2013]. Mit unkonventionellen Methoden steht somit theoretisch mehr als das zehnfache Vorkommen des konventionellen Erdgases zur Verfügung. Zum jetzigen Zeitpunkt ist dies jedoch mangels Förderaktivität noch nicht für die Betrachtung für die Gasversorgung von Relevanz. Eine Alternative zu Erdgas ist die Produktion von Biogas durch die Vergärung von Biomasse (Bio-SNG). Dieses Gas kann nach einer Aufbereitung in das öffentliche Gasnetz eingespeist werden. Da der Prozess sehr aufwendig ist, wird er nur von größeren Biogaserzeugern praktiziert. Kleinere Betreiber erzeugen meist direkt Strom oder Wärme in angeschlossenen Blockheizkraftwerken. 2012 wurden 413 Mio. m³ Biogas in das öffentliche Netz eingespeist, dies entsprach einem Anteil von 0,46 Prozent [BNetzA 2013a]. Dieser Anteil soll jedoch gemäß Ziel der Bundesregierung bis 2030 auf 10 Prozent ansteigen. Erdgas für das öffentliche Netz lässt sich auch aus Kohle herstellen (SNG). Dabei wird beispielsweise Steinkohle vergast und das Gas dann bei hohen Temperaturen methanisiert. In Deutschland gibt es bisher keine nennenswerten Kapazitäten für die SNG-Herstellung [Yang 2013]. Eine weitere Möglichkeit, Gas zu erzeugen, ist das Prinzip „Power-to-Gas“. Es sieht vor, durch überschüssige elektrische Energie zur Elektrolyse von Wasserstoff zu nutzen und dieses in einem weiteren Schritt zu methanisieren. Das erzeugte Gas kann somit auch als Stromspeicher (siehe auch den Abschnitt Speicherung im Branchenüberblick Elektrizität) genutzt werden oder direkt eingespeist werden. Derzeit sind in Deutschland Power-to-Gas-Anlagen lediglich im Pilotbetrieb aktiv und steuern noch keinen relevanten Anteil zur Gasversorgung bei. 18 Statische Reichweite bezeichnet die Dauer, für die ein fossiler Rohstoff bei gleichbleibendem Verbrauch noch zur Verfügung steht. 42 Bundesamt für Sicherheit in der Informationstechnik Branchen Import und Handel Importiert wird Erdgas über transnationale (überregionale) Ferngasleitungen. Hierbei wird Gas aus dem Ausland an zentralen Übergabestellen eingespeist. Deutschland verfügte 2011 nach Karten des European Network of Transmission System Operators for Gas (ENTSOG) über 18 Verbindungspunkte an Land zu europäischen Nachbarländern und der Schweiz sowie vier Anlandestellen für Pipelines am Meer [ENTSOG 2011]. Drei dieser Anlandestellen führen aus den Norwegischen Gasfeldern in der Nordsee und auf dem Norwegischen Festland nach Deutschland; die vierte Anlandestelle markiert das Ende der Ostsee-Strecke der russischen Nord Stream Pipeline. 2012 wurden 98,4 Mrd. m³ Gas, dies entspricht 957,4 Mio. MWh, aus dem Ausland importiert [Destatis 2014d]. Die wichtigsten Handelspartner waren: – die Russische Föderation mit 353,4 Mio. MWh; – die Niederlande mit 281,1 Mio. MWh; – Norwegen mit 265,1 Mio. MWh. Weitere Länder lieferten zusammen 57,8 Mio. MWh. Neben den Importen für den inländischen Verbrauch wird auch Gas zu anderen EU-Staaten durch Deutschland durchgeleitet oder, wie im Jahr 2012 mit einer Menge von 20,9 Mrd. m³, von Deutschland in andere Länder exportiert. Der Handel von Erdgas erfolgt überwiegend über vereinbarte langjährige Verträge (teilweise bis zum Jahr 2035) mit den fördernden Ländern oder Unternehmen. Zum einen wird über diese langen Laufzeiten die Versorgung für das importierende Land gesichert, zum anderen eine Absatzsicherheit für den Produzenten erreicht. Aufgrund der langen Laufzeit wurde zwischen Produzenten und Lieferanten eine Preisbindung an den Ölpreis vereinbart. Dies stellt eine direkte Verbindung zwischen den beiden Branchen Gas und Öl her. Wie kritisch die Versorgung mit Erdgas aus dem Ausland sein kann, zeigt die Situation im Februar 2012. Während einer Kälteperiode gab es einen starken Anstieg der Nachfrage, gleichzeitig wurde jedoch die russische Exportmenge aus nicht bekannten Gründen um 10 bis 35 Prozent reduziert. In Folge der entstehenden Knappheit wurden in Teilen Deutschlands Kunden mit unterbrechbaren Lieferverträgen vom Netz getrennt, unter anderem drei Gaskraftwerke. Die Lieferung an weitere Kunden konnte durch Reaktionen der Verteilnetzbetreiber (unter anderem durch eine innerdeutsche Umverteilung von Kapazitäten und einer stärkeren Beanspruchung der Erdgasspeicher) zwar sichergestellt werden, durch die nicht einsatzbereiten Gaskraftwerke als Regelleistungskraftwerke war jedoch die Stabilität des Stromnetzes gefährdet [SWP 2012b]. Transport Der Transport von Erdgas findet üblicherweise in Pipelines statt. Deutschland verfügt über ein Gasnetz von insgesamt 477.000 km [Eurogas 2013]. Pipelines lassen sich je nach Betriebsdruck in verschiedene Typen einteilen. Hochdruckleitungen bewegen sich im Bereich von 1 bis 100 bar Überdruck. Mitteldruck bezeichnet den Bereich zwischen 100 mbar und 1 bar über dem atmosphärischem Druck. Niederdruckleitungen (vor allem als Hausanschluss) führen Normaldruck plus 100 mbar oder weniger. Der Übergang zwischen diesen Netzen geschieht über sogenannte Reduzierungsanlagen, auch Gasdruckregelund -messanlagen genannt. Da der Druck in den Rohren über weite Entfernungen abfällt, ist es notwendig, dass das Gas alle 100 bis 200 km an Verdichterstationen erneut komprimiert wird. Zusätzlich gibt es auch Knotenpunkte, die einzelne Ferngasleitungen sowie die dahinter geschalteten Netze miteinander verbinden. Wie bei der Stromübertragung fallen auch beim Gastransport Übertragungsverluste an. Dies resultiert aus nicht vollständig dichten Systemen. Beim Transport wird daher Regelenergie in Form zusätzlichen Gases benötigt, um die Differenzen zwischen Ein- und Ausspeisung zu kompensieren. Diese Regelenergie wird durch die Transportnetz- und Verteilnetzbetreiber bei Bedarf (beispielsweise aus Gasspeichern) eingespeist. Bundesamt für Sicherheit in der Informationstechnik 43 2 Branchen Eine Alternative zum Transport in Pipelines ist die Umwandlung von Erdgas in LNG. Dies macht es möglich, größere Mengen Gas unabhängig von einer Pipeline zu transportieren, beispielsweise in speziellen LNG-Tankschiffen. Nach dem Transport wird es in Regasifizierungsanlagen wieder umgewandelt und in das Netz eingespeist. Alternativ kann es direkt an LNG-betriebene Anlagen oder Fahrzeuge angeliefert und dort als Kraftstoff verwendet werden. Bisher verfügt Deutschland jedoch noch über kein eigenes LNG-Terminal für den Import mit Regasifizierungsanlagen in einem hochseeschifftauglichen Hafen. Gleiches gilt für den Transport über Kesselwagen oder Gastanks auf Schiene oder Straße. Obwohl LNG ein großes Potenzial zugeschrieben wird, ist der Transport von Erdgas in Deutschland somit weiter fast ausschließlich vom Leitungsnetz abhängig. Das größte Hindernis bei der Einführung von LNG sind die hohen Investitionskosten bei der Umstellung der bestehenden Infrastruktur, unter anderem in der See- und Binnenschifffahrt [Schubert 2014]. Bei Leitungskapazitäten und der Durchleitung wird zwischen Primär- und Sekundärkapazität unterschieden. Bei der Primärkapazität handelt es sich um die verfügbare Leitungskapazität, die an der Handelsplattform auktioniert wird. Bei Sekundärkapazitäten handelt es sich um Kapazitätsüberschüsse, die Händler wieder an der Handelsplattform anbieten. Ein direkter Einfluss auf die Versorgung wird durch den Kapazitätshandel nicht genommen. Speicherung Für die Speicherung von Erdgas werden Untertage- und Übertagespeicher eingesetzt. Bei Untertage-Erdgasspeichern gibt es Poren- und Kavernenspeicher. Bei Ersterem wird poröses Gestein, meist eine bereits entleerte Gas-Lagerstätte, mit Erdgas „wiederbefüllt“. Beim Zweiten werden künstliche Hohlräume im Boden geschaffen. In beiden Fällen muss „Puffergas“ permanent im Speicher vorgehalten werden, um einen zur Entnahme nötigen Minimaldruck aufrechtzuerhalten. Die tatsächlich nutzbare Menge Arbeitsgas liegt deshalb teils deutlich (bis zu 50 Prozent) unter dem Gesamtvolumen des Speichers. Die gesamte Speicherleistung (Arbeitsgas) deutscher Untertage-Erdgasspeicher betrug 2012 22,7 Mrd. m³, wovon 10,6 Mrd. m³ auf Porenspeicher und mit 12,1 Mrd. m³ ein ähnlicher Anteil auf Kavernenspeicher entfiel. Durch den geplanten Ausbau der deutschen Speicher wird das Gesamtvolumen in Zukunft noch einmal um fast die Hälfte auf 31,7 Mrd. m³ erhöht [LBEG 2013a]. Bei Übertagespeichern handelt es sich vor allem um Kugelgasbehälter und Röhrenspeicher. 19 Die klassischen Niederdruckspeicher (Gasometer) werden heute aus Effizienz- und Sicherheitsgründen faktisch nicht mehr eingesetzt. Die Gasspeicher werden von Gasspeicherbetreibern oder direkt den Ferngasnetzbetreibern zur Kompensierung von Spitzenlasten und von Preisveränderungen genutzt. Bei Störungen der Fernleitungen können die Speicher Gas abgeben, um die Versorgung im Anschlussgebiet sicherzustellen. Eine Abgabe von eingelagertem Gas wird somit stets nach entsprechendem Bedarf durchgeführt. Die Ein- und Ausspeicherung wird durch dafür vorgesehene Gasspeicherbetriebsanlagen durchgeführt. Aus Sicht der betrieblichen Prozesse gibt es in der Erdgasversorgung nur wenige Unterschiede zwischen einer Einspeisung aus dem Ferngasnetz oder einem Gasspeicher. Im Gegensatz zur Mineralölwirtschaft sind die Gasversorgungsunternehmen in Deutschland nicht verpflichtet, eine strategische Gasreserve bereit zu halten. Die Verpflichtung zur Sicherstellung der Versorgung über 30 Tage gemäß EU-Verordnung Nr. 994/2010 kann jedoch durch Vorhalten von Reserven in Speichern ermöglicht werden [EU 2010]. Die Speicherung erfolgt darüber hinaus auf freiwilliger Basis sowie aus wirtschaftlichen Gründen und könnte einen Importausfall für ca. 80 bis 120 Tage kompensieren [Welt.de 2014]. Handel Gas wird einerseits über Börsen gehandelt, andererseits direkt zwischen zwei Handelspartnern (OTC, Over-The-Counter). OTC-Geschäfte werden teils für Zwecke des Clearings von der Börse begleitet. Die bisher einzige in Deutschland aktive Börse für Erdgas ist die European Energy Exchange (EEX) in Leipzig. Gas wird 19 Diese zählen zu den Übertagespeichern, obwohl sie knapp unter der Erdoberfläche angelegt werden. 44 Bundesamt für Sicherheit in der Informationstechnik Branchen dort sowohl kurzfristig gehandelt (Spotmarkt), als auch in langfristigen Positionen verkauft und erworben (Terminmarkt). Geschäfte auf dem Terminmarkt können für mehrere Jahre im Voraus abgeschlossen werden. Den direkten Geschäften mit langfristigen Bindungen und komplexen Vertragsverhandlungen kommt trotz der Einführung der Börse weiterhin die größte Bedeutung zu. Verglichen mit dem gesamten Erdgasgroßhandelsvolumen wurden 2012 im Börsenhandel gerade einmal 3,5 Prozent des Volumens gehandelt [BNetzA 2013a]. Die Börse eignet sich jedoch besonders zum kurzfristigen Erwerb beziehungsweise Verkauf von etwaigen Unter- oder Übermengen. Abgesehen von Gas werden auch die Leitungskapazitäten (sowohl Primär- als auch Sekundärkapazitäten) auf einer zentralen Plattform (PRISMA) gehandelt. Dort können Ferngasunternehmen die für die Durchleitung von Gas notwendigen Zeiträume und Mengen von Leitungskapazitäten erwerben. Diese Handelsplattform resultiert aus der Umsetzung der Gasnetzzugangsverordnung und wird auf die europäische Ebene ausgeweitet [PRISMA 2014]. Verteilung Die Verteilung von Erdgas an den Verbraucher erfolgt in der Regel durch den jeweiligen Verteilnetzbetreiber (VNB). Dieser stellt den Gasanschluss bereit und leitet das Gas nach der Entnahme aus dem Fernleitungsnetz über das Ortsnetz an den Verbraucher weiter. Bei der Verteilung wird der für die Übertragung genutzte hohe Druck in entsprechenden Stationen reduziert und dann mit leichtem Überdruck über Regelstationen an die Hausanschlüsse verteilt. Vor der Verteilung wird das Gas odoriert: Dabei werden dem Gas streng riechende Stoffe beigesetzt, die bereits in geringer Konzentration undichte Stellen in Anschlüssen oder Leitungen aufzeigen. Dies ist notwendig, da Erdgas selbst geruchsneutral ist. Die beim Abnehmer ankommende Gasmenge wird mit Gaszählern erfasst. Die am stärksten verbreitete Technik ist der Balgengaszähler mit ca. 14 Mio. Anschlüssen [Wernekinck et al. 2011]. Eine der Neuentwicklungen der letzten Jahre ist ein Zähler, der auf einer elektronischen Berechnung der Temperaturdifferenz basiert. Die meisten Zähler (sowohl Strom als auch Gas) sind in Deutschland bisher nicht aus der Ferne durch den Energieversorger schaltbar. Seit 2010 ist gemäß § 21 EnWG für den Gasanschluss vorgeschrieben, dass in Neubauten Zähler installiert werden, die den tatsächlichen Verbrauch wiedergeben. Aufgrund der unterschiedlichen Messtechniken und den unterschiedlichen Entwicklungsprojekten für die Kommunikationseinheit eines Smart Meter gibt es eine Trennung zwischen diesen Modulen. Neuregelungen zum Messverfahren gemäß Abschnitt 2.1.1.5 betreffen neben der Branche Elektrizität auch die Gasbranche. Bei der Verteilung existiert analog zum Strom der Begriff und die Rolle des Grundversorgers. Grundversorger ist, wie bei der Stromversorgung, jenes Unternehmen (Lieferant), das im entsprechenden Netz die größte Zahl an Kunden (Haushalten) versorgt. Dieser Status wird vom Verteilnetzbetreiber in regelmäßigen Abständen festgelegt. Grundversorger müssen gemäß EnWG alle Anschlussinhaber mit Gas beliefern, es sei denn, sie wurden gesperrt. Die genauen Vorgaben dieser Rolle sind seit 2006 in der Gasgrundversorgungsverordnung (GasGVV) festgehalten. Bei Stadtnetzen ist der Grundversorger meist das entsprechende Stadtwerk. In ländlichen Gebieten der lokale Gaslieferant. Dieses Konzept ist analog zum Grundversorger im Strommarkt. Der Haushaltsendkunde ist frei in der Wahl seines Lieferanten. Dies bedeutet, dass die Bereitstellung des Hausanschlusses nicht an den Lieferanten gekoppelt ist und der Endkunde einen Vertrag mit einem von diesem Prozess unabhängigen Lieferanten abschließen kann. Dies ist das Ergebnis der Entflechtung durch die Regulierung des Gasmarktes. Die BNetzA hat für die Prozesse, die mit der Entflechtung von Netz und Belieferung verbunden sind, Vorgänge definiert, die die Marktteilnehmer einzuhalten haben. Diese Marktpartnerprozesse werden durch die sogenannte Marktpartnerkommunikation technisch und organisatorisch abgebildet. Verbrauch Gas wird vor allem zur Beheizung von Gebäuden mit Raumwärme, und für den Betrieb von Öfen und Hochöfen oder ähnlichen Anwendungen mit Prozesswärme in der Industrie verwendet. Gas hat einen Bundesamt für Sicherheit in der Informationstechnik 45 2 Branchen vergleichsweise hohen Energiegehalt und kann, verglichen mit Kohle oder Holz, relativ rückstandsfrei verbrannt werden. Beim Verbrennungsvorgang entstehen jedoch auch klimaschädliche Gase wie CO 2. Des Weiteren wird Erdgas zum Betrieb von Heiz- und Gaskraftwerken verwendet, die für die Bereitstellung von Regelenergie in der Strombranche und für die Fernwärme benötigt werden. 66,8 Mrd. kWh und damit etwas mehr als 12 Prozent allen Stroms wurden 2013 in Gaskraftwerken erzeugt [AGEB 2014a]. Gaskraftwerke eignen sich durch ihre schnelle Bereitschaft und die flexible Gestaltung der produzierten Leistung besonders für die Erzeugung von Regelenergie in der Minutenreserve. Ein Nachteil dieses Sachverhalts ist, dass steigende Gaspreise auch die Erzeugung von Regelenergie durch Gaskraftwerke stark verteuert haben und der Strompreis in Teilen somit vom Gaspreis abhängig ist. 2012 wurden in Deutschland 89,3 Mrd. m³ Erdgas von 19,68 Mio. Kunden (2013) verbraucht [Eurogas 2013]. Da insbesondere der Verbrauch durch Haushalte je nach Intensität des Winters stark schwankt, sollte eine Bandbreite der Verteilung der Verbrauchergruppen betrachtet werden. Für die Jahre 2005, 2010 und 2011 bewegte sich nach [BMWi 2013c] der Endverbrauchsanteil in den folgende Bereichen: – (Schwer-)Industrie zwischen 38,0 und 44,7 Prozent; – Haushalte zwischen 35,7 und 44,4 Prozent; – Gewerbe, Handel und Dienstleistungen (GHD) zwischen 17,4 und 19,2 Prozent. Der Anteil des Verkehrs ist mit 0,1 bis 0,4 Prozent verglichen mit den übrigen Abnehmern gering und somit bei der Betrachtung der Gasversorgung aus Sicht des Schutzes Kritischer Infrastrukturen von nachgelagerter Bedeutung. Bei der Anzahl der privaten Hausanschlüsse zeigt sich seit Jahren ein steter Zuwachs an Gasanschlüssen. Der Anteil gasbeheizter Wohnungen stieg auf fast 50 Prozent im Jahr 2011. Klassische Ölheizungen (30 Prozent Anteil) werden dabei aus wirtschaftlichen und Umweltschutzgründen nach und nach durch Gasheizungen ersetzt [BDEW 2012b]. Mit der energetischen Sanierung von Gebäuden kann gleichzeitig ein sinkender Durchschnittsverbrauch einhergehen. Trends Im Zusammenhang mit der Energiewende in Deutschland sieht sich die Erdgasbranche derzeit tiefgreifenden Veränderungen ausgesetzt: • Steigende Preise für andere fossile Energieträger, insbesondere für Erdöl, und die steigende gesellschaftliche Relevanz von Umweltverträglichkeit und Nachhaltigkeitsaspekten führen dazu, dass die Erdgasbranche in den kommenden Jahren an Bedeutung gewinnen wird. Diese Entwicklung wird sich in erster Linie in der Wärmeerzeugung und Stromproduktion zeigen. Auch als Substitut für ölbasierte Treibstoffe wird Erdgas eine Rolle spielen. Verglichen mit Erdöl sind die weltweiten Erdgasreserven bisher zu einem geringeren Teil erschlossen und Erdgas wird langfristig als attraktiver Energieträger bewertet. Aufgrund der vergleichsweise geringen Schadstoffemissionen von Erdgas und der hohen Flexibilität von Erdgaskraftwerken wird der Energieträger als wertvolle Ergänzung der erneuerbaren Energien gesehen [DIW 2013]. • Der zunehmende weltweite Einsatz der Fracking-Methode hat dazu geführt, dass bisher nicht nutzbare Lagerstätten zur Förderung genutzt werden können. Studien des Bundesministeriums für Umwelt, Naturschutz und Reaktorsicherheit (BMU) und der Bundesanstalt für Geowissenschaften und Rohstoffe (BGR) bescheinigen der Technologie neben großen Potenzialen jedoch auch substanzielle Risiken und Unsicherheiten, die es für eine Förderung in Deutschland auszuschließen gilt. So könnte es, abhängig von der Region und den örtlichen Gegebenheiten, zu einer Belastung des Grundwassers oder einer erhöhten Erdbebenwahrscheinlichkeit kommen [BGR 2012]. Der Sachverständigenrat der Bundesregierung hat sich beispielsweise öffentlich gegen Hydraulic Fracturing ausgesprochen [SRU 2013]. • Die international vergleichsweise preiswert verfügbare Kohle steht derzeit in starker Konkurrenz zum Energieträger Gas. Der geringe Preis von Emissionszertifikaten verstärkt diese Tendenz zusätzlich. Daneben senkt aber auch die Förderung erneuerbarer Energien die Wirtschaftlichkeit der Gaskraftwerke. 46 Bundesamt für Sicherheit in der Informationstechnik Branchen Der Betrieb von Erdgaskraftwerken wird daher derzeit vielfach als nicht rentabel bewertet, sodass Anlagen vom Netz genommen werden und die Planung neuer Anlagen gestoppt wird. Die Verwendung von Gaskraftwerken wird bis zu einer Änderung der Rahmenbedingungen, das heißt bis zu einem besseren Verhältnis von Strompreis und Gaspreis oder einer Förderung, zum Teil pausiert. 2.2.1.2 Bedeutung für Staat und Gesellschaft In Deutschland hatten im Jahr 2011 18,7 Mio. Haushalte einen Gasanschluss [BDEW 2012b]. Folgende Verbrauchergruppen sind außerdem von der Gasversorgung abhängig: Verbrauchergruppe Bedeutung (in %) Haushalte Substituierbarkeit 50 (Hausanschlüsse) 49,21 Kurzfristig (Mobile Heizstrahler) Heizen Warmwasser Keine Daten Langfristig (Elektrische Durchlauferhitzer) Kochen (Prozesswärme) ca. 3 - 4* Kurzfristig (Mobile Gaskocher) Gewerbe und Dienstleistungen Keine Daten - Landwirtschaft Keine Daten - Kunstdünger (Haber-Bosch-Verf.) Keine Daten (Hoch*) Keine Industrie Keine Daten - Stahlindustrie Keine Daten Langfristig (Elektrische Schmelzen) Synthesegas Keine Daten 412 Langfristig (andere flexible Erzeuger) Spitzenlastkraftwerke Staat Keine Daten < 2 (inkl. LPG)1 - Verkehr Private Fahrzeuge Öffentlicher Nahverkehr < 1* Kurzfristig (Bi-Fuel) < 10* Langfristig (Diesel- und Elektromotoren) 1 [AGEB 2013] Anteil an typischen Spitzenlast-Kraftwerken über 100 MW (Gasturbinen- und Pumpspeicherkraftwerke) [UBA 2013] *Schätzung 2 Tabelle 7: Abhängigkeitsverhältnisse ausgewählter Abnehmergruppen von der Gasversorgung 2.2.1.3 Wahrnehmung der Branche Für Gasabnehmer ist ein verlässlicher Betrieb der Gasversorgung besonders in den Wintermonaten wichtig. Gleichzeitig ist die Versorgungssicherheit in Deutschland sehr hoch. Statistisch gesehen fiel für jeden Verbraucher die Gasversorgung im Jahr 2012 ungeplant für 1,91 Minuten aus. Für Haushalte und Kleinverbraucher betrug dieser „SAIDI-Wert“ (System Average Interruption Duration Index) sogar nur knapp 0,8 Minuten. Dies ein durchschnittlicher Wert im Mittel der vergangenen 10 Jahre [BNetzA 2011a]. Zur Gasversorgung in Deutschland dominieren vor allem drei Themen die öffentliche Wahrnehmung: • Die Versorgungssituation mit Erdgas aus dem außereuropäischen Ausland, bei der insbesondere die Pipeline-Projekte „Nord-Stream-Pipeline“ (fertiggestellt) und „South Stream“ (in Planung), die „Trans Adriatic Pipeline“ (in Planung) und die ehemals konkurrierende „Nabucco“-Pipeline (Planung 2013 Bundesamt für Sicherheit in der Informationstechnik 47 2 Branchen eingestellt) in der öffentlichen Wahrnehmung stehen. Während sowohl „Nord-Stream“ als auch „South Stream“ unter Beteiligung der Gazprom entstanden oder entstehen, war es ein Ziel des „Nabucco“-Projektes, russisches Territorium beim Transport von Gas aus dem kaspischen Raum zu umgehen. • Die Kritik an der Fördermethode des „Fracking“ (hydraulic fracturing) ist ebenfalls ein stark wahrgenommenes Thema. Da es im Rahmen des Abbaus zu Umweltproblemen kommen kann und ein (volks-)wirtschaftlicher Bedarf in Frage gestellt wird, werden Fracking-Förderprojekte von der Öffentlichkeit und Umweltverbänden meist kritisch bis ablehnend betrachtet. • Die Rolle von LNG in der Energieversorgung wird ebenfalls diskutiert. Der LNG-Transport wird als Alternative zur konventionellen Übertragungstechnik gesehen und die Hoffnung ist, dass damit die Abhängigkeit von einzelnen Lieferanten verringert werden kann. 2.2.1.4 Volkswirtschaftlicher Kontext Im Dezember 2013 waren in der Gasversorgung 15.991 Personen in 217 Betrieben beschäftigt. Im Jahr 2011 wurde ein Umsatz von 57,83 Mrd. Euro erwirtschaftet [Destatis 2014c]. Da Deutschland deutlich mehr Erdgas aus dem Ausland importieren muss als es selbst zu produzieren in der Lage ist, entsteht in diesem Bereich ein Handelsdefizit. 2.2.2 2.2.2.1 Branchenstruktur Strukturierung und Organisation der Branche Für die Gewinnung von Erdgas aus heimischen Quellen sind Gasfördergesellschaften aktiv. Der Import von Erdgas wird durch die unten aufgeführten Ferngasgesellschaften übernommen. Dieses Gas erreicht die deutschen Ferngasnetze an den auf Seite 43 beschriebenen transnationalen Verbindungspunkten. Der Deutsche Gasmarkt teilt sich in den Landesgrenzen auf oberster Ebene in zwei Marktgebiete, die jeweils von einem Beteiligungsunternehmen verwaltet werden. In einem Marktgebiet sind die regional vorhandenen Fernleitungsnetzbetreiber (FNB) gruppiert. Das koordinierende Unternehmen mit der Rolle des Marktgebietsverantwortlichen hat folgende Aufgaben: • Einen einheitlichen Bilanzkreis zu verwalten. Dies bedeutet, dass alle unter das Marktgebiet fallenden Leitungen und Speicher als ein „Erdgassee“ betrachtet werden. Gemäß dem Betriebsmodell „Entry-Exit“ lässt ein Erdgashändler sein Gas an einem Eintrittspunkt in das Marktgebiet („Entry“) liefern und an einem Austrittspunkt („Exit“) in ein anderes Netz ausgeben. Die Strecke, die zwischen diesen Punkten liegt, ist für den Lieferanten dabei unerheblich. Er zahlt einen festen Preis für die Übertragung seiner Gasmenge. Der Marktgebietsverantwortliche hat dagegen dafür zu sorgen, dass an allen Austrittspunkten genügend Kapazitäten gemäß Meldungen der Lieferanten verfügbar sind, damit gebuchte Transaktionen durchgeführt werden. • Einen virtuellen Handelspunkt und eine Informationsplattform für Abrechnung und Regelenergie für FNB und VNB zur Verfügung zu stellen. Der Handel dieser Kapazitäten findet über eine Handelsplattform (Börse) statt. Aus dieser Organisation folgt, dass im liberalisierten Gasmarkt jeder Anbieter nur seinen geschätzten Bedarf einen Tag im Voraus anmeldet. Der tatsächliche Ausgleich von Nachfrage und Angebot über entsprechende Mengen wird von den Marktgebietsverantwortlichen übernommen. Die Fernleitungsnetzbetreiber geben somit einen Teil der Aufgaben, die im Gasnetz notwendig sind, an die Marktgebietsverantwortlichen ab [Gaspool 2009]. Die Entflechtung des Gasmarktes schreibt eine Trennung von Netzbetrieb und Vertriebsaktivitäten vor. Die Netze selbst werden deshalb von unabhängigen Fernleitungsnetzbetreibern (FNB) betrieben, die teils hundertprozentige Töchter der unten beschriebenen Ferngasunternehmen sind oder aber durch Verkauf oder Beteiligungen anderweitig zuzuordnen sind. Zu den Aufgaben der FNB gehört: 48 Bundesamt für Sicherheit in der Informationstechnik Branchen • Allen Marktteilnehmern diskriminierungsfreien Zugang zu ihren Netzen zu gewähren. Somit hat ein FNB allen Marktteilnehmern die gleichen Rechte und Preise für diesen Zugang einzuräumen. Zu diesem Zweck ist eine Entflechtung von Netz und Vertrieb vorgeschrieben. • Sich in den oben beschriebenen Marktgebietsverantwortlichen zusammenzuschließen, die jeweils den Transport in einem räumlich abgegrenzten Gebiet organisieren. Die Höhe des beim Transport über die Leitungen des FNB anfallenden Netzentgelts wird von der Bundesnetzagentur reguliert und über die Handelsebenen an den Endverbraucher weitergereicht. Über ein Anreizsystem wird einem FNB für eine höhere Netzqualität die Erhebung höherer Netzentgelte gestattet. Es gibt Überlegungen, diese Anreize an Investitionen in die IT-Sicherheit zu koppeln. Bei den Ferngasunternehmen, die die Kapazitäten der Marktgebietsverantwortlichen oder genauer der in ihnen organisierten Fernleitungsnetzbetreiber in Anspruch nehmen, gibt es einerseits überregionale Ferngasunternehmen mit Importbezug. Sie führen Gas grenzüberschreitend aus den europäischen und außereuropäischen Exportländern zu oder handeln inländisch produziertes Gas. Sie haben in der Regel keinen direkten Endkundenkontakt. Außerdem übernehmen sie die Durchleitung für ausländische Betreiber. Regionale Ferngasunternehmen ohne Importbezug andererseits besitzen keine Förderquellen und führen keinen wesentlichen Import durch. Sie erhalten ihr Gas durch den Handel mit überregionalen Unternehmen. Dieses Gas verkaufen sie entweder an kleinere Versorger (siehe Regional- und Ortsgasunternehmen) weiter oder beliefern direkt Endkunden. Da der Verbrauch von Erdgas über das Jahr gesehen stark schwankt, wird in den Sommermonaten Erdgas in unterirdischen Speichern zwischengelagert und in den Hochlastzeiten verbraucht. Diese Speicher werden teils direkt von Erdöl- oder Erdgasfördergesellschaften oder von Energiekonzernen als Gas-Speicherbetreiber betrieben, teils aber auch von eigenständigen Unternehmen. Den Ferngasunternehmen nachgeschaltet sind Regional- und Ortsgasunternehmen und auf Netzseite Verteilnetzbetreiber (VNB). Wie beim Ferngas herrscht auch hier eine vorgeschriebene Trennung von Vertriebsaktivität und dem Netz in Verantwortung der jeweils von den Regional- und Ortsgasunternehmen genutzten Verteilnetzbetreiber. Die VNB sind die Eigentümer des Netzes in ihrem Geschäftsgebiet, das oftmals eine ganze Region umfasst. Neben Unternehmen mit eigenem Netz gibt es auch Firmen, die als reine Händler Gas an den Börsen erwerben und gegen Gebühr durch fremde Netze leiten lassen. Seit der Liberalisierung des Marktes ist dies auch für Dritte wirtschaftlich möglich. Für den Gas- und Kapazitätshandel gibt es Handelsplattformen, auf denen die entsprechenden Unternehmen miteinander Geschäfte abwickeln können. Ein Einkauf von Energie kann auf dem Terminmarkt oder dem Spotmarkt durchgeführt werden. Neben den Börsen für das Gas werden auch die Leitungskapazitäten (Primär- und Sekundärkapazitäten) für die Durchleitung gehandelt, wie es durch die Gasnetzzugangsverordnung gefordert wird. 2.2.2.2 Marktteilnehmer Erdgas wird in Deutschland von fünf Gasfördergesellschaften gefördert, die Förderstellen entweder alleine oder in Kooperation mit einem Mitbewerber betreiben. Diese entsprechen zum größten Teil den in der Erdölförderung aktiven Unternehmen. 2012 waren, nach Fördermenge sortiert, folgende Gesellschaften aktiv: Bundesamt für Sicherheit in der Informationstechnik 49 2 Branchen Unternehmen Gasfördermenge (Mrd. m³) ExxonMobil Production Deutschland GmbH (EMPG) 8,1 RWE Dea AG 2,1 GDF SUEZ E&P Deutschland GmbH (GDF Suez) 1,0 Wintershall Holding GmbH 0,5 Rohöl-Aufsuchungs Aktiengesellschaft (RAG) 0,0009 Tabelle 8: Bedeutende Gas-Fördergesellschaften in Deutschland (2012) Quelle: [LBEG 2013b] sowie eigene Berechnungen. Bei Kooperationen wurden Mengen mangels Angabe der genauen Anteile jeweils zu gleichen Teilen den beteiligten Unternehmen zugerechnet. Das geförderte Erdgas wird meist im gleichen Konzern zur Weiterleitung in Fernleitungen oder Verteilnetze eingespeist. Gasnetz Die Fernleitungsnetzbetreiber (FNB) auktionieren die Kapazitäten ihrer Pipelines über eine zentrale Handelsplattform. Diese Auktionierung wird durch die PRISMA-Plattform (früher trac-x primary und secondary) durchgeführt. Der Betreiber ist ein Zusammenschluss verschiedener Transportnetzbetreiber sowie der Energiebörse in Leipzig (EEX). Hier treten die unterschiedlichen Transportnetzbetreiber miteinander in Handelsbeziehungen. Die PRISMA-Plattform wurde seit der Einführung auch auf den europäischen Kapazitätsmarkt ausgeweitet. Das südliche Marktgebiet wird seit 2011 von der NetConnect Germany GmbH & Co. KG (NCG) koordiniert. Beteiligt sind folgende Fernleitungsnetzbetreiber (teils mit Angabe des/der Besitzer/s): – bayernets GmbH in Besitz der bayerngas GmbH (wiederum im Besitz diverser Stadtwerke); – Fluxys TENP GmbH (eigentumsrechtlich entflochten); – GRTgaz Deutschland GmbH; – terranets bw GmbH (in Besitz der EnBW Eni Verwaltungsgesellschaft mbH); – Open Grid Europe GmbH (früher E.ON Gastransport); – Thyssengas GmbH (früher RWE Transportnetz Gas). Über NCG wurden 2013 knapp 0,53 Mrd. MWh Gas umgesetzt, davon 0,42 Mrd. MWh H-Gas und 0,11 Mrd. MWh L-Gas [NCG 2014b]. NCG verfügt über Fernleitungen mit einer Länge von 20.000 km und beliefert 500 Verteilnetze [NCG 2014a]. Das nördliche und östliche Marktgebiet ist im verantwortlichen Beteiligungsunternehmen GASPOOL Balancing Services GmbH (GASPOOL) zusammengefasst. In GASPOOL zusammengeschlossen sind folgende Gasfernleitungsnetzbetreiber: – GASCADE Gastransport GmbH (ehem. Wingas Transport); – Gastransport Nord GmbH; – Gasunie Deutschland Transport Services GmbH (eigentumsrechtlich entflochten); – Nowega GmbH; – ONTRAS Gastransport GmbH – sowie durch die Integration der H-Gas Norddeutschland die jordgasTransport GmbH. 50 Bundesamt für Sicherheit in der Informationstechnik Branchen Die Handelsmenge im Jahr 2013 betrug 1,25 Mrd. MWh, davon 1,12 Mrd. MWh H-Gas und 0,13 Mrd. MWh L-Gas [Gaspool 2014a]. GASPOOL verfügt über Leitungen von ebenfalls ca. 20.000 km Länge und beliefert 350 Verteilnetze mit eigenen Betreibern [FNB Gas 2014a; Gaspool 2014b]. Verteilnetzbetreiber (VNB) sind Unternehmen, die privaten und gewerblichen Endverbraucher einen Anschluss an das Gasnetz ermöglichen. Sie geben außerdem den Lieferanten, die den Kunden Gas verkaufen, gegen Zahlung von Netzentgelten Zugang zu ihren Übertragungskapazitäten. Das übertragene Gas wurde von den Lieferanten zuvor von Ferngasgesellschaften über langfristige Kontrakte oder über die Energie-Börse in einem Termin- oder Spotmarktgeschäft erworben. In beiden Marktgebieten gibt es eine vielfältige Zusammensetzung aus regionalen Versorgungsunternehmen, die lokale Weiterverteiler beliefern oder selbst direkt an Endkunden abgeben, und lokalen Versorgungsunternehmen (häufig Stadtwerke), die meist ausschließlich Endabnehmer beliefern. Diese werden im folgenden Abschnitt beschrieben. Gasvertrieb und Handel In Deutschland sind eine größere Anzahl regionale und überregionale Ferngasunternehmen aktiv. Die überregionalen Ferngasunternehmen importieren oder fördern Erdgas, wobei die regionalen Ferngasunternehmen Gas von den überregionalen Ferngasunternehmen einkaufen und an die Gasversorger veräußern. Die größten Gasversorger (Lieferanten) für Endabnehmer in Deutschland (2012) waren: Unternehmen Gasliefermenge (in Mrd. kWh) E.ON AG1 460,8 2 306,8 RWE AG Thüga Gruppe (als Gesellschaft mit über 100 Stadtwerken) 3 EnBW AG 4 116,5 73,1 EWE AG (inklusive der Stadtwerke Bremen – swb)5 Stadtwerke München 6 Gasag AG (Berlin)7 42,9 58,1 26,2 1 [e.on 2013] [RWE 2013] 3 [Thüga 2014] 4 [EnBW 2013] 5 [EWE 2013] 6 [SWM 2013] 7 [Gasag 2013] 2 Tabelle 9: Bedeutende Gasversorger in Deutschland (2013) Basierend auf einer fortlaufenden Erhebung der Bundesnetzagentur gib es in Deutschland insgesamt 410 Unternehmen unterschiedlicher Größen, die Endverbraucher mit Gas beliefern [BNetzA 2014a]. 2.2.2.3 Beziehungen innerhalb der Branche Verbindungen der Betreiber Insgesamt ist der Wettbewerb in Deutschland im Vergleich mit anderen europäischen Ländern verhältnismäßig stark ausgeprägt. In einzelnen Teilbereichen ist die Konzentration der Anbieter jedoch sehr hoch. Tabelle 10 zeigt den Anteil der größten fünf Anbieter im jeweiligen Bereich des Gasmarktes: Bundesamt für Sicherheit in der Informationstechnik 51 2 Branchen Bereich Anteil der Top 3 Unternehmen (in %) Anteil der Top 5 (in %) Import 59,9 68,5 Speicher-Arbeitsvolumen 49,4 53,7 Gasabgabe an Letztverbraucher 28,5 35,5 Gasabgabe an Gaskraftwerke 35,6 39,4 Tabelle 10: Anteile der größten Unternehmen im Gasmarkt (2012) Quelle: [BNetzA 2013a] Eine detailliertere Marktübersicht würde über den Rahmen dieser Studie hinausgehen, kann jedoch unter anderem dem Monitoringbericht 2013 der Bundesnetzagentur entnommen werden. Verbände Relevant für die Beziehungen der einzelnen Betreiber innerhalb der Gasbranche sind auch die Verbände des Faches. Hierbei lassen sich Verbände mit primär wissenschaftlich-technischer Orientierung, mit primärer Orientierung auf die Interessenvertretung und in Mischformen unterscheiden. Knapp 2.000 Versorgungsunternehmen sind Mitglied im größten Verband, dem Deutschen Verein des Gasund Wasserfaches e. V. (DVGW), dazu 250 öffentliche Einrichtungen und weitere Institutionen sowie 10.000 Einzelpersonen. Der DVGW widmet sich technisch-wissenschaftlichen Aufgaben. Er setzt die allgemeinen Ziele des Gesetzgebers hinsichtlich Schutzvorschriften, Verfahren und Sicherheitspraktiken in die Praxis um. Die deutschen Erdgasproduzenten und -speicherbetreiber sind Mitglied im Wirtschaftsverband Erdöl- und Erdgasgewinnung e. V. (WEG). Der WEG vertritt die Interessen der in diesem Bereich aktiven Dienstleister. Dieser Bereich der beiden Branchen wird als Exploration and Production (E&P) oder als Upstream bezeichnet. Der Bundesverband der Energie- und Wasserwirtschaft e. V. (BDEW) zählt laut eigenen Angaben über 1.800 Mitglieder. Er vertritt die Interessen der Energiewirtschaft und betreibt zu diesem Zweck Interessenvertretung bei der Politik und gegenüber der Öffentlichkeit. Er repräsentiert nach eigenen Angaben 90 Prozent des Stromabsatzes, 60 Prozent des Nah- und Fernwärmeabsatzes, 90 Prozent des Erdgasabsatzes, 80 Prozent der Trinkwasser-Förderung sowie 30 Prozent der Abwasserentsorgung. Der Verband kommunaler Unternehmen (VKU) wurde bereits bei der Strombranche aufgeführt. Er vertritt eine große Zahl von kommunalen Gasunternehmen, die zusammen 62 Prozent der Erdgasversorgung erbringen [VKU 2014]. Der Verband Deutscher Gas- und Stromhändler e. V. (EFET Deutschland) ist eine Tochter der European Federation of Energy Traders (EFET). Er vertritt die Interessen der Energiehandelsunternehmen. In der Vereinigung der Fernleitungsnetzbetreiber Gas e. V. (FNB Gas) sind die Fernleitungsnetzbetreiber (FNB) des Gasmarktes zusammengeschlossen. Des Weiteren gibt es die Deutsche Wissenschaftliche Gesellschaft für Erdöl, Erdgas und Kohle e. V. (DGMK). Sie fördert die Forschung und die technische Weiterentwicklung von Methoden in der Förderung und Verarbeitung von Erdgas, Erdöl und Mineralölprodukten. Die DGMK hat ca. 1.900 Mitglieder. 2.2.2.4 Rolle der öffentlichen Hand Die der Gasbranche zuordenbaren Unternehmen sind in Deutschland einer Reihe von Gesetzen und der nachgelagerten Regulierung unterworfen, die den Rahmen für ihre Aktivitäten vorgeben. Der Markt für die Netzbetreiber ist einerseits von der Liberalisierung des Gasmarktes im Jahr 1998, anderseits von einer zunehmenden Regulierung geprägt, unter anderem seit 2005 durch die Bundesnetzagentur. 52 Bundesamt für Sicherheit in der Informationstechnik Branchen Das Energiewirtschaftsgesetz (EnWG) als „Gesetz über die Elektrizitäts- und Gasversorgung“ existiert bereits seit 1935. Es ist das wichtigste Rahmenwerk für die leitungsgebundene Versorgung mit Strom und Gas. Neben der Sicherstellung der Grundversorgung regelt es auch die Grundlagen des Wettbewerbs im Gas- und Strommarkt. Das EnWG dient außerdem der Umsetzung der energierechtlichen Vorgaben der europäischen Politik. Ein zentraler Punkt des EnWG ist, dass ein Gas- oder Stromanbieter verpflichtet ist, seine Aktivität gegenüber dem Staat anzuzeigen. Für den Betrieb von Netzen ist außerdem eine Genehmigung nötig. § 11 Abs. 1a EnWG und die Umsetzung der Anforderungen des Sicherheitskatalogs gelten auch für die Gasnetze. Die Bundesnetzagentur (BNetzA) ist seit der Reform des EnWG im Jahr 2005 die wichtigste Regulierungsbehörde für den deutschen Gasmarkt. Prinzipiell sind für Unternehmen mit weniger als 100.000 Kunden und einem nicht länderübergreifenden Netz die jeweiligen Landesregulierungsbehörden zuständig. Die BNetzA teilt sich jedoch einige ihrer Zuständigkeiten mit den Landesbehörden oder hat diese für einige Länder übertragen bekommen. Die BNetzA ist außerdem für das Festlegen der Marktpartnerprozesse zuständig. Hierzu gehören auch die Geschäftsprozesse beim Lieferantenwechsel für Gas (GeLiGas), die analog zu den Prozessen im Stromumfeld zu sehen sind [BNetzA 2011b]. Der auf Seite 37 für den Elektrizitätsmarkt beschriebene Sachverhalt zur Anreizregulierung gilt auch für den Gasmarkt. Neben dem EnWG setzt die Bundesnetzagentur auch direkt europäisches Recht um. Ein Aspekt davon ist die Marktüberwachung nach REMIT (Regulation on Wholesale Energy Market Integrity and Transparency) zur Bekämpfung von Insiderhandel und Marktmanipulation. Im Rahmen von REMIT wird der Großhandel für Energie überwacht und Unternehmen sind verpflichtet, Transaktionen und Insiderinformationen an die BNetzA zu kommunizieren. Zukünftig sollen diese Informationen auch an die neue EU-Behörde ACER (Agency for the Cooperation of Energy Regulators) geliefert werden. Meldepflichten Gasspeicherbetreiber sind durch die Störfallverordnung (StöV) und die 12. Bundes-Immissions-schutzverordnung (BImSchV) unter anderem verpflichtet, einen Sicherheitsbericht zu erstellen und an das Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit zu senden. Im Rahmen des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme („IT-Sicherheitsgesetz“), das momentan in einer Entwurfsfassung vorliegt, soll eine Meldepflicht für Vorfälle in IKT-Systemen für Betreiber Kritischer Infrastrukturen eingeführt werden [BMI 2013]. Eine derartige Meldepflicht ist jedoch derzeit nicht der Fall und ein Informationsaustausch ist oftmals nur innerhalb der Unternehmen gegeben. Ein größerer Ausfall der Versorgung wird von den Aufsichtsbehörden registriert und geprüft. Dies gilt insbesondere dann, wenn Gefahr für Menschen oder Umwelt bestanden hat oder besteht. Schutz Kritischer Infrastrukturen Kritische Infrastrukturen werden im Energiesektor von der öffentlichen Hand zum Teil besonders geschützt. Durch § 36 EnWG besteht eine Grundversorgungspflicht der Gasversorger gegenüber den Verbrauchern. Ferner schreibt § 53a EnWG eine Sicherstellung der Versorgung von Haushaltskunden mit Erdgas vor. Bei der Regulierung der Sicherheit setzt die öffentliche Hand analog zur Branche Elektrizität nach § 12g Abs. 2 EnWG vor allem auf die Eigenverantwortlichkeit der Betreiber. Diese wird im Sinne des § 49 Abs. 2 EnWG unter anderem durch die Umsetzung der technischen Regeln der Deutschen Vereinigung des Gas- und Wasserfaches e. V. (DVGW) wahrgenommen. Die Transportnetzbetreiber haben außerdem nach § 12 EnWG die Aufgabe, einen sicheren Netzbetrieb zu gewährleisten. Ungeachtet dessen behält sich das Bundesministerium für Wirtschaft und Energie (BMWi) in § 49 Abs. 4 EnWG vor, zu jeder Zeit Rechtsverordnungen zu schaffen, um die technische Sicherheit und betriebliche Flexibilität zu gewährleisten. Bundesamt für Sicherheit in der Informationstechnik 53 2 Branchen Das BMWi hat in diesem Zusammenhang bereits einen Maßnahmenkatalog erarbeitet, der Instrumente zur Sicherstellung der Gasversorgung enthält. Diese Instrumente wurden in Abstimmung mit den Versorgern erarbeitet und sind bzw. werden momentan umgesetzt. Die Identifikation der Kritischen Infrastrukturen findet unter Mitwirkung der öffentlichen Hand statt. Hierzu bestimmt nach § 12g Abs. 1 EnWG die Regulierungsbehörde alle 2 Jahre die als kritisch für die Versorgung anzusehenden Anlagen und Teile. Zur Überprüfung und Sicherstellung der Netzsicherheit im Sinne des § 12 EnWG führt das BMWi alle 2 Jahre ein Monitoring zur Versorgungssicherheit durch. Dieser Vorgang beruht auf § 51 EnWG. Daneben sind die Netzbetreiber nach § 52 EnWG zur jährlichen Meldung von Versorgungsstörungen an die Bundesnetzagentur verpflichtet. 54 Bundesamt für Sicherheit in der Informationstechnik Branchen 2.3 Mineralöl In der Branche Mineralöl wird im Wesentlichen zwischen den Produktkategorien Rohöle, Mineralöle und Mineralölprodukte unterschieden. Rohöl ist der unbehandelte Rohstoff aus der Erdölförderung. In vielen Fällen werden Rohöle weiterbehandelt und gereinigt, um zusätzliche Nutzungsweisen zu erlauben. Hat Rohöl den Prozess der Raffinierung durchlaufen, wird es als Mineralöl bezeichnet. Für die Gesellschaft und aus Sicht der Kritischen Infrastrukturen sind in erster Linie die Mineralöle und die Mineralölprodukte relevant, da Rohöl in seiner unbehandelten Form nicht direkt verwendbar ist. Während die beiden Branchen Strom und Gas vollständig oder sehr stark auf eine netzgebundene Versorgung setzen, spielt diese in der Mineralölbranche nur im Transport eine im Vergleich geringere Rolle. 104 103 93,4 32,2 18,7 23,5 2,6 Erdölförderung Mineralölverbrauch Mineralölexport Rohölimport Verarbeitungskapazität Mineralölimport Strategische Reserve Abbildung 11: Vergleich unterschiedlicher Mengen in der deutschen Mineralölbranche (2012, in Mio. t Rohöl oder Rohöläquivalente) Quelle: eigene Darstellung (gemäß den im Abschnitt genannten Quellen) Abbildung 11 verdeutlicht, wie stark Deutschland auf einen Import von Rohölen und Mineralölen angewiesen ist. Nicht nur Rohöl wird in großen Anteilen importiert, sondern auch bereits weiter behandelte Mineralöle: Etwa ein Drittel der in Deutschland verbrauchten Mineralöle werden aus dem Ausland importiert. Für den Fall nachhaltiger Importschwankungen wird in Deutschland eine strategische Reserve vorgehalten. Diese belief sich im Jahr 2012 auf ca. 23,5 Mio. t Roh- und Mineralöl und entspricht damit knapp einem Viertel des jährlichen Mineralölverbrauchs. 2.3.1 2.3.1.1 Branchenüberblick Einführung in die Branche Mineralöl Die Mineralöl-Branche umfasst nach der KRITIS-Branchenaufteilung des Bundesministeriums des Innern alle für eine bedarfsgerechte und zuverlässige Versorgung mit Mineralölprodukten nötigen Aktivitäten und Akteure [BMI 2011a]. Im Rahmen dieser Studie werden die wesentlichen Elemente der Wertschöpfungskette und deren Funktionsweise beschrieben. Diese werden folgendermaßen unterteilt: – Produktion und Import von Rohöl und Mineralölprodukten; Bundesamt für Sicherheit in der Informationstechnik 55 2 Branchen – Transport, Speicherung und Lagerung; 20 – Verteilung von Ölprodukten an Privathaushalte und Großverbraucher wie Industrieunternehmen. Allgemeines Die Branche unterscheidet zwischen den Begriffen „Upstream“, „Midstream“ und „Downstream“ [Shell Global 2014; BP Global 2014]. Diese drei wesentlichen Aktivitätsbereiche der Branche werden hauptsächlich von Großkonzernen besetzt, die meist auch auf allen drei „Streams“ tätig sind. • Unter „Upstream“ wird die Exploration und die Förderung des Rohöls zusammengefasst. • Unter „Midstream“ werden die Lagerung und der Transport der Rohprodukte zu den Raffinerien verstanden. Außerdem beinhaltet dieses Segment die Verarbeitung der Rohprodukte zu höherwertigen Mineralölen in Raffinerien und anderen Industrieanlagen. Häufig wird der Begriff „Midstream“ mit dem „Downstream“-Segment kombiniert, da es sich um Dienstleistungen handelt, die oftmals von den gleichen Unternehmen erbracht werden. • Das „Downstream“-Segment enthält die Verteilung der Produkte zum Endkunden. Dies beinhaltet den Betrieb und die Belieferung von Tankstellen, die Belieferung von Industriebetrieben sowie die Verteilung von Heizöl an Endkunden und weiterverkaufende Unternehmen. Zusätzlich zu den zuvor genannten Segmenten ist auch „Trading“, also der (Groß-)Handel mit Öl, Mineralöl und dazugehörigen Finanzprodukten, ein wesentlicher Wirtschaftsfaktor der Branche. Zur direkten Versorgung mit Öl trägt diese Teil-Leistung zwar nicht bei, bei Engpässen im Zahlungsfluss hat das Trading allerdings einen Einfluss auf die anderen Teile der Wertschöpfungskette. Produktion und Förderung • Im ersten Produktionsschritt wird Erdöl zu Tage gefördert. Grundsätzlich gibt es zwei Arten der Förderung: Onshore mit stationären oder mobilen Bohrtürmen und festen Förderanlagen oder Offshore mithilfe von Bohrschiffen, -plattformen und Förderplattformen. In Deutschland gibt es mit dem Feld Mittelplate nur ein reines Ölfeld, das Offshore genutzt wird. Hierzu wurde im Naturschutzgebiet Wattenmeer eine künstliche Insel für die Förderplattform errichtet. Das gleiche Feld wird auch über die Förderstelle Dieksand vom Festland genutzt. Mittelplate/Dieksand war 2012 mit Abstand das förderstärkste Ölfeld in Deutschland mit einem Anteil von über 50 Prozent an der nationalen Gesamtförderung [RWE 2014d]. Im Offshore-Erdgasfeld A6/B4 wird außerdem in relativ geringem Umfang Erdöl aus Kondensat gewonnen [LBEG 2013b]. • Im zweiten Schritt wird Erdöl zu Rohöl aufbereitet. Im Zuge dieses Verfahrens wird Öl an der Förderstelle von überschüssigem Wasser und Sedimenten (z. B. Sand) befreit. Nach diesem Reinigungsprozess erfolgt der Transport zur Raffinerie zwecks Verarbeitung. • Im dritten und letzten Schritt der Produktion wird Rohöl in Raffinerien zu Mineralölprodukten raffiniert [dena 2011]. Deutsche Raffinerien haben 2012 104 Mio. t Rohöl raffiniert [MWV 2013]. Einige Raffinerien sind spezialisiert auf Produkte, deren kurzfristige Verfügbarkeit für die Gesellschaft nicht von kritischer Relevanz ist (unter anderem Baustoffe wie Bitumen). Rohöl wird über Destillation, Reinigung und Veredelung in unterschiedliche Mineralölsorten transformiert. Hierbei entstehen Gase, die als Kraftstoff genutzt werden können, sowie diverse Nebenprodukte. Über weitere chemische Verfahren in den Raffinerien werden Mineralölprodukte gemischt, weiter verarbeitet und mit Zusätzen versetzt. Das Endprodukt wird von den Raffinerien über Tankfahrzeuge, Eisenbahnwaggons oder Pipelines abtransportiert. Der bis zu dieser Stelle beschriebene Teil der Wertschöpfungskette wird als „W2W“ bezeichnet, das für „Well to wheel“ (deutsch „von der Quelle auf die Räder“) steht. 20 Vgl. bzgl. Transport auch die KRITIS-Sektorstudie „Transport und Verkehr“. 56 Bundesamt für Sicherheit in der Informationstechnik Branchen Die deutsche Produktion von Rohöl lag mit 2,6 Mio. t weit unter den Importen von 93,4 Mio. t. Mit einem Anteil von ca. 3 Prozent ist die inländische Förderung für die Versorgungssicherheit folglich nicht essentiell. Die wesentlichen Mineralölprodukte haben folgende Anteile am Gesamtumsatz der Branche: 30 17 5 8 20 20 Dieselkraftstoff Ottokraftstoff Heizöl Rohbenzin Kerosin Weitere Abbildung 12: Anteil von Mineralölprodukten am Gesamtumsatz der Branche (2012) Quelle: [MWV 2013] Verfahren zur synthetischen Erzeugung von Mineralölprodukten wie beispielsweise die Kohleverflüssigung sind unwirtschaftlich und tragen, wenn überhaupt, nur minimal zur Versorgung bei [Bundestag 1983]. Import Neben der Förderung von Rohöl innerhalb Deutschlands, die nur einen geringen Teil des Bedarfs abdeckt, importieren deutsche Unternehmen Rohöl und Mineralölprodukte aus dem Ausland. Beim Import werden Rohöl und raffinierte Produkte auf dem Seeweg transportiert oder auf dem Landweg zuerst in internationale Pipelinenetze eingespeist und in Deutschland wieder entnommen. Insgesamt wurden im Jahre 2012 etwa 93 Mio. t Rohöl importiert, womit der größte Teil des deutschen Bedarfs abgedeckt wurde. Im gleichen Zeitraum wurden zusätzlich 32,26 Mio. t verarbeitete Mineralölprodukte wie Ottokraftstoff oder Heizöl importiert [MWV 2013]. Tabelle 11 zeigt die wichtigsten Ölhandelspartner für Deutschland. Herkunftsland Rohölimport 2012 (in Mio. t) Russische Föderation 34,7 Großbritannien 13,3 Norwegen 9,4 Libyen 8,6 Nigeria 6,7 Tabelle 11: Die wichtigsten Rohölexporteure nach Deutschland (2012) Quelle: [MWV 2013] Der Großteil der Importe erreicht Deutschland auf dem Landweg. Über den einzigen deutschen Hafen für Hochseetankschiffe in Wilhelmshaven werden derzeit ca. 20 Prozent des Rohöls importiert [Deutschlandfunk 2014]. Von dort wird das Öl mittels Pipelines weitertransportiert. Bundesamt für Sicherheit in der Informationstechnik 57 2 Branchen Transport Die Anlieferung von Rohöl an deutsche Raffinerien erfolgt zum größten Teil über Pipelines (ca. zu 80 Prozent). Bei einem Import über den Seeweg wird Rohöl zur weiteren Anlieferung an Raffinerien in Pipelines eingespeist. Dies geschieht beispielsweise am Oiltanking-Terminal im Hamburger Hafen in die Pipelines VOPAK und SHELL [Oiltanking 2014]. Neben Rohöl-Pipelines werden auch technisch ähnliche Produktenpipelines zum Transport der raffinierten Mineralölprodukte betrieben. Dies geschieht meist zum Transport zu Lagerstätten oder zu Großabnehmern wie Flughäfen oder Industrieanlagen. Abhängig von der Länge einer Pipeline und dem Verlauf der Strecke verfügt eine Pipeline über eine oder mehrere Pumpstationen zwischen Anfangs- und Endpunkt. Die Länge aller Rohölpipelines in Deutschland beträgt zusammen etwa 2.400 km [Scinexx 2009]. Bei den Produktenpipelines entfällt der insgesamt längste Teil auf das ursprünglich für militärische Zwecke errichtete North European Pipeline System (NEPS) und das Central Europe Pipeline System (CEPS) der NATO. Überkapazitäten der CEPS-Pipelines werden für privatwirtschaftliche Transporte angeboten. Die Pipelinesysteme werden durch die bundeseigene Fernleitungs-Betriebsgesellschaft mbH (FBG) betrieben und umfassen mehr als 2.000 km Rohrleitungen und dazugehörige Pumpstationen. NEPS und CEPS verfügen neben Pipelines auch über größere Lagerkapazitäten in ca. 100 angeschlossenen Tanklagern. So bezieht beispielsweise der Flughafen Frankfurt am Main große Mengen Kerosin über das CEPS [Bundesanzeiger 2014]. Außerhalb von Pipelines ist die Mineralölbranche entlang der Wertschöpfungskette bei der Anlieferung und Weiterverteilung auf die Dienstleistungen des Sektors Transport und Verkehr angewiesen. Abbildung 13 illustriert diese Wertschöpfungskette. Abbildung 13: Wertschöpfungskette Öl Quelle: Mit freundlicher Genehmigung des American Petroleum Institute (API) [API 2013a] Speicherung und Lagerung Größere Mengen Rohöl oder Mineralölprodukte können in unterirdischen Salzkavernenspeichern vorgehalten werden. Die Befüllung und Entleerung dieser Anlagen geschieht ähnlich zu Gasspeichern über Druckeinspeisung und -entleerung. In diesem Prozess wird Salzsole eingeleitet oder entnommen, um den Druck des physikalisch davon getrennten Mineralöls zu erhöhen oder zu verringern. In Deutschland gibt es 58 Bundesamt für Sicherheit in der Informationstechnik Branchen Stand 2012 acht Speicheranlagen für Rohöl oder Mineralölprodukte und vier Speicheranlagen für Flüssiggas (Propan, Butan, Ethylen und Propylen). Diese umfassen zusammen 103 Einzelspeicher [EEK 2013]. Um eine längerfristige Versorgung mit Rohöl und Mineralölprodukten sicherzustellen, sind alle Erdöl-einführenden oder verarbeitenden Unternehmen verpflichtet, beim Vorhalten der sogenannten Strategischen Reserve mitzuwirken. Die Strategische Reserve soll die Versorgung Deutschlands mit Erdöl und Mineralölprodukten im Fall eines Importausfalls sicherstellen. Sie wurde im Zuge der Ölkrisen und des Boykotts der Organisation erdölexportierender Länder (OPEC) eingerichtet; sie ist im Gesetz über die Bevorratung mit Erdöl und Erdölerzeugnissen (Erdölbevorratungsgesetz – ErdölBevG) geregelt und wird durch den Erdölbevorratungsverband (EBV) koordiniert. Die Reserve soll über ihre Speicherkapazitäten eine Versorgung mit Mineralölprodukten über einen Zeitraum von 90 Tagen sicherstellen. Im Geschäftsjahr 2012/13 wurde eine Menge von 23,48 Mio. t Rohöläquivalent vorgehalten [EBV 2013]. Tatsächlich ist die gesamte Lagerkapazität/Reserve höher als die Strategische Reserve, da sowohl Raffineure als auch Absatzpunkte wie Tankstellen und Endverbraucher oberirdische Tanks für Mineralölprodukte betreiben. Zusammengenommen standen deshalb im Jahr 2011 Tanklager mit einer Kapazität von 63,7 Mio. m³ zur Verfügung [MWV 2013]. Verteilung und Vertrieb Die Verteilung zu den Vertriebsstätten und zu größeren Endverbrauchern (Tankstellen oder die Industrie) findet meist mit Straßentankfahrzeugen statt. Je nach logistischer Planung werden aber auch Eisenbahnkesselwagen und Binnenschiffe genutzt. Eine Ausnahme sind zum Teil Flughäfen und die (petrochemische) Industrie, die ihr Kerosin oder ihre Mineralölprodukte auch über Pipelines wie das CEPS oder die Rhein-Main-Rohrleitung (RMR) erhalten. An die 524 km lange RMR sind beispielsweise petrochemische Werke in Bottrop, Dormagen, Godorf, Wesseling und Oppau angeschlossen. In Deutschland gab es im Jahr 2012 mehr als 14.000 Tankstellen für den Vertrieb der Kraftstoff-Mineralölprodukte an Endverbraucher [MWV 2013]. Hierbei lassen sich Markentankstellen und freie Tankstellen unterscheiden. Während Markentankstellen einem der großen Mineralölkonzerne zugehören und Produkte dieser vertreiben, versorgen sich die freien Tankstellen über den frei zugänglichen Markt direkt bei Raffinerien oder bei Wiederverkäufern. Heizöl wird identisch zu den übrigen Mineralölprodukten über Straßentankfahrzeuge vertrieben. Die großen Mineralölkonzerne besitzen hier Tochterfirmen, die einen großen Marktanteil haben. Des Weiteren gibt es jedoch eine große, heterogene Anzahl von Klein- und Mittelbetrieben. Die Logistik und der Gefahrguttransport sind kein Bestandteil dieser Studie. Trends In der Ölbranche gibt es mehrere Trends, die die Branche in Deutschland in den kommenden Jahren verändern. Diese sind vielfach von Entwicklungen außerhalb Deutschlands oder Europas abhängig. • Die steigende Nachfrage nach Öl in Schwellenländern sorgt für höhere Weltmarktpreise. Die Preise zeigen sich zudem zunehmend volatil [Destatis 2014a]. Die Entwicklung der Handelspartner für Öl zeigt für Deutschland eine zunehmende Diversifizierung der Bezugsquellen. Dies ist ein Trend, der bereits seit 20 Jahren anhält. Nach einer Bewertung der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) konnte Deutschland damit das Ausfallrisiko in der Ölversorgung reduzieren [IMF 2011]. • In der Offshore-Förderung werden zunehmend komplexere Vorkommen erschlossen. Dies ist eine Entwicklung, die sich voraussichtlich fortsetzen wird, speziell vor dem Hintergrund einer gesteigerten Nachfrage. Der steigende Rohölpreis macht auch die Erschließung von schwerer zu erreichenden Ölvorkommen (bis zu einer Tiefe von 8.000 m) wirtschaftlich interessant. Auch in der Nähe der deutschen Nordseeküste wird wieder verstärkt nach Erdölvorkommen gesucht und gebohrt [FAZ 2013]. • Der Einsatz von Fracking wird auch für die Förderung von Öl verstärkt diskutiert. Hier wird neben Potenzialen auch auf die bisher nicht abschließend einschätzbaren Folgen hingewiesen. So könnte es, Bundesamt für Sicherheit in der Informationstechnik 59 2 Branchen abhängig von der Region, zu einer Belastung des Grundwassers oder einer erhöhten Erdbebenwahrscheinlichkeit kommen [BMU 2012]. Da mit den heutigen Methoden weiterhin nur ein Teil der entdeckten Ölvorkommen gefördert werden kann, sind zusätzliche Investitionen in die Forschung und Entwicklung wahrscheinlich. 2.3.1.2 Bedeutung für Staat und Gesellschaft Im Sektor Transport und Verkehr besteht eine besondere große Abhängigkeit von den Produkten und Leistungen der Mineralölbranche. Mit wenigen Ausnahmen wie Elektrofahrzeugen, erdgasbetriebenen Fahrzeugen oder Elektrolokomotiven werden über 90 Prozent aller Verkehrsmittel mit Mineralölprodukten betrieben. Die Konsequenz ist, dass ca. zwei Drittel aller Mineralölprodukte im Sektor Transport und Verkehr verbraucht werden [dena 2011]. Nach Transport und Verkehr sind Privathaushalte und Unternehmen Hauptabnehmer der Mineralölbranche. Die deutsche Gesellschaft ist in erheblichem Maße auf die Verfügbarkeit von Rohöl in ursprünglicher und verarbeiteter Form angewiesen. Das Funktionieren des deutschen Transport- und Verkehrswesens ist eine Grundvoraussetzung zur Erhaltung des öffentlichen Lebens und der Grundversorgung der deutschen Bevölkerung. Ohne die Bereitstellung von Kraftstoffen würde es sowohl im Nah- als auch im Fernverkehr zu massiven Einschränkungen bis hin zu einem Zusammenbruch des Verkehrs kommen. Ein Mangel an Heizöl wäre vor allem in den Wintermonaten in Deutschland mit schweren Folgen verbunden. Rund 20 Prozent der Mineralölprodukte werden zum Betrieb von Heizungsanlagen genutzt [MWV 2014a]. Eine Ersatzstruktur ist nur in Einzelfällen vorhanden, sodass ein Ausfall der Bereitstellung von Heizöl nur schwer auszugleichen ist. Mit steigenden Rohölpreisen hat die Rentabilität von Heizöl jedoch stark abgenommen und seine Bedeutung für die Wärmeerzeugung sinkt beständig. Während weiterhin 29 Prozent der Wohnungen des Baubestandes mit Heizöl heizen, wurde im Jahr 2012 nur noch bei 0,9 Prozent aller neu installierten Beheizungssysteme auf reine Ölheizungen zurückgegriffen. Ersetzt wird Heizöl hier in erster Linie von Wärmepumpen unterschiedlichen Typs sowie durch Fernwärme [BDEW 2013e]. Rohöl und raffinierte Mineralöle sind auch für die deutsche Industrie unverzichtbare Rohstoffe. In der organischen Chemiebranche sind Mineralölprodukte in einem Großteil der Produktionsprozesse zu finden. Lieferengpässe oder -verzögerungen könnten zu Umsatz- und Gewinnrückgängen führen, die sich auf nachgelagerte Industrien auswirken und so weiteren wirtschaftlichen Schaden verursachen können. Aus volkswirtschaftlicher Perspektive ist die Ölbranche ein wichtiger Faktor: Veränderungen am Ölpreis oder an den Preisen der Mineralölprodukte haben großen Einfluss auf alle Sektoren, Branchen und auf Privathaushalte. Tabelle 12 zeigt Verbrauchergruppen, die in unterschiedlichem Maße auf die Ölversorgung angewiesen sind: 60 Bundesamt für Sicherheit in der Informationstechnik Branchen Verbrauchergruppe Bedeutung (in %) Substituierbarkeit Haushalte 291 Kurzfristig (Mobile Heizstrahler) Heizung Gewerbe und Dienstleistungen 1 Heizung 29 Kurzfristig (Mobile Heizstrahler) Landwirtschaft 2 Dünge- und Schutzmittel 95† Kurzfristig (Biodünger) Maschinen und Fahrzeuge > 853 Langfristig (Elektromotor, Wasserstoff) Industrie - Rohstoffe für die Chemiebranche Pharmaindustrie 714 Langfristig (Produkte aus Biomasse) Keine Daten - Staat 5 Verkehr 97,7 - Pkw > 806 Langfristig (Elektromotor, Wasserstoff) Flugverkehr > 99† Schwer Anteil des elektrisch betriebenen Öffentlichen Nahverkehrs 50†3 Schwer 1 [BDEW 2013c] [agrarheute 2011] 3 [AEE 2014] 4 [IDW 2013] 5 [dena 2012] † Schätzung 2 Tabelle 12: Abhängigkeitsverhältnisse ausgewählter Abnehmergruppen von der Ölversorgung 2.3.1.3 Wahrnehmung der Branche Daten zur Erwartungshaltung der Gesellschaft zur Zuverlässigkeit der Kraftstoff- und Heizölversorgung sind nicht verfügbar. Es kann jedoch davon ausgegangen werden, dass in Anbetracht der sehr guten Versorgungssituation Ausfälle nicht erwartet und dementsprechend kaum toleriert werden. Insbesondere bei Berufspendlern herrscht eine hohe Abhängigkeit von einer zuverlässigen Kraftstoffversorgung. Nutzer von heizölbefeuerten Heizungen können meist mindestens eine Saison ohne Nachlieferungen auskommen. Die kurzfristige Versorgung mit Heizöl ist deshalb weniger bedeutend und die Versorgungssicherheit wird eher in der langfristigen Perspektive als wichtig wahrgenommen. Die öffentliche Wahrnehmung der Ölbranche hat wesentliche Überschneidungen mit der Wahrnehmung der Gasversorgung in Deutschland. Die Erwartung der Öffentlichkeit an die Branche Mineralöl ist, dass eine Versorgung mit Produkten wie Kraftstoffen, Heizölen, industriellen Rohstoffen und weiteren Endprodukten vorhanden ist. Die Umweltfreundlichkeit des fossilen Rohstoffs und die langfristige Verfügbarkeit von Energieträgern („Peak Oil“) werden zunehmend zu einem öffentlichen Anliegen. Folgende Themen sind dabei von besonderer Relevanz: • Die Versorgungssituation mit Öl ist wesentlich von Importen abhängig. Diese erfolgen teilweise aus dem europäischen Wirtschaftsraum (Norwegen, Niederlande oder Großbritannien), aber auch aus nichteuropäischen Staaten wie Russland, Libyen, Nigeria oder Kasachstan [BAFA 2014]. Die Abhängigkeit Bundesamt für Sicherheit in der Informationstechnik 61 2 Branchen der deutschen Gesellschaft von diesen Ölexportierenden Staaten wird mit Blick auf die politischen Beziehungen zu den jeweiligen Ländern immer wieder kritisch hinterfragt. • Auch wenn die Fördermethode des „Fracking“ hauptsächlich mit Erdgas in Verbindung gebracht wird, ist sie auch zur Förderung von Öl anwendbar. So könnte die Förderung von Öl gleichermaßen zu einer öffentlichen Debatte im Kontext des Fracking führen. In der Vergangenheit als erschöpft angesehene Ölvorkommen werden durch Fracking wieder reaktiviert, da damit wirtschaftlich förderbare Mengen Rohöl aus der Lagerstätte gelöst werden können [Neue OZ 2014]. • Ölkatastrophen, wie jene im Golf von Mexiko im Jahr 2010, haben auch in Deutschland das öffentliche Bewusstsein für die Folgen solcher Unfälle geschärft. Öl wird deshalb häufig als umweltschädlich und die Förderung als risikoreich wahrgenommen. 2.3.1.4 Volkswirtschaftlicher Kontext Die Bruttowertschöpfungsleistung der Mineralölbranche beträgt ca. 28,5 Mrd. Euro. Die Beschäftigungszahlen belaufen sich auf nach eigenen Angaben auf ca. 324.000 Personen. Damit ist die Mineralölbranche ein größerer Arbeitgeber als beispielsweise die Elektrizitätsbranche in Deutschland [HWWI 2010]. Für die öffentliche Hand ist die Mineralölsteuer ein wichtiger Bestandteil der steuerlichen Einnahmen. Sie belief sich im Jahr 2012 auf 32,8 Mrd. Euro. Damit ist die Mineralölsteuer die ertragreichste Bundessteuer mit einem Anteil von 47,4 Prozent der gesamten Bundessteuereinnahmen [BMF 2013].21 Bei der Erzeugung von Elektrizität entfällt nur noch ein geringer Teil auf Mineralölprodukte. 2013 hatten diese einen Anteil von 1 Prozent an der Bruttostromerzeugung [Destatis 2014b]. Gleichzeitig besteht seitens der Elektrizitätsbranche jedoch eine hohe Abhängigkeit von Mineralölprodukten wie Schmierstoffen und weiteren chemischen Erzeugnissen. 2.3.2 2.3.2.1 Branchenstruktur Strukturierung und Organisation der Branche Der folgende Abschnitt erläutert die Struktur des Marktes in den Bereichen Mineralölproduktion, -transport und -vertrieb in Deutschland. Die Förderung von Erdöl wird von Erdölfördergesellschaften übernommen. Die meisten in Deutschland aktiven Fördergesellschaften befinden sich dabei im Besitz eines oder mehrerer großer Mineralölkonzerne. Erdöl wird meist nur grundlegend gereinigt in Rohform transportiert und erst nah am Bestimmungsort in die einzelnen Mineralölprodukte umgewandelt. Dies geschieht in Großraffinerien der Raffineure. Diese sind zumeist Teilgesellschaften großer Mineralölkonzerne. Der Transport von Rohöl und teils von Produkten findet über Land in Pipelines statt. Diese werden meist von eigenen Pipeline-Betreibergesellschaften unterhalten, die in der Regel einem oder mehreren Mineralölkonzernen zugehörig sind. Im Vertriebs sind einerseits die Tankstellenbetreiber (größtenteils im Besitz der Mineralölkonzerne) als Vertriebspunkte für Kraftstoffe und die Heizöllieferanten für die Brennstoffbereitstellung von Heizöl zur Wärmeversorgung zu nennen. Die Dienstleistungen der Branche werden überwiegend von wenigen Konzernen erbracht, die über die gesamte Wertschöpfungskette hinweg aktiv sind. Details können der unten anstehenden Übersicht der Marktteilnehmer entnommen werden. 21 Die Einnahmen bei Lohn- und Umsatzsteuer sind höher, diese Steuern zählen jedoch nicht zu den Bundessteuern, sondern zu den Gemeinschaftssteuern. 62 Bundesamt für Sicherheit in der Informationstechnik Branchen 2.3.2.2 Marktteilnehmer Die Unternehmen der Mineralölbranche sind vornehmlich in privater Hand. Durch Beteiligungen sind aber in vielen Fällen staatliche Akteure indirekt beteiligt. Ein Beispiel für eine nicht-deutsche staatliche Beteiligung ist die Ruhr Oel GmbH. Diese ist nicht nur Betreiber der zweitgrößten deutschen Raffinerie in Gelsenkirchen, sondern befindet sich zu gleichen Teilen im Besitz von BP und Rosneft, wobei Rosneft zu 75 Prozent dem russischen Staat gehört [Bayernoil 2014]. Im Jahr 2011 übernahm Rosneft 50 Prozent der Anteile an der Ruhr Oel GmbH vom staatlichen venezolanischen Ölkonzern PdVSA [ChemSite 2014]. Aus Abbildung 14 geht hervor, dass über 70 Prozent des Mineralölmarktes von fünf Konzernen eingenommen wird. Diese Konzerne sind zudem an anderen Unternehmen beteiligt. 35 29,5 30 25 23,5 22 20 15 10 10 7,5 7,5 Total Esso 5 0 Aral/BP Shell Jet Sonstige Abbildung 14: Marktanteile der Mineralölkonzerne in Deutschland in Prozent (2011) Quelle: [BKartA 2011] Insgesamt wurden in Deutschland im Jahr 2012 ohne Kondensate aus der Erdgasförderung 2,6 Mio. t Erdöl gefördert. Die größten Erdölförderunternehmen waren: Unternehmen Fördermenge (in Mio. t) RWE Dea AG 1,400 GDF SUEZ E&P Deutschland GmbH 0,500 ExxonMobil Production Deutschland GmbH 0,400 Wintershall Holding GmbH 0,300 Storengy Deutschland GmbH 0,009 Tabelle 13: Ölfördergesellschaften in Deutschland (2012) Quelle: [LBEG 2013b] sowie eigene Berechnungen. Bei Kooperationen wurden die Fördermengen mangels Angabe der genauen Anteile jeweils zu gleichen Teilen den entsprechenden Unternehmen zugerechnet. Die wichtigsten Raffineure (Betreiber einer Raffinerie) in Deutschland nach Rohölverarbeitungskapazität im Februar 2014 waren: Bundesamt für Sicherheit in der Informationstechnik 63 2 Branchen Unternehmen Fördermenge (in Mio. t) Shell Deutschland Oil GmbH 30,5 BP Europa SE 12,0 Total S.A., Paris 12,0 Ruhr Oel GmbH 10,2 Rosneft Holdings Limited S.A. 6,4 9 weitere Betreiber 34,4 Tabelle 14: Bedeutendste Raffineure in Deutschland (2014) Quelle: [MWV 2014b]. Bei Kooperationen wurden die Fördermengen mangels Angabe der genauen Anteile jeweils zu gleichen Teilen den entsprechenden Unternehmen zugerechnet. Die größten fünf Produktionsstätten im Sinne von Raffinerien sind, mit Ausnahme der TOTAL Raffinerie, in Eigentum mehrerer Unternehmen oder Gesellschaften. Diese Raffinerien sind in der Lage, die meisten Mineralölprodukte zu produzieren. Davon ausgenommen sind Spezialraffinerien für Bitumen oder besondere Schmieröle. Mit Stand Februar 2014 waren die bedeutendsten Standorte nach Rohölverarbeitungskapazität [MWV 2014b]: Standort Betreiber Rohölverarbeitungskapazität (in Mio. t) Karlsruhe MiRO Mineraloelraffinerie Oberrhein GmbH & Co. KG 14,9 Gelsenkirchen Ruhr Oel GmbH 12,8 Leuna TOTAL Raffinerie Mitteldeutschland GmbH 12,0 Schwedt PCK Raffinerie GmbH Schwedt 10,8 Neustadt an der Donau Bayernoil Raffineriegesellschaft mbH 10,3 Tabelle 15: Größte Raffinerien in Deutschland (2014) Quelle: [MWV 2014b] Die wichtigsten Pipelines und Pipelinebetreiber für den Import von Rohölprodukten sind nach Durchsatz im Jahr 2012: Pipelinebetreiber Pipeline Durchsatz (in Mio. t) Deutsche Transalpine Oelleitung GmbH TAL 23,2 Mineralölverbundleitung GmbH MVL 21,6 Nord-West-Oelleitung GmbH NWO 15,5 N.V. Rotterdam-Rijn, Pijpleiding Maatchappij RRP 14,0 Südeuropäische Ölleitung, Lavera-Fos-Karlsruhe SPSE 5,3 Tabelle 16: Wichtigste Pipelinebetreiber und entsprechende Pipeline (2012) Quelle: [MWV 2012] Die deutschen Speicherbetreiber für Untertagespeicher von Rohöl oder Mineralölprodukten waren im Jahr 2012 (mangels Angaben ohne Rangfolge) [LBEG 2013b]: – IVG Caverns GmbH; – Nord-West Kavernen GmbH (für den Erdölbevorratungsverband EBV); 64 Bundesamt für Sicherheit in der Informationstechnik Branchen – Wintershall Holding AG; – Untertage-Speicher-Gesellschaft mbH (USG); – Salzgewinnungsgesellschaft Westfalen mbH&Co. KG. Im Heizölvertrieb agieren verschiedene kleine und mittelgroße Betriebe, die zum Teil regional begrenzt sind und vornehmlich Endkunden beliefern. Die großen Mineralölkonzerne sind auch beim Heizölvertrieb aktiv, beispielsweise der TOTAL Konzern mit seiner Tochtergesellschaft TOTAL Mineralöl GmbH. Daten zu Marktanteilen der einzelnen Unternehmen sind nicht verfügbar. Bei den Tankstellenbetreibern gibt es eine Dominanz der größten fünf Betreiber. Sie besitzen zusammen 68 Prozent Marktanteil. Die größten Betreiber nach Anteilen sind dabei: Tankstellenbetreiber Marktanteil (in %) Aral 21,5 Shell 20,0 Jet 10,5 Total 9,0 Esso 7,0 Bundesverband Freier Tankstellen (bft) 5,0 Tabelle 17: Marktanteile der führenden Tankstellenbetreiber am Kraftstoffabsatz (Januar 2014) Quelle: [statista 2014] nach Zahlen des Energie Informationsdienstes 2.3.2.3 Beziehungen innerhalb der Branche Die Mineralölbranche in Deutschland zeichnet sich sowohl durch enge Beziehungen der Unternehmen innerhalb eines Produktionsschrittes als auch zwischen den Produktionsstufen aus. Insbesondere die fünf großen Mineralölkonzerne (BP, ConocoPhilipps, ExxonMobil, Shell und Total) haben eine marktbeherrschende Stellung in fast allen Stationen der Wertschöpfungskette: 22 • Die Förderung von Erdöl in Deutschland ist unter einer vergleichsweise kleinen Anzahl an Unternehmen aufgeteilt. Diese fördern jedoch nicht immer exklusiv an einer Lagerstätte, sondern bilden Kooperationen, die aus mehreren Unternehmen bestehen. Die tatsächliche Förderung erfolgt zumeist nicht durch das Unternehmen selbst, sondern wird an externe Dienstleister vergeben. Aufgrund des hohen Investitionsvolumens und des notwendigen Spezialwissens ist die Zahl der aktiven Dienstleister in diesem Segment gering. Die Folge ist, dass Dienstleister parallel für mehrere Förderunternehmen tätig sind. Dies zeigt sich insbesondere bei der Bohrung, bei der beispielsweise das Unternehmen ITAG Projekte für alle in Deutschland aktiven Förderunternehmen durchführt [ITAG 2013]. • Bei den Raffinerien zeigt sich ein ähnliches Bild. Die Betreibergesellschaft einer Anlage wird vollständig durch die beteiligten Unternehmen kontrolliert. Im Fall der größten deutschen Raffinerie MiRO sind dies beispielsweise Shell Deutschland Oil GmbH, Esso Deutschland GmbH, Ruhr Oel GmbH (BP und Rosneft) sowie die ConocoPhillips Continental Holding GmbH. Bei den Tanklagern besitzen die Mineralölkonzerne große Kapazitäten oder mieten diese von selbstständigen Unternehmen direkt an [BKartA 2011]. • Der Transport von Rohöl ist ebenfalls zu bedeutenden Teilen in der Hand der großen Unternehmen. Beispielsweise sind alle Konzerne an der Deutsche Transalpine Oelleitung GmbH beteiligt, die die 22 Eine detailliertere Darstellung der Marktsituation geht über den Rahmen dieser Studie hinaus. Sie kann jedoch unter anderem für den Bereich Vertrieb der Sektoruntersuchung Kraftstoffe des Bundeskartellamts entnommen werden [BKartA 2011]. Bundesamt für Sicherheit in der Informationstechnik 65 2 Branchen TAL-Pipeline betreibt. Bei der Nord-West-Oelleitung GmbH (NWO-Pipeline) und der Norddeutsche Oelleitungsgesellschaft m.b.H. (NDO-Pipeline) sind sowohl Shell als auch BP/Aral Gesellschafter [BKartA 2011]. • Beim Vertrieb von Mineralölprodukten verhält es sich ebenfalls ähnlich. Infolge eines exklusiven Zugangs zu Raffineriekapazitäten in Deutschland und des bundesweiten Tankstellennetzes, das sich hauptsächlich in der Hand der großen fünf Mineralölkonzerne befindet, sind diese Unternehmen für ca. 65 Prozent des jährlichen Absatzes von Kraftstoffen verantwortlich [BKartA 2011]. Die restlichen 35 Prozent verteilen sich auf kleinere Tankstellenketten und freie Tankstellenbetreiber. Verbände Wie in den anderen Branchen auch sind die Unternehmen der Mineralölbranche wissenschaftlich-technischen Verbänden und in Verbänden zur Interessenvertretung organisiert. in Der wichtigste Verband der Branche ist der Mineralölwirtschaftsverband e. V. (MWV). Er ist sowohl in technischer Hinsicht bei Fragen der Standardisierung und bei Verfahrensvorschriften aktiv (beispielsweise bei der Erstellung von Vorschriften zum Umweltschutz und zur Sicherheit) als auch bei der politischen Interessenvertretung. Im MWV sind mit Stand März 2014 elf Mitgliedsunternehmen vereinigt – darunter alle großen Mineralölkonzerne. Ein weiterer Verband ist der UNITI Bundesverband mittelständischer Mineralölunternehmen e. V. (UNITI). Er beschäftigt sich mit den Bereichen „Brennstoffe, Kraftstoffe, Schmierstoffe und Additive sowie der Tankstelle“. Der Verband repräsentiert nach eigener Aussage 1.700 Mitglieder und damit etwa 90 Prozent der mittelständischen Mineralölunternehmen. Darunter fallen 5.020 Tankstellen (35 Prozent aller Tankstellen in Deutschland), 80 Prozent der deutschen Heizöl- und Brennstoffhändler im Endkundengeschäft und viele Betreiber von Tanklagern. UNITI dient vorrangig dem Austausch der Mitglieder und deren Interessenvertretung [UNITI 2014]. Der AFM+E Außenhandelsverband für Mineralöl und Energie e. V. ist mit ähnlicher Orientierung aktiv, vertritt jedoch deutlich weniger Mitglieder und vorrangig solche mit Importbezug [AFM+E 2014]. Der AFM+E und seine Mitglieder sind zudem Teil des MEW Mittelständische Energiewirtschaft Deutschland e. V. Der Bundesverband Freier Tankstellen (bft) ist ebenfalls Mitglied im MEW. Der bft vertritt 500 Firmen mit 2.250 Tankstellen, die nicht im Besitz der großen Mineralölkonzerne sind [BFT 2014]. 2.3.2.4 Rolle der öffentlichen Hand Die Aufgaben der öffentlichen Hand in Bezug auf die Mineralölbranche lassen sich im Wesentlichen in zwei Bereiche unterteilen. Auf der einen Seite betreiben staatliche Institutionen eine Liberalisierung der Branche. Zugleich sichern sie jedoch auch das Vorhandensein einer funktionierenden marktwirtschaftlichen Ordnung und greifen dafür sofern notwendig regulierend in den Markt ein. Grundsätzlich fällt die Mineralölbranche in die Zuständigkeit zweier Ministerien. Neben dem Bundesministerium für Wirtschaft und Energie (BMWi) ist dies das Bundesministerium für Umwelt, Naturschutz, Bau und Reaktorsicherheit (BMUB). Große (wirtschaftliche) Bedeutung für die Mineralölbranche hat das Bundeskartellamt, eine dem BMWi nachgeordnete Bundesbehörde. Die Behörde hat die Aufgabe, einen funktionierenden Wettbewerb sicherzustellen. Die Mineralölbranche stand die letzten Jahre im Fokus, da mögliche Preisabsprachen untersucht wurden [BKartA 2014b]. Das Bundeskartellamt arbeitet auf Grundlage des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) sowie des europäischen Wettbewerbsrechts. Mit dem Inkrafttreten der Kartellverfahrensordnung 2004 liegt zudem die Umsetzung des europäischen Rechts in den Händen der nationalen Kartellbehörden [Rat 2002]. An der Regulierung der Branche ist unter anderem auch die Markttransparenzstelle für Kraftstoffe (MTS-K) beteiligt. Diese dem Bundeskartellamt zugehörige Institution wurde 2013 gegründet und sammelt aktuelle Informationen zu Kraftstoffpreisen an deutschen Tankstellen, um diese zeitnah öffentlich zu machen 66 Bundesamt für Sicherheit in der Informationstechnik Branchen [BKartA 2014a]. Grundlage für die Arbeit bildet ein Gesetzesbeschluss des Deutschen Bundestags von November 2012 [Bundestag 2012]. Dem BMUB untergeordnet ist der Ausschuss für Rohrfernleitungen. Dieser wurde mit dem Ziel gegründet, schädliche Auswirkungen durch die „Errichtung, die Beschaffenheit und den Betrieb von Rohrfernleitungsanlagen“ zu verhindern, wie die Rohrfernleitungsverordnung (RohrFltgV) von 2002 festlegt [BMWi 2002]. Eine Aufgabe des Ausschusses ist es, die Sicherheitsbestimmungen auf dem aktuellen Stand der Technik zu halten [BAM 2012]. Das Europäische Parlament und die Europäische Kommission erließen 2009 die Erneuerbare-Energien-Richtlinie (Richtlinie 2009/28/EG), die Nutzung von Energien aus erneuerbaren Quellen fördert, indem sie einen Mindestanteil von erneuerbaren Energien im Gesamtenergiemix festlegte [EU 2009]. Das Ziel ist, dass 20 Prozent des EU-Gesamtverbrauchs bis 2020 aus erneuerbaren Energien gespeist werden. Die Richtlinie hatte erhebliche Auswirkungen auf die Mineralölbranche in Deutschland und führte zur schrittweisen Einführung von E10 als Kraftstoff. Ein Bioethanolanteil von 5 bis 10 Prozent ist in Deutschland durch die Überarbeitung des Biokraftstoffquotengesetzes (BioKraftQuG) 2009 verankert worden [Zoll 2014]. Dem Kraftstoff mussten somit in den Raffinerien bzw. in einem zusätzlichen Schritt entsprechende Anteile beigemischt werden, was Einfluss auf Produktion und Preis hat. Die europäische Kommission strebt zudem langfristig eine Umstellung der Besteuerung von Kraftstoffen ab etwa 2023 an. Im Zuge dessen soll die Besteuerung von Kraftstoffen an den Energiegehalt und CO 2-Ausstoß eines Energieträgers angepasst werden [Kommission 2011]. Schutz Kritischer Infrastrukturen Gegenwärtig erfolgt in der Branche Mineralöl keine staatliche Aufsicht mit dem Ziel der Gewährleistung der Funktionsfähigkeit im Sinne des Schutzes Kritischer Infrastrukturen. Bundesamt für Sicherheit in der Informationstechnik 67 3 Kritische Dienstleistungen 3 Kritische Dienstleistungen Im Kapitel „Kritischer Dienstleistungen“ werden diejenigen Dienstleistungen des Sektors Energie identifiziert und beschrieben, die für eine Industrienation wie Deutschland eine große Bedeutung zur Sicherung des Gemeinwohls haben. Kritische Dienstleistungen sind Dienstleistungen, deren Ausfall oder Beeinträchtigung zu nachhaltig wirkenden Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen dramatischen Folgen führen kann [BMI 2009]. Die Auswahl an kritischen Dienstleistungen kann zum einem auf den staatlichen Auftrag zur Daseinsfürsorge zurückgeführt werden, zum anderen auch auf ihre Bedeutung als technische Basisinfrastrukturen für andere kritische Dienstleistungen innerhalb oder außerhalb des Sektors Energie. Die Abhängigkeiten untereinander zeichnen sich durch eine Vielzahl von Verbindungen und Wechselwirkungen aus, sodass man von einer komplexen Interdependenz zwischen den Sektoren und damit den kritischen Dienstleistungen ausgehen muss [BMI 2011b]. Im Rahmen dieser Studie werden im Sektor Energie drei kritische Dienstleistungen untersucht: – die Stromversorgung (DL1) über das öffentliche Stromnetz; – die leitungsgebundene Gasversorgung (DL2); – die Heizöl- und Kraftstoffversorgung (DL3); Die Begründung der Auswahl wird in dem jeweiligen Kapitel der kritischen Dienstleistung aufgeführt und unterstützt durch beispielhafte Szenarien der dramatischen Folgen eines Ausfalls. Diese Szenarien orientieren sich an realen Vorfällen oder basieren auf skizzierten Ursachen und Folgen, die nach Expertenmeinungen als realistisch angesehenen werden. Im jeweiligen Abschnitt der Dienstleistung (DL) wird diese als ein Gesamtprozess betrachtet und in ihrer Funktion beschrieben. Hierzu wird die kritische Dienstleistung in Prozessschritte (PS) untergliedert. Diese ermöglichen eine übersichtliche Betrachtung der zur Erbringung der Dienstleistung nötigen Schritte oder Komponenten (siehe Abbildung 15). Jedem Prozessschritt sind betriebsinterne Prozesse (BP) zugeordnet, die die detaillierteste Betrachtungsebene im Rahmen dieser grundlegenden Sektorstudie darstellen. Diese Prozesse bilden einen allgemeinen und von der Realität teils abstrahierten Blick auf den Gesamtprozess. Es werden jedoch keine betreiberspezifischen Eigenheiten betrachtet. Abbildung 15: Modellierung kritischer Dienstleistungen Quelle: eigene Darstellung 68 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen In der Studie werden nur jene betriebsinternen Prozesse aufgenommen, deren Ausfall oder Störung zu einem Ausfall oder einer Beeinträchtigung der gesamten Dienstleistung führen können. In diesem Sinne sind sie die kritischen betriebsinternen Prozesse der Dienstleistung. Auf diese Prozesse wird inhaltlich näher eingegangen, um den Bezug zu betroffenen Anlagen und Betriebsstätten (feste Geschäftseinrichtungen, die der Tätigkeit des Unternehmens dienen) sowie Abhängigkeiten und Zusammenhänge von und zu anderen kritischen betriebsinternen Prozessen herauszustellen. Die betriebsinternen Prozesse einer Dienstleistung werden in einem Diagramm je Prozessschritt dargestellt. Das vereinfachte Prozessmodell der Darstellung (siehe Abbildung 16) nimmt an, dass sowohl die Prozessschritte der Dienstleistung als auch die betriebsinternen Prozesse innerhalb eines Prozessschrittes sequentiell ablaufen. Verschiedene Prozesse können dabei je nach Anlagentyp gegebenenfalls gleichzeitig („und“-Beziehung) oder exklusiv („oder“-Beziehung) ablaufen. Des Weiteren wird angenommen, dass bestimmte unterstützende Prozesse über den gesamten Prozessschritt oder sogar über die gesamte Dienstleistung hinweg relevant sind. Diese übergreifenden Prozesse werden nur einmal beschrieben und an weiteren Stellen referenziert. Elektrotechnisch verbundene Prozesse in der Stromversorgung werden mit einem lila Kreis gekennzeichnet. Diese Prozesse beeinflussen sich elektrotechnisch gegenseitig. Wechselwirkungen treten in der Regel faktisch ohne Zeitverzögerung ein. Die Diagramme stellen zudem, sofern relevant, die vorhergehenden und nachfolgenden Prozesse dar. So wird ermöglicht, dass auch rekursive bzw. kaskadierende Prozesse (beispielsweise Umspannung) abgebildet werden können. Prozessschritt Beispiel (PS(n)) →PS(n-1) BP1 BP1 Vorhergehender Prozess oder →BP4 Prozess 1 BP4 und ggf. BP2 Sich wiederholender Prozess Prozess 4 BP3 Prozess 3 Prozess 2 oder BP5 →PS(n+1) BP1 Nachfolgender Prozess Prozess 5 Unterstützende Prozesse: BP6 Prozess 6 →PS(n+1) BP7 Prozess 7 Abbildung 16: Prozessschritt Beispiel (PS(n)) Quelle: eigene Darstellung Zur Überleitung in die Analyse der Abhängigkeiten der kritischen Dienstleistungen von Informations- und Kommunikationstechnologie (IKT) und zur Bestimmung des Stands der Cyber-Sicherheit werden in der Beschreibung der betriebsinternen Prozesse Risikoelemente vom Typ „Systeme der Informationstechnik (IT) und Kommunikationstechnik (KT)“ identifiziert. Zu beachten ist, dass aufgrund der Komplexität und Heterogenität der Prozesse Details ausgeblendet und Zusammenhänge nicht immer vollständig aufgelöst werden. Die Ausführungen in dieser Studie haben vorrangig zum Ziel, die weitergehenden Fragestellungen zur Cyber-Sicherheit verorten zu können und mit dem grundlegenden Verständnis der Dienstleistungen gezielt auf künftige Herausforderungen und Fragestellungen eingehen zu können. Bundesamt für Sicherheit in der Informationstechnik 69 3 Kritische Dienstleistungen 3.1 Stromversorgung (DL1) Die kritische Dienstleistung „Stromversorgung“ beschreibt im Wesentlichen den Betrieb des öffentlichen Stromnetzes. Dies schließt die Stromerzeugung, den Transport und die Bereitstellung der benötigten elektrischen Leistung beim Verbraucher ein. Zur besseren Übersicht wird der gesamte für die Erbringung der Dienstleistung nötige Prozess in die Prozessschritte Erzeugung, Übertragung und Verteilung unterteilt. Abbildung 17 zeigt die Prozessschritte mit ihren zugehörigen betriebsinternen Prozessen. Abbildung 17: Schematische Darstellung der kritischen Dienstleistung „Stromversorgung“ (DL1) Quelle: eigene Darstellung Ausfall der Stromversorgung Die Umstände, die zu einem teilweisen oder vollständigen Ausfall von Anlagen der Elektrizitätsbranche und damit auch zu einem Ausfall der kritischen Dienstleistung „Stromversorgung“ führen können, sind vielfältig. Das Büro für Technikfolgenabschätzung beim Deutschen Bundestag (TAB) nennt unter anderem „technisches und menschliches Versagen, kriminelle oder terroristische Aktionen, Epidemien, Pandemien oder Extremwetterereignisse“ [Bundestag 2011]. Im Bereich der technischen Umstände entstehen Risiken beispielsweise durch die Komplexität elektronischer Systeme, durch fehlerhafte Programmierung oder durch fehlerhafte Geräte und Anlagen 70 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen (technisches Versagen). Gleichzeitig gibt es aber auch nicht-technische Umstände. Darunter fällt beispielsweise das Risiko eines Angriffs durch Außentäter, die sich Zugriff auf Netzwerke eines Unternehmens verschaffen und Geräte sabotieren können. Aber auch Risiken durch eigene Mitarbeiter („Innentäter“) sind nicht zu vernachlässigen. Unter dem Begriff „Ausfall“ werden im Folgenden ein vollständiger Ausfall der Dienstleistung, eine gravierende Störung der Dienstleistung oder die Zerstörung von Teilen der Infrastruktur (meist verbunden mit Ausfällen) verstanden. Die Umstände, die einen Ausfall verursachen können und die daraus resultierenden Folgen lassen sich mit exemplarischen Szenarien beschreiben: • In Folge falscher Daten über den Netzzustand kann es zu Problemen bei der Regelung der Netzfrequenz kommen. Durch einen daraus resultierenden Abfall der Frequenz können sich Stromproduzenten automatisch vom Netz trennen. Ist es im Rahmen von Notfallreaktionen nicht möglich, das Netz zu stabilisieren, trennt sich über automatische oder manuelle Abschaltprozeduren eine wachsende Anzahl von Produzenten und Verbrauchern vom Netz. Es kommt dadurch zu einem großflächigen Ausfall („Blackout“), der von einem Ausfall einzelner Netzbereiche in Deutschland bis zu Ausfällen in benachbarten Ländern reichen kann. Je früher ein kaskadierender Stromausfall isoliert werden kann, desto wahrscheinlicher kann ein Blackout verhindert werden. Somit sind rasche und effektive Reaktionen auf solche Ausfälle notwendig. • Durch bewusste Manipulation der Leitungsdokumentation werden Bauarbeiten an einer Stelle durchgeführt, an der Stromleitungen verlegt sind. Bei den Bauarbeiten wird ein Kabel getrennt und es kommt zu einem ungeplanten und unkontrollierten Zustand des Stromnetzes. Die Folge kann ein Ausfall analog zum vorherigen Szenario sein. Dies ist der Fall, wenn das (N-1)-Kriterium nicht mehr aufrechterhalten werden kann oder wenn mehrere Kabel oder Leitungen gleichzeitig betroffen sind. • In Folge eines technischen Defekts gibt es eine Überspannung im Netz. Die „Qualität“ des ausgelieferten Stroms entspricht dadurch nicht mehr jenen Werten, für die angeschlossene Geräte ausgelegt sind. Durch diese Störung werden Geräte und Systeme, die über keinen Überspannungsschutz verfügen, möglicherweise zerstört. • Es sind Angriffe denkbar, bei denen ähnlich dem Stuxnet-Vorfall von 2010 auch Turbinen von Kraftwerken durch eine Schadsoftware manipuliert werden. Bleibt diese Manipulation unentdeckt, kann es zur Zerstörung von Teilen der für die Aufrechterhaltung der Stromversorgung nötigen Infrastruktur kommen. Je nach Umfang dieser Zerstörung sind außerdem Versorgungsengpässe oder Ausfälle die Folge. Eine Zerstörung der Infrastruktur ist besonders gravierend, da für einen Wiederaufbau je nach Schadensbild ein hoher Ressourcen- und Zeitaufwand nötig sein kann. • Ein ähnliches Schadensbild zeigte sich 2008/09 bei der Infektion von Leitsystemen durch den Conficker-Wurm, wobei dieser keine Leittechnik angriff, sondern lediglich eine starke Belastung der Systeme verursachte. Obwohl der Conficker-Wurm nicht explizit auf Steuerungs- und Überwachungssysteme abzielte, waren die Systeme trotzdem angreifbar, da diese Standard-Komponenten verwendeten. Folgen eines Ausfalls der Stromversorgung Die Folgen eines Ausfalls der Stromversorgung unterscheiden sich in den einzelnen Teilen der Gesellschaft: • Für die Bevölkerung geht ein zeitlich begrenzter Stromausfall in erster Linie mit einer großen Verunsicherung und Einschränkung der Lebensqualität einher [Bundestag 2011]. Vergangene Ausfälle haben gezeigt, dass insbesondere bei nächtlichen Ausfällen oder Ausfällen, die sich in die Nacht hinein ziehen, mit einem Anstieg der Kriminalität und der Gewaltbereitschaft zu rechnen ist (beispielsweise in New York City im Jahr 1977). Bei längeren Ausfällen können Probleme in der Versorgung von Kranken und Verletzten in Krankenhäusern auftreten. Eine Zerstörung von Anlagen kann auch direkt Menschenleben gefährden, insbesondere wenn Kernkraftwerke betroffen sind. Durch den Ausfall kritischer Dienstleistungen, die auf der Stromversorgung basieren, sind weitere Folgen möglich, die vom Verlust von Freizeit durch einen Ausfall der Verkehrsmittel bis zu lebensbedrohlichen Bundesamt für Sicherheit in der Informationstechnik 71 3 Kritische Dienstleistungen Situationen reichen. Der Stromausfall nach dem Hurrikan „Sandy“ in den USA hat beispielsweise dafür gesorgt, dass die Teile Manhattans, denen noch Strom zur Verfügung stand, überlaufen wurden. Banken, Cafés und Privathaushalte wurden dort zu Treffpunkten, um Mobiltelefone und andere elektrische und elektronische Geräte des täglichen Bedarfs mit Strom zu versorgen. Diese Situation zeigt in kleinem Ausmaß, wie mögliche Folgen eines regionalen Stromausfalls aussehen können [nytimes.com 2012]. • Das Hamburgische WeltWirtschaftsInstitut (HWWI) hat 2013 die potenziellen Gesamtschäden von Stromausfällen geschätzt. Die Schäden enthalten hier kurzfristige Produktionsausfälle für die Wirtschaft und geschätzte Kosten für den Freizeitverlust bei Haushalten. Diese wurden dabei auf Kreisebene analysiert und je nach Tageszeit unterschiedlich berechnet. Für die Stadt Berlin würde ein einstündiger Ausfall (längere Ausfälle wurden nicht berechnet) um 12:00 Uhr Mittag beispielsweise Kosten von 14 Mio. Euro durch Produktionsausfälle und circa sieben Mio. Euro durch Freizeitverluste verursachen [HWWI 2013]. Für den Fall eines Komplettausfalls von einer Stunde zur Mittagszeit in ganz Deutschland wurden (für Haushalte und Wirtschaft) Kosten von ca. 593 Mio. Euro abgeschätzt [Welt.de 2013]. Ein nur einstündiger Gesamtausfall ist jedoch sehr unwahrscheinlich; vergangene Großvorfälle bewegten sich häufig im Bereich mehrerer Stunden, regional sogar bis zu mehreren Tagen. Im Vergleich zu regionalen Ausfällen sind lokale Stromausfälle wahrscheinlicher und generell mit geringeren Schäden verbunden. • Ein länger andauernder und großflächiger Stromausfall würde auch die staatliche Ordnung empfindlich treffen. Diese kann beispielsweise Justizvollzugsanstalten betreffen. Diese können zwar einen kurzen Ausfall über ihre Notstromversorgung kompensieren, nach wenigen Tagen müssten jedoch zusätzliche Maßnahmen bis hin zur Verlegung der Gefangenen ergriffen werden [TAB 2010]. Gleichzeitig wäre auch die Funktion der Ordnungs- und Rettungsdienste wie Feuerwehr und Polizei stark eingeschränkt. Betroffene Elemente wären ferner die Notrufzentralen und die Kommunikation von Einsatzkräften, die nicht per Funk kommunizieren. Bei einem längeren Stromausfall müssten Ersatzmaßnahmen durch den Staat koordiniert werden, die beispielsweise durch das THW, die Bundeswehr oder die Feuerwehren durchgeführt werden. Abhängigkeiten kritischer Dienstleistungen im Sektor Von der Stromversorgung hängen auch die weiteren Dienstleistungen des Sektors Energie in unterschiedlichem Maße ab: • In der Gasversorgung werden große Teile der Infrastruktur durch elektrischen Strom betrieben oder über elektrische und elektronische Mechanismen gesteuert und kontrolliert. Einen Teil des benötigten Stroms bzw. der benötigten Energie erzeugen die Anlagen der Gasversorgung jedoch selbst. So wird beispielsweise das über die Nord Stream Pipeline ankommende Gas in Lubmin durch ein KWK-Gaskraftwerk für den Weitertransport erwärmt und gleichzeitig Strom produziert. Dieses Kraftwerk ist allerdings mit dem öffentlichen Stromnetz verbunden, im Fall eines Blackouts wäre es damit unter Umständen von einer Notabschaltung betroffen. Verdichterstationen im Pipeline-System werden ebenfalls weitestgehend mit dem durch sie transportierten Gas betrieben. Teils werden diese Stationen jedoch aus Effizienzgründen durch elektrisch betriebene Verdichter ersetzt. Beim Transport von Erdgas in Pipelines ist von Folgen ähnlich jenen bei Mineralölpipelines auszugehen (siehe hierzu den folgenden Abschnitt). Dabei muss jedoch beachtet werden, dass sowohl der Bedarf an Energie durch die Erwärmung des Gases und die (Re-)Kompression als aber auch der Grad an Autarkie durch die Möglichkeit des Verbrauchs des eigenen transportierten Gases zur Strom- und Wärmeerzeugung höher ist als bei Mineralöl. Insgesamt besteht folglich eine mittlere bis hohe Abhängigkeit der Gasversorgung von der Stromversorgung. Durch autarke Systeme und die Kopplung von Gaskraftwerken mit Netzknotenpunkten (zur Kompression und Heizung) sind einige Bereiche jedoch faktisch unabhängig vom öffentlichen Stromnetz. Die Gasbranche besitzt außerdem einen hohen Grad an Vorsorgemaßnahmen wie dem Vorhalten von Notstromaggregaten. Die Abhängigkeit der einzelnen betriebsinternen Prozesse innerhalb der Dienstleistung wird im Folgenden weiter aufgeschlüsselt. 72 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen • Die Auswirkungen eines Stromausfalls auf die Treibstoff- und Heizölversorgung wurden 2010 durch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) im Rahmen des Krisenhandbuchs Stromausfall untersucht [BBK 2010]. Für die Raffinierung gibt es je nach Art der Anlage unterschiedliche Abhängigkeiten. Während Raffinerien mit eigener Stromerzeugung in den Inselbetrieb wechseln können, würde es bei Anlagen ohne diese Fähigkeit oder nach Problemen bei der Abkopplung zu einem völligen Stillstand der Produktion kommen. Größere Probleme entstehen in diesem Fall zudem durch Aushärten von Produkten in den Anlagen und der dann notwendigen Reinigung. Pipelines zum Transport von Rohöl oder Mineralölprodukten sind grundsätzlich mit einer Notstromversorgung ausgestattet. Bei einem Ausfall von mehr als acht Stunden sind die Reserven der Notversorgung jedoch wahrscheinlich nicht mehr ausreichend. Während zumindest der Transport von Heizöl in kraftstoffbetriebenen Transportfahrzeugen ohne netzgebundene Stromversorgung möglich ist, stellt sich die Frage der Autarkie von ölbefeuerten Heizkesseln. Theoretisch ist je nach Anlage eine manuelle Zündung möglich, praktisch erfordern moderne Brennwertkessel zur Steuerung eine Stromversorgung. Insgesamt besteht folglich eine mittlere bis hohe Abhängigkeit der Treibstoff- und Heizölversorgung von der Stromversorgung. Durch autarke Systeme (Raffinerien mit Inselbetrieb) sind manche Bereiche jedoch sehr unabhängig vom öffentlichen Stromnetz. Die Mineralölbranche zeichnet sich wie die Gasbranche durch einen hohen Grad an Vorsorgemaßnahmen, wie dem Vorhalten von Notstromaggregaten, aus. Im Folgenden werden die Prozessschritte und betriebsinternen Prozesse der Stromversorgung dargestellt. Bei den elektrotechnisch stark miteinander verbundenen Prozessen (gekennzeichnet durch lila Kreise) muss beachtet werden, dass diese durch elektrophysikalische Naturgesetze unmittelbar miteinander gekoppelt sind. Dadurch können sich Vorfälle in einem Prozess unmittelbar auf verbundene Prozesse auswirken. Störungen der Versorgung verbreiten sich daher nicht nur informationstechnisch, sondern auch elektrotechnisch. Eine Fehlerverbreitung über das Stromnetz verbreitet sich in der Regel schneller als der Informationsaustausch darüber. Die Aufteilung in betriebsinterne Prozesse ist eine idealtypische und modellhafte Darstellung einer „Wertschöpfungskette“ zur Erbringung der Dienstleistung Stromversorgung. In der Realität sind einzelne Prozesse energiewirtschaftlich und technisch viel stärker integriert, als es im Rahmen dieser Erfassung darstellbar ist. Auf diese Verbindungen wird jedoch soweit möglich hingewiesen. Bundesamt für Sicherheit in der Informationstechnik 73 3 Kritische Dienstleistungen 3.1.1 Prozessschritt „Stromerzeugung“ (PS1) Die Stromerzeugung als erster Prozessschritt der Stromversorgung beschreibt weitestgehend die Tätigkeiten von Kraftwerksbetreibern und Betreibern dezentraler Energieerzeugungsanlagen. Auf die Unterschiede zwischen den Erzeugungsformen „konventionell“ und „erneuerbar“ wird in den jeweiligen Prozessen eingegangen. Eine Ausnahme sind die Prozesse BP1 (Brennstoffversorgung) und BP2 (Ansteuerung von Anlagen), die sich jeweils nur auf die konventionelle Erzeugung beziehungsweise die Stromerzeugung aus erneuerbaren Energien beziehen. Mit Abgabe des erzeugten Stroms ins öffentliche Netz geht der Prozess in den Schritt der Übertragung über. Die Kopplung der Erzeugung zur Übertragung ist elektrotechnisch und folgt elektrophysikalischen Gesetzen. Prozessschritt „Stromerzeugung“ (PS1) BP1 BP4 Brennstoffversorgung Energieeinspeisung BP3 oder BP2 Energieumwandlung und ggf. BP5 Entsorgung von Rückständen Ansteuerung von Anlagen → PS2 BP1 Kopplung im Übertragungsnetz oder → PS3 BP1 Kopplung im Verteilnetz Unterstützende Prozesse: BP6 Einsatzplanung →PS2 BP4 Energiehandel (siehe Übertragung) →PS2 BP5 Störungsmanagement (siehe Übertragung) Abbildung 18: Prozessschritt „Stromerzeugung“ der kritischen Dienstleistung „Stromversorgung“ Quelle: eigene Darstellung Der Prozessschritt der Stromerzeugung besteht in dieser Betrachtung aus fünf aufeinander folgenden und drei übergreifenden betriebsinternen Prozessen. Im ersten Teil des Prozessschritts werden stromerzeugende Anlagen entweder mit Brennstoffen beliefert (Brennstoffversorgung), oder sie benötigen zum Betrieb eine Ansteuerung (vor allem bei der erneuerbaren Energieerzeugung). Im nächsten Teil wird die Ausgangsenergie im betriebsinternen Prozess der Energieumwandlung in elektrische Leistung konvertiert. Diese wird im Folgenden im Prozess der Energieeinspeisung ins öffentliche Stromnetz abgegeben. Je nach Kraftwerks- und Anlagentyp findet parallel eine Entsorgung von Rückständen statt. Über den gesamten Prozess der Stromerzeugung läuft der Subprozess der Einsatzplanung. Außerdem ist der Prozess in den Energiehandel und das Störungsmanagement integriert, die sich in dieser Betrachtung über den gesamten Verlauf der Stromversorgung erstrecken und im Prozessschritt der Stromübertragung betrachtet werden. 74 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen In der Stromerzeugung existieren neben den oben dargestellten noch weitere Prozesse. Darunter fallen die Planung von Kraftwerken und die Stilllegung von außer Betrieb genommenen Kraftwerken bzw. Kraftwerksblöcken (insbesondere bei Kernkraftwerken). Aufgrund ihrer geringeren kurz- bis mittelfristigen Kritikalität für die Bereitstellung der Dienstleistung (insbesondere in Bezug auf Informations- und Kommunikationstechnologie) werden diese jedoch im weiteren Verlauf nicht detailliert betrachtet. Der Prozess der Wartung und Instandhaltung ist für die gesamte Dienstleistung kurzfristig nicht kritisch, mittel- bis langfristig jedoch wie bei jeder technischen Anlage notwendig. Die Versorgung mit anderen Betriebs- und Hilfsstoffen wie Schmierstoffen und -ölen fällt ebenfalls unter Wartung und hat lediglich langfristig einen Einfluss auf die kritische Dienstleistung. Wird die Wartung von IT-Systemen jedoch über Fernwartungszugänge durchgeführt, so sind diese Zugänge ein möglicher Angriffsvektor mit Auswirkungen auf kritische Prozesse. Fernwartungszugriffe werden im Rahmen der entsprechenden Anlagen und IT-Systemen betrachtet. Bundesamt für Sicherheit in der Informationstechnik 75 3 Kritische Dienstleistungen 3.1.1.1 Betriebsinterner Prozess „Brennstoffversorgung“ DL PS BP 1 1 1 Zusammenfassung Abhängigkeit Logistik Risikoelemente (IKT) Brennstoffversorgung Der erste betriebsinterne Prozess des Prozessschritts „Stromerzeugung“ ist die Versorgung mit Brennstoff bzw. spaltbarem Material. Um elektrische Energie in einem Kraftwerk zu erzeugen, müssen je nach Kraftwerkstyp Energieträger angeliefert werden. Dieser Prozess umfasst die Betrachtung des Transports bis hin zur Ankunft am Punkt der Energieumwandlung. unwesentlich wesentlich (KRITIS-relevant) Es bestehen hohe Abhängigkeiten beim Transport von Brennmaterial zu Kraftwerken (vor allem bei Braunkohle und Steinkohle über das Bahnnetz). • Prozessführungssysteme • Sicherheitssysteme • Produktionssteuerungssysteme Tabelle 18: Betriebsinterner Prozess „Brennstoffversorgung“ (DL1 PS1 BP1) Prozessbeschreibung Der Prozess beginnt in der vorliegenden Betrachtung mit dem Transport der Brennstoffe und endet mit der Ankunft des Materials am Punkt der Energieumwandlung. Der Abbau bzw. die Herstellung des Brennmaterials wird nicht betrachtet. Jede Stromerzeugung in konventionellen Kraftwerken durch Verbrennung von Energieträgern erfordert eine Brennstoffversorgung. Je nach Kraftwerk kann eine gewisse Rohstoffmenge zwischengelagert werden, die jedoch regelmäßig nachbestellt und nachgeliefert werden muss. Bei Gaskraftwerken ist eine Speicherung nur eingeschränkt möglich und die Zuführung erfolgt kontinuierlich. Aufgrund der Kritikalität für den Gesamtprozess und durch die Abhängigkeit von anderen KRITIS-Sektoren ist die Brennstoffversorgung ein kritischer Betriebsprozess des Prozessschritts „Stromerzeugung“. Bestimmte Kraftwerkstypen erfordern vor der Energieumwandlung eine Aufbereitung der angelieferten Brennstoffe. Angelieferte Kohle muss unter Umständen in Mahlwerken zu Kohlestaub verarbeitet und von Fremdstoffen befreit werden, damit sie in der Brennkammer verwendet werden kann. Daneben sind auch Prozesse zur Ein- und Auslagerung von Brennmaterial für die Brennstoffversorgung wichtig. Große Teile der Vorleistungen des Prozesses der Brennstoffversorgung werden durch den Sektor Transport und Verkehr abgedeckt. Darunter fällt beispielsweise der Transport von importiertem bzw. gefördertem Brennmaterial über die Schiene. Im Falle eines Gaskraftwerks werden weitere Teile des Prozesses vollständig durch die Branche Gas (Zulieferung von Gas an Gaskraftwerke über Pipelines) erbracht. In geringerem Umfang werden auch Leistungen durch die Branche Mineralöl (Zulieferung von Mineralölprodukten an Gas- und Ölkraftwerke über Pipelines oder Tanklastwagen und -waggons) erbracht. Bei der Stromerzeugung aus erneuerbaren Energien ist eine Zuführung von Brennmaterial nicht notwendig. Biomasseanlagen bilden eine Ausnahme; sie verhalten sich ähnlich zu konventionellen Kraftwerken was die Anlieferung von Brennmaterial (Holzreste, Stroh, Gartenabfälle etc.) betrifft. Bei Windenergieanlagen, Solaranlagen und Wasserkraftwerken ist dagegen die Ansteuerung von Anlagen wichtig, um eine Energieumwandlung zu ermöglichen. Dies wird im folgenden Prozess „Ansteuerung von Anlagen“ beschrieben. 76 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.1.1.2 Betriebsinterner Prozess „Ansteuerung von Anlagen“ DL PS BP 1 1 2 Zusammenfassung Abhängigkeit Logistik Risikoelemente (IKT) Ansteuerung von Anlagen Der zweite betriebsinterne Prozess des Prozessschritts „Stromerzeugung“ ist die Ansteuerung der Anlagen zur Energieerzeugung aus erneuerbaren Energien. Diese ermöglicht bei der Energieerzeugung die optimale Nutzung der natürlichen Energiequellen. unwesentlich wesentlich (KRITIS-relevant) Es bestehen keine Abhängigkeiten. • Prognosesysteme • Anlagensteuerungssysteme • Sicherheitssysteme Tabelle 19: Betriebsinterner Prozess „Ansteuerung von Anlagen“ (DL1 PS1 BP2) Prozessbeschreibung Die Ansteuerung von Anlagen der erneuerbaren Energieerzeugung unterscheidet sich je nach Erzeugungsart. Abhängig von der konkreten Anlage und dem Betreiber kann es sich bei der Ansteuerung von Anlagen auch um unterschiedliche Prozesse handeln. Die Anlagen können zudem Teil eines virtuellen Kraftwerks sein, das zentral kontrolliert bzw. koordiniert wird (siehe Abschnitt 2.1.1.5). Bei Wind- und Photovoltaik-Erzeugern werden für die Ansteuerung zum Teil Daten (unter anderem meteorologische Prognosen) benötigt, die Betreiber zuverlässig erhalten müssen. Ansteuerung von Anlagen bezeichnet bei Windkraftanlagen die Windnachführung. Hierbei dreht ein in der Anlage verbauter Motor über einen Zahnkranz Rotor und Gondel zur optimalen Position im Wind. Für den Betrieb der Nachführungsanlage ist ein Energiespeicher bzw. ein Aggregat nötig. Dieser Prozess ist insbesondere bei starken Windgeschwindigkeiten wichtig, um die Belastung zu kontrollieren oder sogar um eine Zerstörung der Anlage durch aus-dem-Wind-Drehen zu verhindern [Allelein 2012]. Ein Ausfall der (IKT-)Steuersysteme durch technisches Versagen, menschliches Versagen oder Manipulation kann vor allem in dieser Situation zu schweren Schäden mit entsprechenden Folgen führen. Bei Photovoltaik-Anlagen werden die Kollektoren nach dem Sonnenstand ausgerichtet, um die verfügbare Sonneneinstrahlung effizient zu nutzen. Es sind jedoch nicht alle Solaranlagen regelbar. Findet eine Ausrichtung nicht statt, so reduziert sich bei vom Optimum abweichender Sonneneinstrahlung die Erzeugungsleistung. Zu einem Schaden an der Anlage kann es durch einen Ausfall des betriebsinternen Prozesses nicht kommen. Eine Ansteuerung wird auch bei Fließwasser-, Gezeiten- und Pumpspeicherkraftwerken durchgeführt. Hierbei wird mittels Ventilen der Wasserfluss durch die Turbinen und Anlage gesteuert, um Strom zu erzeugen. Bei Pumpspeicherkraftwerken wird außerdem Wasser über den umgekehrten Weg wieder in das Reservoir gepumpt. Ähnlich wie konventionelle Kraftwerke sind die erneuerbaren Energien ein Teil der Gesamtstromerzeugung in Deutschland. Dies bedeutet auch, dass die Steuerung dieser Anlagen im Gesamtsystem relevant ist. Der Ausfall oder die Fehlsteuerung eines großen Windparks kann einen ähnlichen Einfluss auf die Erzeugung nehmen wie der Ausfall eines konventionellen Kraftwerks. Bei den Anlagen wird nicht nur eine Ansteuerung von Erzeugungsanlagen durchgeführt, sondern es sind auch bestimmte Lasten regelbar bzw. abschaltbar. Hierbei können die Netzbetreiber zur Regelung des Netzes einzelne Lasten (Verbraucher) ab- bzw. zuschalten. Für diese Leistung erhalten die Anlagenbetreiber eine Bundesamt für Sicherheit in der Informationstechnik 77 3 Kritische Dienstleistungen zuvor vereinbarte Entschädigung oder werden von den Netzentgelten befreit. Die Prozesse zur Ansteuerung dieser Lasten fallen in den Prozess der Systemdienstleistungen (siehe Abschnitt 3.1.2.3). Die Ansteuerung von Anlagen ist abhängig von der Anlage bzw. dem Kraftwerk. Dies gilt auch für die Kritikalität, da einzelne Kraftwerke möglicherweise noch kein kritisches Element darstellen. Der Ausfall bzw. die Beeinträchtigung mehrerer Anlagen zur gleichen Zeit bzw. ein ungeplanter Ausfall stellen jedoch für das Verbundnetz ein Risiko dar. Ähnlich verhält es sich mit dem Vorhalten von Regelenergie. Sind für die Regelenergie notwendige Kraftwerke nicht verfügbar, kann unter Umständen nicht mehr auf Veränderungen im Netz reagiert werden. Unter der Voraussetzung, dass Erzeugungsanlagen mit Brennstoffen versorgt oder korrekt angesteuert wurden, kann der eigentliche Prozess der Stromerzeugung, die Energieumwandlung, durchgeführt werden. 78 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.1.1.3 Betriebsinterner Prozess „Energieumwandlung“ DL PS BP 1 1 3 Zusammenfassung Abhängigkeit Logistik Risikoelemente (IKT) Energieumwandlung Die Energieumwandlung als dritter betriebsinterner Prozess des Prozessschritts „Stromerzeugung“ ist der Kernprozess der Stromerzeugung. Hier wird aus den Primärenergieträgern oder aus natürlichen Energiequellen elektrische Leistung erzeugt. unwesentlich wesentlich (KRITIS-relevant) Es bestehen keine Abhängigkeiten. • Prozessleitsysteme • Sicherheitssysteme Tabelle 20: Betriebsinterner Prozess „Energieumwandlung“ (DL1 PS1 BP3) Prozessbeschreibung Der Prozess der Energieumwandlung ist der eigentliche Kernprozess der Stromerzeugung. Ein Ausfall oder eine Beeinträchtigung der Energieumwandlung von mehreren Kraftwerken oder Erzeugungsanlagen hätte einen wesentlichen Einfluss auf die Stabilität des Stromnetzes und führt, wenn die Reserven der Regelleistung erschöpft sind, zu einem großflächigen Stromausfall. Der Prozess der konventionellen Energieumwandlung beginnt nach der Zuführung des Brennmaterials bzw. des Primärenergieträgers zum ersten Ort der (ggf. mehrmaligen) Umwandlung bis zu kinetischer Energie. Dabei kann es sich je nach Kraftwerkstyp um eine Brennkammer bzw. einen Kessel, einen Reaktor oder direkt um eine Turbine handeln. Nach diesem im Prozess der Brennstoffversorgung verorteten Schritt steht in den meisten Fällen eine (Dampf-)Turbine. Moderne Turbinen werden zunehmend mit IKT-Unterstützung betrieben. Dabei ist die Überwachung des sicheren Betriebs (Drehzahl etc.) unabdingbar. Sicherheitsbetrachtungen befassen sich weitestgehend mit der Unversehrtheit von Leib und Leben der beteiligten Personen. Dies spiegelt sich in den eingesetzten IKT-Elementen wider. Konventionelle Kraftwerke benötigten einen Teil der erzeugten Elektrizität für die eigenen Betriebsprozesse. Im Falle eines großflächigen Stromausfalls sind diese Kraftwerke unter Umständen nicht in der Lage zu produzieren. Hierfür werden zuerst schwarzstartfähige Kraftwerke (beispielsweise Pumpspeicherkraftwerke) hochgefahren, die dann die übrigen Kraftwerke mit dem benötigten Anlaufstrom versorgen. Bevor ein Erzeuger wieder an das Netz geschaltet werden kann, muss gewährleistet werden, dass er synchron zur Netzfrequenz betrieben wird. Ein Schwarzstart des gesamten Verbundnetzes oder größerer Netzsegmente ist nicht nur auf einzelne Kraftwerke angewiesen, sondern auch auf die Kommunikation der Beteiligten während der Wiederanlaufphase. Kraftwerke mit Verbrennungsprozessen sind auf eine bedarfsbezogen verfügbare und ausreichende Kühlung angewiesen. Je nach Kraftwerkstyp kann es sich um mehrere nachgeschaltete Kühlwasserkreisläufe handeln. Neben der Kühlung müssen die Betreiber auch dafür sorgen, dass eine Mindestbetriebstemperatur der Anlagen eingehalten wird. Kühlen Kessel oder Brennkammer zu stark ab, sinkt die Leistung oder ein Betrieb ist nicht mehr möglich. In einer zunehmen Anzahl von Kraftwerken mit Verbrennungsprozessen findet außerdem eine Nutzung der Abwärme durch Kraft-Wärme-Kopplung (KWK) statt. Diese Wärme wird über Fernwärmenetze an Verbraucher abgegeben. Fernwärme ist nicht Bestandteil dieser Studie, kann aber je nach Kraftwerk einen wesentlichen Teil der Kraftwerksleistung ausmachen. Bundesamt für Sicherheit in der Informationstechnik 79 3 Kritische Dienstleistungen Die an der Turbine entstehende kinetische Energie wird über eine Kopplung an einen Generator übergeben. Dieser muss ebenfalls überwachbar und steuerbar sein. Die kurzfristige Erhöhung der Leistung eines Generators wird insbesondere auch für die Produktion von Regelenergie genutzt (Sekundenreserve). Die Stromumwandlung ist dafür direkt mit dem folgenden Prozess der Energieeinspeisung gekoppelt. Wird viel Strom benötigt, so müssen Generatoren mehr Energie erzeugen, da die Leistungsbilanzen im Verbundnetz ausgeglichen sein müssen. Differenzen können in geringem Umfang durch die Generatoren selbst ausgeglichen werden. Es kann jedoch zur Bereitstellung der Minutenreserve auch die Leistung insgesamt erhöht werden. Eine Anpassung der Leistung und somit der Einfluss auf die Frequenz ist nur mit Verzögerung möglich. Dies ist darauf zurückzuführen, dass die rotierenden Massen der Generatoren und Motoren bei Leistungsänderungen mit Drehzahländerungen reagieren. Diese Änderungen sind mit Verzögerungen verbunden. Ist der Unterschied zwischen notwendiger Einspeisung und möglicher Erzeugung zu groß, beeinflusst dies die Netzfrequenz. Weicht die Netzfrequenz zu stark von den Sollwerten ab, schalten sich die Erzeugungs-Anlagen ab, um Beschädigung von Generatoren, Anlagen und anderen Komponenten zu vermeiden. Windkraftanlagen, Solaranlagen und Wasserkraftwerke sowie andere Anlagen zur Erzeugung aus erneuerbaren Energien besitzen keinen Unterprozess der Verbrennung oder Kernspaltung (mit Ausnahme von Biomassekraftwerken). Sie wandeln kinetische oder Sonnenenergie aus der Natur direkt in elektrische Energie um. Während Wasserkraftwerke ebenfalls eine Turbinen-Generator-Kombination enthalten, funktionieren Windkraftanlagen ausschließlich mit Generatoren (die sich in den Gondeln befinden). Solaranlagen (Photovoltaik) besitzen keine beweglichen Teile, die direkt für die Erzeugung notwendig sind. Gerade bei älteren Kraftwerkstypen und Erzeugungsanlagen ist die Energieumwandlung ein Prozess, der manuell oder elektronisch ausgeführt werden kann. Jedoch sind mittlerweile auch diese älteren Anlagen meist mit digitalen Mess-, Steuerungs- und Regelsystemen nachgerüstet worden. Eine direkte Trennung von Stromerzeugung, Transport und Verteilung ist nicht möglich. Die Wechselwirkungen zwischen Erzeugung und Transport wirken sich vielmehr auch über große Entfernungen aus. Der gleichzeitige Ausfall mehrerer kleinerer Erzeuger in einem Netzsegment hat damit beispielsweise einen sehr ähnlichen Einfluss auf die Netzstabilität wie der Ausfall eines einzelnen, vergleichbar großen Erzeugers. Der Prozess der Energieumwandlung endet für die meisten Erzeuger mit der Abgabe von elektrischer Leistung durch einen Generator. Solaranlagen und Brennstoffzellen benötigen und besitzen keinen Generator und damit auch keine rotierende Masse. Anschließend wird der erzeugte Strom in das Verbundnetz eingespeist. 80 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.1.1.4 Betriebsinterner Prozess „Energieeinspeisung“ DL PS BP 1 1 4 Zusammenfassung Abhängigkeit Logistik Risikoelemente (IKT) Energieeinspeisung Den vierten betriebsinternen Prozess des Prozessschritts „Stromerzeugung“ bildet die Energieeinspeisung. Diese umfasst im Wesentlichen die Übernahme der elektrischen Energie durch die an der Einspeisung beteiligten Systeme vom Punkt der Energieerzeugung. unwesentlich wesentlich (KRITIS-relevant) Es bestehen keine Abhängigkeiten. • Leitsysteme (Prozessleittechnik, Netzleittechnik) • Mess- und Überwachungssysteme (Temperatur, Spannung, Frequenz) • Steuerungselemente (Schalter, Regler etc.) • Mess- und Steuerungselemente in der Feldebene Tabelle 21: Betriebsinterner Prozess „Energieeinspeisung“ (DL1 PS1 BP4) Prozessbeschreibung Der Prozess der Energieeinspeisung beginnt mit der Übernahme des elektrischen Stroms von einem oder mehreren Generatoren durch die am Prozess der Einspeisung beteiligten Systeme. Dies erfolgt normalerweise in der Nähe der Generatoren oder im Erzeugersystem selbst. Bevor Strom in das Übertragungsnetz eingespeist werden kann, muss er meist von der niedrigeren Spannung der Generatoren auf 220 kV oder 380 kV hochgespannt werden. Teilweise speisen kleinere und mittlere Kraftwerke aber auch direkt in Verteilnetze mit geringerer Spannung ein. Die Generatoren müssen außerdem mit der Netzfrequenz synchronisiert werden. Diese Synchronisierung ist notwendig, damit störungsfrei in das Netz eingespeist werden kann. Auf welcher Spannungsebene die Einspeisung erfolgt, hat auf die Art des IKT-Einsatzes in diesem Prozess nur geringen Einfluss; generell werden Umspannanlagen jedoch über IKT-Systeme gesteuert. Die Steuerung kann auch aus der Ferne (beispielsweise durch ein Leitsystem) übernommen werden, um Anlagen z. B. vor- bzw. umzuparametrieren. Auch kann beispielsweise das Verhalten der Anlagen teilautomatisiert sein mit steuernden Eingriffen bei besonderen Betriebssituationen. Je höher die Spannungsebene und die Anschlussleistung ist, desto größer ist in der Regel der Einfluss auf die Stabilität des Verbundnetzes, wenn bei der Einspeisung Komplikationen auftreten. Neben der Einspeisung von Strom in das öffentliche Stromnetz ist bei Wasserkraftwerken auch eine Ausspeisung aus dem Netz möglich. Hierbei wird überschüssiger Strom durch das Pumpen von Wasser in Wasserbecken gespeichert. Diese Wasserkraftwerke tragen durch die Erzeugung von Regelenergie zu einem stabilen Verbundnetz bei und können für den Schwarzstart von Kraftwerken verwendet werden. Eine Stromeinspeisung kann auf allen Ebenen des Verbundnetzes erfolgen. Kleinere Erzeuger wie Photovoltaik-Anlagen oder BHKW speisen primär auf der Verteilnetzebene ein. Größere Erzeuger wie Kraftwerke oder Windparks speisen auf der Hochspannungs- oder Höchstspannungsebene ein. Relevant sind außerdem die Prozesse des Betriebs von hybriden Kraftwerken und leistungsgeführten virtuellen Kraftwerken (siehe Abschnitt 2.1.1.5). Dabei werden stärker schwankende, regenerative Energieerzeuger entweder mit einem flexiblen Energiespeicher (Power-to-Gas) oder mit anderen Anlagen (Pumpspeicherkraftwerke) kombiniert, um insgesamt eine stabile Leistung bereitstellen zu können. Betreiber virtueller Kraftwerke integrieren eine Vielzahl unterschiedlicher Erzeuger und koordinieren deren Einspeisung. Diese Techniken werden bisher nur in geringem Umfang eingesetzt (ca. ein Dutzend produktive Systeme), diese Zahl nimmt jedoch zu. Unternehmen wie T-Systems oder Siemens bieten hier Bundesamt für Sicherheit in der Informationstechnik 81 3 Kritische Dienstleistungen bereits Lösungen an, bei denen die Steuerung der Energieerzeugungsanlagen in der sogenannten „Cloud“ in den Rechenzentren des Dienstleisters zusammengeführt wird [Handelsblatt 2014a]. Bei größeren Offshore-Windparks wird für die Umwandlung und Einspeisung eine eigene Plattform für ein Umspannwerk errichtet, mit dem die Seekabel der Anlagen und das Netz am Festland verbunden sind. Die Energieeinspeisung erfolgt ausschließlich über das leitungsgebundene Stromnetz und die betriebsinternen Prozesse sind eng miteinander verbunden. Eine Stromerzeugung ohne ein funktionierendes Übertragungsund Verteilnetz bzw. ohne Verbraucher ist aus elektrotechnischen Gründen nicht möglich. Neben den Umspannungs- und Einspeiseanlagen in der Nähe der Kraftwerke bzw. Erzeuger sind weitere Einspeiseanlagen beim Austausch mit anderen Ländern mit asynchronen Netzen vorhanden. Über die Anlagen wird ein Stromimport bzw. -export realisiert; im Regelfall handelt es sich dabei um eine Leitung mit Hochspannungs-Gleichstrom-Übertragung (HGÜ) mit Umrichtern und Transformatoren für Wechselstrom (Stromrichter) an jedem Ende. Energieerzeugungsanlagen sind mit manuellen oder automatischen Abschaltanlagen ausgestattet, die im Fall einer von ihren Soll-Werten abweichenden Netzfrequenz die Anlage vom Netz trennen können (Notabschaltung). Ältere Photovoltaik-Anlagen beispielsweise nahmen bei 50,2 Hz Netzfrequenz eine automatische Netztrennung vor. Damit im Fehlerfall nicht ein großer Leistungseinbruch durch Erzeugerausfälle auftritt, mussten die Anlagen stufenweise ab einer bestimmten Größe umgerüstet werden. Neue und umgerüstete Anlagen sind so eingestellt, dass sie bei unterschiedlichen Frequenzen von bis zu 51,0 Hz abschalten. Der Leistungseinbruch im Fehlerfall erfolgt somit schrittweise und nicht abrupt. Die in bestimmten Zeitintervallen zu erzeugende und einzuspeisende Leistung bzw. Energie wird unter anderem durch den Energiehandel bestimmt. Grundsätzlich ist jedoch die einzuspeisende Menge an den Bedarf im Netz anzupassen. Dies wird über den übergeordneten Übertragungsnetzbetreiber (ÜNB) koordiniert. Der Energiehandel für die gesamte Dienstleistung und die Tätigkeiten der ÜNB werden im folgenden Prozessschritt betrachtet. Der letzte Prozessschritt bei der Stromerzeugung ist die Entsorgung von Rückständen bzw. von Kraftwerksnebenprodukten. Ob eine Entsorgung notwendig ist, hängt von der Art des Kraftwerks bzw. des Erzeugers ab. 82 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.1.1.5 Betriebsinterner Prozess „Entsorgung von Rückständen“ DL PS BP 1 1 5 Zusammenfassung Abhängigkeit Logistik Risikoelemente (IKT) Entsorgung von Rückständen Der fünfte betriebsinterne Prozess des Prozessschritts „Stromerzeugung“ betrifft die Entsorgung von Rückständen aus den Verbrennungsprozessen der konventionellen (und Biomasse-) Kraftwerke. Je nach Kraftwerksart können die entstandenen Nebenprodukte auch als Rohstoff verwendet werden. unwesentlich wesentlich (KRITIS-relevant) Für die Entsorgung von Rückständen aus den Kraftwerken sind meist Logistikdienstleistungen notwendig (unter anderem bei Lkw, die Abfälle oder Rohstoffe abtransportieren). Sehr hohe Abhängigkeit bestehen ferner beim Abtransport von abgebrannten Brennstäben aus Kernkraftwerken (CASTOR-Transporte). • Logistiksystem und Schnittstellen zu Logistikdienstleistern • Prozessleitsystem • Überwachungs- und Messsysteme (Temperatur, Strahlung, Druck, Gewicht) Tabelle 22: Betriebsinterner Prozess „Entsorgung von Rückständen“ (DL1 PS1 BP5) Der Prozess „Entsorgung von Rückständen“ ist in Bezug auf die Verfügbarkeit der Kritischen Infrastrukturen nicht bedeutend, wird aber der Vollständigkeit halber aufgeführt und beschrieben. Prozessbeschreibung Bei Verbrennungsprozessen in konventionellen und Biomassekraftwerken entstehen Rückstände (unter anderem Staub, Asche, Gase), die im Rahmen des Betriebs entsorgt bzw. abgeschieden und abtransportiert werden müssen. Diese Kraftwerksnebenprodukte werden zum Teil auch als Rohstoffe verwendet. Der Abtransport erfolgt überwiegend über Dienstleister der Kraftwerksgesellschaften. Feste Rückstände werden durch den Kraftwerksbetreiber zwischengelagert und dann beispielsweise durch Lastkraftwagen zur Entsorgung oder weiteren Verarbeitung transportiert. Die Weiterverarbeitung der Nebenprodukte wird an dieser Stelle nicht weiter betrachtet. Können Reste nicht entsorgt werden, so muss unter Umständen die Energieerzeugung eingestellt werden bis eine Entsorgung durchgeführt wurde. Neben einer Einschränkung durch Lagerkapazitäten führen auch gesetzliche Anforderungen zur Schadstoffabgabe bei einem Fehlverhalten der Abgasreinigung zu einer Einstellung der Erzeugung.23 Sollte durch eine Abschaltung die Netzstabilität gefährdet sein, könnten Anlagen jedoch unter Umständen mit einer Ausnahmegenehmigung weiter betrieben werden. Im Rahmen des Umweltschutzes sind die Kontrolle und die Behandlung von Rückständen in der Abluft zu beachten. Hierbei kommen steuerbare Filter und Reinigungsanlagen zum Einsatz. Insbesondere die Behandlung von CO2 und eine mögliche Speicherung klimaschädlicher Gase befindet sich derzeit in der Diskussion und Erforschung. Eine Möglichkeit der Speicherung ist die Methode Carbon Dioxide Capture and Storage (CCS) mit Untertage-Einlagerung. Diese befindet sich jedoch noch in der Erprobungsphase. Ein Sonderfall ist die Entsorgung von Brennmaterial aus Kernkraftwerken. Hierbei muss neben der Logistik auch auf eine lückenlose Überwachung der Strahlenwerte geachtet werden. Zum Abtransport der Brennstäbe in die Wiederaufbereitung bzw. die Zwischenlagerung kommen auch CASTOR-Behälter zum Einsatz. Diese Überwachung ist für die Aufrechterhaltung der Stromversorgung nicht unmittelbar relevant. 23 Vgl. § 17 Abs. 2 und 3 der 13. Bundes-Immissionsschutzverordnung (BimSchV). Bundesamt für Sicherheit in der Informationstechnik 83 3 Kritische Dienstleistungen Bei den erneuerbaren Erzeugern auf Basis von Wasser, Wind und Sonne entstehen während der Energieumwandlung keine Rückstände, die behandelt oder entsorgt werden müssen. Neben den betrachteten Prozessen sind in der Stromerzeugung auch übergreifende Prozesse vorhanden. Dies sind neben der Einsatzplanung das Störungsmanagement und der Energiehandel. Im Gegensatz zur Wartung und Instandhaltung (die im Regelfall mit geplanten Nichtverfügbarkeiten einhergeht) kann das Störungsmanagement sowie die Einsatzplanung zu einem kurzfristigen ungeplanten Ausfall und damit unter Umständen zu einem Ausfall der Stromversorgung führen, wenn bei der Durchführung der Tätigkeiten gravierende Fehler auftreten. Ein Ausfall kann jedoch im Rahmen von Wartungstätigkeiten absichtlich herbeigeführt und notwendig werden oder für die Aufrechterhaltung der Versorgung gezielt durch Teil-Abschaltungen eintreten bzw. nicht verhindert werden. 84 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.1.1.6 Betriebsinterner Prozess „Einsatzplanung“ DL PS BP 1 1 6 Zusammenfassung Abhängigkeit Logistik Risikoelemente (IKT) Einsatzplanung Der sechste betriebsinterne Prozess des Prozessschritts „Stromerzeugung“ umfasst die Einsatzplanung, also die übergreifenden Aktivitäten der Erstellung und Ausführung eines langfristigen Fahrplans sowie die kurzfristigen Anpassungen als Reaktion auf Anforderungen der Netzbetreiber. unwesentlich wesentlich (KRITIS-relevant) Es bestehen keine Abhängigkeiten. • Erzeugungsprognosesysteme • Wettervorhersagesysteme • Fahrplanmanagementsysteme (Optimierung) • Kommunikationssysteme zur Fahrplanübermittlung • Handelssysteme Tabelle 23: Betriebsinterner Prozess „Einsatzplanung“ (DL1 PS1 BP6) Prozessbeschreibung Der Prozess der Einsatzplanung beschreibt die übergreifenden Aktivitäten der Erstellung und Ausführung eines längerfristigen Fahrplans (Dispatching) und der kurzfristigen Anpassung in Reaktion auf Anforderungen der Übertragungsnetzbetreiber (Redispatching). Die Einsatzplanung (auch Fahrplanmanagement oder Dispatching genannt) hat im Rahmen des Gesamtsystems der Stromversorgung Einfluss auf die Versorgungssicherheit. Wird eine fehlerhafte Einsatzplanung bzw. ein verspäteter Fahrplan erstellt, so ist eine Anpassung der Erzeugung an den erwarteten Verbrauch nicht mehr zuverlässig möglich. Dies kann die operative Steuerung des Stromnetzes und damit den wichtigsten Prozess zur Aufrechterhaltung der Stabilität negativ beeinflussen. Die Prognose des Stromabsatzes, Daten aus Lieferverträgen, Wartungsphasen und die jeweils aktuellen Kosten der Stromerzeugung liefern die Basis für die mittel- bis langfristige Planung über den Einsatz des Kraftwerks. Kleinere Verbraucher werden mittels idealisierter Standardlastprofile berücksichtigt. Die Fahrpläne aller Kraftwerke müssen jeden Tag bis 14:30 Uhr mit Angabe des zu produzierenden Stroms an den jeweiligen ÜNB gemeldet werden. Diese konsolidieren die Angaben in einen Plan für Gesamt-Deutschland und berechnen daraus die Netzbelastung. Für die erneuerbaren Energieerzeugungsformen der Solar- und insbesondere Windkraftwerke stellt sich die Prognose der produzierten Strommenge über den Tag gesehen deutlich schwieriger dar. Mit Hilfe komplexer Methoden ist jedoch beispielsweise für Windenergieanlagen eine Prognose von bis zu 72 Stunden möglich [BMU 2003]. Die Daten dieser Berechnung stützen sich unter anderem auf Wetterdaten des Deutschen Wetterdienstes (zum DWD vgl. die entsprechenden Prozesse der KRITIS-Sektorstudie Transport und Verkehr). In dieser Berechnung werden prognostizierte Lastflüsse mit den Belastungsgrenzen der von ihnen genutzten Infrastruktur (Leitungen, Knotenpunkte und Umspannwerke) verglichen. Ergeben sich in der Berechnung mögliche Netzengpässe, so werden Kraftwerke „redispatched“. Dies kann bedeuten, dass die Leistung eines oder mehrerer Kraftwerke vor einer stark belasteten Leitung verringert und im Gegenzug hinter dieser Strecke die eines oder mehrerer anderer entsprechend erhöht wird. Bundesamt für Sicherheit in der Informationstechnik 85 3 Kritische Dienstleistungen Sehr kurzfristige Anpassungen zur Sicherung der Netzstabilität (Abruf der Primär-, Sekundär- und Minutenreserve) werden über die jeweilige Netzleitstelle vorgenommen. Die Prozesse des Energiehandels und des Störungsmanagements sind Prozesse, die über die gesamten Aktivitäten im Rahmen der Stromversorgung laufen. Sie werden im Prozessschritt „Stromübertragung“ genauer betrachtet. An diesen Prozessen sind fast alle Marktteilnehmer beteiligt. Eine Aufteilung auf die einzelnen Teilleistungen ist nicht eindeutig möglich. 86 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.1.2 Prozessschritt „Stromübertragung“ (PS2) Der Prozessschritt der Stromübertragung beschreibt die Tätigkeiten der Übertragungsnetzbetreiber (ÜNB). Die Verteilung der elektrischen Energie über Verteilnetze wird im nächsten Prozessschritt betrachtet. Prozessschritt „Stromübertragung“ (PS2) PS1 BP5 Stromeinspeisung oder BP2 PS3 BP1 PB1 BP2 Kopplung im Übertragungsnetz Übertragung Kopplung im Verteilnetz oder BP1 Kopplung im Übertragungsnetz Übertragung Unterstützende Prozesse: BP3 Systemdienstleistungen BP4 Energiehandel BP5 Störungsmanagement (Strom) Abbildung 19: Prozessschritt „Stromübertragung“ der kritischen Dienstleistung „Stromversorgung“ Quelle: eigene Darstellung Der Prozessschritt der Stromübertragung besteht in dieser Betrachtung aus zwei aufeinander folgenden und drei übergreifenden betriebsinternen Prozessen. Im ersten Teil des Prozessschritts wird elektrische Energie von den Erzeugungsanlagen, von HGÜ oder von einem anderen Netz an Knotenpunkten übernommen. Je nach Spannungsebene des Netzes findet eine Umspannung statt (Kopplung im Übertragungsnetz). Im nächsten Teil, der Übertragung, „fließt“ die elektrische Energie bis zum nächsten Knotenpunkt. Über den gesamten Prozessschritt der Stromübertragung läuft der Subprozess der Systemdienstleistungen. Außerdem werden in diesem Prozessschritt der Energiehandel und das Störungsmanagement betrachtet, die sich über den gesamten Verlauf der Stromversorgung erstrecken. In der Stromübertragung existieren weitere Prozesse wie die Netzplanung und die Instandhaltung der Trassen und Werke. Aufgrund ihrer geringeren kurz- bis mittelfristigen Kritikalität für die Bereitstellung der Dienstleistung (insbesondere bei Informations- und Kommunikationstechnologie) wird die Instandhaltung im weiteren Verlauf nicht betrachtet. Bei der Netzplanung ist insbesondere die Vorbereitung der Aufrechterhaltung des (N-1)-Kriteriums (siehe Seite 23) ein essentieller Bestandteil. Viele Leitsysteme besitzen bereits technische Funktionalitäten, um das (N-1)-Kriterium in regelmäßigen Abständen zu prüfen und dem Bedienpersonal mögliche Maßnahmen zur Aufrechterhaltung des (N-1)-Kriteriums und zur Risikominimierung vorzuschlagen. Die Daten der Netzplanung fließen in diese Berechnungen ein. Es ist unwahrscheinlich, dass die Netzplanung über einen längeren Zeitraum vollständig ausfällt. Bundesamt für Sicherheit in der Informationstechnik 87 3 Kritische Dienstleistungen 3.1.2.1 Betriebsinterner Prozess „Kopplung im Übertragungsnetz“ DL PS BP 1 2 1 Zusammenfassung Abhängigkeit Logistik Risikoelemente (IKT) Kopplung im Übertragungsnetz Der erste betriebsinterne Prozess des Prozessschritts „Stromübertragung“ umfasst die Einspeisung elektrischen Stroms in das Übertragungsnetz. Dabei findet teils auch eine Umspannung statt. unwesentlich wesentlich (KRITIS-relevant) Es bestehen keine Abhängigkeiten in Bezug auf den Betrieb. Hohe Abhängigkeit finden sich jedoch beim Austausch von Komponenten und Anlagen (Schwertransporte). • Mess- und Steuerungselemente in der Feldebene • Netzleitsystem • Identische Komponenten, wie auch auf den anderen Netzebenen Tabelle 24: Betriebsinterner Prozess „Kopplung im Übertragungsnetz“ (DL1 PS2 BP1) Prozessbeschreibung Stromnetze werden in dieser Studie vereinfacht wie simple Netzwerke behandelt. Es wird angenommen, dass die Übertragungsstrecken untereinander und mit externen Anlagen und Netzen mit Kopplungspunkten verbunden sind. Des Weiteren können Lastflüsse an diesen Punkten in beide Richtungen fließen. Mögliche Kopplungspunkte bestehen zwischen Übertragungsnetzleitung und – weiterer Übertragungsnetzleitung; – HGÜ-Leitung; – Stromerzeuger; – Stromverbraucher (Großverbraucher); – Verteilnetzleitung. Eine Übertragung und Verteilung von Strom wird im Wechselspannungsbereich auf unterschiedlichen Spannungen durchgeführt, um die Übertragungsverluste zu reduzieren. Dies erfordert jedoch bei unterschiedlichen Spannungsebenen eine Umspannung. Die initiale Einspeisung von elektrischer Energie durch Stromerzeuger erfolgt überwiegend durch Generatoren (mit Ausnahme der Photovoltaik- und Brennstoffzellen). Diese Generatoren sind Teil der Erzeugeranlagen. In der Nähe der Erzeugung erfolgt die erste Umspannung und während der Stromübertragung zum Verbraucher weitere Umspannungen bzw. Einspeisungen in den unterschiedlichen Spannungsebenen. Zur Verbindung von Netzebenen unterschiedlicher Spannung werden Transformatoren eingesetzt. Nach jeder Umspannung erfolgt eine Einspeisung in das nachgelagerte Netz. Gleichspannungsübertragung (HGÜ) verwendet andere technischen Anlagen, jedoch sind die damit verbundenen Prozesse ähnlich. Bei der Umspannung wird zwischen Primärtechnik und Sekundärtechnik unterschieden. Primärtechnik beschreibt alle Geräte und Anlage, die direkt an der Umspannung beteiligt sind. Sekundärtechnik beschreibt beispielsweise Netzschutzsysteme und Fernsteuerungen, die den Prozess unterstützen. 88 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen Ein Betrieb des Verbundnetzes und eine Übertragung der elektrischen Energie zum Verbraucher ist somit nur möglich, wenn auch eine Umspannung bzw. Einspeisung in die Netze vorgenommen wird. Fallen Transformatoren oder ganze Umspannwerke aus, so führt dies in der Regel auch dazu, dass Netzbetreiber mittels Netzführung eingreifen, um die Stabilität aufrecht zu erhalten. Die Einspeisung und Umspannung ist sehr stark mit der Erzeugung, der Übertragung und den Systemdienstleistungen verknüpft. Beispielsweise muss neben der elektrischen Leistung zur Aufrechterhaltung des Netzes auch die sogenannte Blindleistung eingespeist werden. Die Blindleistungsregelung ist Teil der Systemdienstleistungen der ÜNB und wird im zugehörigen Prozess näher ausgeführt. Nach Einspeisung und Umspannung über die Kopplung wird der Strom über Leitungen übertragen. Bundesamt für Sicherheit in der Informationstechnik 89 3 Kritische Dienstleistungen 3.1.2.2 Betriebsinterner Prozess „Übertragung“ DL PS BP 1 2 2 Zusammenfassung Abhängigkeit Logistik Risikoelemente (IKT) Übertragung Der zweite betriebsinterne Prozess des Prozessschritts „Stromübertragung“ betrachtet den Kernprozess des Prozessschrittes, die Übertragung des elektrischen Stroms durch den Netzbetreiber im Netz und an nachgelagerte Netzbetreiber und Verbraucher. Die Übertragung wird gleichzeitig ebenfalls für die Rückeinspeisung von Erzeugern im Mittel- und Hochspannungsnetz verwendet. unwesentlich wesentlich (KRITIS-relevant) Es bestehen keine Abhängigkeiten. • Netzleitstelle und Netzleitsystem • Kommunikationssysteme • Mess- und Steuerungselemente in der Feldebene Tabelle 25: Betriebsinterner Prozess „Übertragung“ (DL1 PS2 BP2) Prozessbeschreibung Die Übertragung des elektrischen Stroms bildet den Weg zwischen Erzeuger und Verbraucher ab. Die Übertragung wird durch den Netzbetreiber realisiert und stellt in der Regel eine Kaskade von mehreren unterschiedlichen Netzbetreibern auf dem Leitungsweg zwischen Erzeugern und Verbraucher dar. Zwischen den verschiedenen Übertragungs- und Verteilnetzen können daher mehrere Umspannungen notwendig sein, wie im vorherigen betriebsinternen Prozess der Kopplung dargestellt. Bei der Übertragung von elektrischem Strom müssen die Grenzwerte der maximalen und minimalen Spannung sowie des maximal zulässigen Betriebsstroms eingehalten werden. Der Ausfall des betriebsinternen Prozesses „Übertragung“ hat je nach betroffenem Netzsegment und Netzebene weitreichende Folgen. Die Sicherstellung der Übertragung und die starke Verbindung mit den Prozessen der Erzeugung und der Verteilung machen diesen Prozess besonders wichtig. Dies wird durch entsprechende gesetzliche Verankerung im EnWG deutlich. Je höher die Spannungsebene ist, auf der die Übertragung stattfindet, desto größer sind in der Regel die Auswirkungen, die ein Ausfall bzw. eine Beeinträchtigung auf die Aufrechterhaltung der Stromversorgung hat. Die Steuerung von Komponenten im Übertragungsnetz und Verteilnetz kann auf unterschiedliche Weisen realisiert werden. In der Leittechnik kommt Fernwirktechnik mit Fernwirkprotokollen zum Einsatz. Die dafür verwendeten Komponenten übermitteln über serielle oder IP-basierte Verfahren Steuerungstelegramme.24 Neben der Netzleittechnik verwenden die Verteilnetzbetreiber die Rundsteuertechnik, die über Impulse Telegramme über das Netz oder Funk an regelbare Anlagenteile übermitteln. Die Steuerung des Stromnetzes wird als Netzführung bezeichnet und im Regelfall durch eine zentrale Leitstelle übernommen. Während Übertragungsnetze vorrangig über Fernwirktechnik gesteuert werden, kommt bei Verteilnetzen meist die technisch einfachere und günstigere Rundsteuertechnik zum Einsatz. Die IKT-relevanten Teilprozesse werden meist mit der sogenannten Netzleittechnik durchgeführt. Neben der Steuerung und Visualisierung von Komponenten im Stromnetz (beispielsweise Schalter und Leitungen) werden für die Leitsysteme auch Berechnungen und Simulationen des Netzzustandes durchgeführt. Simulationen werden insbesondere zur Ermittlung des Verhaltens des Netzes und zur Berechnung des 24 Als stark verbreitete Fernwirkprotokolle werden unter anderem die Protokollstandards IEC 60870-5-101 (seriell) und IEC 60870-5-104 (IP-basiert) verwendet. 90 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen (N-1)-Kriteriums bei Änderungen benötigt. Je nach Betreiber und notwendiger Simulation, beispielsweise Lastflussberechnungen oder Kurzschlussanalysen, wird dies über das Netzleitsystem oder eigenständige IKT-Systeme realisiert. Ein wichtiger Prozess in der Übertragung ist die State Estimation. Dabei wird auf Basis von im Netz gesammelten Daten mit Hilfe von wahrscheinlichkeitstheoretischen Modellen der tatsächliche Zustand des Netzes erfasst. Dieser dient der Abschätzung der Wirksamkeit von kompensierenden Maßnahmen für den Netzbetrieb und zur Ermittlung der Entlastung von Leitungen und Transformatoren. Die zunehmende Produktion von Strom im Mittel- und Niederspannungsnetz durch Windenergieanlagen und andere Erzeuger erfordert eine stärkere Überwachung und Steuerung der Netze durch die Netzbetreiber. Große Mengen Strom müssen beispielsweise bei Starkwind vom windreichen Norden in den Süden transportiert werden. Eine Möglichkeit, um dabei ohne Neubau größere Mengen Strom übertragen zu können, ergibt sich aus einer besseren Überwachung von Leitungen. Temperaturmessgeräte überwachen dabei den Zustand der Leitung und ermöglichen beispielsweise bei ausreichend Wind entlang der Übertragungsstrecke und entsprechender natürlicher Kühlung der Leitung, die Kabel zusätzlich auszulasten. Im Gegensatz zum Übertragungsnetz gibt es im Verteilnetz mangels Messsystemen noch keine flächendeckenden Möglichkeiten zur Einschätzung des tatsächlichen Netzzustandes mittels State Estimation. Mit voranschreitendem Einsatz von IKT- und Messtechnik im Verteilnetz fließen jedoch auch Daten aus dem Verteilnetz in die Berechnungen ein. Die zuvor dargestellte Übertragung ist der letzte sequentielle Prozessschritt des Stromtransports. Nachfolgend werden die übergreifenden Prozesse aufgeführt. Bundesamt für Sicherheit in der Informationstechnik 91 3 Kritische Dienstleistungen 3.1.2.3 Betriebsinterner Prozess „Systemdienstleistungen“ DL PS BP 1 2 3 Zusammenfassung Abhängigkeit Logistik Risikoelemente (IKT) Systemdienstleistungen Der übergreifende betriebsinterne Prozess „Systemdienstleistung“ umfasst die Reaktion der Übertragungs- und Verteilnetzbetreiber auf die Veränderung im Stromnetz. Diese Reaktion erfolgt durch festgelegte Systemdienstleistungen. unwesentlich wesentlich (KRITIS-relevant) Es bestehen keine Abhängigkeiten. • Netzleitstelle und Netzleitsystem • Kommunikationssysteme • Mess- und Steuerungselemente in der Feldebene • Energiewirtschaftssystem (Abrechnung, Prognose etc.) Tabelle 26: Betriebsinterner Prozess „Systemdienstleistungen“ (DL1 PS2 BP3) Prozessbeschreibung Die Zuverlässigkeit und Stabilität der Versorgung mit elektrischer Energie hängt wesentlich davon ab, dass das Verbundnetz in allen Bereichen so betrieben wird, dass alle elektrotechnisch relevanten Werte innerhalb der Toleranzen der Infrastrukturkomponenten liegen. Durch die komplexen elektrotechnischen Sachverhalte sowie die große Anzahl an Verbrauchern und Erzeugern verändert sich der Zustand des Stromnetzes kontinuierlich. Dies gilt sowohl hinsichtlich der verfügbaren Leistung und Anzahl der Erzeuger als auch in Bezug auf die von Verbrauchern nachgefragte Leistung. Der Übertragungsnetzbetreiber muss auf diese Veränderungen reagieren, um die Stabilität des Netzes zu sichern. Dies wird über die für ÜNB und VNB festgelegten Systemdienstleistungen realisiert [VDN 2007a; VDN 2007b]. Die Kosten für diese Systemdienstleistungen fließen in die Kosten für den Netzbetrieb ein, auch wenn keine Regelung notwendig wird. Die Versorgung mit Strom und der sichere Netzbetrieb hängen wesentlich von den Systemdienstleistungen ab, da diese die Erfüllung der technischen Grundvoraussetzungen zur Aufgabe haben. Da Verbrauch und Erzeugung im Verbundnetz nicht zu jedem Zeitpunkt identisch sind, müssen die Netzbetreiber die Einhaltung der relevanten Werte sicherstellen. Ein Ausfall des betriebsinternen Prozesses hat somit kurzfristig einen Einfluss auf die Erbringung der kritischen Dienstleistung. Zu den Systemdienstleistungen der Netzbetreiber gehören die nachfolgenden Tätigkeiten. Eine detaillierte und technische Beschreibung der Systemdienstleistungen kann den Transmission bzw. dem Distribution Code entnommen werden [VDN 2007b]. • Frequenzhaltung Dies ist zentrale Aufgabe des ÜNB. Verteilnetzbetreiber tragen durch ihre Tätigkeiten jedoch auch zur Frequenzhaltung bei. Hierfür wird in einem mehrstufigen Verfahren Regelenergie bereitgestellt bzw. abgerufen. Die Frequenzhaltung wird für das gesamte Verbundnetz in Europa koordiniert und jeder ÜNB hat entsprechende Kapazitäten und Funktionalitäten bereitzustellen [Mezger 2007]. Die Frequenzregelung ist einer der zentralen Prozesse der Stromübertragung, beeinflusst jedoch auch die Stromerzeugung und -verteilung. • Spannungshaltung Die Spannungshaltung ist weitestgehend Aufgabe des VNB. Im Normalbetrieb wird dies durch die Bereitstellung von Blindleistung und Kurzschlussleistung realisiert. 92 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen • Versorgungswiederaufbau Das Vorgehen bei einem größeren Stromausfall, auch Schwarzfall oder englisch „Blackout“ genannt, wird ebenfalls durch eine Systemdienstleistung abgebildet. Dies wird über ein koordiniertes Aktivieren von vorgehaltenen, schwarzstartfähigen Kraftwerken realisiert, die stufenweise wieder gekoppelt werden. Ein einfacher Wiederaufbau des Stromnetzes ist ohne vorherige Planung und Koordination nicht möglich. Insbesondere der initiale Start von Kraftwerken und die Synchronisierung der Netze erfordert im Schwarzfall eine Zusammenarbeit aller Beteiligten. • Betriebsführung (Teil des Prozess DL1 PS2 BP2) Unter Betriebsführung werden für ÜNB und VNB die Tätigkeiten zusammengefasst, die für den Betrieb des Stromnetzes benötigt werden. Das Bilanzkreismanagement (BKM) wird als ein Teil des betriebsinternen Prozesses „Systemdienstleistungen“ betrachtet. Bilanzkreismanagement wird jedoch nicht für das Gesamtsystem durchgeführt, sondern jeweils nur für die einzelnen Bilanzkreise. Im Gegensatz zu den bisherigen vier Dienstleistungen handelt es sich beim BKM nicht um eine netz-, sondern marktbezogene Tätigkeit. • Bilanzkreismanagement Beim Bilanzkreismanagement werden die realen und prognostizierten Verbräuche ausgeglichen. Neben den Übertragungsnetzbetreibern beteiligen sich an diesem Unterprozess auch die Verteilnetzbetreiber, da diese als Bilanzkreisverantwortliche agieren. Mehr- oder Mindermengen werden ermittelt und verrechnet. Das retrospektive Bilanzkreismanagement hat keinen Einfluss auf die Versorgung mit elektrischer Energie. Aus Sicht der Versorgungssicherheit wird eine möglichst genaue Prognose angestrebt, um die Erzeugung danach auszurichten und jederzeit ausreichend Regelenergie vorzuhalten. Der Datenaustausch wird über elektronische Nachrichten realisiert und ist durch die Bundesnetzagentur als Prozess vorgeschrieben. Bundesamt für Sicherheit in der Informationstechnik 93 3 Kritische Dienstleistungen 3.1.2.4 Betriebsinterner Prozess „Energiehandel“ DL PS BP 1 2 4 Zusammenfassung Abhängigkeit Logistik Risikoelemente (IKT) Energiehandel Der Energiehandel befasst sich mit dem Ausgleich der voraussichtlich verfügbaren Kapazitäten der Stromerzeugung und dem erwarteten Stromverbrauch durch die Marktteilnehmer. Als ein Bestandteil der Stromversorgung ist der Energiehandel auf fast allen Prozessebenen anzutreffen, jedoch aus Sicht der Versorgungssicherheit und Systemstabilität beim Übertragungsnetz einzuordnen. unwesentlich wesentlich (KRITIS-relevant) Es bestehen keine Abhängigkeiten. • Energiehandelssysteme • Prognosesysteme • Strombörse • Kommunikationssysteme Tabelle 27: Betriebsinterner Prozess „Energiehandel“ (DL1 PS2 BP4) Prozessbeschreibung Die Liberalisierung des Energiemarktes hat dem Energiehandel eine wichtige Funktion gegeben. Über ihn werden durch die Marktteilnehmer Kapazitäten in der Stromerzeugung (Angebot) mit dem erwarteten Stromverbrauch (Nachfrage) ausgeglichen. Wird der Energiehandel eingeschränkt oder manipuliert bzw. fällt er aus, so hat dies kurzfristig keinen direkten Einfluss auf die Versorgung mit Strom. Die Strombörse bzw. der Energiehandel ist jedoch in finanzieller Hinsicht wichtig für die Marktteilnehmer. Handelsausfälle und falsche Transaktionen können beteiligte Unternehmen stark schädigen. Der Energiehandel hat damit Einfluss auf die Erzeugung und die Verteilung und auf Abrechnung und Preisbildung. Es erfolgt kein direkter Kauf bzw. Verkauf von Waren. Der Energiehandel ermöglicht es Marktteilnehmern, die Abnahme bzw. Erzeugung von Strom zu einem bestimmten Zeitpunkt zu erwerben bzw. zu verkaufen. Akteure kaufen kurz- bzw. langfristig Strom ein bzw. vermarkten ihre erwarteten Erzeugungskapazitäten in Abhängigkeit der erwarteten Nachfrage. Der Handel mit Strom steht in direkter Verbindung zum Bilanzkreismanagement. Die Bilanzkreisverantwortlichen müssen das Ausgleichen der Energiebilanz ihres Bilanzkreises durch entsprechende abgeschlossene Lieferkontrakte sicherstellen. Nicht alle Marktteilnehmer sind Energieversorger. Der Stromhandel wird auch durch Investoren und den Finanzmarkt beeinflusst, die durch Ein- und Verkauf von Strom an unterschiedlichen Märkten und zu unterschiedlichen Preisen Gewinne erwirtschaften wollen [Wirtschafts Woche 2013]. Registrierte Marktteilnehmer verwenden hierzu entweder die Handelsplattformen der europäischen Strombörse oder treten in direkte Verhandlungen miteinander. Die für den deutschen Strommarkt relevante Börse ist die EEX in Leipzig, die den Handel mit Stromprodukten (Kontrakte auf Stundenbasis, Peakload, Baseload etc.) ermöglicht. Jeder Marktteilnehmer prognostiziert Bedarf und Erzeugung und ermittelt eine sogenannte Ganglinie, die mit entsprechenden Kontrakten angenähert wird. Die Mehr- oder Mindermengen werden zum Zeitpunkt des Auftretens durch den ÜNB durch Regelenergie kompensiert und an den Bilanzkreisverantwortlichen weiterberechnet [VBEW 2005]. Der Handel mit Regelenergie unterscheidet sich vom Handel mit den zuvor genannten Stromkontrakten. Regelleistung wird durch Ausschreibungen beschafft, die die vier Übertragungsnetzbetreiber 94 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen (zusammengefasst im Netzregelverbund, NRV) zentral und gemeinsam durchführen [regelleistung.net 2014]. Nach einer technischen Präqualifikation können sich Marktteilnehmer auf die Bereitstellung von Regelenergie bewerben und werden bei Bedarf durch die Marktteilnehmer im Rahmen der Systemdienstleistungen (siehe Abschnitt 3.1.2.3) abgerufen bzw. in Anspruch genommen. Ein Störungsmanagement findet sowohl in der Erzeugung, der Übertragung als auch der Verteilung statt. Aufgrund großer Überschneidungen wird es in einem betriebsinternen Prozess zusammengefasst beschrieben. Bundesamt für Sicherheit in der Informationstechnik 95 3 Kritische Dienstleistungen 3.1.2.5 Betriebsinterner Prozess „Störungsmanagement (Strom)“ DL PS BP 1 2 5 Zusammenfassung Abhängigkeit Logistik Risikoelemente (IKT) Störungsmanagement (Strom) Der übergreifende betriebsinterne Prozess „Störungsmanagement (Strom)“ umfasst die Reaktion auf interne und externe Störungen, die im Rahmen aller Prozessschritte auftreten können. unwesentlich wesentlich (KRITIS-relevant) Das Störungsmanagement erfordert in Abhängigkeit der Störung möglicherweise Dienstleistungen der Logistikbranche (Lieferung von Ersatzteilen). • Kommunikationssysteme zur Lagekoordination • Geographische Informationssysteme, Kabelnetzverwaltung • Workforcemanagement-Systeme • Systeme/Risikoelemente der übrigen Betriebsinternen Prozesse Tabelle 28: Betriebsinterner Prozess „Störungsmanagement (Strom)“ (DL1 PS2 BP5) Prozessbeschreibung Der allen Prozessschritten übergeordnete Prozess Störungsmanagement umfasst die Reaktion auf interne und externe Störungen. Eine Störung kann prinzipiell bei allen Prozessschritten auftreten. Die notwendigen Tätigkeiten zur Störungsbeseitigung sind abhängig vom Einzelfall. Störungen können elektrotechnisch oder informationstechnisch sein, wie beispielsweise Überlastungen von Netzelementen oder Leittechnikfehler, oder auf die kaufmännischen und wirtschaftlichen Prozesse einwirken. Jede auftretende Störung stellt entweder eine Verkettung widriger Umstände dar oder wird absichtlich herbeigeführt. Interne Störungen sind beispielsweise eine Störung oder der Ausfall von Komponenten wie der Brennstoffzufuhr. Eine externe Störung kann beispielsweise der Zusammenbruch des Netzes oder ein Hackerangriff auf die beteiligten IKT-Systeme sein. Kann nicht zeitnah und zielgerichtet auf derartige Sachverhalte reagiert werden, ist die Versorgungssicherheit mit Strom gefährdet. Insbesondere Störungen, die einen Einfluss auf die Netzstabilität haben, können KRITIS-relevant sein. Durch die elektrotechnische Verknüpfung auf Netzebene können sich Störungen sehr schnell im Netz verbreiten. Ein Störungsmanagement kann somit auch mehr als einen Betreiber betreffen und im Falle von Großstörungen eine umfangreiche Koordination der unterschiedlichen Marktteilnehmer und Betreiber erfordern. Zusätzlich ist zwischen Vorfällen zu unterscheiden, die entweder im laufenden Betrieb ohne Einschränkungen behoben werden können, die eine befristete Leistungsreduktion (beispielsweise durch Abschalten eines Generators) zur Folge haben oder solchen, die zu einer Notabschaltung des Kraftwerks oder rollierenden Abschaltung des Netzes führen. Im Fall einer Störung müssen die an der Beseitigung des Störfalls beteiligten Systeme und Personen (Entstörungstrupps) funktionsbereit bzw. handlungsfähig sein. So ist beispielsweise die effektive Koordination von Maßnahmen nur durch Kommunikation zwischen den beteiligten Parteien möglich. Hierbei werden entsprechende Kommunikationssystemen benötigt. 96 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.1.3 Prozessschritt „Stromverteilung“ (PS3) Die Stromverteilung enthält als dritter Prozessschritt der Versorgung mit elektrischer Energie weitestgehend die Tätigkeiten der Verteilnetzbetreiber (VNB) Die VNB stehen in direkter Verbindung mit den Übertragungsnetzbetreibern, da diese den Strom in die Verteilnetze einspeisen. Zur Wahrung der Systemstabilität müssen die VNB den realen und den prognostizierten Stromverbrauch an die Übertragungsnetzbetreiber melden, die diese Informationen zur Bilanzierung (siehe Abschnitt 3.1.2.3) verwenden. Auch bei der Stromverteilung ist wie beim Stromtransport die elektrotechnische Verbindung mit anderen Prozessen zu berücksichtigen, da sich technische Störungen deutlich schneller und unkontrollierter ausbreiten können als Störungen der energiewirtschaftlichen Prozesse wie der Marktpartnerkommunikation. In der deutschen Elektrizitätsversorgung werden Übertragungs- und Verteilnetze weitestgehend organisatorisch getrennt betrieben. Dies bedeutet, dass für Übertragungsnetze und Verteilnetze unterschiedliche Betreiber beziehungsweise Unternehmen verantwortlich sein können. Der Prozess vom Übergabepunkt zwischen einem Übertragungsnetzbetreiber und einem Verteilnetzbetreiber bis zum Anschluss des Endkunden wird im folgenden Prozessschritt dargestellt. Prozessschritt „Stromverteilung“ (PS3) BP2 Zähler- und Anschlussbetrieb → PS2 BP2 Übertragung BP1 oder → PS1 BP5 PS2 BP2 Kopplung im Verteilnetz oder → BP1 Übertragung (wie Stromübertragung) Kopplung im Verteilnetz oder → PS2 BP1 Stromeinspeisung Kopplung im Übertragungsnetz Unterstützende Prozesse: →PS2 BP3 Systemdienstleistungen (siehe Übertragung) →PS2 BP4 Energiehandel (siehe Übertragung) →PS2 BP5 Störungsmanagement (siehe Übertragung) Abbildung 20: Prozessschritt „Stromverteilung“ der kritischen Dienstleistung „Stromversorgung“ Quelle: eigene Darstellung Bundesamt für Sicherheit in der Informationstechnik 97 3 Kritische Dienstleistungen Die Umspannung besitzt in der Stromverteilung große Ähnlichkeiten zu jeder im Übertragungsnetz, wird in diesem Prozessschritt jedoch mit Blick auf ihre Besonderheiten erneut aufgegriffen. Die Übertragung in Verteilnetzen ist technisch betrachtet identisch mit dem entsprechenden Prozess in Übertragungsnetzen und wird an dieser Stelle nicht erneut behandelt. Der Zähler- und Anschlussbetrieb ist neben der Stromverteilung über das Verteilungsnetz ein Kernprozess der Verteilung und stellt die Schnittstelle zwischen Dienstleistung und Verbraucher dar. Einige der für Verteilnetze spezifischen Aspekte sind bereits in zuvor beschriebenen Betriebsprozessen aufgeführt worden. Die dienstleistungsübergreifenden Prozesse des Bilanzkreismanagements, des Energiehandels und des Störungsmanagements erfolgen entsprechend der Beschreibung im Prozessschritt „Übertragung“ (PS2). In der Stromverteilung existieren analog zum Übertragungsnetz weitere Prozesse wie die Netzplanung und die Instandhaltung der Kabelsysteme und Unterwerke. Aufgrund ihrer geringeren kurz- bis mittelfristigen Kritikalität für die Bereitstellung der Dienstleistung (insbesondere in Bezug auf Informations- und Kommunikationstechnologie) werden diese im weiteren Verlauf nicht detailliert betrachtet. Für einen (ausfall-)sicheren Betrieb der einzelnen Komponenten ist es jedoch notwendig, dass eine langfristige Planung vorhanden ist und die bestehenden Komponenten regelmäßig gewartet werden. Werden IKT-Systeme eingesetzt, so sind diese ebenfalls in die Wartung und Instandhaltung einzubinden. 98 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.1.3.1 Betriebsinterner Prozess „Kopplung im Verteilnetz“ DL PS BP 1 3 1 Zusammenfassung Abhängigkeit Logistik Risikoelemente (IKT) Kopplung im Verteilnetz Der erste betriebsinterne Prozess des Prozessschritts „Stromverteilung“ umfasst die Umspannung des elektrischen Stroms in den Verteilnetzen. Dieser ist vergleichbar mit dem in Tabelle 24 dargestellten Umspannungsprozess in Übertragungsnetzen. Die Kopplung im Verteilnetz ist bidirektional und es kann auch eine Rückspeisung in das Übertragungsnetz stattfinden. unwesentlich wesentlich (KRITIS-relevant) Es bestehen keine Abhängigkeiten. • Ortsnetzstation • Mess- und Steuerungselemente in der Feldebene • Leitstelle und Leitsystem (indirekt) Tabelle 29: Betriebsinterner Prozess „Kopplung im Verteilnetz“ (DL1 PS3 BP1) Prozessbeschreibung Zentrales Element der Kopplung auf der letzten Verteilnetzebene sind die Ortsnetzstationen (ONS). Diese enthalten die notwendigen technischen Anlagen, die die Umspannung und Stromverteilung ermöglichen. Diese Ortsnetzstationen befinden sich entweder in eigenen Gebäuden oder bei Firmenanschlüssen auch auf dem Firmengelände. Neben der Anbindung der Kunden an das Stromnetz im Verteilnetz sind auch Kopplungen von Verteilnetzen untereinander oder eine Rückspeisung in das Übertragungsnetz möglich. In der Umspannung können Verteilnetze ebenfalls miteinander verbunden sein. Dabei kann ein Verteilnetzbetreiber die Durchleitung für einen anderen nachgeschalteten Verteilnetzbetreiber übernehmen (Hierarchie VNB zu VNB). Störungen oder Ausfälle einzelner Betreiber können so durch das System kaskadierende Effekte hervorrufen. Fällt beispielsweise ein wichtiger VNB aus, beeinflusst dies konkret nachgelagerte Unternehmen. Der Ausfall bzw. Manipulation einer einzelnen Ortsnetzstation kann die Stromversorgung des damit verbundenen Verteilnetzes beeinträchtigen. Ein Einfluss auf das Übertragungsnetz bzw. die Stromversorgung in einem größeren Maßstab ist bei Ausfall bzw. gezielter Manipulation einer großen Anzahl von Ortsnetzstationen möglich. Ein Ausfall der Kopplung im Verteilnetzumfeld hat normalerweise den Ausfall der daran angebundenen Verbraucher zur Folge. Im Verteilnetz für Privatkunden werden häufig Sterntopologien bei Anbindung verwendet. Im Gegensatz zu den vermaschten Netzen der Übertragung kann je nach Netzaufbau keine Umschaltung auf andere Netzteile durchgeführt werden. Die Stromversorgung der betroffenen Fläche fällt somit bei Beeinträchtigung oder Ausfall der Ortsnetzstation aus. Neben der Verbindung von Verteilnetzen mit Übertragungsnetzen können Verteilnetze auch mit weiteren Verteilnetzen verbunden werden. Im Rahmen des Smart Grids wird als eine Möglichkeit eine bessere Steuerung des Verteilnetzes die „intelligente Ortsnetzstation“ genannt. Hierbei werden die derzeit verwendeten Ortsnetzstationen um Messund Steuerungseinrichtungen ergänzt, die in Abhängigkeit von den gemessenen Werten die Stromeinspeisung regulieren können. Dies wird über regelbare Transformatoren oder intelligente Leistungselektronik realisiert. Bundesamt für Sicherheit in der Informationstechnik 99 3 Kritische Dienstleistungen Der Prozess der Kopplung im Verteilnetz wird besonders durch den Einfluss der Einspeisung durch Anlagen erneuerbarer Energien beeinflusst. Netzelemente und Steuerungen müssen dafür ausgelegt sein, auch überschüssigen Strom aus dem Verteilnetz in die Transportnetze zurückleiten zu können. Nach der Einspeisung und Umspannung wird der Strom auch im Verteilnetz über Leitungen übertragen. Die eingesetzte Technik und die angewendeten Prozesse sind jenen in Übertragungsnetzen sehr ähnlich und werden deshalb an dieser Stelle nicht erneut behandelt. Die Steuerung des Netzes hingegen unterscheidet sich von Verteil- zu Übertragungsnetz. Die Komponenten des Verteilnetzes sind weniger regelbar als die des Übertragungsnetzes. Ein wichtiger Prozess ist der Betrieb der Anschlüsse und Zähler am Endpunkt des Stromnetzes beim Kunden. Die Technik der Rundsteuerung wird im folgenden Prozessschritt des Anschlussbetriebs behandelt. Technisch ermöglicht dies eine Steuerung von Verbrauchern und Erzeugern im Verteilnetz. 100 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.1.3.2 Betriebsinterner Prozess „Zähler- und Anschlussbetrieb“ DL PS BP 1 3 2 Zusammenfassung Abhängigkeit Logistik Risikoelemente (IKT) Zähler- und Anschlussbetrieb Der zweite betriebsinterne Prozess des Prozessschritts „Stromverteilung“ betrachtet den Prozess des Betriebs von Zählern und Anschlüssen. Dies schließt sowohl einmalige Tätigkeiten wie die Inbetriebnahme eines Hausanschlusses als auch regelmäßige Tätigkeiten wie beispielsweise das Ablesen eines Zählers ein. Neben der Lieferung von Strom wird über den Anschluss auch die Einspeisung in das Verteilnetz ermöglicht. unwesentlich wesentlich (KRITIS-relevant) Es bestehen keine Abhängigkeiten für den Betrieb der Anschlüsse. Für den Erstanschluss ist Logistik notwendig, um Zähler-Chargen zum Energieversorger zu transportieren. Die Auslieferung an den Endkunden erfolgt weitestgehend durch den Monteur und erfordert keine weiteren Logistikdienstleistungen. • Zählerverwaltungssystem (Meter Management System) und Zähler (Smart Meter) • Anlagendokumentationssystem/Geographische Informationssysteme (GIS) • Marktpartnerkommunikation • Leitstelle und Leitsystem (indirekt) Tabelle 30: Betriebsinterner Prozess „Zähler- und Anschlussbetrieb“ (DL1 PS3 BP2) Prozessbeschreibung Der Zähler- und Anschlussbetrieb stellt den letzten betriebsinternen Prozess der dargestellten kritischen Dienstleistung Stromversorgung dar. Gleichzeitig stellt der Anschluss auch den elektrotechnischen Abschluss des Verbundnetzes dar. Der Prozess unterscheidet zwischen einmaligen Tätigkeiten wie dem Anschluss oder Austausch eines Zählers oder dem Legen eines Hausanschlusses und regelmäßigen Tätigkeiten wie der Ablesung eines Zählers oder der Einstellung eines Abrechnungs-Profils. Die Auslesung von Zählern kann bei größeren Verbrauchern elektronisch bzw. direkt durch den Messstellenbetreiber/Verteilnetzbetreiber mittels Zählerfernauslesung durchgeführt werden. Eine Fernauslesung von kleineren Verbrauchern wird in Zukunft durch Smart Meter ermöglicht. Eine Versorgung mit Strom erfolgt unabhängig von den kaufmännischen Umständen oder dem Lieferanten. Sind ein Anschluss und ein Zähler vorhanden, so kann Strom geliefert bzw. eingespeist werden. Aus Sicht der Verteilnetzbetreiber sind die Tätigkeiten, die mit einem Versorgerwechsel und der Grundversorgung in Verbindung stehen, zwar wirtschaftlich wichtig, aber aus Sicht der Kritischen Infrastrukturen von nachgelagertem Interesse. Erst ein längerer Ausfall der kaufmännischen Prozesse (Abrechnung) hat durch mögliche finanzielle Beeinträchtigungen von Betreibern oder Marktteilnehmern der Energieversorgung Einfluss auf die Versorgung. Der Betrieb von Stromzählern (Einrichtung und Wartung) kann vom Anschluss entkoppelt sein. Durch die Messzugangsverordnung ist eine Zählerbereitstellung und -ablesung nicht zwingend durch den Anschlussbetreiber durchzuführen. Energiezähler unterliegen einer Eichung und werden nach Ablauf gesetzlicher Fristen ausgetauscht. Die anfängliche Bereitstellung eines Anschlusses bzw. die Installation eines Zählers ist nicht kritisch, da dies lediglich einmal je Kunde bzw. Anschluss notwendig ist und die Versorgung mit Strom für die übrigen Abnehmer weiterhin möglich ist. Neue Anschlüsse und Informationen zu Zählern werden in Bundesamt für Sicherheit in der Informationstechnik 101 3 Kritische Dienstleistungen entsprechenden Systemen dokumentiert. Tritt ein Fehlerfall ein, so sind diese Informationen für das Störungsmanagement notwendig. Die Dokumentation erfolgt in geographischen Informationssystemen (GIS) und Zählerverwaltungssystemen. Die Ablesung bzw. die damit verbundene Abrechnung des Stromverbrauchs ist ebenfalls nur indirekt kritisch. Werden in erheblichem Umfang fehlerhafte Strommengen abgerechnet oder gemeldet, so kann dies einen Einfluss auf die Stromerzeugung bzw. die Kraftwerksfahrpläne nehmen. Dies ist vor allem bei Industrieabnehmern mit sehr hohem Stromverbrauch relevant. Die kaufmännischen Prozesse der Abrechnung sind nur dann KRITIS-relevant, wenn dadurch KRITIS-relevante Prozesse beeinträchtigt werden können. Die Ergebnisse der Abrechnung von Anschlüssen fließen zurück in die Planung und Bilanzierung der vorgelagerten Prozesse der Stromversorgung. Durch die Novellierung des EnWG wird gefordert, dass intelligente Zähler verbaut werden, die dem Kunden den derzeitigen Stromverbrauch in Echtzeit darstellen können. Optional können diese Zähler über ein Gateway Kommunikationsbeziehungen mit den Marktteilnehmern aufnehmen. Dies kann beispielsweise für die Übermittlung von Zählerständen oder die derzeitige Last an einem Anschluss verwendet werden. Details hierzu sind in Abschnitt 2.1.1.5 dargestellt. Neben dem Anschlussbetrieb für den Bezug von Strom besitzen Einspeiser (beispielsweise für Anlagen erneuerbarer Energien oder dezentraler Erzeugung) auch einen zweiten Anschluss für die Lieferung von Strom. Der Betrieb dieses Zählers bzw. des Anschlusses erfolgt analog zu den übrigen Anschlüssen. Die Daten zur Erzeugungsleistung werden ggf. durch den Verteilnetzbetreiber für Prognosen verwendet. Großverbraucher werden im Gegensatz zu Haushaltskunden direkt und in kürzeren Intervallen abgerechnet und gemessen. Neben einer Messung des Verbrauchs wird bei diesen Abnehmern auch der Lastgang durch den Zähler erfasst und ggf. abgerechnet. Die Ablesung solcher Zähler erfolgt meist über Zählerfernauslesung durch den Netzbetreiber. Bestimmte Verbraucher (beispielsweise Nachtspeicherheizungen, Straßenlaternen) und Zähler (beispielsweise HT/NT-Zähler) können und werden derzeit bereits ferngesteuert. Hierfür wird sogenannte Rundsteuertechnik eingesetzt, um Impulse für die Steuerung über das Netz zu senden. Dies ist jedoch weitestgehend ohne IKT-Einsatz möglich, da es sich um ein frequenzbasiertes Verfahren handelt. Die Rundsteuerung wird in Teilen auch durch Rundfunk- 25 und Mobilfunksignale realisiert. Sie erfolgt unidirektional und ohne Rückkanal zum Energieversorger. Mit der Abnahme des Stroms durch Endverbraucher endet der Gesamtprozess der Stromversorgung. Durch Entnahme und Einspeisung von Verbrauchern und Erzeugern auf den Nieder- und Mittelspannungsnetz liegt jedoch eine bidirektionale Wechselwirkung der unterschiedlichen Prozessschritte vor, was elektrotechnische Abhängigkeiten hervorruft. So sind nicht nur Verbraucher von der Stabilität des Gesamtnetzes abhängig, sondern das Gesamtnetz ist auch von der Einspeisung und Stabilität von erneuerbaren Energieerzeugungsanlagen abhängig, die über Nieder- oder Mittelspannung angeschlossen sind. 25 Europäische Funk-Rundsteuerung (EFR). 102 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.2 Gasversorgung (DL2) Die kritische Dienstleistung „Gasversorgung“ beschreibt im Wesentlichen den Betrieb des öffentlichen Gasnetzes. Zur besseren Übersicht wird der gesamte für die Erbringung der Dienstleistung nötige Prozess in die Prozessschritte Förderung, Transport und Verteilung unterteilt. Abbildung 21: Schematische Darstellung der kritischen Dienstleistung „Gasversorgung“ Quelle: eigene Darstellung Ausfall der Gasversorgung Die Umstände, die zu einem teilweisen oder vollständigen Ausfall von Anlagen der Gasbranche und damit auch zu einem Ausfall der kritischen Dienstleistung „Gasversorgung“ führen können, sind wie bereits bei der Stromversorgung vielfältig. Unter dem Begriff „Ausfall“ werden im Folgenden ein vollständiger Ausfall der Dienstleistung, eine gravierende Störung der Dienstleistung, ein technischen oder menschliches Versagen oder die Beschädigung von Infrastrukturen (meist verbunden mit Ausfällen) verstanden. Exemplarische Ausfall-Szenarien sind: • Durch fehlerhafte Daten über die prognostizierte Verbrauchsmenge und gleichzeitige Nichtverfügbarkeiten von Gasspeichern kann es zu einem Engpass bei der Nachlieferung von Gas in das Ferngasnetz und die nachgelagerten Verteilnetze kommen. Je nach Umfang des Engpasses kann in Folge an vielen Anschlussstellen der nötige Gasdruck nicht aufrechterhalten werden. Es kommt daher zu einem partiellem oder vollständigem Ausfall der Gasversorgung. Ein Ausfall des Gasnetzes in seiner Gänze ist jedoch sehr unwahrscheinlich. Wahrscheinlicher ist, dass einzelne Verbrauchergruppen oder Bundesamt für Sicherheit in der Informationstechnik 103 3 Kritische Dienstleistungen Regionen von der Versorgung getrennt werden, um die restlichen Kunden weiter beliefern zu können oder einen Fehler an der Verbreitung zu verhindern. Neben Engpässen ist ein Szenario für einen klassischen Ausfall die Beschädigung einer Leitung, beispielsweise durch einen Bagger. • Durch die Einspeisung von Gas ungeeigneter Qualität können angeschlossene Geräte beschädigt werden. Diese Störung kann beispielsweise durch die Manipulation von qualitätsprüfenden Systemen oder durch die Einleitung von ungeeignetem Gas verursacht werden. • Durch fehlerhafte Steuerungssysteme kann es in einem Bereich des Gasnetzes zu einem Überdruck kommen. Entlädt sich der Druck unkontrolliert, führt dies zu einer Explosion. Dies bewirkt die Beschädigung oder Zerstörung von Teilen der Infrastruktur. Folgen eines Ausfalls der Gasversorgung Ein Ausfall oder eine Störung der Gasversorgung kann gravierende Folgen haben [BMWi 2013b]. Für die einzelnen Bereiche der Gesellschaft sind diese wie folgt: • Für die Bevölkerung ist die Nutzung von Erdgas zur Erzeugung von Wärme der primäre Einsatzzweck. Die Folgen eines Ausfalls bzw. einer wesentlichen Störung der Gasversorgung unterscheiden sich dabei abhängig von der Jahreszeit, denn während Heizperioden sind Haushalte und Gewerbe besonders von der Gasversorgung abhängig. Ein Ausfall betrifft sowohl Haushaltskunden für Gas als auch Haushalte, die an ein mit Gas befeuertes Fernwärmenetz angeschlossen sind. Eine fehlende Beheizung hat kurzfristig einen Abfall der Lebensqualität zur Folge. Zudem ist es bei Haushalten mit Gas-Warmwasserzubereitung nicht mehr möglich, Warmwasser über die Hausleitung zu beziehen. Alternative Möglichkeiten zur Beheizung und Warmwasserbereitung müssen gefunden werden. Bei Personen mit entsprechendem gesundheitlichem Risiko kann ein Ausfall der Heizung zu Krankheit und im Extremfall zum Tod durch Unterkühlung oder in Folge von Infekten durch ein geschwächtes Immunsystem führen. Eine Störung des Gasnetzes kann auch direkt zu Verletzten und Toten führen. So hat austretendes Gas und dessen Explosion nach einer unbeabsichtigten Entzündung bereits im Regelbetrieb mehrere Todesfälle und verletze Personen pro Jahr in Deutschland zur Folge. Bei Gasspeicher- oder Gasleitungsunfällen können die Folgen noch weitaus gravierender sein [Schweiz Erdgas 2010]. • Auch für die Wirtschaft können bei einem Ausfall oder einer wesentlichen Störung der Gasversorgung große Schäden entstehen. Viele Industrie- und Bürogebäude werden mit Erdgas oder Fernwärme aus Erdgas beheizt. Insbesondere bei Industrieunternehmen, deren Produktionsprozesse auf dem Einsatz von Erdgas-Öfen oder weiteren erdgasbefeuerten oder -betriebenen Anlagen basieren, führen Ausfälle zu Produktionsausfällen und Verlusten. • Die Konsequenzen für staatliche Stellen und die staatliche Ordnung sind denen der Wirtschaft sehr ähnlich. Ohne eine Beheizung können Verwaltungsgebäude oder Dienststellen insbesondere im Winter kaum genutzt werden. Notfall- und Ersatzmaßnahmen müssen eventuell durch staatliche Stellen eingeleitet werden, die den Einsatz von Katastrophenschutz, Feuerwehr oder Bundeswehr erfordern. Dabei kann es sich beispielsweise um die Bereitstellung von mobilen Heizgeräten/-strahlern handeln, um wichtige Gebäude wie Schulen zu beheizen. Abhängigkeiten kritischer Dienstleistungen im Sektor Von der Gasversorgung hängen auch die weiteren Dienstleistungen des Sektors Energie ab: • In der Stromversorgung wird ein Teil der Kraftwerke mit Erdgas betrieben. Besonders wichtig für die Aufrechterhaltung der Stromversorgung sind jene Gaskraftwerke, die für die Erzeugung von Regelenergie genutzt werden. Sie zeichnen sich durch geringe Anlaufzeiten und eine hohe Flexibilität im Bezug auf die eingespeiste Leistung aus und leisten einen wesentlichen Anteil zur Stabilität der Stromversorgung. • Bei der Treibstoff- und Heizölversorgung bestehen nur geringe Abhängigkeiten von der Gasbranche. Vereinzelte Industrieanlagen zur Raffinierung oder zum Transport von Heizöl können Abhängigkeiten aufweisen, diese sind jedoch im KRITIS-Kontext gering. 104 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.2.1 Prozessschritt „Gasförderung“ (PS1) Die Gasförderung als erster Prozessschritt der Gasversorgung beschreibt, wie Erdgas aus unterirdischen Lagerstätten gewonnen und für die Nutzung im öffentlichen Gasnetz aufbereitet wird. Prozessschritt „Gasförderung“ (PS1) BP1 BP2 Exploration und Erschließung Förderung BP3 Aufbereitung → PS2 BP1 Gaseinspeisung Unterstützende Prozesse: → PS2 BP4 Gashandel (siehe Transport) → PS2 BP5 Störungsmanagement (siehe Transport) Abbildung 22: Prozessschritt „Gasförderung“ der kritischen Dienstleistung „Gasversorgung“ Quelle: eigene Darstellung In der Gasförderung existieren weitere betriebsinterne Prozesse. Darunter fallen die Planung der Exploration und die Stilllegung von außer Betrieb genommenen Explorations- bzw. Förderanlagen. Aufgrund ihrer geringeren kurz- bis mittelfristigen Kritikalität für die Bereitstellung der Dienstleistung (insbesondere im Bezug auf Informations- und Kommunikationstechnologie) werden diese im weiteren Verlauf nicht detailliert betrachtet. Die Prozesse der Wertschöpfungskette in der Gasversorgung beginnen mit der Suche und Erschließung von natürlichen Gasvorkommen. Bundesamt für Sicherheit in der Informationstechnik 105 3 Kritische Dienstleistungen 3.2.1.1 Betriebsinterner Prozess „Exploration und Erschließung“ DL PS BP 2 1 1 Zusammenfassung Abhängigkeit Logistik Exploration und Erschließung Der erste betriebsinterne Prozess des Prozessschritts „Gasförderung“ umfasst die Exploration und Erschließung von konventionellen und unkonventionellen Lagerstätten. Hierbei unterscheiden sich die Förderverfahren und -anlagen hinsichtlich Komplexität der Sicherheits- und Überwachungssysteme. unwesentlich wesentlich (KRITIS-relevant) Es bestehen wesentliche Abhängigkeit beim Transport der für die Erschließung nötigen Geräte (unter anderem Lieferung der Rohre) und bei der Versorgung mit Ersatzteilen. Tabelle 31: Betriebsinterner Prozess „Exploration und Erschließung“ (DL2 PS1 BP1) Der Prozess „Exploration und Erschließung“ ist in Bezug auf die Verfügbarkeit der Kritischen Infrastrukturen nicht bedeutend, wird aber der Vollständigkeit halber aufgeführt und beschrieben. Prozessbeschreibung In der Gasförderung werden konventionelle und unkonventionelle Lagerstätten unterschieden. Unkonventionelle Vorkommen werden zudem in Tight Gas, Schiefergas und Kohleflözgas unterteilt. Sie unterscheiden sich vor allem im Aufwand der Erschließung und Förderung. So müssen für Schiefergas große Mengen Flüssigkeit in den Boden gepumpt werden, um gasdurchlässige Risse zu erzeugen (das sogenannte Hydraulic Fracturing bzw. „Fracking“). Mit dem Aufwand steigt auch die Komplexität der Förderanlagen und Sicherheits- und Überwachungssysteme. Außerdem unterscheiden sich Prozesse und Technik bei Bohrungen an Land (Onshore) und auf dem Meer (Offshore). Die Folgen eines Unglücks können auf See deutlich gravierender ausfallen als an Land. Zudem stellen der Betrieb einer Plattform oder eines Bohrschiffes höhere Anforderungen an IKT-Komponenten. Die Positionierung eines Bohrschiffes bzw. einer schwimmenden Plattform über dem Bohrloch wird beispielsweise mit Hilfe von Positionierungssystemen wie GPS ermöglicht. In Bezug auf die Ausführung der Bohrung wird gegenwärtig oft ein frei steuerbares Turbinenbohren eingesetzt [Wintershall 2014a]. Dabei findet der Vortrieb durch eine vom Bohrwasser angetriebene Turbine nahe dem Bohrkopf statt. Diese ermöglicht es, den Bohrkopf nicht nur senkrecht vorzutreiben, sondern auch in eine gewünschte Richtung zu steuern. Neben Horizontalbohrungen können damit auch mehrere Bohrungen von einem Bohrort aus ausgeführt werden, um mehrere unterirdische Gasvorkommen zu erreichen. Diese Art der Bohrung stellt deutlich höhere Anforderungen an die Messdaten und die Steuertechnik der Anlagen. Außerdem wird durch das Zusammenführen mehrerer Austritte an einem Ort die Kritikalität der entsprechenden Anlage erhöht. Gefahren entstehen bei der Erschließung vor allem für das beteiligte Personal (insbesondere im Offshore-Bereich) und für die Umwelt (nicht KRITIS-relevant). Außerdem können unkontrollierte Austritte durch den Verlust der Reserven zu hohen wirtschaftlichen und volkswirtschaftlichen Schäden führen. Der hier definierte Prozess der Exploration endet mit dem Abbau der Bohranlagen und dem Übergang von der Erschließung des Gasfelds in den Regelbetrieb der Förderung. 106 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.2.1.2 Betriebsinterner Prozess „Förderung und Produktion“ DL PS BP 2 1 2 Zusammenfassung Abhängigkeit Logistik Förderung und Produktion Der zweite betriebsinterne Prozess des Prozessschritts „Gasförderung“ betrachtet den Kernprozess des Prozessschritts, die Förderung und Produktion. Diese umfasst alle Schritte der Gasförderung und -verdichtung. unwesentlich wesentlich (KRITIS-relevant) Der Betrieb der Förderung ist weitestgehend ohne Logistikdienstleistungen möglich. Bei Beginn der Förderung ist ein erhöhter logistischer Aufwand für den Aufbau und Transport der Anlagen notwendig, der danach lediglich bei Reparaturen erneut anfällt. Tabelle 32: Betriebsinterner Prozess „Förderung und Produktion“ (DL2 PS1 BP2) Der Prozess „Förderung und Produktion“ ist in Bezug auf die Verfügbarkeit der Kritischen Infrastrukturen nicht bedeutend, wird aber der Vollständigkeit halber aufgeführt und beschrieben. Prozessbeschreibung Große Teile der Förderung von Erdgas sind praktisch identisch mit der Förderung von Erdöl. Ausfälle oder Störungen der heimischen Förderung führen aufgrund des relativ geringen Anteils an der Gesamtversorgung (weniger als 15 Prozent) nicht zu gravierenden Problemen für die Gasversorgung. Selbst bei einem langfristigen Ausfall oder einer Zerstörung könnten fehlende Mengen über eine Aufstockung der Importe kompensiert werden. Ein Ausfall kann jedoch wirtschaftliche Schäden zur Folge haben. Nach der Erschließung aus Gasvorkommen wird der Bohrturm abgebaut und durch eine Förderanlage ersetzt. Das Bohrloch wird dabei mit einem sogenannten Eruptionskreuz abgeschlossen. Die Funktionsweise des Eruptionskreuzes wird im Prozess für Förderung von Erdöl näher beschrieben (siehe Abschnitt 3.3.1.2). Während Onshore-Förderanlagen auch weitestgehend autonom betrieben werden können, sind Offshore-Plattformen (z. B. die Plattform A6-A in der Nordsee) in der Regel durchgehend mit Betriebspersonal besetzt. Im Vergleich zur Erdölförderung können größere Mengen konventionellen Gases über den natürlichen Druck in der Lagerstätte gefördert werden. Ab einer Förderung von ca. 75 Prozent müssen jedoch Maßnahmen ergriffen werden, um den Druck zu erhöhen. In einem ersten Schritt können Verdichter (Kompressoren) installiert werden, um den atmosphärischen Gegendruck am Austrittspunkt zu verringern. Verdichter werden auch eingesetzt, um den für die Aufbereitungsanlage nötigen Druck in der Leitung herzustellen. Später kann durch das Einpumpen anderer Gase (beispielsweise Kohlendioxid) der Druck im Gasfeld erhöht werden [CLEAN 2011]. Gas kann neben der Förderung aus fossilen Gasvorkommen auch aus erneuerbaren oder anderen fossilen Rohstoffen wie Kohle produziert werden. Biogas aus pflanzlicher Ausgangsbasis kommt dabei aufgrund der zunehmenden Einspeisungsfähigkeit in das öffentliche Gasnetz (siehe Abschnitt 2.2.1.1) eine immer größere Rolle zu. Dieses Gas wird in Biogasanlagen erzeugt. Die Versorgung mit Biogas ist jedoch noch nicht ausreichend, um das konventionelle Erdgas zu ersetzen und eine erneuerbare Gasversorgung zu ermöglichen. Mit der Abgabe des Gases aus der eigentlichen Förderanlage endet der Prozess der Förderung. Im folgenden Prozess wird das Gas je nach Ausgangsqualität unterschiedlich aufwendig aufbereitet, um eine für die Einspeisung in das Gasnetz ausreichende Qualität zu erreichen. Bundesamt für Sicherheit in der Informationstechnik 107 3 Kritische Dienstleistungen 3.2.1.3 Betriebsinterner Prozess „Aufbereitung“ DL PS BP 2 1 3 Zusammenfassung Abhängigkeit Logistik Risikoelemente (IKT) Aufbereitung Der dritte betriebsinterne Prozess des Prozessschritts „Gasförderung“ umfasst die Aufbereitung des geförderten Gases. Dies dient der Vermeidung der Bildung schädlicher Verbindungen und der Gewährleistung einer gleichbleibenden Verbrennung. unwesentlich wesentlich (KRITIS-relevant) Die Aufbereitung von Gas erfordert bis auf die internen logistischen Sachverhalte beim Betreiber keine anderen Logistikdienstleistungen. Beim Abtransport des Erdölkondensats und des Schwefels bestehen Abhängigkeiten vom Logistik-Sektor. • Prozessleitsysteme • Sicherheitssysteme Tabelle 33: Betriebsinterner Prozess „Aufbereitung“ (DL2 PS1 BP3) Prozessbeschreibung Der Prozess der Aufbereitung ist für die deutsche Gasversorgung insbesondere in der Aufbereitung von Gasen geringerer Qualität (wie beispielsweise Biogas) relevant. Obwohl auch Gase auf Grund ihrer hohen natürlichen Qualität ohne aufwendigere Aufbereitung eingespeist werden, kann es ohne die Einspeisung dieser aufbereiteten Gase in das Netz zu Engpässen in der Versorgung kommen. Der erste Schritt der Aufbereitung des geförderten Erdgases findet direkt an der Förderstelle statt. In einer Gastrocknungsanlage wird dem geförderten Gas Wasser entzogen, um die Bildung von schädlichen Hydrat-Verbindungen in Pipelines zu verhindern und eine gleichbleibende Verbrennung zu gewährleisten. Im selben Prozess werden auch Kohlenwasserstoffe abgetrennt, die in einer Raffinerie zu Mineralölprodukten weiterverarbeitet werden können (das sogenannte „Erdölkondensat“) [RWE 2014c]. Hier besteht eine direkte Verbindung in der Wertschöpfungskette zwischen Gas und Mineralöl. Je nach Qualität des Gases wird es zusätzlich in einer weiteren komplexeren Aufbereitungsanlage aufbereitet, die sich meist nahe großer Förderstellen oder Produktionsstätten befindet. Ein Teil dieser Aufbereitung ist die Umwandlung von „Sauergas“ in „Süßgas“ durch das Auswaschen von Schwefelwasserstoff. Die entsprechenden Anlagen produzieren als Nebenprodukt beachtliche Mengen reinen Schwefels. Der entstandene Schwefel wird in der Industrie weiter verwendet oder durch Dienstleister entsorgt. Aus Qualitätsgründen kann zusätzlich Stickstoff abgetrennt werden, um den Brennwert bzw. die Methankonzentration zu erhöhen [ExxonMobil 2009]. Unter die Aufbereitung fällt auch die Aufbereitung und Methanisierung von Gasen mit geringerem ursprünglichem Methananteil (Biogas, SNG, L-Gas) in entsprechenden Anlagen. Gas wird eher selten vor Ort zwischengespeichert und bei entsprechender Qualität meist direkt in das öffentliche Netz eingespeist. Die Aufbereitung endet daher mit der Einspeisung von höherwertigen Erdgas in das öffentliche Netz. Ein übergreifender Prozess der Gasförderung ist das Störungsmanagement. Er wird im Prozessschritt „Gastransport“ übergreifend behandelt. 108 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.2.2 Prozessschritt „Gastransport“ (PS2) Der Prozessschritt des Gastransports beschreibt im Wesentlichen die Aktivitäten der Ferngasnetzbetreiber. Prozessschritt „Gastransport“ (PS2) BP2 Gasdurchleitung BP2 Gasdurchleitung BP1 Gaseinspeisung und ggf. PS1 PB3 oder BP3 Gasspeicherung Aufbereitung PS3 BP1 Gasübernahme oder erneut BP1 Gaseinspeisung Unterstützende Prozesse: BP4 Gashandel BP5 Störungsmanagement Abbildung 23: Prozessschritt „Gastransport“ der kritischen Dienstleistung „Gasversorgung“ Quelle: eigene Darstellung Im Gastransport existieren weitere betriebsinterne Prozesse. Darunter fällt auch die Planung von Pipelines. Aufgrund ihrer geringeren kurz- bis mittelfristigen Kritikalität für die Bereitstellung der Dienstleistung (insbesondere in Bezug auf Informations- und Kommunikationstechnologie) werden diese Prozesse jedoch im weiteren Verlauf nicht detailliert betrachtet. Bundesamt für Sicherheit in der Informationstechnik 109 3 Kritische Dienstleistungen 3.2.2.1 Betriebsinterner Prozess „Gaseinspeisung“ DL PS BP 2 2 1 Zusammenfassung Abhängigkeit Logistik Risikoelemente (IKT) Gaseinspeisung Der erste betriebsinterne Prozess des Prozessschritts „Gastransport“ umfasst die Einspeisung des Gases in das Ferngasnetz. unwesentlich wesentlich (KRITIS-relevant) Es bestehen keine Abhängigkeiten. • Prozessleitsysteme • Sicherheitssysteme Tabelle 34: Betriebsinterner Prozess „Gaseinspeisung“ (DL2 PS2 BP1) Prozessbeschreibung Die Einspeisung in das Ferngasnetz findet über Einspeisungsanlagen statt. An das eingespeiste Gas werden klare Anforderungen hinsichtlich Qualität und Druck gestellt. Die Einspeisung von Gas in das öffentliche Netz weist grundsätzlich eine hohe Ähnlichkeit auf. Dabei ist es fast unerheblich, ob direkt von der Förderstelle, nach einer Aufbereitung oder aus einem Gasspeicher eingespeist wird. Geographisch gesehen gibt es innerdeutsche Einspeisungspunkte an Produktions- und Speicherstätten sowie Übernahmestationen an den Landesgrenzen und an den Anlandepunkten der über das Meer ankommenden Pipelines. Bei der Übernahme aus Netzen mit unterschiedlichem Druck muss der Gasdruck zuvor in einer Gasdruckregelanlage reduziert oder erhöht werden. 110 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.2.2.2 Betriebsinterner Prozess „Gasdurchleitung“ DL PS BP 2 2 2 Zusammenfassung Abhängigkeit Logistik Risikoelemente (IKT) Gasdurchleitung Der zweite betriebsinterne Prozess des Prozessschritts „Gastransport“ umfasst die Durchleitung des Gases in Pipelines. Darüber hinaus beinhaltet dies auch die Überwachung und Steuerung der Pipelines und Knotenpunkte durch die Fernleitungsnetzbetreiber. unwesentlich wesentlich (KRITIS-relevant) Es bestehen keine Abhängigkeiten. • Prozessleitsysteme • Sicherheitssysteme Tabelle 35: Betriebsinterner Prozess „Gasdurchleitung“ (DL2 PS2 BP2) Prozessbeschreibung Das Gas wird in der Regel nicht dort gefördert bzw. importiert, wo es benötigt oder verbraucht wird, sondern muss über lange Distanzen transportiert werden. Die Gasdurchleitung (Dispatching) beschreibt den Transport von Gas vom Einspeisepunkt einer Pipeline zum Ausspeisepunkt. An diesem Punkt erfolgt wieder eine Einspeisung in ein Transportnetz, einen Gasspeicher oder in ein Verteilnetz. Der Ausfall des Prozesses zur Gasdurchleitung hat direkten Einfluss auf die Versorgung der Verbraucher mit Gas. Ohne diese Bestandteile des Transportnetzes können unter Umständen nachgelagerte Verteilnetzbetreiber eine Vielzahl von Abnahmestellen nicht mehr bedienen. Die Gasdurchleitung ist direkt mit der Ein- und Ausspeisung verbunden, da Gas durch den Druck in den Pipelines transportiert wird. Dieser Druck wird bei der Einspeisung aufgebaut und durch Druckregelanlagen im Gasnetz aufrechterhalten. Die einzelnen Komponenten müssen kontinuierlich überwacht und bei Bedarf gesteuert werden. Neben den netzbezogenen Maßnahmen, wie der Steuerung oder der Einspeisung von Regelmengen, sind auch marktbezogene Tätigkeiten wie das Kapazitätsmanagement oder das Fahrplanmanagement zu berücksichtigen. Analog zum Stromnetz sind beim Erdgastransport auch energiewirtschaftliche Sachverhalte zu betrachten. Die Fernleitungsnetzbetreiber müssen für die Gasdurchleitung allen Marktteilnehmern diskriminierungsfreien Zugang zum Transportnetz ermöglichen. Dieser Zugang ist eng mit dem Kapazitätshandel und dem Gashandel verbunden. Auf die kaufmännischen Teilprozesse wie Netznutzungsverträge oder Abrechnung der Gasdurchleitung wird in dieser Studie nicht weiter eingegangen, da diese nicht direkt KRITIS-relevant sind. Die Überwachung und Steuerung der Pipelines und Knotenpunkte findet in den Leitstellen (Dispatching-Zentralen) der Fernleitungs- und Verteilnetzbetreiber statt. Gas-Leitstellen sind zum Teil mit den Leitstellen für Strom kombiniert. Solche Kombinationsleitstellen können sich sowohl das Personal, den Standort als auch die IT-Systeme teilen. Das Leitsystem stellt die Grundlage und Zustand für das Netz dar, auf deren Basis die Dispatcher Entscheidungen treffen bzw. Schalthandlungen durchführen. Diese Schalthandlungen werden entweder automatisiert über Fernwirktechnik realisiert oder telefonisch einem Mitarbeiter vor Ort (beispielsweise bei Störungen). Weitere Details zum Dispatching können dem Dokument [Falley et al. 2010] entnommen werden. Folgende Teilprozesse fallen unter den Prozess der Gasdurchleitung: – Kapazitätsmanagement; Bundesamt für Sicherheit in der Informationstechnik 111 3 Kritische Dienstleistungen – Fahrplanmanagement; – Netzsteuerung und Fernwirktechnik; – Bereitstellung von Regelenergie. Im Verteilnetz ist der Grad der Unterstützung durch IKT-Systeme in der Regel weniger stark ausgeprägt als in Übertragungsnetzen. Dies ist nicht zuletzt auf die größere Länge des Netzes und auf schwerer erreichbare unterirdische Verlegung in urbanen Gebieten zurückzuführen. Die übertragenen Volumen im Verteilnetzumfeld sind zudem in Verhältnis zu den Kapazitäten der Ferngasleitungen geringer. 112 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.2.2.3 Betriebsinterner Prozess „Gashandel“ DL PS BP 2 2 3 Zusammenfassung Abhängigkeit Logistik Risikoelemente (IKT) Gashandel Der dritte betriebsinterne Prozess des Prozessschritts „Gastransport“ betrachtet den Handel von Gas in Deutschland. Dieser ist übergreifend für alle Prozessschritte der Gasversorgung relevant. unwesentlich wesentlich (KRITIS-relevant) Es bestehen keine Abhängigkeiten. Die Abwicklung erfolgt ausschließlich digital. • Handelssysteme • Kapazitätsplanungssysteme Tabelle 36: Betriebsinterner Prozess „Gashandel“ (DL2 PS2 BP3) Prozessbeschreibung Der Gashandel in Deutschland findet auf zwei Wegen statt. Einerseits schließen große Energieversorger und Stadtwerke direkt Verträge mit einzelnen Versorgern ab. Diese Verträge sind zumeist langfristig ausgelegt und an den Ölpreis gebunden. Auf der anderen Seite kaufen Unternehmen auch Erdgas an Handelsplätzen wie der European Energy Exchange (EEX) ein, ohne sich an langfristige Verträge binden zu müssen. Obwohl das Volumen des Erdgashandels an Börsen zuletzt massiv gestiegen ist, beträgt der Anteil am Gesamthandel bisher nur rund fünf Prozent [MZ 2014]. Ein Ausfall oder eine Beeinträchtigung des betriebsinternen Prozesses ist, was die Folgen betrifft, ähnlich zum Stromhandel zu bewerten. Kurz- und mittelfristig ist eine Beeinträchtigung der Dienstleistung nicht zu erwarten, da langfristige Kontrakte und Lieferungen vorhanden sind. Der finanzielle Einfluss auf die Marktteilnehmer bei fehlenden Möglichkeiten, Gas zu handeln und Kapazitäten an Pipelines zu auktionieren, kann aber langfristig die Gasversorgung beeinträchtigen. Am Gashandel beteiligte Unternehmen sind dann unter Umständen nicht in der Lage, die entstehenden finanziellen Engpässe zu kompensieren. Der Gashandel in physischer Form in Deutschland wird dabei über zwei Marktgebietsverantwortliche organisiert, die Gemeinschaftsunternehmen mehrerer unabhängiger Fernleitungsnetzbetreiber sind. Jedes der Gemeinschaftsunternehmen betreibt dafür einen von zwei virtuellen Handelspunkten (VHP) – den NCG Hub und den Gaspool Hub. Während der NCG Hub Einspeisung und Entnahme von Erdgas im Süden und Westen Deutschlands steuert, ist der Gaspool Hub die Schnittstelle für den Handel mit Erdgas im Osten und Norden des Landes [FNB Gas 2014b]. Lieferanten speisen ihre Gasmenge in das Netz ein und der Kunde hat an einem beliebigen Entnahmepunkt Zugriff auf die gewünschte Menge. Der Ausgleich zwischen Ein- und Ausspeisung findet durch eine Bilanzierung statt. Für die Ein- und Ausspeisemengen müssen zuvor im Rahmen des Entry-Exit-Systems Kapazitäten gebucht werden. Freie Kapazitäten werden dabei durch die Betreiber online bekanntgegeben. Neben dem Handel mit Gas ist der Handel mit Gastransportkapazitäten Teil des betriebsinternen Prozesses. Diese werden über eine zentrale Kapazitätshandelsplattform (PRISMA) im Primär- und Sekundärhandel auktioniert. Der Handel ist Teil der Umsetzung der Netzzugangsverordnung und ermöglicht einen diskriminierungsfreien Gastransport. Das Entry-Exit-System, auch Zweivertragsmodell genannt, hat das Transportpfadmodell abgelöst. Der Vorteil ist, dass Gashändler nicht mehr mit allen beteiligten Netzbetreibern Verträge abschließen müssen, sondern unabhängig vom Transportweg eine Gebühr bei Einspeisung und Entnahme zahlen [Monopolkom. 2013]. Bundesamt für Sicherheit in der Informationstechnik 113 3 Kritische Dienstleistungen 3.2.2.4 Betriebsinterner Prozess „Gasspeicherung“ DL PS BP 2 2 4 Zusammenfassung Abhängigkeit Logistik Risikoelemente (IKT) Gasspeicherung Der vierte betriebsinterne Prozess des Prozessschritts „Gastransport“ umfasst die Speicherung des Gases. Hierbei wird zwischen zweierlei Klassen der Gasspeicher unterschieden, je nach Zweck und Größe des Speichers. unwesentlich wesentlich (KRITIS-relevant) Es bestehen keine Abhängigkeiten. • Prozessleitsysteme • Sicherheitssysteme Tabelle 37: Betriebsinterner Prozess „Gasspeicherung“ (DL2 PS2 BP4) Prozessbeschreibung Bei Gasspeichern wird zwischen zwei Klassen unterschieden. Ein lokaler Erdgasspeicher dient zur (Zwischen-)Speicherung vergleichsweise geringer Mengen Gas [Langner et al. 2013]. Dabei handelt es sich meist um überirdische Anlagen mit teils mehreren hunderttausend Kubikmetern Speichervolumen. Ein unterirdischer Erdgasspeicher dient zur Speicherung größerer Mengen zum Ausgleich von saisonalen Verbrauchsschwankungen (diese können einen Faktor von bis zu 7 betragen) und zu Vorhaltung größerer Regelmengen für das Ferngasnetz. Der Prozess der Errichtung dieser Speicher ist zu großen Teilen identisch mit der Erschließung eines Gasfeldes bzw. nutzt direkt die Bohrungen eines bereits entsprechend erschlossenen Felds. Zusätzlich werden jedoch vor der Einspeisung Reinigungs- und Verdichtersysteme (gasbetrieben oder elektrisch) mit folgenden Kühlsystemen sowie bei der Entnahme erneut Reinigungs- und Trocknungssysteme benötigt. Des Weiteren wird neben dem Eruptionskreuz eine zusätzliche automatisch oder manuell zu bedienende Sicherheitsabsperrarmatur 50 bis 100 m entfernt vom Bohrloch unterirdisch angelegt. Unterirdische Gasspeicher umfassen meist mehrere Kavernen oder Felder, die von einem zentralen Leitstand überwacht und gesteuert werden [RWE 2008]. Erdgasspeicher werden zunehmend Dritten zur flexiblen Nutzung angeboten. Diese Nutzung stellt somit hohe Anforderungen an die eingesetzte IKT und die Verknüpfung von Vertragsmanagement-, Kapazitätsmanagement- und Steuersystemen [VNG o.J.]. Eine weitere Möglichkeit der Erdgasspeicherung bietet das Leitungsnetz selbst. Durch unterschiedliche Druckstufen wird dort häufig deutlich mehr Gas vorgehalten, als zur Bedienung der vorliegenden Entnahmenachfrage nötig wäre. 114 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.2.2.5 Betriebsinterner Prozess „Störungsmanagement (Gas)“ DL PS BP 2 2 5 Zusammenfassung Abhängigkeit Logistik Risikoelemente (IKT) Störungsmanagement (Gas) Der übergreifende betriebsinterne Prozess „Störungsmanagement (Gas)“ betrachtet die Reaktion auf interne und externe Störungen, die bei allen Prozessschritten und betriebsinternen Prozessen auftreten können. unwesentlich wesentlich (KRITIS-relevant) Eine Abhängigkeit von der Logistik ist nur in Einzelfällen gegeben, da Störungen durch den Vor-Ort-Einsatz eines Technikers bzw. durch Schalthandlungen am Leitsystem behoben werden. Das Störungsmanagement erfordert in Abhängigkeit der Störung möglicherweise Dienstleistungen der Logistikbranche (Lieferung von Ersatzteilen). • Dokumentationssysteme • Workforcemanagementsysteme • Alarmsysteme • Instandhaltungs-Management-Systeme Tabelle 38: Betriebsinterner Prozess „Störungsmanagement (Gas)“ (DL2 PS2 BP5) Prozessbeschreibung Der übergreifende Prozess „Störungsmanagement (Gas)“ umfasst die Reaktion auf interne und externe Störungen. Eine Störung kann bei allen Prozessschritten oder betriebsinternen Prozessen auftreten. Interne Störungen sind beispielsweise eine Störung oder der Ausfall von Komponenten bei der Gaszufuhr. Eine externe Störung kann beispielsweise der Zusammenbruch des Gasnetzes oder ein Hackerangriff auf die unterstützenden IKT-Systeme sein. Kann nicht zeitnah und zielgerichtet auf derartige Sachverhalte reagiert werden, ist die Aufrechterhaltung der Gasversorgung gefährdet. Das effiziente Störungsmanagement hängt von verschiedenen Faktoren ab; so ist zum Beispiel gesetzlich geregelt, dass Störungsfälle schnell behandelt werden müssen. Viele Netzbetreiber bieten hierfür auch Online-Dienste, bei denen Endverbraucher Störungen über das Internet melden können. Aber auch Sensoren und Regler sind in das Störungsmanagement eingebunden und werden zentral in einem Überwachungszentrum (meist in Kombination mit der zentralen Meldestelle) gesteuert [E.ON Ruhrgas 2014]. Im Fall einer Störung müssen die an der Beseitigung des Störfalls beteiligten Systeme und Personen (Entstörungstrupps) einsatzbereit und handlungsfähig sein. Dazu wird oftmals ein Workforcemanagement für die Einsatzplanung eingesetzt. Hierbei werden Techniker mittels IKT-Systemen so koordiniert und disponiert, dass Störungen schnellstmöglich und effizient behoben werden können. In das Störungsmanagement fällt auch die Reaktion auf IKT-Vorfälle. Die Gasversorgung ist bei der Erschließung, der Förderung/Erzeugung und der Aufbereitung auf ein funktionierendes Störungsmanagement angewiesen. Grundlage dieses Prozesses ist eine vollständige Anlagendokumentation. Auch bei der Förderung und bei der Verteilung kommt das Störungsmanagement zum Einsatz. Aufgrund der großen geographischen Ausbreitung werden für das Störungsmanagement der Pipelinenetze bei Gas für Transport und Verteilung neben der Anlagendokumentation auch geographische Informationssysteme (GIS) genutzt. Bundesamt für Sicherheit in der Informationstechnik 115 3 Kritische Dienstleistungen 3.2.3 Prozessschritt „Gasverteilung“ (PS3) Der Prozessschritt der Gasverteilung beschreibt im Wesentlichen die Aktivitäten der Gasverteilnetzbetreiber. Prozessschritt „Gasverteilung“ (PS3) PS2 BP2 BP1 Gasdurchleitung PS2 BP2 Durchleitung (wie Transport) Gasübernahme BP2 Zähler- und Anschlussbetrieb (Gas) BP1 Gasübernahme Unterstützende Prozesse: PS2 BP4 Gashandel (siehe Transport) PS2 BP5 Störungsmanagement (siehe Transport) Abbildung 24: Prozessschritt „Gasverteilung“ der kritischen Dienstleistung „Gasversorgung“ Quelle: eigene Darstellung Bei der Gasverteilung existieren weitere betriebsinterne Prozesse. Darunter fällt auch die Planung und Instandhaltung von Verteilnetzen. Aufgrund ihrer geringeren kurz- bis mittelfristigen Kritikalität für die Bereitstellung der Dienstleistung (insbesondere in Bezug auf Informationsund Kommunikationstechnologie) werden diese Prozesse jedoch im weiteren Verlauf nicht detailliert betrachtet. Langfristig kann eine fehlerhafte Planung und Instandhaltung Einfluss auf die Gasversorgung nehmen. Das Gasnetz ist wie jede technische Anlage darauf angewiesen, regelmäßig gewartet zu werden, um Defekten vorzubeugen. Störungen und Ausfälle können zwar über die im Prozess Wartung eingesetzten Systeme entstehen, ein vollständiger Ausfall des Prozesses oder Konsequenzen aus diesem Ausfall sind sehr unwahrscheinlich. Als Prozess selbst ist die Wartung deshalb nicht unmittelbar ein kritischer Prozess. Der Prozess des Gastransports im Verteilnetz ist jenem im Übertragungsnetz technisch sehr ähnlich. Er wird deshalb nicht erneut dargestellt. Auf Unterschiede zwischen den Netzen wird im Prozess „Durchleitung“ des Gastransports (Abschnitt 3.2.2.2) eingegangen. 116 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.2.3.1 Betriebsinterner Prozess „Gasübernahme“ DL PS BP 2 3 1 Zusammenfassung Abhängigkeit Logistik Risikoelemente (IKT) Gasübernahme Der Prozess der Gasübernahme beschreibt die Kopplung eines Verteilnetzes an ein Ferngasnetz, einen direkt einspeisenden Gasproduzenten oder ein vorgelagertes anderes Verteilungsnetz. unwesentlich wesentlich (KRITIS-relevant) Es bestehen keine Abhängigkeiten. • Prozessleitsysteme Tabelle 39: Betriebsinterner Prozess „Gasübernahme“ (DL2 PS3 BP1) Prozessbeschreibung Um Gas kosteneffizient über große Entfernungen zu transportieren, wird das Volumen mit Hilfe von hohem Druck reduziert. Dieser hohe Verdichtungsgrad in den Fernleitungen wird in den Verteilnetzen nicht aufrechterhalten. An Gas-Druckregel- und Messanlagen (GDRM- bzw. GDR-Anlagen) wird der Druck reduziert und in das Verteilnetz eingespeist. In Ausnahmefällen, beispielsweise bei einem starken Druckabfall in den Transportpipelines, kann der Druck des Gases in den Gasdruckregelanlagen auch gesteigert und mit dem benötigten Druck ins Verteilnetz eingespeist werden. Über die Anpassung des Gasdrucks für das jeweilige Mittel- und Niedrigdrucknetz hinaus haben GDR-Anlagen auch noch weitere Funktionen. So findet hier eine weitere Reinigung des Gases statt, um das Gas für den privaten und industriellen Gebrauch geeignet zu machen. An diesen Anlagen werden außerdem entnommene und eingespeiste Mengen gemessen, um Über- bzw. Unterdruck in angeschlossenen Netzen frühzeitig zu erkennen und entsprechende Gegenmaßnahmen einzuleiten. In den GDR-Anlagen findet zudem die Odorierung statt. Bevor Gas an Endkunden weitergeleitet wird, werden dem Gas Riechstoffe beigefügt, die im Falle eines Austritts durch einen schwefelartigen Geruch auf Gefahr hinweisen sollen. Bevor Gas in das Verteilnetz eingespeist werden kann, müssen entsprechende Kapazitäten beantragt und gebucht werden. Da die möglichst reibungslose Übernahme des Gases Voraussetzung für den Betrieb eines Verteilnetzes ist, ist dieser Prozess sehr relevant in Bezug auf den Schutz Kritischer Infrastrukturen. Die Verteilnetze werden nicht nur aus Ferngaspipelines gespeist, sondern können auch direkt von Gasproduzenten wie beispielsweise Biogasanlagen Einspeisungen erhalten. Außerdem kann Gas auch von einem Verteilnetz in ein weiteres nachgelagertes Verteilnetz durchgeleitet werden. Der hier definierte Prozess der Gasübernahme stellt den Kopplungspunkt zwischen Übertragungsnetz und Verteilnetz oder einem dem annehmendem Verteilnetz übergeordnetem oder nachgelagertem Verteilnetz dar. Dieser endet mit der Einspeisung von Gas in das Netz. Der anschließende Prozess der Gasdurchleitung wird aufgrund der sehr ähnlichen technischen Abläufe im Prozessschritt „Transport“ betrachtet. Dieser Prozess endet am Gasanschluss des Verbrauchers (Haushalt oder Industrie). Bundesamt für Sicherheit in der Informationstechnik 117 3 Kritische Dienstleistungen 3.2.3.2 Betriebsinterner Prozess „Zähler- und Anschlussbetrieb (Gas)“ DL PS BP 2 3 2 Zusammenfassung Abhängigkeit Logistik Risikoelemente (IKT) Zähler- und Anschlussbetrieb (Gas) Der zweite betriebsinterne Prozess des Prozessschritts „Gasverteilung“ betrachtet den Betrieb von Zählern und Anschlüssen. Dies umfasst sowohl einmalige Tätigkeiten wie die Inbetriebnahme, als auch regelmäßige Tätigkeiten wie das Ablesen. unwesentlich wesentlich (KRITIS-relevant) Es bestehen keine Abhängigkeiten für den Betrieb des Anschlusses. Beim Erstanschluss ist Logistik notwendig, um Zähler-Chargen zum Energieversorger zu transportieren. Die Auslieferung an den Endkunden erfolgt weitestgehend durch den Monteur und erfordert keine weiteren Logistikdienstleistungen. • Zählerverwaltungssysteme • Marktpartnerkommunikationssysteme • Zählersysteme Tabelle 40: Betriebsinterner Prozess „Zähler und Anschlussbetrieb (Gas)“ (DL2 PS3 BP2) Prozessbeschreibung Der Betrieb des Gasanschlusses und der Messstellenbetrieb auf Verbraucherseite markiert den Abschluss des Prozessschrittes Gasverteilung und damit der gesamten hier modellierten kritischen Dienstleistung Gasversorgung. Der Übergabepunkt an das Gas-Hausnetz an der Hauptabsperreinrichtung (HAE) stellt den Abschluss des Anschlussbetriebes durch den Netzbetreiber dar. Hinter diesem Anschluss ist der Hauseigentümer für die Verteilung des Gases bis zur endgültigen Abnahmestelle (an der Geräteanschlussleitung) verantwortlich [NDAV 2006]. Der Netzbetreiber ist dagegen für die Sicherstellung des korrekten Gasdrucks am Hausanschluss verantwortlich. Dieser Druck wird durch das Gasdruckregelgerät (GDR) konstant gehalten. Die Zuleitung von der Versorgungsleitung an die HAE erfolgt über die Hausanschlussleitung. Diese besitzt Gasströmungswächter, die bei zu großem Gasdurchfluss den Anschluss automatisch abschließen [ASUE 2010]. Ohne den Betrieb des Anschlusses durch den Netzbetreiber kann keine Gasverteilung an die Verbraucher stattfinden und somit die Dienstleistung nicht erbracht werden. Der Betrieb des Gaszählers beim Endverbraucher wurde durch die Messzugangsverordnung (MessZV) vom Betrieb des Gasnetzes entkoppelt. Die Messung kann somit auch von anderen Unternehmen als dem Netzbetreiber vorgenommen werden. Private Verbraucher besitzen zur Messung des Gasdurchsatzes meist Gaszähler, die den Durchsatz in einem Zählwerk festhalten. Die Ablesung erfolgt normalerweise in regelmäßigen Abständen durch Vor-Ort-Besichtigungen oder durch die Nutzung von Online-Diensten der Anbieter. Neuerdings werden private Gaszähler auch mit Schnittstellen zur direkten Übermittlung des Gasdurchsatzes an den Messstellenbetreiber ausgeliefert oder ältere Geräte nachgerüstet (Smart Meter). Größere industrielle Gasabnehmer besitzen hingegen in der Regel Gaszähler, bei denen durch eine Schnittstelle die Gasmenge direkt an den Messstellenbetreiber übermittelt wird. Der Prozess des Zähler- und Anschlussbetriebs endet mit der Lieferung des Gases an den Verbraucher. In seltenen Fällen ist es möglich, dass eine Einspeisung in das Gasnetz auch auf der Verteilungsebene stattfindet. Dies wird jedoch bei der Gasverteilung und dem Gastransport berücksichtigt. Die Einspeisungen sind zudem lokal beschränkt und im KRITIS-Kontext nicht weiter relevant. Ein übergreifender Prozess der Gasverteilung ist das Störungsmanagement. Er wird im Prozessschritt „Transport“ übergreifend behandelt. 118 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.3 Treibstoff- und Heizölversorgung (DL3) Die kritische Dienstleistung „Treibstoff- und Heizölversorgung“ beschreibt im Wesentlichen die Versorgung der Gesellschaft mit Treibstoffen zum Betrieb von Transportmitteln sowie die Versorgung mit Heizöl zum Betrieb von Heizanlagen. Zur besseren Übersicht wird der gesamte für die Erbringung der Dienstleistung notwendige Prozess in die Prozessschritte Förderung und Produktion, Transport und Verteilung unterteilt. Abbildung 25: Schematische Darstellung der kritischen Dienstleistung „Treibstoff- und Heizölversorgung“ Quelle: eigene Darstellung Ausfall der Treibstoff- und Heizölversorgung Wie bereits bei der Strom- und der Gasversorgung sind die Umstände, die zu einem teilweisen oder vollständigen Ausfall von Anlagen der Mineralölbranche und damit auch zu einem Ausfall der kritischen Dienstleistungen „Treibstoffversorgung“ oder „Heizölversorgung“ führen können, vielfältig. Unter dem Begriff „Ausfall“ werden im Folgenden ein vollständiger Ausfall, eine gravierende Störung der Dienstleistung, ein technischen oder menschliches Versagen oder die Beschädigung von Infrastrukturen (meist verbunden mit Ausfällen) verstanden. Exemplarische Ausfall-Szenarien sind: • Ein vollständiger Ausfall der Treibstoff- und/oder Heizölversorgung aus systemimmanenten Gründen ist nur schwer vorstellbar. Ein wahrscheinlicheres Szenario ist der Ausfall des Tankstellennetzes durch einen länger anhaltenden, großflächigen Stromausfall. • Der Betrieb großer Pipeline kann durch einen technischen Defekt (z. B. Störung der Ventilsteuerung) gefährdet werden. In Folge können Verbraucher nicht mehr mit Rohöl- oder Mineralprodukten versorgt Bundesamt für Sicherheit in der Informationstechnik 119 3 Kritische Dienstleistungen werden. Auf Flughäfen kann eine Störung der Kerosinversorgung zu Verzögerungen oder Ausfällen im Flugbetrieb führen. • Durch eine Manipulation von Prozesssteuergeräten in einer Raffinerie kann es zur Zerstörung von Teilen der Produktionsanlage kommen. Fallen mehrere Produktionsanlagen (Raffinerien) in Folge solcher Zerstörungen aus, zieht dies (nach dem Verbrauch der strategischen Reserve) den Ausfall der Triebstoffund Heizölversorgung nach sich. Folgen eines Ausfalls der Treibstoff- und Heizölversorgung Die Folgen eines längeren, nachhaltigen Ausfalls der Treibstoff- und Heizölversorgung unterscheiden sich für unterschiedliche Teilen der Gesellschaft: • Die Bevölkerung würde die Folgen eines Ausfalls der Treibstoffversorgung unmittelbar und schwer treffen. So würde etwa der motorisierte Individualverkehr zusammenbrechen. Es ist nicht davon auszugehen, dass große Mengen von Treibstoff privat gelagert werden, weil gesetzliche Brandschutzvorschriften die Größe von Lagerbeständen begrenzen. Neben Pkw würden auch der öffentliche Nahverkehr und der Fernverkehr in Teilen oder gänzlich zum Erliegen kommen. Dies betrifft insbesondere den Busverkehr und den nicht elektrisierten Schienenverkehr. In Privathaushalten und anderen Gebäuden sind meist Heizöl-Vorräte für mindestens eine Heizsaison vorhanden. Ein Ausfall würde deshalb erst nach längerer Zeit größere Auswirkungen haben. In der Mineralölindustrie sind bei schwerwiegenden Störung mit Austritt von Öl oder Mineralölprodukten insbesondere negative Folgen für die Umwelt zu befürchten. Bei Leckagen in der Förderung, dem Transport und der Speicherung können große Mengen Erdöl oder Mineralölprodukte in die Umwelt austreten. Die Folgen können insbesondere im Offshore-Umfeld katastrophal sein. Bei Umweltschäden handelt es sich jedoch nicht um Vorfälle, die unter den Schutz Kritischer Infrastrukturen fallen. • Die Wirtschaft würde ein Ausfall der Treibstoffversorgung ähnlich hart treffen wie Privathaushalte. Eine direkte Folge wäre, dass Arbeitnehmer nur eingeschränkt oder gar nicht mehr zu ihren Arbeitsplätzen gelangen könnten. Je nach Ausfallart und möglicher Rationierung der Vorräte müssten treibstoffintensive Betriebe wie Fuhrunternehmen ihren Betrieb einstellen. In der Industrie wird Heizöl in diversen Produktionsprozessen, vor allem zur Erzeugung von Prozesswärme, eingesetzt. Bei einem länger andauernden Ausfall der Versorgung ist mit Produktionsausfällen zu rechnen. • Eine Einschränkung der Mobilität würde auch staatliche Organisationen treffen. So sind Ordnungs- und Rettungsdienste auf eine Versorgung mit Treibstoffen angewiesen. Im Fall eines Ausfalls der Heizölversorgung wären nur ölbeheizte Gebäude betroffen. Ölunfälle erfordern eine starke Einbindung von staatlichen Organisationen zur Behebung und zum Umgang mit den Folgen. Insbesondere ist hier die Koordination von Hilfsorganisationen von Relevanz. Diese Hilfsorganisationen sind für die Bereitstellung von Ersatzmaßnahmen zur Wärmeversorgung durch den Staat einzubinden. Ölunfälle sind per KRITIS-Definition im Rahmen dieser Studie nicht näher zu betrachten. Ein Ausfall hätte einen starken Reputations- und Vertrauensverlust für den Staat zur Folge. Bevölkerung und Wirtschaft erwarten, dass der Staat eine Versorgung mit Treibstoffen und Heizöl sicherstellt. Abhängigkeiten kritischer Dienstleistungen im Sektor Von der Treibstoff- und der Heizölversorgung hängen auch die weiteren Dienstleistungen des Sektors Energie in unterschiedlichem Maße ab: • In der Stromversorgung wird auch Heizöl zum Betrieb von Energieerzeugungsanlagen genutzt. Dabei kann es sich auch um kombinierte Gas- und Ölkraftwerke handeln. Aufgrund der steigenden Rohölpreise 120 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen ist diese Art der Stromerzeugung selten geworden und für den Betrieb des Netzes von geringer Bedeutung. Treibstoffe sind für die Mobilität von Mitarbeitern wichtig. Außerdem sichern sie bei einem Ausfall des Netzes die Notstromversorgung mit meist dieselbetriebenen Notstromaggregaten. Die dafür nötigen Mengen werden auf Vorrat gelagert, müssen aber bei einem längeren Ausfall wieder aufgefüllt werden. • Auch bei der Gasversorgung wird Treibstoff für die Mobilität der Mitarbeiter und für die Versorgung der Notstromaggregate genutzt. Da die Gasbranche sich selbst mit entsprechenden Brennstoff versorgen kann, werden Aggregate zur (Not-)Stromversorgung häufig mit Erdgas betrieben. Im Folgenden werden die Prozessschritte und betriebsinternen Prozesse der Treibstoff- und Heizölversorgung dargestellt. Die Aufteilung in betriebsinterne Prozesse ist eine idealtypische und modellhafte Darstellung einer „Wertschöpfungskette“ bis zur Lieferung von Treibstoffen und Heizöl an Endverbraucher. In der Realität sind einzelne Prozesse stärker verzahnt, als es im Rahmen dieser Studie darstellbar ist. Auf solche Verbindungen wird an gegebener Stelle hingewiesen. Die Verzahnung der Prozesse ist jedoch nicht so stark wie bei der Branche Elektrizität und den dort beeinflussenden elektrotechnischen Sachverhalten. Bundesamt für Sicherheit in der Informationstechnik 121 3 Kritische Dienstleistungen 3.3.1 Prozessschritt „Ölförderung“ (PS1) Prozessschritt „Ölförderung“ (PS1) → PS2 BP1 BP3 BP1 Exploration und Erschließung (Öl) Raffinierung BP2 Ölförderung BP4 Produktabgabe oder → PS2 BP1 Öleinspeisung oder → PS3 BP1 Heizölvertrieb oder → PS3 BP2 Öleinspeisung Kraftstoffvertrieb Unterstützende Prozesse: → PS2 BP4 Störungsmanagement (siehe Transport) Abbildung 26: Prozessschritt „Ölförderung“ der kritischen Dienstleistung „Treibstoff- und Heizölversorgung“ Quelle: eigene Darstellung Der Prozess der Exploration und Erschließung beginnt an der Stelle, an der sich ein Unternehmen zum Abbau von Erdöl entscheidet. 122 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.3.1.1 Betriebsinterner Prozess „Exploration und Erschließung (Öl)“ DL PS BP 3 1 1 Zusammenfassung Abhängigkeit Logistik Exploration und Erschließung (Öl) Der erste betriebsinterne Prozess der „Ölförderung“ betrachtet die Erkundung von Erdöllagerstätten. Dies umfasst neben der Datenanalyse auch die Steuerung der Bohrsysteme und einiger Ventile. unwesentlich wesentlich (KRITIS-relevant) Es bestehen unwesentliche Abhängigkeit beim Transport der für die Erschließung nötigen Geräte (unter anderem Lieferung der Rohre) und bei der Versorgung mit Ersatzteilen. Tabelle 41: Betriebsinterner Prozess „Exploration und Erschließung (Öl)“ (DL3 PS1 BP1) Der Prozess „Exploration und Erschließung (Öl)“ ist in Bezug auf die Verfügbarkeit der Kritischen Infrastrukturen nicht bedeutend, wird aber der Vollständigkeit halber aufgeführt und beschrieben. Prozessbeschreibung Die Erkundung von Erdöllagerstätten ist eine Voraussetzung für die Produktion von Rohöl. Neben den geologischen Bedingungen steht dabei auch die Abschätzung des notwendigen technologischen Aufwandes einer potenziellen Förderung im Vordergrund. Nachdem eine geologische Analyse Potenziale einer Lagerstätte aufgezeigt hat, werden seismologische Untersuchungen und Probebohrungen durchgeführt, um diese Annahmen zu verifizieren. Deutet die Analyse der gesammelten Daten auf ein ökonomisch erschließbares Ölvorkommen hin, ist eine weitere Bohrung notwendig. Bei diesen Aufsuchungsbohrungen werden die vorhandenen Daten verifiziert. Dazu werden Gesteinsproben analysiert und weitere Daten gesammelt (z. B. zu Druck, Temperatur und Porosität). In modernen Bohrsystemen erfolgt die Steuerung vollautomatisch durch Bohrsysteme anhand eines direkt am Bohrmeißel eingebauten Computers. Der Einsatz von Computern stellt sicher, dass der Bohrverlauf exakt dem vorgegebenen Pfad entspricht. Dabei werden Daten an die Oberfläche geliefert, die vor Ort oder in Rechenzentren ausgewertet und mit vorhandenen Daten verglichen werden [WEG 2014a]. Zur Vermeidung eines Blowouts während des Bohrvorganges, bei dem Erdöl oder Bohrflüssigkeit unkontrolliert austreten, wird ein sogenannter Blowout-Preventer über dem Bohrloch angebracht. Dabei handelt es sich um mehrere Absperrventile, die das Bohrloch verschließen [Schlumgerber 2014]. Blowout-Preventer funktionieren vollautomatisch, können aber auch ferngesteuert werden, sollte das zuständige Personal Auffälligkeiten bei den Druckmesssensoren erkennen [Spiegel 2010]. Der Prozess der Exploration und Erschließung endet mit dem Abbau der Bohranlagen, die für Exploration und Erschließung aufgebaut wurden. Diese werden zu Beginn des Prozesses der Förderung durch Fördereinrichtungen ersetzt. Bundesamt für Sicherheit in der Informationstechnik 123 3 Kritische Dienstleistungen 3.3.1.2 Betriebsinterner Prozess „Ölförderung“ DL PS BP 3 1 2 Zusammenfassung Abhängigkeit Logistik Ölförderung Der zweite betriebsinterne Prozess des Prozessschritts „Ölförderung“ beschreibt die Förderung selbst. Dieser beinhaltet neben der Förderung auch vorbereitende Schritte, die sowohl im Onshore- als auch für den Offshore-Bereich notwendig sind. unwesentlich wesentlich (KRITIS-relevant) Der Betrieb der Förderung ist weitestgehend ohne Logistikdienstleistungen möglich. Bei Beginn der Förderung ist ein erhöhter logistischer Aufwand für den Aufbau und Transport der Anlagen notwendig, der danach lediglich bei Reparaturen erneut anfällt. Tabelle 42: Betriebsinterner Prozess „Ölförderung“ (DL3 PS1 BP2) Der Prozess „Ölförderung“ ist in Bezug auf die Verfügbarkeit der Kritischen Infrastrukturen nicht bedeutend, wird aber der Vollständigkeit halber aufgeführt und beschrieben. Prozessbeschreibung Ausfälle oder Störungen der heimischen Erdöl-Förderung führen aufgrund des relativ geringen Anteils an der Gesamtversorgung (weniger als drei Prozent) nicht zu gravierenden Problemen für die Mineralölversorgung. Selbst bei einem langfristigen Ausfall oder einer Zerstörung könnten fehlende Mengen sehr einfach über eine Aufstockung der Exporte kompensiert werden. Ein Ausfall kann jedoch wirtschaftliche Schäden zur Folge haben; ein Ölunfall kann Schäden für Menschen und Umwelt verursachen. Vor Inbetriebnahme der Förderung wird ein Steigrohr in das Bohrloch eingebaut, das bis zum tiefsten Punkt der Lagerstätte reicht. Durch dieses Rohr kann das Erdöl aufsteigen. Zum Verschluss des Bohrloches wird dabei ein Eruptionskreuz errichtet, das aus einer Rohrleitung und verschiedenen Armaturen besteht. Mit Hilfe dieser Einrichtung wird das Erdöl kontrolliert aus dem Bohrloch entnommen und in die Pipeline eingespeist. Zudem werden Lagermöglichkeiten und Notfalleinrichtungen aufgebaut. Zu Beginn der Förderung reicht oftmals der vorhandene Druck aus, um das Erdöl aufsteigen zu lassen. Im weiteren Verlauf nimmt der Druck jedoch ab, sodass andere Techniken zum Einsatz kommen müssen, darunter Pumpen und Generatoren. Ähnliche Prozesse finden im Offshore-Bereich statt, wo Förderplattformen eingesetzt werden, die der Förderung, Aufbereitung und dem Weitertransport von Erdöl dienen. In einigen Fällen werden dazu auch die ursprünglichen Bohrplattformen selbst verwendet. In Deutschland wird momentan nur eine Offshorebohrung-Ölplattform im Feld Mittelplate betrieben. Dabei handelt es sich zudem nicht um eine klassische Bohrinsel, sondern eine künstliche Insel [RWE 2014d]. Das geförderte Erdöl muss in einem nächsten Schritt aufbereitet werden, damit die Qualität für eine Weiterverarbeitung in der Raffinerie ausreichend ist. Dazu wird Öl von überschüssigem Wasser und Sedimenten getrennt. Das enthaltene Erdölgas wird abgetrennt und entweder abgefackelt oder zur Erzeugung von Wärme genutzt. Dieser Vorgang findet unmittelbar an der Förderstelle bzw. auf der Förderplattform in sogenannten Separatoren statt [Wintershall 2014b]. Der Prozess der Förderung endet mit der groben Aufbereitung des Rohöls und dem Transport des Öls zur Raffinerie (siehe Abschnitt 3.3.1.3). Dort wird das Rohöl nach Anlieferung in die Anlagen eingespeist, womit der Prozess der Raffinierung beginnen kann. Wird das Rohöl nicht raffiniert, so erfolgt eine direkte Einspeisung in die Pipelines oder ein Abtransport zum Bestimmungsort. 124 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.3.1.3 Betriebsinterner Prozess „Raffinierung“ DL PS BP 3 1 3 Zusammenfassung Abhängigkeit Logistik Risikoelemente (IKT) Raffinierung Der dritte betriebsinterne Prozess des Prozessschritts „Ölförderung“ betrachtet die Aufbereitung des Öls vor dem Transport sowie den Transport zur Raffinerie und die verschiedenen Vorgänge in der Raffinerie. unwesentlich wesentlich (KRITIS-relevant) Es bestehen keine Abhängigkeiten. • Prozessleitsysteme • Produktionsleitsysteme Tabelle 43: Betriebsinterner Prozess „Raffinierung“ (DL3 PS1 BP3) Prozessbeschreibung Die erste Aufbereitung des Rohöls findet bereits vor dem Transport zur Raffinerie direkt an der Förderstätte statt. Nach dem Transport zur Raffinerie mittels Pipeline, Zug oder Tanklastwagen wird das Rohöl in mehreren Verfahrensschritten in verschiedene Zwischenprodukte destilliert, um Mineralölprodukte herzustellen. Ein Transport per Schiff ist ebenfalls möglich, findet in Deutschland aber nur beim Import von Rohöl statt, da die einzige deutsche Offshore-Förderstelle Mittelplate durch eine Pipeline mit dem Festland verbunden ist. Insgesamt wird der größte Teil des Rohöls durch Pipelines transportiert. Zur Durchleitung des Rohöls sind Pumpstationen notwendig, die die Fließgeschwindigkeit überwachen und einen reibungslosen Ablauf sicherstellen. In der Raffinerie wird das Rohöl in eine sogenannte Kolonne eingespeist. In der Kolonne werden die verschiedenen enthaltenen Stoffe durch thermische Verfahren getrennt. Dabei wird das Rohöl auf bis zu 400 °C erhitzt und Produkte wie Schmieröle, Schweröl, Diesel, Petroleum, Leichtbenzin und Flüssiggas entnommen. Nach der Destillation werden verschiedene Veredelungsverfahren angewandt, um Schadstoffe zu entfernen und eine Verbesserung der Qualität zu erreichen. Dazu gehört auch das Cracking-Verfahren, mit dem Bestandteile wie schweres Öl in andere Produkte, darunter Benzin und Diesel, umgewandelt werden. Im Anschluss an Destillation und Cracking erfolgt die eigentliche Raffination bzw. Veredelung der gewonnenen Produkte. Dabei werden Bestandteile in höherwertige Verbindungen umgewandelt (Konversion) und weitere unerwünschte Inhaltsstoffe entfernt. In einem letzten Schritt werden Brenn- und Treibstoffe entschwefelt [WEG 2014a]. Raffinerien sind auf einen kontinuierlichen Betrieb angelegt. Eine Notabschaltung führt zur Aushärtung der in der Anlage befindlichen Produkte und damit gegebenenfalls zu Anlaufschwierigkeiten und Schäden an der technischen Infrastruktur. Ein längerer Ausfall der Produktionseinrichtung wäre die Folge. Der Prozess der Raffinierung endet nach der Erzeugung und Veredlung aller Mineralölprodukte. Diese werden von der Raffinerie zu den verschiedenen Verkehrsträgern weitergeleitet, die im Rahmen der Abgabe und Einspeisung die Distribution der Mineralölprodukte übernehmen. Bundesamt für Sicherheit in der Informationstechnik 125 3 Kritische Dienstleistungen 3.3.1.4 Betriebsinterner Prozess „Produktabgabe“ DL PS BP 3 1 4 Zusammenfassung Abhängigkeit Logistik Risikoelemente (IKT) Produktabgabe Der vierte betriebsinterne Prozess des Prozessschritts „Ölförderung“ umfasst die Abgabe der Mineralölprodukte an die Verbraucher und Weiterverkäufer direkt oder durch Einspeisung in Pipelines. unwesentlich wesentlich (KRITIS-relevant) Es bestehen keine Abhängigkeiten. • Prozessführungssysteme • Steuerungssysteme im Pipelinebetrieb • Dispatchingsysteme für Logistik • Terminalsteuerung und -überwachung Tabelle 44: Betriebsinterner Prozess „Produktabgabe“ (DL3 PS1 BP4) Prozessbeschreibung Die raffinierten Mineralölprodukte werden von der Raffinerie entweder direkt an Abnehmer abgegeben oder in eine Produktenpipeline eingespeist. Bei der direkten Abgabe ist vor allem die Terminalstation für Tanklastwagen wichtig. An dieser werden die Mineralölprodukte für die Treibstoffversorgung in konzerneigene oder in Kundenfahrzeuge eingefüllt. Bei der Abgabe werden den Treibstoffen Additive zugemischt. Können Tanklastwagen nicht befüllt werden, kann es zu KRITIS-relevanten Engpässen in der regionalen Versorgung und durch den Ausfall von Transporten an andere Orte auch zu überregionalen Folgen kommen. Bei einem Ausfall der Produktabgabe in Pipelines können keine Mineralölprodukte zu Kunden geleitet oder in Lagern eingelagert werden. 126 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.3.2 Prozessschritt „Rohöl- und Mineralöltransport“ (PS2) Prozessschritt „Rohöl- und Mineralöltransport“ (PS2) → PS1 BP4 BP3 Produktabgabe oder → PS1 BP2 Öllagerung BP1 Ölförderung Roh- und Mineralöleinspeisung BP2 Roh- und Mineralöltransport oder BP3 oder → PS1 BP3 Raffinierung BP1 Öleinspeisung oder → PS3 BP2 Kraftstoffvertrieb Öllagerung Unterstützende Prozesse: BP4 Störungsmanagement (Öl) Abbildung 27: Prozessschritt „Rohöl- und Mineralöltransport“ der kritischen Dienstleistung „Treibstoff- und Heizölversorgung“ Quelle: eigene Darstellung Der Prozess der Einspeisung beginnt, wenn ein Unternehmen bestimmte Mengen Rohöl- oder Mineralölprodukte bestellt und diese vom Lieferanten auf den Transportweg geschickt werden. Bundesamt für Sicherheit in der Informationstechnik 127 3 Kritische Dienstleistungen 3.3.2.1 Betriebsinterner Prozess „Öleinspeisung“ DL PS BP 3 2 1 Zusammenfassung Abhängigkeit Logistik Risikoelemente (IKT) Öleinspeisung Der erste betriebsinterne Prozess des Prozessschritts „Roh- und Mineralöltransport“ betrachtet die Einspeisung des Öls oder der Mineralölprodukte in ein Pipelinesystem. unwesentlich wesentlich (KRITIS-relevant) Die Einspeisung ist grundsätzlich ohne Logistikeinsatz realisierbar. Es gibt indirekte Abhängigkeiten durch den Hafenbetrieb bzw. dort ablaufende logistische Prozesse. • Prozessleitsysteme • Sicherheitssysteme Tabelle 45: Betriebsinterner Prozess „Öleinspeisung“ (DL3 PS2 BP1) Prozessbeschreibung Rohöl wird mit Tankschiffen aus anderen Teilen der Welt nach Europa eingeführt. Die Raffinerien in Deutschland sind an Pipelines angeschlossen, die ausgehend von den Häfen Wilhelmshaven, Brunsbüttel, Rostock und Hamburg weiter zu den Raffinerie- und Industriestandorten verlaufen. Die Einspeisung in Pipelines erfolgt über Pumpen, oftmals bereits im Hafen. Das Öl wird von den Tankschiffen gepumpt und fließt dann durch den Pumpendruck in den Pipelines zum Bestimmungsort. Pumpen und Leitungen werden auch für die Befüllung der Pipelines und für die Entladung der Schiffe eingesetzt. Diese Pumpen werden durch IT-Systeme oder das zuständige Personal bedient und gesteuert. Die Durchleitung wird im nachfolgenden Prozess beschrieben. Die Öleinspeisung ist zwingend erforderlich, damit die Raffinerien bzw. Abnehmer, die an das Pipelinesystem angeschlossen sind, das Öl beziehen können. Teil der Einspeisung ist zudem das Löschen der Rohölschiffe, die ohne den Prozess der Einspeisung am Hafen warten müssten. Ungeplante Wartezeiten verursachen bei Ausfällen zusätzlich zu den Produktionsausfällen bei den Raffinerien erhöhte Kosten für Einspeiser. Aus dem Ausland wird Rohöl zudem über vier grenzüberschreitende Pipelines bezogen. Die Pipelines befinden sich im Eigentum der mineralölverarbeitenden Industrie und werden durch Gemeinschaftsunternehmen betrieben [MWV 2006]. Unter Öleinspeisung fällt auch die Einspeisung von Mineralölprodukten in Produktenpipelines durch eine Raffinerie. Die Einspeisung findet alternativ zur direkten Abgabe an andere Verkehrsmittel statt und ist technisch sehr ähnlich zur Einspeisung von Rohöl. Nachdem das Rohöl oder die Mineralölprodukte in ein Pipelinenetz eingespeist wurden, beginnt der Prozessschritt des Transports. 128 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.3.2.2 Betriebsinterner Prozess „Öltransport“ DL PS BP 3 2 2 Zusammenfassung Abhängigkeit Logistik Risikoelemente (IKT) Öltransport Der zweite betriebsinterne Prozess des Prozessschritts „Roh- und Mineralöltransport“ umfasst den leitungsgebundenen Transport des Öls in Pipelines. Hierbei wird zwischen dem Transport von Roh- und Mineralöl(-produkten) unterschieden. unwesentlich wesentlich (KRITIS-relevant) Die Einspeisung ist grundsätzlich ohne Logistikeinsatz realisierbar. Es existieren unwesentliche Abhängigkeiten bei der Bestellung und Lieferung von Ersatzteilen. • Dispatchingsysteme • Prozessleitsysteme • Sicherheitssysteme Tabelle 46: Betriebsinterner Prozess „Öltransport“ (DL3 PS2 BP2) Prozessbeschreibung Für den Transport wird nur der leitungsgebundene Transport in Pipelines betrachtet. Große Mengen Mineralölprodukte werden jedoch auf der Straße, der Schiene oder durch die (Binnen-)Schifffahrt transportiert. Diese Transportmittel, ihre Abhängigkeiten und KRITIS-Relevanz werden in der KRITIS-Sektorstudie Transport und Verkehr untersucht, da sie Bestandteil der Logistikbranche sind. Der Transport erfolgt durch Einspeisen der Produkte bzw. des Öls in Pipelines und durch Ausspeisung an einem Lager, einer Raffinerie oder direkt bei den Weiterverkäufern. Der Öltransport ist als Teil der Wertschöpfungskette kritisch, da ohne einen Transport der Produkte eine Bereitstellung für Kunden und Weiterverkäufer nicht möglich ist. Da Raffinierung und Rohölannahme nur an wenigen Orten stattfinden, stellt der Öltransport einen kritischen betriebsinternen Prozess dar. Grundsätzlich wird beim Transport in Rohöl- und Produkttransport unterschieden, weil eine gemeinsame Nutzung derselben Transportwege nicht ohne Weiteres möglich ist. In Mineralölpipelines können teils verschiedene Produkte hintereinander transportiert werden. Eine Trennung der Produkte erfolgt durch Trennbälle, wodurch der Ausschuss infolge von Vermischung gering ist [MWV 2006]. Bei der Instandhaltung und Prüfung der Infrastruktur werden verschiedene Verfahren angewandt. In vielen Fällen kommen elektronisch gesteuerte Systeme zum Einsatz, beispielsweise werden in Pipelines sogenannte Molche eingesetzt. Bei diesen handelt es sich um Maschinen, die in die Pipeline gesetzt werden und verschiedene Aufgaben haben. Dies ist neben der Reinigung der Pipeline insbesondere die Wartung und Inspektion der Rohre. Die Übermittlung von Messdaten und der Position des Molches an eine Zentrale erfolgt über IT-Systeme und Netzwerke [Rigzone 2014]. Bei der Prüfung von Pipelinebestandteilen werden ebenfalls IKT-Systeme verwendet. Informationen zu allen Segmenten (Rohr, Ventil etc.) werden in einem zentralen System aggregiert. Es werden die Informationen der Hersteller mit aktuellen Prüfergebnissen verglichen und auf Unregelmäßigkeiten geprüft. Die Informationen sind weltweit online verfügbar [iTAC 2014; API 2013b]. Der Transportprozess endet, wenn das Öl oder das Mineralölprodukt den vorgesehenen Zielort erreicht hat. Das Öl oder das Produkt werden in geeignete Aufbewahrungsstätten eingespeist und der Prozess der Lagerung beginnt. Bundesamt für Sicherheit in der Informationstechnik 129 3 Kritische Dienstleistungen 3.3.2.3 Betriebsinterner Prozess „Öllagerung“ DL PS BP 3 2 3 Zusammenfassung Abhängigkeit Logistik Risikoelemente (IKT) Öllagerung Der dritte betriebsinterne Prozess des Prozessschritts „Roh- und Mineralöltransport“ betrachtet die Lagerung von Rohöl sowie von Zwischen- und Fertigprodukten aus Mineralöl. Hierbei wird sowohl die ober- als auch die unterirdische Lagerung einbezogen. unwesentlich wesentlich (KRITIS-relevant) Es bestehen keine Abhängigkeiten für die Lagerung des Öls. Es kommen interne logistische Leistungen bei der Lagerung zum Einsatz, die jedoch nicht dem KRITIS-Sektor Logistik zuzuordnen sind. • Sicherungssysteme gegen Leckagen • Pipeline- und Lagerungssteuerung • Steuerungssoftware und Bestandsverwaltung Tabelle 47: Betriebsinterner Prozess „Öllagerung“ (DL3 PS2 BP3) Prozessbeschreibung Zur Lagerung von Rohöl, Zwischen- und Fertigprodukten werden neben unterirdischen Kavernen (40 Prozent Anteil) auch oberirdische Tanklager genutzt, die zum Teil zu den Raffinerien gehören. Kavernen sind künstlich geschaffene Hohlräume in Salzstöcken, die ca. 500 bis 1.500 m unter der Erdoberfläche liegen und bis zu 100.000 m³ Fassungsvermögen haben. Der Erdölbevorratungsverband (EBV) unterhält allein 58 Kavernen. Ein Großteil der Lagerkapazitäten wird zur Krisenvorsorge genutzt. Der EBV nutzt diese Kapazitäten, um Erdöl und Erdölerzeugnisse für mindestens 90 Verbrauchstage vorrätig zu haben. Aus diversen Gründen (Alterung von Erdölerzeugnissen, Veränderung der Verbrauchsstrukturen, Produktspezifikationen) müssen die Bestände frisch gehalten und ständig ausgetauscht werden. Dies wird durch gemeinschaftliche Nutzung der Lager durch den EBV und kommerzielle Lieferanten mit einem durchgehenden Warenumschlag garantiert. Die aktuellen Bestände werden monatlich durch das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) ermittelt und in einer Datenbank gespeichert. Mit Hilfe dieser können die Verantwortlichen die verfügbaren Bestände umverteilen, um regionale Engpässe auszugleichen [MWV 1999]. Bei der oberirdischen Lagerung handelt es sich um private Anlagen, beispielsweise zur Vorratshaltung oder als Zwischenschritt in der Verteilung (PS3). Ein Ausfall der Lager kann zu wirtschaftlichen Schäden und Engpässen in der Versorgung führen. Wichtig sind in beiden Varianten der Lagerung sowohl die Ein- und Ausspeisung als auch die Überwachung eines sicheren Betriebs. Der Prozess der Lagerung endet, wenn das Produkt zu den Abnehmern weitertransportiert wird. 130 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.3.2.4 Betriebsinterner Prozess „Störungsmanagement (Öl)“ DL PS BP 3 2 4 Zusammenfassung Abhängigkeit Logistik Risikoelemente (IKT) Störungsmanagement (Öl) Der übergreifende betriebsinterne Prozess „Störungsmanagement (Öl)“ beinhaltet die Vorbereitung und Reaktion auf interne und externe Störungen, die im Rahmen aller Prozessschritte auftreten können. Hierbei sind die Tätigkeiten unternehmens- und prozessschrittbezogen. unwesentlich wesentlich (KRITIS-relevant) Eine Abhängigkeit von der Logistik ist nur in Einzelfällen gegeben, da Störungen durch den Vor-Ort-Einsatz eines Technikers bzw. durch Schalthandlungen am Leitsystem behoben werden. Das Störungsmanagement erfordert in Abhängigkeit der Störung möglicherweise Dienstleistungen der Logistikbranche (Lieferung von Ersatzteilen). • Dokumentationssysteme • Workforcemanagementsysteme • Alarmsysteme • Instandhaltungs-Management-Systeme Tabelle 48: Betriebsinterner Prozess „Störungsmanagement (Öl)“ (DL3 PS2 BP4) Prozessbeschreibung Durch die Aufteilung der Prozessschritte auf unterschiedliche Unternehmen ist das Störungsmanagement als unternehmensbezogen zu betrachten. Die durchgeführten Tätigkeiten sind zudem vom jeweiligen Prozessschritt abhängig. Unternehmen der Mineralölindustrie nutzen das Störungsmanagement, um Entstörtätigkeiten schnell und zielgenau durchführen zu können. Besonders in der technisch komplexen Umgebung der Mineralölindustrie ist ein Störungsmanagement durch automatisierte IT-Systeme zur Unterstützung des Personals im Einsatz. Die hohe Anzahl an Messsystemen, Maschinenkomponenten und die hohe Prozesskomplexität erfordern computergestützte Untersuchungen der gemeldeten Störungen, um Fehlerquellen schnell ausfindig zu machen. Ein weiterer wichtiger Faktor ist die hohe Änderungsrate in technischen Prozessen der Förderung und der Verarbeitung. Diese Änderungen müssen im Störungsmanagement berücksichtigt werden. Der Ausfall des Störungsmanagements in der Mineralölindustrie bei auftretenden Störungen hätte im schlimmsten Fall nicht nur Auswirkungen auf die Erbringung der gesamten Dienstleistung, sondern kann auch eine Gefahr für Mensch und Natur darstellen. Aufgrund der hohen Priorität sind viele Systeme, die das Störungsmanagement unterstützen, redundant ausgelegt. Im Rahmen der Studie wurde kein Störungsmanagement identifiziert, das für mehrere Unternehmen übergreifend betrieben wird oder ähnliche technische Ausprägung besitzt. In vielen Bereichen gibt es einen starken Wettbewerb zwischen den unterschiedlichen Unternehmen, wodurch der Zugriff auf Daten durch eine andere Organisation nicht im Interesse der Wettbewerbsteilnehmer ist. Bundesamt für Sicherheit in der Informationstechnik 131 3 Kritische Dienstleistungen 3.3.3 Prozessschritt „Heizöl- und Kraftstoffverteilung“ (PS3) Prozessschritt „Heizöl- und Kraftstoffverteilung“ (PS3) BP1 → PS1 BP4 Abgabe Heizölvertrieb oder BP2 Kraftstoffvertrieb Abbildung 28: Prozessschritt „Heizöl- und Kraftstoffverteilung“ der kritischen Dienstleistung „Treibstoff- und Heizölversorgung“ Quelle: eigene Darstellung Der Prozess des Heizölvertriebs beginnt mit der Bestellung einer Lieferung eines Mineralölproduktes durch ein Unternehmen oder einer Privatperson bei einem Heizölvertrieb. Dieser Vertrieb hat das Öl zuvor von einem Mineralölunternehmen, meist direkt bei einer Raffinerie, bezogen. 132 Bundesamt für Sicherheit in der Informationstechnik Kritische Dienstleistungen 3.3.3.1 Betriebsinterner Prozess „Heizölvertrieb“ DL PS BP 3 3 1 Zusammenfassung Abhängigkeit Logistik Risikoelemente (IKT) Heizölvertrieb Der erste betriebsinterne Prozess des Prozessschritts „Heizöl- und Kraftstoffverteilung“ betrachtet die Auslieferung des Heizöls an die Kunden. Hierbei werden neben Bestellung, Bearbeitung und Auslieferung an die Kunden (Privathaushalte und Tankstellen) auch alle zum Vertrieb gehörenden Schritte berücksichtigt. unwesentlich wesentlich (KRITIS-relevant) Es bestehen hohe Logistik-Abhängigkeiten aufgrund des Transports auf Schiene und Straße. • Distributionssysteme Tabelle 49: Betriebsinterner Prozess „Heizölvertrieb“ (DL3 PS3 BP1) Prozessbeschreibung Von den regionalen Tanklagern erfolgt die Auslieferung an die Kunden. Grund dafür ist die bessere Erreichbarkeit über Straßen und die Flexibilität, die diese Transportform bietet. Die Bestellung, Bearbeitung und Auslieferung von Mengen an die Kunden erfolgt mit gängiger Abrechnungs- und Buchhaltungssoftware. Privathaushalte und Tankstellen lagern die Mineralölerzeugnisse vor Ort in ober- und unterirdischen Tanks. Ein Vorteil oberirdischer Tanks ist, dass Leckagen schneller erkannt werden können [MWV 1999]. Zum Heizöl- und Kraftstoffvertrieb gehören Marketing- und Abrechnungssysteme sowie der Auf- und Umbau von Vertriebsstrukturen im Allgemeinen. IKT-Systeme kommen bei vielen Teilleistungen des Heizölvertriebs zum Einsatz. Aufgrund der großen Menge an Daten von Kunden, Vertriebsfirmen und der Transportdienstleister lassen sich Kundenakquise, Auftragsannahme, Lagerhaltung, Auslieferung und Abrechnung nur mit Hilfe von IT-Unterstützung bewerkstelligen. Neben Datenbanken und Software kommen auch andere IT-gestützte Dienstleistungen zur Anwendung, beispielsweise in Call Centern. Der Prozess des Heizölvertriebs endet, wenn das Mineralölprodukt seinen Bestimmungsort erreicht und für die Heizung zur Verfügung steht. Bundesamt für Sicherheit in der Informationstechnik 133 3 Kritische Dienstleistungen 3.3.3.2 Betriebsinterner Prozess „Kraftstoffvertrieb“ DL PS BP 3 3 2 Zusammenfassung Abhängigkeit Logistik Risikoelemente (IKT) Kraftstoffvertrieb Der zweite betriebsinterne Prozess des Prozessschritts „Heizöl- und Kraftstoffverteilung“ umfasst den Vertrieb von Kraftstoffen an Endverbraucher. unwesentlich wesentlich (KRITIS-relevant) Hohe Logistik-Abhängigkeiten aufgrund des Transports auf Schiene und Straße. • Distributionssysteme • Prozessleitsysteme Tabelle 50: Betriebsinterner Prozess „Kraftstoffvertrieb“ (DL3 PS3 BP2) Prozessbeschreibung Der Vertrieb von Kraftstoffen an den Endverbraucher stellt den Abschluss der Dienstleistung für Kraftstoffe dar. Kraftstoffe werden einerseits direkt an Unternehmen vertrieben, die den Kraftstoff für die Betankung der eigenen Kraftwagen nutzen, und andererseits an Tankstellenbetreiber, die den Kraftstoff an Tankstellen zum Verkauf bereitstellen. Besitzen Unternehmen auf ihrem Betriebsgelände eine eigene Tankstelle (meist bei großen Fuhrparks oder Lkw-Transportunternehmen), so lassen sich diese direkt von den Raffinerien versorgen. Hierfür wird von der Raffinerie ein Tanklastwagen zur Befüllung des Kraftstofftanks der betriebseigenen Tankstelle entsendet. Tankstellen der Großkonzerne beziehen die Kraftstoffe zumeist direkt aus den Raffinerien ihrer Mutterkonzerne durch Anlieferung in Tanklastwagen. Hier werden die Kraftstoffe über Zapfsäulen an den Endverbraucher abgegeben. Die Zapfsäulen bestehen aus verschiedenen Ventilen und Durchflussmessgeräten. Bei elektrisch betriebenen Zapfsäulen muss ein Notschalter zum Unterbrechen der Stromzufuhr vorhanden sein. Ein Großteil der öffentlichen Tankstellen ist nicht mit einer Notstromversorgung ausgerüstet und somit auf ein funktionierendes Stromversorgungssystem angewiesen, um die Bevölkerung mit Kraftstoffen zu versorgen. Stand 2008 war eine Notstromversorgung deutschlandweit nur für fünfzehn Tankstellen vorhanden. Allerdings ist es laut Versorgern möglich, über interne Logistikdienstleister Notstromaggregate an ausgewählte Tankstellen zu liefern [TankNotStrom o.J.]. Nicht nur der Betrieb der Tankfunktionen, sondern auch die Kommunikationsinfrastruktur von Tankstellen und den angebundenen Netzen sind ohne Stromversorgung nicht aufrecht zu erhalten. Über die Kommunikationsinfrastruktur wird unter anderem die aktuelle Lager- und Bestandssituation gemeldet. Diese Informationen sind bei einem Systemausfall (beispielsweise durch einen Stromausfall) nicht mehr verfügbar. Ein Ausfall des Kraftstoffvertriebs ist insgesamt nur vorstellbar, wenn großflächig Tankstellen und Zapfsysteme nicht mehr funktionsfähig sind. Grundsätzlich gibt es in Deutschland eine hohe Dichte an Tankstellen und einzelne Ausfälle können leicht kompensiert werden. Der Prozess des Heizöl- und Kraftstoffvertriebs endet, wenn das Mineralölprodukt seinen Bestimmungsort erreicht hat und vom Empfänger entgegengenommen wurde. Im Prozessschritt der Verteilung ist kein formelles oder übergreifendes Störungsmanagement zu erkennen. Unternehmen wenden stattdessen individuelle Prozesse zum Störungsmanagement an. Hierbei sind es oftmals logistische Probleme, die behandelt werden müssen, damit ein Vertrieb der Waren möglich ist. Störungen mit Einfluss auf die Umwelt und der Umgang damit sind hingegen zentralisiert und durch entsprechende Gesetze (z. B. Für Gefahrguttransporte) geregelt. Dies fällt jedoch nicht in den Betrachtungsgegenstand dieser Studie. 134 Bundesamt für Sicherheit in der Informationstechnik Vorfallsammlung 4 Vorfallsammlung Der Sektor Energie erfährt eine steigende Zahl von Sicherheitsvorfällen im Bereich IT. In diesem Kapitel wird eine Auswahl von in der Vergangenheit aufgetretenen Vorfälle, die durch IT-Versagen oder IT-Angriffe hervorgerufen wurden, aufgeführt. Dabei handelt es sich sowohl um nationale als auch internationale Vorfälle. Um der Tatsache Rechnung zu tragen, dass eine trennscharfe Kategorisierung der Eigenschaften der gesammelten Vorfälle nicht immer möglich ist, werden die Vorfälle jeweils konsolidiert in einer Tabelle erläutert. Jeder Vorfall wird mit einem individuellen Titel bezeichnet und mit einer Identifikationsnummer (ID) versehen. Anhand dieser ID ist eine Zuordnung der einzelnen Attribute zu einem bestimmten Vorfall möglich. Zu den gesammelten Vorfällen liegt, sofern dies konkret möglich ist, eine Zuordnung zu der jeweiligen vom Vorfall betroffenen Kritische Dienstleistung (DL) aus dem Sektor, dem jeweiligen Prozessschritt der kritischen Dienstleistung (PS) und dem jeweiligen betriebsinternen Prozess der kritischen Dienstleistung (BP) vor. Die Auswirkungen auf die betroffene kritische Dienstleistung besitzen je nach Sicherheitsvorfall einen individuellen Schweregrad. Zur Einschätzung der Schwere eines Sicherheitsvorfalls werden die ermittelten Sicherheitsvorfälle mithilfe der drei Klassen „hohe Auswirkungen“, „mittlere Auswirkungen“ und „geringe Auswirkungen“ bewertet. Die Definition der Klassen ist dabei wie folgt: • Hohe Auswirkungen Ein Vorfall, bei dem offiziellen Angaben zufolge ein großer Schaden oder ein Ausfall der Dienstleistungen eingetreten ist. • Mittlere Auswirkungen Ein Vorfall, bei dem offiziellen Angaben zufolge kein schwerwiegender Schaden eingetreten ist, der jedoch zu einem Schaden mit hohen Auswirkungen hätte führen können. • Geringe Auswirkungen Ein Vorfall, bei dem offiziellen Angaben zufolge kein oder geringer Schaden eingetreten ist. Bei den gesammelten Vorfällen sind in vielen Fällen auch konkrete Anlagen bzw. IKT-Risikoelemente im Zusammenhang mit dem betriebsinternen Prozess der kritischen Dienstleistung betroffen. Diese werden benannt, sofern eine solche Zuordnung möglich ist. Sofern eine Reaktion (technisch oder nicht-technisch) der betroffenen Betreiber bekannt ist, wird diese ebenfalls mit aufgeführt. Einige Vorfälle führten zu Reaktionen (technisch oder nicht-technisch) innerhalb des betroffenen Sektors bzw. der Branche. Diese werden, soweit identifiziert, dargestellt. Zum Teil konnten auch Reaktionen von beteiligten Behörden aufgeführt werden. Diese beziehen sich auf organisatorische oder regulatorische Maßnahmen, beispielsweise in Form der Herausgabe von Handlungsempfehlungen oder gar Gesetzen und Verordnungen. Bundesamt für Sicherheit in der Informationstechnik 135 4 Vorfallsammlung Nachfolgend ist die Struktur der Vorfallbeschreibungen zusammenfassend erläutert. Hieraus geht die konkrete Zuordnung der vorgenannten Eigenschaften der Vorfälle zu den Feldern in den Tabellen hervor. Die Beschreibung der Vorfälle erfolgt anhand öffentlich zugänglicher Daten und Informationen. Unterschiede hinsichtlich des Detailgrades sind hierauf zurückzuführen. Das Vorfalldatum („Aktualität“) variiert ebenfalls je nach Datenverfügbarkeit. Zellentitel Inhalt ID Identifikationsnummer des Vorfalls Titel des Vorfalls Titel des Vorfalls DL Gegebenenfalls Nummer der betroffenen kritischen Dienstleistung aus dem Sektor PS Gegebenenfalls Nummer des betroffenen Prozessschritts der betroffenen kritischen Dienstleistung BP Gegebenenfalls Nummer des betroffenen betriebsinternen Prozesses der betroffenen kritischen Dienstleistung Aktualität Datierung der Quelle des Vorfalls Herkunft Nationaler oder internationaler Ursprung des Vorfalls Grad der Auswirkung auf die kritische DL Kategorisierung der Auswirkung des Vorfalls auf die Verfügbarkeit der kritischen Dienstleistung des Betreibers anhand der Kategorien „hohe Auswirkung“, „mittlere Auswirkung“ und „niedrige Auswirkung“ Anlagen Gegebenenfalls Abbildung der betroffenen Anlagen der Prozessschritte der kritischen Dienstleistung Risikoelemente Gegebenenfalls Darlegung der betroffenen Risikoelemente des betroffenen betriebsinternen Prozesses bzw. der Prozessschritte Vorfallkurzbeschreibung Kurze Darstellung des Hergangs und Kontextes des beschriebenen Vorfalls Einfluss auf Versorgungsdienstleistung Darstellung des Einflusses des Vorfalls auf die betroffene kritische Versorgungsdienstleistung Reaktion Betreiber Darstellung der Reaktionen des Betreibers auf den konkreten Sachverhalt des Vorfalls Reaktion beteiligte Behörde Darstellung der Reaktionen von Behörden bzw. Institutionen aufgrund des konkreten Sachverhalts des Vorfalls Auswirkungen Sektor/Branche Darstellung der Auswirkungen auf den Sektor bzw. die Branche des Betreibers aufgrund des konkreten Sachverhalts des Vorfalls Quellen Angabe der Quelle(n) des Vorfalls und Datum des Quellenabrufs Tabelle 51: Überblick der Eigenschaften der gesammelten Vorfälle 136 Bundesamt für Sicherheit in der Informationstechnik Vorfallsammlung 4.1 Nationale Vorfälle Nachfolgend werden Sicherheitsvorfälle, die in Deutschland aufgetreten sind, aufgeführt. Die Quellen wurden zuletzt am 30.10.2014 überprüft. ID 01 Übertragungsnetzbetreiber 50Hertz mit DDoS-Angriff attackiert DL 1 Aktualität 20.11.2012 PS 0 Herkunft national BP 0 Grad der Auswirkung auf die kritische DL Keine Auswirkung Betroffene Anlagen - Betroffene Risikoelemente • Kommunikationssysteme • Webseitenauftritt Vorfallkurzbeschreibung Die Webseiten und die E-Mail-Infrastruktur, einschließlich aller extern erreichbaren Services, des Übertragungsnetzbetreibers 50Hertz wurden von einer Distributed Denial of Service (DDoS) Attacke außer Betrieb gesetzt. Als Urheber des Angriffs wird die überwiegend politisch/anarchistisch motivierte Gruppe „Anonymous“ vermutet. Wenige Tage später wurden vergleichbare Angriffe auf die Webseite der Informationsplattform der deutschen ÜNB und die Webseite der Transmission System Operator Security Cooperation durchgeführt. Die Angriffe zielten auf die öffentlichen Webauftritte der Betreiber, die keine direkten Verbindungen zu den Versorgungsdienstleistungen besitzen. Externe Portale, E-Mail-Dienste und Webseiten waren temporär nicht erreichbar. Einfluss auf Versorgungsdienstleistung Es gab keinen bekannten Einfluss auf die Versorgungsdienstleistung. Die Einschränkungen der externen Erreichbarkeit durch Portale, E-Mail oder Webseite sind laut Angabe des Betreibers nicht bis zu den kritischen Betriebsprozessen durchgedrungen. Reaktion Betreiber Der Betreiber beauftragte einen Dienstleister mit der Abwehr bzw. Filterung der Anfragen, um dem Angriff entgegenzuwirken. Der Betreiber erwähnte den Vorfall im Jahresbericht und Bilanzpressekonferenz und betonte, dass kein Einfluss auf die Versorgung bestand. Reaktion beteiligte Behörde Es sind keine konkreten Reaktionen beteiligter Behörden bekannt. Auswirkungen Sektor/Branche Der Vorfall führte zu einer starken Sensibilisierung bezüglich Informationssicherheit bei Betreibern kritischer Infrastrukturen, zu Diskussionen in Arbeitskreisen und zu entsprechenden Medienberichten zu diesem Thema. Ähnliche Vorfälle sind in der Vergangenheit bereits zuvor bei anderen Energieversorgern festgestellt Bundesamt für Sicherheit in der Informationstechnik 137 4 Vorfallsammlung worden. Der französische Konzern EDF beispielsweise war Ziel der Hacktivisten von „Anonymous“. Die Auswirkungen und Behandlung verhielt sich ähnlich zu denen 50Hertz. Die Web-Präsenzen von Betreibern Kritischer Infrastrukturen werden auch weiterhin als potenzielles Ziel von Hacktivisten wahr genommen. Soweit energiewirtschaftliche Prozesse von Betreibern über dieselben Internetzugänge betrieben werden, wie öffentlich zugängliche Webseiten, besteht bei DDoS-Angriffen das Risiko kollateraler Beeinträchtigung z. B. aufgrund der Überlastung der gemeinsam verwendeten Internetzugangspunkte. Quellen 138 http://www.heise.de/security/meldung/Stromnetzbetreiber-per-DDoS-attackiert-1765299.ht ml (21.03.2014) http://www.spiegel.de/netzwelt/web/website-lahmgelegt-hacker-greifen-franzoesischen-ato mkonzern-an-a-766703.html (05.09.2014) http://www.50hertz.com/Portals/3/Galerien/Publikationen/2012/Eurogrid-Konzernlageberic ht-Abschluss-2012.pdf (08.09.2014) Bundesamt für Sicherheit in der Informationstechnik Vorfallsammlung ID 02 Systemstörung im europäischen Verbundnetz bei Abschaltung einer Hochspannungsleitung über die Ems DL 1 Aktualität 04.11.2006 PS 2, 3 Herkunft national BP 0 Grad der Auswirkung auf die kritische DL Hohe Auswirkung Betroffene Anlagen • Übertragungsnetz • Verteilnetz Betroffene Risikoelemente - Vorfallkurzbeschreibung Am 4. November 2006 fiel in großen Teilen Europas die Stromversorgung aus. Ursache war die geplante Abschaltung einer Hochspannungsleitung, um einem in der Meyer Werft in Papenburg gebautem Schiff die Überführung durch die Ems ins Meer zu ermöglichen. Aufgrund von Fehlern bei der Koordination dieser Abschaltung und der dabei involvierten Komponenten geriet das Stromnetz in einen instabilen Zustand. Das (N-1)-Kriterium war nicht erfüllt, und bei der Abschaltung kam es zu einer Kettenreaktion, an deren Ende das europäische Verbundnetz in mehrere Teile mit unterschiedlichen Frequenzen zerfiel. Da durch diese Trennung in Teilen Europas keine ausreichende Erzeugungsmenge im Stromnetz verfügbar war, traten Stromausfälle von teils mehr als einer Stunde auf. Der Vorfall entstand weitestgehend durch menschliches Versagen. Obwohl die Ursache damit nicht mit der IKT im Stromnetz zusammenhängt, wird der Vorfall erwähnt, da es sich um den schwerwiegendsten der letzten Jahre handelt und IKT-Ausfälle ähnliche Kettenreaktionen zur Folge haben können. Einfluss auf Versorgungsdienstleistung Teile Deutschlands waren, ebenso wie viele Teile im Rest Europas, von Ausfällen betroffen. Diese dauerten von wenigen Sekunden bis zu mehreren Stunden an bis die Netze wieder synchron waren. Reaktion Betreiber Die unmittelbare Reaktion der Betreiber waren Maßnahmen zur Stabilisierung des Stromnetzes. Seit dem Vorfall wurde zudem die Kommunikation verbessert, beispielsweise im Rahmen von regelmäßigen Treffen im Umfeld der Branchenverbände. Eine (N-1)-Rechnung bei Änderungen wird nun durchgeführt. Reaktion beteiligte Behörde Die Bundesnetzagentur und die europäische Behörde ERGEG begann unmittelbar nach dem Vorfall mit der Untersuchung und legte einen Bericht vor. Die BNetzA setzte sich darin (vgl. die erstgenannte Quelle) zum Ziel, die „Harmonisierung der Netzsicherheits- und Systemstandards aktiv voran zu treiben“. Auswirkungen Sektor/Branche Als Reaktion auf den Vorfall wurde laut Aussage der Unternehmen die Kommunikation zwischen den Netzbetreibern verbessert. (N-1)-Berechnungen werden nun flächendeckend und häufiger durchgeführt. Quellen http://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Energie/Untern ehmen_Institutionen/Versorgungssicherheit/Berichte_Fallanalysen/Bericht_9.pdf? __blob=publicationFile&v=1 http://www.spiegel.de/panorama/stromausfall-die-spur-fuehrt-nach-papenburg-a-446546.ht Bundesamt für Sicherheit in der Informationstechnik 139 4 Vorfallsammlung ml 4.2 Internationale Vorfälle Nachfolgend werden Sicherheitsvorfälle, die außerhalb Deutschlands aufgetreten sind, aufgeführt. ID 03 Ausfall-Gefahr in Netzen Österreichs und Deutschlands („Kreisläufer-Problem“) DL 1, 2 Aktualität 02.03.2013 PS 2 Herkunft International (später national) BP 2 Grad der Auswirkung auf die kritische DL Mittlere Auswirkung Betroffene Anlagen • Übertragungsnetze • Verteilnetze Betroffene Risikoelemente • Netzleitstelle und Netzleitsystem • Kommunikationssysteme • Mess- und Steuerungselemente in der Feldebene Vorfallkurzbeschreibung Mögliche Ursache des Vorfalls war ein fehlgeleiteter Steuerungsbefehl eines süddeutschen Energieversorgers, der ein neues Leitsystem (Gas) in Betrieb genommen hatte. Hierbei kam es zu einer Abfrage und Antwort über Broadcast (an alle Netzteilnehmer) durch ein Fernwirkprotokoll. Dessen Effekte kaskadierten in einen Teil eines Leitsystems im Österreichischen Stromnetz. Beteiligte Netzleitsysteme waren daraufhin für mehrere Stunden nur eingeschränkt verwendbar, da die Netzkomponenten mit der Quittierung von Anfragen ausgelastet waren. Wie genau der Befehl aus dem Gasnetz in das Steuerungssystem des Stromnetzes gelangen konnte, ist bis heute unklar. Durch eine Fehlkonfiguration mindestens eines der zusammengeschlossenen IT-Netze wurde auf die Broadcast-Abfrage mit wiederum einem Broadcast-Befehl geantwortet. Die Befehle multiplizierten sich und führten so zu den genanten Störungen des Steuerungsnetzes. Der Vorfall wurde durch die Betreiber und die Medien als „Kreisläufer-Problem“ bezeichnet. Einfluss auf Versorgungsdienstleistung Vom Ausfall der Überwachung und Steuerung war der Prozessschritt der Stromübertragung auf Übertragungs- und der höchsten Verteilnetzebene betroffen, da die verschiedenen hierfür notwendigen Systeme teils nicht mehr einsatzfähig waren. Eine Einschränkung bei der Versorgung der Letztverbraucher ist nicht eingetreten. Reaktion Betreiber Die Betreiber mussten bestehende Kommunikationsverbindungen zu angeschlossenen Steuerungsnetzen manuell unterbrechen, um die fehlgeleiteten und sich weiter verbreitenden Steuerungsbefehle zu stoppen. Im Nachlauf gab es Kritik an der Kommunikation unter den Beteiligten. Im Zuge der Befragung zur Sektorstudie wurde bestätigt, dass Behörden, Betreiber und Verbände nicht optimal zusammengearbeitet haben. Zusammen mit anderen Problemen hätte der Vorfall nach Aussage von mit dem Sachverhalt vertrauten Personen auch zu Problemen größeren Ausmaßes und einer Störung oder einem Ausfall der Versorgung führen können. 140 Bundesamt für Sicherheit in der Informationstechnik Vorfallsammlung Reaktion beteiligte Behörde Die österreichische Stromregulierungsbehörde E-Control hat eine Untersuchung des Vorfalls vorgenommen. Die europäischen Regulierungsbehörden für Energie haben die Betreiber angewiesen, die zentralen europäischen Steuerungsnetze so zu konfigurieren, dass keine Broadcast-Abfragen an alle Geräte mehr möglich sind. Darüber hinaus standen die deutschen Regulierungsbehörden, der BDEW und Unternehmen der Branche miteinander im Austausch. Aus Sicht der deutschen Betreiber war der zeitliche Verlauf jedoch nicht zufriedenstellend. Auswirkungen Sektor/Branche Die Stromnetzbetreiber mussten aufgrund der Reaktion der Regulierungsbehörde in Österreich die Konfiguration betroffener Systeme anpassen. Die Vernetzung von Komponenten der Leittechnik wurden aufgrund des Vorfalls stärker bei den Betreibern der Netze thematisiert. Der BDEW hat in diesem Zusammenhang den Mitgliedern eine Information bzw. Rundschreiben zukommen lassen. Hersteller von Komponenten im Netzleittechnikumfeld stellten aktualisierte Firmware bereit und informierten Kunden über die möglichen Ursachen und Gegenmaßnahmen. Quellen http://fm4.orf.at/stories/1717900/ (10.03.2014) http://www.heise.de/newsticker/meldung/Chaos-im-Stromnetz-durch-verirrte-Zaehlerabfrage -1865269.html (08.09.2014) Bundesamt für Sicherheit in der Informationstechnik 141 4 Vorfallsammlung ID 04 30.000 Computer der Erdölgesellschaft Saudi Aramco außer Betrieb DL 3 Aktualität 15.08.2012 PS 0 Herkunft international BP 0 Grad der Auswirkung auf die kritische DL Keine Auswirkung Betroffene Anlagen • Unbekannt (vermutlich nicht KRITIS-relevant) Betroffene Risikoelemente • Unbekannt (vermutlich nicht KRITIS-relevant) Vorfallkurzbeschreibung Durch Schadsoftware wurden ca. 30.000 PCs der Erdölgesellschaft Saudi Aramco beeinträchtigt bzw. außer Betrieb gesetzt. Die Software löschte den Master Boot Record (MBR) der infizierten Computer, um diese am Starten zu hindern und somit unbenutzbar zu machen. Die politisch motivierte Hackergruppe „Cutting Sword of Justice“ hat sich dazu bekannt, den Wurm in das Netzwerk von Saudi Aramco eingebracht zu haben. Sicherheitsanalysten gehen davon aus, dass die Schadsoftware „Shamoon“ für den Angriff genutzt wurde. Sie besitzt Funktionen, um Daten zu extrahieren und an externe Server zu senden, sowie Daten zu löschen. Es wurde ein zweistufiger Angriff ausgeführt. Zuerst wurden wenige Computer in dem Netzwerk infiziert, die dann Kontakt zu den Steuerungsservern der Schadsoftware aufnahmen und als Mittler zwischen Angreifer und Zielsystem dienten. So konnten weitere Rechner im Netzwerk durch die Steuerungsserver attackiert werden. Nachdem die Systeme mit der Schadsoftware versehen waren, wurden die Systemstartbereiche aller infizierten Computer gelöscht und die Systeme waren nicht mehr verwendbar. Einfluss auf Versorgungsdienstleistung Laut Aussage des Unternehmens war die Produktion durch den Vorfall nicht beeinträchtigt. Über einen Einfluss auf die Versorgungsdienstleistung wurden keine weiteren Aussagen getätigt. Reaktion Betreiber Der Betreiber veröffentlichte keine Informationen zu dem Sachverhalt. Eine Verbindung zu der Schadsoftware „Shamoon“ gilt jedoch als sehr wahrscheinlich. Der Betreiber stellte Webseite des Unternehmens für mehrere Tage offline und isolierte betroffene Netzsegmente. Reaktion beteiligte Behörde Die Reaktion der beteiligten Behörden ist nicht bekannt. Reaktionen anderer Behörden sind ebenfalls nicht an die Öffentlichkeit gelangt. Auswirkungen Sektor/Branche Der Vorfall hatte keine besonderen Auswirkungen auf den Sektor oder die Branche. Internationale Medien berichteten ausführlich über den Angriff und die Folgen. Ein ähnlicher Angriff traf zuvor die iranische Ölindustrie. Quellen http://www.theregister.co.uk/2012/08/29/saudi_aramco_malware_attack_analysis/ (17.03.2014) http://www.seculert.com/blog/2012/08/shamoon-two-stage-targeted-attack.html (17.03.2014) http://www.bbc.com/news/technology-19293797 (08.09.2014) http://www.manager-magazin.de/politik/weltwirtschaft/a-829392.html (08.09.2014) 142 Bundesamt für Sicherheit in der Informationstechnik Vorfallsammlung ID 05 Manipulation von Smart Meter auf Malta DL 1 Aktualität 25.02.2014 PS 3 Herkunft international BP 2 Grad der Auswirkung auf die kritische DL Keine Auswirkung Betroffene Anlagen • Verteilnetze • Hausanschlüsse Betroffene Risikoelemente • Zählerverwaltungssystem (Meter Management System) • Zähler (Smart Meter) • Marktpartnerkommunikation Vorfallkurzbeschreibung Auf Malta wurden flächendeckend Smart Meter bei den Verbrauchern installiert. Mitarbeiter des staatlichen Energieversorgers Enemalta haben ca. 1.000 Smart Meter gegen Zahlung von Bestechungsgeld manipuliert und diese bei Kunden mit hohem Stromverbrauch installiert. Die Smart Meter waren so konfiguriert, dass sie bei einem hohem Stromverbrauch bis zu 75 Prozent weniger Verbrauch erfassten. Die Manipulation der Zähler erfolgte, ohne dass Siegel oder Schutzmechanismen gebrochen wurden. Es gibt Hinweise darauf, dass Zähler von anderen Kunden so manipuliert wurden, dass diese einen höheren Stromverbrauch messen, um den Gesamtverbrauch eines Bezirkes konstant zu halten und den Betrug nicht auffallen zu lassen. Der nachgewiesene Schaden betrug im Jahr 2012 ca. 30 Mio. Euro, also etwa zehn Prozent der gesamten Stromkosten von Malta. Einfluss auf Versorgungsdienstleistung Der Vorfall hatte keinen Einfluss auf die Versorgungsdienstleistung, da es sich lediglich um Abrechnungsbetrug handelte. Reaktion Betreiber Der Betreiber untersuchte den Vorfall und sendete verdächtige Zähler zum italienischen Lieferanten enel zur Überprüfung. Reaktion beteiligte Behörde Die Behörden untersuchten den Vorfall zusammen mit dem Betreiber und konnten die Manipulationen bestätigen. Die vermutlich an dem Betrug beteiligten Mitarbeiter wurden identifiziert. Mehrere Mitarbeiter des Energieversorgers wurden zur Geld- und Freiheitsstrafen verurteilt. Auswirkungen Sektor/Branche Der Vorfall führte zu einer erneuten Betrachtung der Sicherheit von Smart-Meter Systemen. Quellen http://www.energie-und-technik.de/smart-energy/artikel/106080/ (21.03.2014) http://www.maltatoday.com.mt/news/national/35650/enemalta-employees-suspended-over-1 -000-tampered-smart-meters-20140211#.VA4nd_nxRzs (08.09.2014) Bundesamt für Sicherheit in der Informationstechnik 143 4 Vorfallsammlung ID 06 Netzwerktechniker sabotiert Systeme seines Arbeitgebers EnerVest DL 2, 3 Aktualität 2012 PS 0 Herkunft international BP 0 Grad der Auswirkung auf die kritische DL Keine Auswirkung Betroffene Anlagen • unbekannt Betroffene Risikoelemente • unbekannt Vorfallkurzbeschreibung Ein Systemadministrator des Öl- und Gasunternehmens EnerVest hat, nachdem er über seine Entlassung informiert wurde, mehrere IT-Systeme des Unternehmens sabotiert. Bevor seine Zugangsdaten gesperrt wurden, konnte er sich per Fernzugriff Zugriff auf Systeme verschaffen und setzte Server des Unternehmens auf Werkseinstellungen. Dies führte zu ersten Datenverlusten für EnerVest. Anschließend deaktivierte der ehemalige Angestellte die Kühlanlage der IT-Systeme sowie die Datenreplikation, was zu weiteren Ausfällen und Verlusten führte. Die IT des Unternehmens war für 30 Tage nicht mehr voll funktionsfähig. Es konnten nicht alle Daten wiederhergestellt werden. Insgesamt belief sich der Schaden auf eine Million US-Dollar. Einfluss auf Versorgungsdienstleistung Einflüsse auf die kritische Versorgungsdienstleistung sind nicht bekannt. Der Geschäftsbetrieb von EnerVest war stark eingeschränkt. Reaktion Betreiber Bei Kenntnisnahme der Sabotage leitete der Betreiber Gegenmaßnahmen ein und versuchte den Geschäftsbetrieb schnellstmöglich wieder herzustellen. Gleichzeitig wurden auch die Wiederherstellung von gelöschten Daten initiiert. Reaktion beteiligte Behörde Es sind keine Reaktionen von Behörden in Richtung des Betreibers bekannt. Der ehemalige Angestellte wurde zu vier Jahren Haft, Zahlung von Schadensersatz sowie einer Geldstrafe verurteilt. Auswirkungen Sektor/Branche Der Vorfall bei EnerVest hat zu keinen besonderen Auswirkungen innerhalb des Sektors bzw. der Branche geführt, veranschaulicht jedoch, wie auch Innentäter Betreiber von Kritischen Infrastrukturen schädigen können. Quellen http://www.itworld.com/legal/419881/it-pro-gets-prison-time-sabotaging-ex-employers-syste m (20.06.2014) http://www.justice.gov/usao/wvs/press_releases/May2014/attachments/0520143_Mitchell_Sent ence.html (08.09.2014) 144 Bundesamt für Sicherheit in der Informationstechnik Vorfallsammlung ID 07 Schadsoftware in japanischem Kernkraftwerk DL 1 Aktualität 02.01.2014 PS 1 Herkunft international BP 2 Grad der Auswirkung auf die kritische DL Keine Auswirkung Betroffene Anlagen • Kraftwerke Betroffene Risikoelemente • Anlagensteuerungssysteme • Sicherheitssysteme Vorfallkurzbeschreibung Auf einem PC im Kontrollraum des japanischen Kernkraftwerks Monju ist Schadsoftware entdeckt worden. Ein Systemadministrator entdeckte auf einem Computer ein Trojanisches Pferd, das Kontakt zu einer Website außerhalb des Kraftwerks aufbaute. Die Infektion fand vermutlich durch ein Update einer kostenlosen Software für Videowiedergabe statt. Bereits wenige Tage nach dem Update wurden mehr als 30 Zugriffe auf den PC registriert, die scheinbar aus Südkorea stammten. Auf dem System waren über 42.000 E-Mails und Dokumente über die Ausbildung von Mitarbeitern gespeichert. Nach offiziellen Angaben sind keine sicherheitsrelevanten Daten abhanden gekommen. Einfluss auf Versorgungsdienstleistung Ein Einfluss auf die Versorgung bestand nicht, da es sich vermutlich um kein System mit Zugriff auf Leitsysteme handelte. Möglicherweise wurden jedoch vertrauliche Daten entwendet. Reaktion Betreiber Der Betreiber untersucht die Ursache des Vorfalls und entwirft Pläne, wie derartige Vorfälle in Zukunft verhindert werden können. Reaktion beteiligte Behörde Es ist keine Reaktion einer beteiligten Behörde bekannt. Auswirkungen Sektor/Branche Nach den Schadsoftwarevorfällen in Kritischen Infrastrukturen hat dieser Vorfall zu einer erneuten Sensibilisierung der Betreiber geführt. Durch Stuxnet und die „Conficker“/„Slammer“-Würmer war die Gefahr durch Schadsoftware in sensiblen KRITIS-Bereichen bereits bekannt. Die Besonderheit bei diesem Vorfall besteht darin, dass ein Kernkraftwerk von der Schadsoftware betroffen war. In deutschen Leitstellen ist eine Infektion mit Schadsoftware nicht ausgeschlossen. Insbesondere ältere Systeme ohne Schutz durch Patchmanagement und Schadsoftwareschutz können durch konventionelle Schadsoftware aus dem Büro-Umfeld beeinträchtigt werden. Quellen http://www.zdnet.de/88181062/malware-in-japanischem-kernkraftwerk-gefunden/ (14.03.2014) Bundesamt für Sicherheit in der Informationstechnik 145 4 Vorfallsammlung ID 08 Phishing und Angriff auf Webseiten von Gas- und Ölfirmen an DL 2, 3 Aktualität 06.03.2014 und 27.08.2014 PS 0 Herkunft international BP 0 Grad der Auswirkung auf die kritische DL Keine Auswirkung Betroffene Anlagen • Unbekannt (vermutlich nicht KRITIS-relevant) Betroffene Risikoelemente • Unbekannt (vermutlich nicht KRITIS-relevant) Vorfallkurzbeschreibung Die Webseiten von mehreren Gas- und Ölfirmen, sowie von Regierungsbehörden im Mittleren Osten wurden von einer Hackergruppe namens STTEAM angegriffen und mit Hintertüren („Backdoors“) versehen. Es wurden verschiedene Hintertüren auf den Webservern installiert. Eine Version erlaubt den Zugriff auf Datenbanken und Ordner im Dateisystem. Die zweite Version ermöglicht zudem die vollständige Kontrolle der betroffenen Systeme. Es handelte sich bei den betroffenen Systemen um aus dem Internet zugreifbare Webserver, vermutlich aber ohne KRITIS-Bezug. Ein weiterer gezielter Angriff in der Branche, jedoch ohne politische Motive, traf im August 2014 ca. 50 Unternehmen der Öl- und Gasbranche in Norwegen. In Folge eines Phishing-Angriffs wurden Systeme von führenden Mitarbeitern kompromittiert. Einfluss auf Versorgungsdienstleistung Die Versorgungsdienstleistungen waren nicht direkt beeinträchtigt. Inwieweit die Hintertüren für weitere Angriffe verwendet oder sensible Daten entwendet wurden, ist nicht bekannt. Reaktion Betreiber Die Betreiber bereinigten die betroffenen Systeme. Reaktion beteiligte Behörde Der Sicherheitsdienstleister arbeitete mit den beteiligten Behörden zusammen, um die Erkennung und die Behebung der Schwachstellen zu ermöglichen. Auswirkungen Sektor/Branche Der Vorfall selbst hatte keinen wesentlichen Einfluss auf die Branche, macht jedoch deutlich, dass die Ölund Gasbranche Ziel von politisch motivierten Hackern sein kann. Auch Kritische Infrastrukturen und Mitarbeiter von Betreibern in Deutschland können Angriff von (gezielten) Phishing und Hacking Angriffen werden. Vereinzelte Betreiber sensibilisieren ihre Angestellten in dieser Hinsicht und schützen extern erreichbare Systeme besonders. Quellen http://www.fidelissecurity.com/sites/default/files/FTA%201012%20STTEAM%20Final.pdf (17.03.2014) http://www.thelocal.no/20140827/norwegian-oil-companies-hacked (08.09.2014) http://www.newsinenglish.no/2014/08/27/oil-industry-under-attack-by-hackers (15.09.2014) 146 Bundesamt für Sicherheit in der Informationstechnik Vorfallsammlung ID 09 Virus „Stuxnet“ beschädigt iranische Urananreicherungsanlage in Natanz DL 1 Aktualität Juli 2010 PS 1 Herkunft international BP 1 Grad der Auswirkung auf die kritische DL - Betroffene Anlagen • Urananreicherungsanlage (Uranzentrifugen) Betroffene Risikoelemente • Anlagensteuerungssysteme • Prozessleitsysteme • Mess- und Steuerungselemente in der Feldebene Vorfallkurzbeschreibung In 2010 wurde eine bis dato unbekannte Schadsoftware durch einen Sicherheitsdienstleister identifiziert. Diese fiel durch besonders komplexe und gezielte Routinen auf. Im Verlauf der Analysen wurde das Ziel der Schadsoftware näher eingegrenzt, dass diese auf Komponenten der Urananreicherungsanlage in Natanz, im Iran, abzielte. Laut einer Studie der Firma Symantec ist der Wurm darauf programmiert, nur auf bestimmten Siemens-Industriecomputern und Komponenten (SPS) aktiv zu werden, die über Steuerungsmodule sogenannte Frequenzumrichter regeln. Die Software wurde durch die Entdecker „Stuxnet“ genannt. Durch die Manipulation der Frequenzumrichter wurden die Zentrifugen zur Urananreicherung der Anlage periodisch mit einer sehr hohen Frequenz nahe der maximalen Belastbarkeit und dann wiederum mit einer sehr niedrigen Frequenz betrieben. Dies geschah so, dass die Manipulation nicht auffiel und als Fehlfunktion interpretiert werden konnte. Durch dieses Vorgehen sollte die Urananreicherung langfristig negativ beeinflusst werden. Die Möglichkeiten, wie „Stuxnet“ in die Anlagen gelangen kann, sind vielfältig. Ein direkter Angriff auf die speicherprogrammierbaren Steuerungen ist unwahrscheinlich. Vielmehr wird durch eine Kombination unterschiedlicher Schwachstellen und Schadsoftwarekomponenten erst ein Angriff ermöglicht. Beispielsweise kann dies durch infizierte Wartungsnotebooks oder über einen Transfer der Schadsoftware mittels befallenen USB-Sticks geschehen sein. Einfluss auf Versorgungsdienstleistung Nach offiziellen Angaben kam es zu keinen Störungen oder Ausfällen. Nach inoffiziellen Berichten nahm die Anzahl der betriebsbereiten Zentrifugen ständig ab, obwohl die Gesamtanzahl stetig zunahm. Dies deckt sich mit den Schadroutinen von „Stuxnet“. Da es sich noch um eine Vorstufe des Kernbrennstoffs handelte (in Natanz wird sowohl angereichertes Uran für die Stromerzeugung, als auch hoch angereichertes Uran (potenziell waffenfähig) produziert), war kein direkter Einfluss auf die Versorgungsdienstleistung zu verzeichnen. Reaktion Betreiber Der Betreiber tauschte betroffene Zentrifugen durch neue aus. Die schädlichen Programmroutinen und die übrigen Stuxnet-Softwarekomponenten wurden aus den Systemen der Anlage entfernt. Stuxnet wurde im Verlauf bei weiteren Energieversorgungsunternehmen (u. a. Chevron) und Steuerungsanlagen identifiziert, jedoch ohne konkreten Schaden zu verursachen. Dies wurde durch die komplexe Konfiguration der Schadsoftware verhindert. Es wird davon ausgegangen, dass dieser Befall aus Sicht des Verursachers ungewollt war. Reaktion beteiligte Behörde Bundesamt für Sicherheit in der Informationstechnik 147 4 Vorfallsammlung Die Behörden im Iran bestätigten eine hohe Anzahl an Infektionen durch Stuxnet, stritten jedoch ab, dass Kritische Infrastrukturen oder Kraftwerkskomponenten betroffen waren. Das BSI bot im Nachgang zu dem Vorfall Handlungsempfehlungen zum Umgang mit der Schadsoftware an und verstärkte das Thema SCADA-Sicherheit durch Veröffentlichungen und Vorträge. Die Bundesregierung beantwortete im Rahmen einer Drucksache Fragen von Abgeordneten zu dem Thema Stuxnet und der Sicherheit von Kritischen Infrastrukturen (KRITIS). Auswirkungen Sektor/Branche Stuxnet stellte im Energiesektor einen Einschnitt dar. Bisher als getrennt und geschützt betrachtete Systeme und Anlagen rückten in den Fokus von Risikoanalysen und Schutzmaßnahmen. Stuxnet führte vor allem wegen der Komplexität der Schadsoftware, den Folgen und der Medienpräsenz zu einer starken Sensibilisierung von Betreibern, Behörden und Lieferanten. Der Leitsystemhersteller sowie der Betriebssystemhersteller behob mehrere Fehler. Die Schwachstellenforschung, die bisher überwiegend im Büroumfeld Anwendung fand, wurde auf Leittechnik und Leitsysteme ausgedehnt. Auf Stuxnet folgte weitere spezialisierte und komplexe Schadsoftware (Duqu, Flame und Gauss) und mit Dragonfly ein erneuter Angriff auf Energieversorgungsunternehmen, der auf industrielle Steuerungssysteme abzielte. Im Rahmen der Betreiberbefragung wurde bestätigt, dass deutsche Betreiber komplexe und langfristig ausgelegte Angriffe im Stil des Stuxnet-Angriffs als eine der größten Bedrohungen sehen. Quellen http://www.spiegel.de/netzwelt/gadgets/spektakulaere-virus-analyse-stuxnet-sollte-irans-uran -anreicherung-stoeren-a-729329.html (26.03.2014) http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w 32_stuxnet_dossier.pdf (05.09.2014) http://www.symantec.com/connect/blogs/dragonfly-western-energy-companies-under-sabota ge-threat (08.09.2014) http://dip21.bundestag.de/dip21/btd/17/033/1703388.pdf (08.09.2014) 148 Bundesamt für Sicherheit in der Informationstechnik Cyber-Sicherheit 5 Cyber-Sicherheit Das Kapitel „Cyber-Sicherheit“ beschreibt die sektor- und marktüblichen Maßnahmen zur IT- und Informationssicherheit im Sektor „Energie“ in Deutschland. Diese beziehen sich auf den derzeit umgesetzten Stand der Technik. Die Erläuterung der IKT-Sicherheit im Sektor, die in Abschnitt 5.1 „Cyber-Sicherheit im Sektor“ stattfindet, umfasst die Betrachtung der vorhandenen Standards. Diese erfolgt anhand einer Beschreibung und Kategorisierung der Standards. Zudem beschreibt der Abschnitt aktuelle Trends hinsichtlich der Prävention von Sicherheitsvorfällen, Trends zur Erkennung von Sicherheitsvorfällen und Trends zur verbesserten Reaktion auf Risiken und Sicherheitsvorfälle. Der darauffolgende Abschnitt 5.2 „Gesetzliche Anforderungen“ betrachtet die Anforderungen an die IKT-Sicherheit hinsichtlich Normen, Gesetzen und weiteren spezifischen Regularien. Abschnitt 5.3 „Umsetzungsgrad der Cyber-Sicherheit“ stellt die praktische Darstellung des Umsetzungsgrads von Standards und Best Practices dar. Diese Darstellung erfolgt unter anderem anhand der Auswertung der Betreiberbefragungen. Dabei werden Prozesse zur Identifikation, Analyse und Behandlung von Risiken beschrieben. Außerdem erläutert dieser Abschnitt das Vorgehen zur Identifikation und Bewertung von Schwachstellen und Verwundbarkeiten. Ferner behandelt der Abschnitt die aktuellen Trends und Entwicklungen bezüglich Reaktionsfähigkeit, Sensibilisierung und Strategien zur Cyber-Sicherheit. Dies berücksichtigt auch die daraus resultierenden bzw. aktuellen Probleme. Entwicklungen und Herausforderungen, die aktuell oder absehbar Einfluss auf die Cyber-Sicherheit im Sektor „Energie“ nehmen, werden in Abschnitt 5.4 „Herausforderungen und Trends“ dargestellt. Die Aufbereitung erfolgt aus verschiedenen Perspektiven und wird in den Kategorien „Organisatorisch“, „Technisch“, „Regulatorisch“ und „Marktbezogen“ zusammengefasst. Bundesamt für Sicherheit in der Informationstechnik 149 5 Cyber-Sicherheit 5.1 Cyber-Sicherheit im Sektor Energie Die folgenden Standards und als bewährt dokumentierten Vorgehensweisen – sogenannte Best Practices – sind nur ein Auszug der besonders relevanten Elemente. International gibt es eine Vielzahl entsprechender Dokumente mit unterschiedlicher Ausprägung. Es erfolgt lediglich die Betrachtung von Standards, die für Deutschland Bedeutung haben und direkt auf die IKT-Sicherheit bezogen werden können. Die Standards und Best Practices besitzen innerhalb des Energiesektors, sogar innerhalb der Branchen, einen unterschiedlichen Grad der Verbreitung. Da sich die Anlagen und IKT-Systeme innerhalb der Branchen im Sektor hinsichtlich der grundlegenden Funktionalitäten nicht oder nur geringfügig unterscheiden, geht dieser Abschnitt – sofern nicht anders angegeben – von sektorweiten Standards und Best Practices aus. Zum Teil sind diese Standards auch für andere KRITIS-Sektoren oder IKT ohne KRITIS-Bezug anwendbar. Diese Studie nimmt eine Einteilung der Standards und Best Practices hinsichtlich verschiedener Aspekte vor (siehe Abbildung 29). Im deutschen Energiesektor wurden Standards und Best Practices von verschiedenen Institutionen erarbeitet und vorgestellt. Daher unterscheidet die Studie einerseits zwischen nationalem, internationalem sowie verbandlichem Ursprung; andererseits hinsichtlich der technischen und organisatorischen Betrachtung der jeweiligen Veröffentlichung. Abbildung 29: Standards und Best Practices für die Cyber-Sicherheit im Energiesektor in Deutschland Der nachfolgende Abschnitt greift die einzelnen Standards auf und beschreibt deren Zielstellung. Die in der Übersicht dargestellte Nummerierung dient hierbei der Orientierung und ist daher Bestandteil der Beschreibung der jeweiligen Standards und Best Practices. Nationaler Ursprung 1. BSI-Grundschutzstandards 100-1 bis 100-4 Die BSI-Standards enthalten methodische, prozessuale, vorgehens- und verfahrenstechnische Empfehlungen für die Sicherheit von Informationssystemen. Der BSI-Standard 100-1 enthält Empfehlungen zum Informationssicherheitsmanagement-System, 100-2 enthält Vorgehen zum IT-Grundschutz, 100-3 enthält Empfehlungen zum Risiko-Assessment und 100-4 enthält Empfehlungen zum Notfallmanagement. 2. BSI IT-Grundschutzkataloge Ein bausteinorientiertes Handbuch auf Grundlage der BSI-Grundschutzstandards 100-1 bis 100-4 zur 150 Bundesamt für Sicherheit in der Informationstechnik Cyber-Sicherheit Gewährleistung des proaktiven Schutzes ohne die Kenntnis spezifischer sicherheitsrelevanter Schwachstellen in IKT-Umgebungen. Die Grundschutzkataloge B1 bis B4 umfassen verschiedene Ebenen der gesamten Organisation, von übergreifenden bis hin zu technischen Empfehlungen. Zusätzlich existieren Kataloge zu Gefährdungen, Schutzmaßnahmen und geeigneten Hilfsmitteln. Die BSI IT-Grundschutzkataloge geben Handlungsempfehlungen sowie Konfigurationsvorschläge. 3. BSI TR-03109 Die technischen Richtlinien der Reihe BSI TR-03109 des BSI beinhalten technische Anforderungen zur Funktionalität, Interoperabilität und Sicherheit von intelligenten Stromzählern (Smart Meter). Sie umfassen Richtlinien für Smart Meter Gateways und deren Testspezifikationen, Sicherheitsvorgaben, Kryptografie, Public Key Infrastructure sowie zu Kommunikationsadaptern. Außerdem umfassen die Richtlinien Vorgaben für die IKT-Sicherheit bei Gateway-Administratoren und Messstellenbetreibern. Diese Anforderungen ergänzen die sicherheitstechnischen Anforderungen aus dem Common Criteria Schutzprofil für die Sicherheitsmodule von intelligenten Messsystemen (SM_PP). Internationaler Ursprung 4. ISO/IEC TR 27019 bzw. DIN SPEC 27009 Der technische Report ISO/IEC TR 27019 hat seinen Ursprung in der deutschen DIN SPEC 27009, die sich überwiegend auf Leitstellen bzw. Leittechnik im Sektor Energie bezieht. ISO/IEC TR 27019 (bzw. DIN SPEC 27009) betrachtet sowohl technische als auch organisatorische Aspekte für die Implementierung eines ISMS. 5. Common Criteria Schutzprofile (bspw. SM_PP) Die Schutzprofile nach Common Criteria (CC) für IT-Produkte legen einen generischen Rahmen von Anforderungen an eine Produktkategorie fest. Die Anforderungen umfassen die nachweisbar fehlerfreie Spezifizierung von Schutzprofilen für bestimmte Produktgruppen von IKT-Komponenten. Die Profile können Anforderungen an die Funktionalität sowie an die Vertrauenswürdigkeit beinhalten und decken eine Anzahl von Sicherheitszielen ab. Eine Zertifizierung von IKT-Komponenten nach der Erfüllung der Schutzprofile wird dadurch ermöglicht. 6. ISO/IEC 20000 Die Norm orientiert sich an der „IT Infrastructure Library“ (ITIL) sowie dem COBIT-Framework und beschreibt die Anforderungen an ein professionelles IT Service Management (ITSM). Gegenüber ITIL und dem COBIT-Framework ist die ISO/IEC 20000 ein normativer, und damit zertifizierungsfähiger, Standard. Die Zertifizierung einer (Teil-)IT-Organisation ermöglicht die außenwirksame Darstellung der Serviceorientierung innerhalb eines definierten Geltungsbereiches. Das Incident- und Notfallmanagement innerhalb einer IT-Organisation ist auch ein Bestandteil der IT Infrastructure Library. 7. ISO/IEC 27001 und ISO/IEC 27002 Die ISO/IEC 27002 spezifiziert in Verbindung mit dem Managementsystem der ISO/IEC 27001 Umsetzungsmaßnahmen. Diese betreffen unter anderem die Implementierung von Informationssicherheit in unterschiedlichen Bereichen des Unternehmens, wie beispielsweise die Sicherheit von Rechenzentren. ISO/IEC 27001 kann in Verbindung mit dem BSI Standard 100-1 und mit ISO/IEC 27002 als Best Practice für die Implementierung eines Informationssicherheits-Managementsystem (ISMS) dienen. 8. ISO/IEC 22301 Die Norm ISO/IEC 22301 spezifiziert Grundlagen für die Fortführung des Geschäftsbetriebes (Business Continuity Management). Dazu beschreibt die ISO/IEC 22301 Anforderungen an ein Managementsystem zur Bewältigung von Vorfällen, um die Kontinuität von kritischen Prozessen gewährleisten zu können. 9. IEC 61850 Die verschiedenen Bestandteile der IEC 61850 Norm zur Fernwirktechnik umfassen Vorgaben zu Schaltanlagen, Geräten und Funktionen, zum Informationsaustausch sowie zu Datenschnittstellen. Die Norm und deren Teile sind somit eine Referenz für die Architektur der Automatisierung von elektrischen Bundesamt für Sicherheit in der Informationstechnik 151 5 Cyber-Sicherheit Schaltanlagen, insbesondere bei Übertragungsprotokollen (z. B. GOOSE für Echtzeitdaten in der Feldebene). Der Abschnitt 61850-5 101 legt beispielsweise einen Kommunikationsstandard für die Fernwirktechnik im allgemeinen fest, während Abschnitt 104 ein übergreifendes und IP-basiertes Übertragungsprotokoll für Netzleitsysteme und Unterstationen festlegt. Die Norm selbst beinhaltet keine expliziten Sicherheitsaspekte, in Verbindung mit IEC 62351 können diese allerdings auch berücksichtigt werden. 10. IEC 62351 Die ISO/IEC 62351 widmet sich dem Informationsaustausch der Netzleittechnik im Energiesektor und speziell der Daten- und Kommunikationssicherheit. Betrachtungsgegenstand der Norm ist im Wesentlichen die Sicherheit von SCADA-Systemen in der Fernwirk- und Messtechnik. Dieser Standard wurde von der Technical Committee 57 Working Group in der International Electrotechnical Commission entwickelt und dient unter anderem der Umsetzung von Sicherheitsbestrebungen in der Netzleittechnik. 11. ISO/IEC 62443 und ISA-99 Die Norm ISO/IEC 62443 beschäftigt sich mit der IKT-Sicherheit für industrielle Leitsysteme und stellt Vorgaben für die Sicherheit in der Industrieautomatisierung in den Bereichen Netzwerk- und Systemschutz. Dies umfasst Sicherheitsmodelle, den Aufbau eines Sicherheitsprogramms mit Technologien zur Absicherung für industrielle Netzwerke sowie die Sicherheit der industriellen Leitsysteme. Die Norm entspricht der US-amerikanischen ISA 99-Normenreihe. 12. NAMUR NA 115 NAMUR ist ein internationaler Verband für Anwender der Automatisierungstechnik. Das NAMUR-Arbeitsblatt NA 115 enthält Best Practices für die IKT-Sicherheit von Systemen. Das Arbeitsblatt wurde gemeinsam mit Herstellern von Automatisierungstechnik für Nutzer in allen Sektoren entwickelt – nicht nur für den Energiesektor. Die Veröffentlichung definiert die Anwendung von Maßnahmen und Rahmenbedingungen für das Design neuer Systeme in der Prozessleittechnik. Dadurch sollen Betreiber die Sicherheit bestehender und zukünftiger Systeme berücksichtigen können. 13. WIB Process Control Domain-Security Requirements for Vendors Die Veröffentlichung enthält sektor- und branchenübergreifende Best Practices für die Cyber-Sicherheit von Prozessleitsystemen für Betreiber in verschiedenen Branchen des Sektors Energie. Sie wurde primär durch Einzelunternehmen vorangetrieben und von einem Interessenverbund privater Unternehmen, der „Working-party on Instrument Behaviour“ (WIB), vorgestellt. 14. NERC CIP Standards Diese Dokumente sind US-amerikanische Standards für die IT-Sicherheit in kritischen Infrastrukturen im Sektor Energie. Sie sind zum Teil mit den Festlegungen hinsichtlich der Zuverlässigkeit der Versorgung mit Energie aus dem EnWG vergleichbar. 15. NIST SP 800-53 Die Publikation NIST SP 800-53 beinhaltet einen Katalog mit Anforderungen an die Informationssicherheit und Datenschutz für (US-)bundeseigene Informationssysteme und Organisationen. In Deutschland sind derartige Fragestellungen nicht durch unverbindliche Standards und Best Practices geregelt, sondern gesetzlich festgelegt. 16. NIST SP 800-82 Auch für industrielle Kontrollsysteme (ICS) existieren besondere Standards und Best Practices. Der NIST SP 800-82 Standard wird überwiegend im Ausland referenziert bzw. gefordert und beinhaltet einen Leitfaden mit Best Practices für die Sicherheit von industriellen Kontrollsystemen. 17. NISTIR 7628 Die Publikation NISTIR 7628 enthält einen Leitlinienkatalog mit Best Practices für die IKT-Sicherheit in intelligenten Netzen (Smart Grids). Außerdem gibt die Publikation Leitlinien zur Wahrung der Privatsphäre vor und zeigt Analysen und Referenzen. 152 Bundesamt für Sicherheit in der Informationstechnik Cyber-Sicherheit Ursprung aus Verbänden 18. BDEW Whitepaper Das BDEW Whitepaper26 bildet gemeinsam mit ISO/IEC 27001, ISO/IEC 27002 und ISO/IEC TR 27019 (bzw. der deutschsprachigen Vornorm DIN SPEC 27009) die Grundlage des (derzeit vorläufigen) IT-Sicherheitskataloges nach § 11 Abs. 1a EnWG. Das BDEW Whitepaper wird von der DIN SPEC 27009 und damit auch von der ISO/IEC TR 27019 referenziert. Von Betreibern wird das Whitepaper auch weiterhin gerne als Grundlage für Sicherheitsbetrachtungen genutzt. Hier wird allerdings ISO/IEC TR 27019 bzw. DIN SPEC 27009 künftig stärkeres Gewicht erlangen. 19. VDI/VDE Richtlinie 2182 Die Richtlinie beschreibt Standards für die Informationssicherheit in der industriellen Automatisierung für alle Sektoren. 20. CIDX/ACC Leitfaden Der Leitfaden enthält spezifische Standards und Best Practices des Chemical Industry Data Exchange/American Chemistry Council für Cyber-Sicherheit, auch hinsichtlich des Sicherheits-Managements in der Branche Mineralöl. 21. VGB Richtlinie R175 Die R175 ist eine Richtlinie für den Sektor Energie, die organisatorische und technische Aspekte betrachtet. Es handelt sich hierbei um Vorgaben in Form eines abgestuften Schutzkonzeptes zur IT-Sicherheit für Erzeugungsanlagen. Sie findet im Kraftwerksbetrieb Anwendung. 22. API Das American Petroleum Institute gibt in der Branche Mineralöl Best Practices für die IKT-Sicherheit heraus. Allerdings existieren in der Mineralölbranche zumeist zusätzliche, konzerninterne Standards und Best Practices. 23. CPNI Good Practice Guides Der CPNI Good Practice Guide – Process Control and SCADA Security beinhaltet grundsätzlich in allen Sektoren anwendbare Best Practices für die Prozessleitsystem- und SCADA-Sicherheit. Ergänzend hierzu hat die Institution den CPNI Good Practice Guide – Firewall Deployment for SCADA and Process Control Networks bereitgestellt. Dieser Guide umfasst Best Practices für den Firewall-Einsatz bei SCADA- und Prozessleitsystemen in Netzwerken, die in allen Sektoren anwendbar sind. 24. AGA 12 Empfehlungen Die AGA 12 Empfehlungen der American Gas Association enthalten Best Practices zur Absicherung von SCADA-Systemen in der Branche Gas. Weitere Publikationen können aufgrund des begrenzten Umfangs der Studie nicht ausführlich vorgestellt werden. Darunter fallen die Standards des US-amerikanischen Department of Homeland Security (DHS) und des Department of Defense (DoD) sowie weitere Dokumente des britischen Centre for the Protection of National Infrastructure (CPNI) und die europäische Network and Infrastructure Security Directive (NIS). Einige dieser Veröffentlichungen haben ihren Ursprung in privatwirtschaftlichen Unternehmen, andere sind von öffentlichen Einrichtungen oder Branchenverbänden vorgestellt worden. Die Zielgruppe der Dokumente ist zum Teil national, teilweise aber auch international. Viele der vorgestellten Standards und Best Practices sind als Reaktion auf steigende Anforderungen an die IKT-Sicherheit und auf die zunehmende Anzahl von Sicherheitsvorfällen im Sektor ausgearbeitet worden. Einige wurden zunächst auf nationaler Ebene erarbeitet und vorgestellt und später von internationalen Gremien, wie der International Organization for Standardization (ISO), in Form eines internationalen 26 Genauer: die zwei Dokumente „BDEW Whitepaper: Anforderungen an sichere Steuerungs- und Telekommunikationssysteme (Best Practice Anforderungskatalog für den Beschaffungsprozess von Steuerungs- und IKT-Systemen)“ und „BDEW Whitepaper: Ausführungshinweise: Praktische Best Practice zu den Anforderungen“. Bundesamt für Sicherheit in der Informationstechnik 153 5 Cyber-Sicherheit Standards verabschiedet. Best Practices von Verbänden wurden bereits in der Vergangenheit in Standards auf nationaler und internationaler Ebene überführt. Die aufgeführten Standards und Best Practices stellen nur einen Auszug dar. Darüber hinaus existieren weitere branchen-, betreiber- oder systemspezifische Normen. Dazu zählen beispielsweise bauliche und elektrotechnische Vorschriften, die in verschiedenen Katalogen für sichere Infrastrukturen für IT-Systeme zu finden sind. Sie basieren zum Teil auf den IT-Grundschutzkatalogen des BSI, EN- und DIN-Normen sowie VDE-Vorschriften. 154 Bundesamt für Sicherheit in der Informationstechnik Cyber-Sicherheit 5.2 Gesetzliche Anforderungen Der folgende Abschnitt greift die verschiedenen Anforderungen an die IKT-Sicherheit in Form von Gesetzen und Verordnungen im Sektor Energie auf und erläutert diese. Hierzu werden die einschlägigen, in Deutschland anwendbaren Gesetze erfasst. Aufgrund des rechtsverbindlichen Charakters der folgenden Normen besitzen sie im Sektor Energie einen sehr hohen Umsetzungsgrad. Die Studie beschreibt lediglich die Gesetze mit einem direkten Bezug zur Cyber- und Informationssicherheit im Rahmen des Einsatzes von IKT in der Versorgungsleistung. Allerdings ist zu berücksichtigen, dass eine scharfe Abgrenzung zwischen unmittelbarem und mittelbarem Bezug zur IKT-Sicherheit nicht immer möglich ist. Aus diesem Grund betrachtet die Studie keine weiteren gesetzlichen Normen und Verordnungen mit nur mittelbarem Bezug zur Cyber-Sicherheit, wie beispielsweise das Energiesicherungsgesetz, die Stromnetzzugangsverordnung oder das Mineralöldatengesetz. Ferner würde eine erschöpfende Aufzählung aller Normen den Rahmen dieser Studie überschreiten. Ähnlich zu den im vorangegangenen Kapitel beschriebenen Standards und Best Practices, betreffen auch die gesetzlichen Anforderungen zum Teil alle oder mehrere Branchen im Energiesektor. Die zugrunde liegenden Anlagen und Systeme unterscheiden sich auf der Betrachtungsebene der Studie nicht oder nur geringfügig voneinander. Analog zu den Standards und Best Practices wird auch in diesem Abschnitt in der Abbildung 30 eine Aufteilung vorgenommen. Einige der nachfolgend erfassten gesetzlichen Anforderungen haben ausschließlich den Energiesektor zum Ziel, andere gelten auch für andere (Kritische) Sektoren. Daher teilt die Studie die regulatorischen Anforderungen hinsichtlich ihres Geltungsbereiches ein. Der Geltungsbereich umfasst einerseits Anforderungen allgemeiner Natur, die alle Sektoren betreffen, andererseits aber auch sektorspezifische Anforderungen an die Sicherheit. Abbildung 30: Regulatorische Anforderungen im Energiesektor in Deutschland Nachfolgend erfolgt eine Auflistung der in Abbildung 30 dargestellten gesetzlichen Regelungen anhand deren Zugehörigkeit zum jeweiligen Gesetz. Energiewirtschaftsgesetz (EnWG) Ziel des Energiewirtschaftsgesetzes ist nach § 1 EnWG neben der Sicherstellung eines wirksamen und unverfälschten Wettbewerbs im Energiesektor die Sicherung eines langfristig angelegten leistungsfähigen und zuverlässigen Betriebs von Energieversorgungsnetzen. Darin inbegriffen ist auch die IKT-Sicherheit. Das Gesetz schließt allerdings die Branche Öl nicht mit ein, da keine direkte Versorgung der Endkunden über eine Leitung erfolgt. Der § 11 EnWG regelt den Betrieb von Energieversorgungsnetzen in Deutschland. Er beinhaltet eine Verpflichtung der Betreiber, ein sicheres, zuverlässiges und leistungsfähiges Energienetz zu betreiben und dessen Betrieb zu sichern. Der Gesetzgeber beabsichtigt damit die Sicherstellung der Versorgung. Ferner regelt der § 11 in Verbindung mit § 6 ff. EnWG die Diskriminierungsfreiheit und Entflechtung der Versorgungs- und IT-Infrastruktur, um den Wettbewerb und somit die Innovationsfähigkeit im Sektor Bundesamt für Sicherheit in der Informationstechnik 155 5 Cyber-Sicherheit Energie sicherzustellen. Davon sind Betreiber von Verteilnetzen, Speicheranlagen und Transportnetzen betroffen. Die angesprochene Entflechtung und Wettbewerbsermöglichung erfordert einen verstärkten betreiberseitigen Kommunikations- und Steuerungsaufwand, der nur durch zuverlässige und sichere IKT bewältigt werden kann. § 49 ff. EnWG regelt die Anforderungen an die Zuverlässigkeit und Sicherheit der Energieversorgung im Detail. IT-Sicherheitskatalog nach § 11 Abs. 1a EnWG Zur Gewährleistung der Versorgungssicherheit mit Energie in Deutschland legt das EnWG Regelungen für die Informationssicherheit fest. Der § 11 Abs. 1a EnWG fordert die Einhaltung eines IT-Sicherheitskataloges. Der Sicherheitskatalog liegt derzeit in einer vorläufigen Fassung vor. Die BNetzA verabschiedet den Katalog im Benehmen mit dem BSI. Dieser Katalog wurde bereits im Abschnitt 5.1 beschrieben und regelt die genauen Standards und Best Practices für die IKT-Sicherheit im Sektor Energie. Nur durch die Sicherstellung der Cyber-Sicherheit ist der zuverlässige Betrieb der Anlagen und die Versorgung im Sinne des Gesetzes möglich. Messsystemverordnung (MsysV) Im Rahmen des aufkommenden Trends der intelligenten Netze und der damit verbundenen intelligenten Messsysteme (Smart Meter) rücken Fragen der Regulierung von Datenschutz und Datensicherheit dieser Systeme in den Fokus. Zu diesem Zweck hat das BMWi die Messsystemverordnung (MsysV) entworfen und bei der Europäischen Kommission zur Notifizierung eingereicht. Der Entwurf enthält Schutzprofile und technische Richtlinien für die Gewährleistung von Interoperabilität, Datenschutz und Datensicherheit bei Smart Metern. Dieser Punkt ist auch in den Common Criteria Schutzprofilen SMP_PP festgelegt. „Mindestanforderungen an die Informationstechnik des Anbieters für die Erbringung von Sekundärregelleistung“ und „Anforderungen an Informationstechnik für abschaltbare Lasten“ Die „Mindestanforderungen an die Informationstechnik des Anbieters für die Erbringung von Sekundärregelleistung“ wurden von den vier Übertragungsnetzbetreibern veröffentlicht. Damit eine Anlage für die Bereitstellung von Sekundärregelleistung qualifiziert werden kann, muss der Betreiber die Kriterien der ÜNB erfüllen. Ähnliche Kriterien sind in den „Anforderungen an Informationstechnik für abschaltbare Lasten“ festgelegt. Damit Betreiber Sekundärregelleistung erbringen bzw. abschaltbare Lasten anbieten können, muss die Erfüllung der Mindestanforderungen nachgewiesen werden. Die Vorgaben beziehen sich beispielsweise auf Verschlüsselung, Redundanzen, Informationspflichten und die Netzarchitektur. Von diesen Anforderungen sind die Leitsystemhierarchien und die übergreifenden Informationen und Steuerungsfähigkeiten betroffen. Die ÜNB stellen damit sicher, dass Anbieter die regelbaren Erzeuger bzw. Lasten wie benötigt überwachen und steuern können. UN/EDIFACT-Richtlinien des BDEW Für die unterschiedlichen Geschäftsvorfälle in der Marktpartnerkommunikation spezifiziert der BDEW besondere EDIFACT-Nachrichtentypen. Die Richtlinien stellen keine gesetzlichen, sondern regulatorische Anforderungen dar. Die Vertraulichkeit, Zuverlässigkeit und Integrität sowie die Authentizität der Daten ist dabei von höchster Bedeutung. Die Beteiligten müssen dies durch angemessene IKT-Sicherheit gewährleisten, die durch den Einsatz von elektronischen Signaturen in Zertifikaten und verschlüsselter Kommunikation ermöglicht wird. Für die von der BNetzA festgelegten einheitlichen Geschäftsprozesse und Datenformate dient das Datenformat UN/EDIFACT als Basis. Dem Datenformat liegen Nachrichten zugrunde, deren Beschreibungen von einer Projektgruppe des BDEW entwickelt wurden und gepflegt werden. Die Projektgruppe VEDIS des BDEW hat in diesem Rahmen Empfehlungen für die Sicherheit beim elektronischen Datenaustausch ausgesprochen, beispielsweise Verschlüsselung. Über die vorgenannten regulatorischen Anforderungen hinaus existieren noch weitere Vorgaben, die jedoch keinen rechtsverbindlichen Charakter haben. Diese Vorgaben hinsichtlich der Cyber-Sicherheit in Form von Standards und Best Practices sind dem Abschnitt 5.1 zu entnehmen. 156 Bundesamt für Sicherheit in der Informationstechnik Cyber-Sicherheit 5.3 Umsetzungsgrad der Cyber-Sicherheit Der Umsetzungsgrad der Maßnahmen zur Cyber-Sicherheit ist in diesem Kapitel vereinfacht in den folgenden Kategorien zusammengefasst: 1. Sicherheitsorganisation und -management: Prozesse, Managementsysteme und Sicherheits-organisation bei Betreibern, um das Sicherheitsniveau zu erhöhen, Sicherheitsvorfälle und -angriffe zu erkennen und abzuwehren. 2. Technische IT-Sicherheit: Vorkehrungen an einzelnen Anlagen oder Risikoelementen, um deren Schutz gegen Ausfälle, Manipulationen oder Angriffe zu erhöhen (Prävention). 3. Detektion und Reaktion: Fähigkeiten, Angriffe und Unregelmäßigkeiten zu erkennen und darauf angemessen reagieren zu können. 4. Externe Abhängigkeiten: Vorkehrungen für externe Verträge und Schnittstellen zu anderen Organisationen und Betreibern Bei Bedarf können die weiteren Kategorien „Notfallmanagement“ und „Security Awareness“ betrachtet werden. Es muss berücksichtigt werden, dass diese Aussagen einen teils abstrahierten und zusammenfassenden Ausschnitt der gesamten Praxis im Sektor darstellen. Je nach Größe, Art und Praxis der Betreiber existieren unterschiedlich starke Ausprägungen, auf die nur bedingtem Maße eingegangen werden kann. Die festgehaltenen Erkenntnisse basieren auf den Ergebnissen aus den Gesprächen mit den befragten Betreibern. Eine Ableitung auf den Zustand des gesamten Sektors ist daher nur begrenzt möglich. Basierend auf Expertenwissen der Studienautoren und als Resultat der Hersteller- und Betreiberbefragung sowie der Befragung von Verbänden können die nachfolgenden Aussagen zum Stand der Cyber-Sicherheit im Energiesektor getroffen werden. Sie beziehen sich auf Sicherheitsthemen, die besonders für den Schutz Kritischer Infrastrukturen relevant sind. Wie zuvor erfolgt eine Trennung in Prozess-IT und Büro-IT. Büro-IT beschreibt alle IKT-Komponenten, die nicht direkt an der den betriebsinternen Prozessen (im Sinne der betriebsinternen Prozesse aus Kapitel 3) beteiligt sind, also beispielsweise die Telefonsysteme der Mitarbeiterbüros oder Systeme des Enterprise Resource Planning (ERP). Prozess-IT sind jene IKT-Komponenten die unter anderem zur Messung, Steuerung und Regelung im Prozessablauf eingesetzt werden. Grundsätzlich lassen sich folgende Feststellungen zur IT-Sicherheit der Branchen Strom, Gas und Mineralöl treffen: • Größere Unternehmen und Tochterfirmen von Konzernen haben bereits ein hohes Bewusstsein und Verständnis für die Cyber-Sicherheit entwickelt. Bei kleineren Betreibern ist der Stand der IT-Sicherheit häufig niedriger. Diese Aussage gilt jedoch nicht für alle Unternehmen. Im Rahmen der Befragung zeigten auch einige kleinere Unternehmen ein hohes Bewusstsein und einen guten Stand in Bezug auf die Informationssicherheit in Kritischen Infrastrukturen. • Wie in der Wirtschaft üblich, bewerten die Betreiberunternehmen Cyber-Sicherheit aus organisatorischer Sicht vor allem nach finanziellen Aspekten. Dies trifft sowohl auf große Unternehmen zu, als auch auf kleinere Betreiber. Risiken, die bei Eintritt sofort zu finanziellen Einbußen führen, werden oftmals bereits betrachtet. Risiken, die lediglich indirekt einen finanziellen Schaden verursachen, sind weniger präsent. Die Bewertung und der Schutz des Energiehandel als betriebsinterner Prozess mit direktem finanziellen Einfluss ist ein Beispiel für ein stark ausgeprägtes Risikobewusstsein. • In vielen Betreiberunternehmen ist ein umfangreiches Notfallmanagement vorhanden. Dieses dient vorrangig der Umwelt- und Personensicherheit, aber auch der Sicherstellung der Versorgungssicherheit. Das IT-Notfallmanagement und Business Continuity Management (BCM) wird meist lediglich als ein Bundesamt für Sicherheit in der Informationstechnik 157 5 Cyber-Sicherheit Bestandteil des Notfallmanagements gesehen und nicht eigenständig umgesetzt. Eine Zertifizierung nach ISO 22301 oder ähnlichen Standards ist in der Regel nicht gegeben. • Die Entscheidung über die im Unternehmen eingesetzte Prozess-IT obliegt oft nicht der IT-Abteilung direkt, sondern den jeweiligen Fachabteilungen. Die IT-Abteilung hat meistens die Möglichkeit, Empfehlungen auszusprechen oder ist zumindest an den Entscheidungen beteiligt. Dennoch wird teilweise nicht die aus Aspekten der Büro-IT-Sicht beste Lösung (besonders hinsichtlich Homogenität und Komplexität der gesamten IKT-Landschaft) angeschafft, sondern aufgrund von funktionalen und prozesstechnischen Gesichtspunkten der Fachabteilungen entschieden. Dies hat zur Folge, dass die in den kritischen Prozessen eingesetzte Technik anderen Standards entspricht als in der übrigen Unternehmenslandschaft. Hinsichtlich der Funktionalität der eingesetzten IT hat dies gegebenenfalls Vorteile für den Betrieb. Da die Sicherheit der IT jedoch ein übergreifendes Thema ist, das im Rahmen der Geschäftsleitung vorgegeben und gefördert werden muss, kann ihr Stellenwert durch diese Konstellation geringer sein als gewünscht. • In der Regel sind die Betreiber selbst für den Betrieb der KRITIS-relevanten IKT-Komponenten verantwortlich. Teilweise werden jedoch externe Dienstleister eingesetzt, um die IKT bestimmter Bereiche zu konfigurieren und zu warten. In einigen Fällen ist die Büro- und Prozess-IT des Betreibers jedoch an Dienstleister ausgelagert, die beispielsweise konzernweit entsprechende Dienstleistungen erbringen. Auf Seiten des Betreibers besteht dabei nur noch eine Management-Verantwortung, jedoch keine technische Verantwortung. Dementsprechend ist auch das Know-How zu technischer IT- und IT-Sicherheitsthemen geringer als bei Unternehmen mit einer eigenen IT-Abteilung. 5.3.1 Sicherheitsorganisation und -management • IT-Sicherheitsrichtlinien werden, auch wenn sie auf Prozess-IT Anwendung finden, häufig aus der Büro-Umgebung oder dem Managementsystem des übergeordneten Konzernverbunds übernommen. Besonders kleinere Betreiber wählen oftmals diese Umsetzungsart. Die Richtlinien sind daher nicht oder nur teilweise an die besonderen Anforderungen der Prozess-IT angepasst. Richtlinien wie die ISO/IEC TR 27091 sind auf die Prozess-IT ausgerichtet. Diese werden tendenziell eher bei Konzernen umgesetzt. • Das Risikomanagement ist in den meisten Betreiberunternehmen des Sektors Energie stark ausgeprägt. Die Betrachtung der Risiken erfolgt jedoch weitestgehend aus Sicht der kommerziellen Risiken und aus Sicht des Personen- und Umweltschutzes. Versorgungssicherheit als Teil des Risiko- und IT-Managements ist im Zusammenhang mit dem Risikomanagement bisher wenig ausgeprägt. • In den größeren Unternehmen sind die Vorteile der Etablierung eines Informationssicherheits-Managementsystems (ISMS) bekannt. Einige Unternehmen im Sektor sind bereits nach verbreitenden Standards wie ISO/IEC 27001 ausgerichtet oder zertifiziert. Genaue Angaben zur Verbreitung von ISMS im Energiesektor sind jedoch nicht verfügbar und ließen sich im Rahmen der Betreiberbefragung nicht ermitteln. • Der branchenspezifische Standard ISO/IEC TR 27019 und das BDEW Whitepaper werden bei fast allen Unternehmen in der Strom- und Gasbranche wahrgenommen, aber nur bei größeren Unternehmen umfassend umgesetzt. Teilweise bestehen firmeninterne Standards zur Cyber-Sicherheit, besonders in der Branche Öl. Dies ist besonders bei Konzernen der Fall, tendenziell weniger bei kleineren Betreibern. • Der Standard „BSI IT-Grundschutz 100-2“ wird im Sektor bisher kaum bis gar nicht eingesetzt. Teilweise ist dieser den Betreibern nicht bekannt oder wird von diesen im Umfeld der Kritischen Infrastrukturen als nicht umsetzbar angesehen. Außerdem setzen die Unternehmen den Fokus der Cyber-Sicherheit in der Regel auf mögliche Zertifizierungen bzw. die Umsetzung von Best Practices aus dem Bereich der ISO-Normen, um eine internationale Vergleichbarkeit zu erreichen. Die Maßnahmenempfehlungen der Kataloge werden hingegen von einigen Betreibern zur Umsetzung der Best-Practices als Hilfestellung herangezogen. 158 Bundesamt für Sicherheit in der Informationstechnik Cyber-Sicherheit • Bedingt durch ein anwachsendes Bewusstsein für Cyber-Sicherheit bei Herstellern und Kunden besitzen neu beschaffte IKT-Systeme in der Regel ein hohes Maß an werksseitig implementierten Sicherheitsvorkehrungen, die in die Strukturen der Betreiber integriert werden. Ausschreibungen zur Beschaffung von IKT-Systemen im Energiesektor enthalten, anders als noch vor wenigen Jahren, in der Regel explizite Anforderungen zur Umsetzung von bestimmten Sicherheitsfunktionalitäten. Allerdings sind in vielen Fällen Vorgaben, wie aus dem BDEW-Whitepaper, durch Hersteller und Integratoren noch nicht vollständig umgesetzt worden. • Ein Teil der Großkonzerne im Energiesektor haben ein eigenes offizielles Computer Emergency Response Team (CERT). Andere Unternehmen besitzen ähnliche Strukturen, um schnell und effektiv auf Sicherheitsvorfälle reagieren zu können. Als Hersteller von Leittechnik betreibt beispielsweise Siemens ein eigenes Produkt-CERT, das auf Vorfälle reagiert. Kleinere Betreiber verfügen in der Regel nicht über ein eigenes CERT. • Die planmäßige und bedarfsbezogene Durchführung präventiver Sicherheitstests von Anwendungen und Netzwerken (Penetrationstest) wird, insbesondere bei größeren Unternehmen des Sektors, zunehmend genutzt. Diese Maßnahme dient der Überprüfung und Verbesserung der IKT-Sicherheit. Penetrationstests werden bei den Betreibern zunehmend nicht nur für die Überprüfung der Büro-IT, sondern auch für die Verbesserung der Sicherheit von Leittechnik und anderer Prozess-IT eingesetzt. • Es werden zunehmend Schwachstellen in der Leittechnik veröffentlicht. Es existiert jedoch noch keine zentrale sektor- oder branchenbezogene Informationsplattform, auf der Informationen zu Sicherheitslücken zugänglich gemacht werden und Betroffene sich informieren können. Den Herstellern und Betreibern bleibt unter Umständen wenig Zeit, um auf neu veröffentlichte Schwachstellen zu reagieren – sofern ihnen diese überhaupt bekannt werden. Existierende Austauschmöglichkeiten, wie die Allianz für Cyber-Sicherheit (ACS), sind bekannt. In Gesprächen mit Unternehmen äußerten die Betreiber, dass zum Teil nicht deutlich ist, welche Vorteile und Verpflichtungen ein Engagement bei der ACS oder dem UP KRITIS mit sich bringt. Daher wird tendenziell weniger auf diese Möglichkeit zurückgegriffen. 5.3.2 Technische IT-Sicherheit • Die mittlerweile in der gesamten deutschen Wirtschaft weit verbreiteten „Standard-IT-Sicherheitsmaßnahmen“, wie der Einsatz von Schadsoftwareschutz, Berechtigungsverwaltung und Firewalls, sind auch im Sektor Energie für Systeme mit externen Schnittstellen weitestgehend umgesetzt. Vor allem durch Vorfälle wie „Stuxnet“ sind bei den Betreibern erweiterte Cyber-Sicherheitsmaßnahmen auf technischer Ebene in den Fokus gerückt. Dies gilt jedoch nicht für alle Betreiber in gleichem Umfang, besonders die Großkonzerne haben aber hier tendenziell einen hohen Umsetzungsgrad. Darüber hinaus ist der Einsatz solcher Technologien nicht in jedem IKT-System möglich, da beispielsweise die Prozess-IT in Echtzeit arbeitet. Diese Systeme haben in der Regel keine externen Verbindungen oder werden durch andere Schutzmaßnahmen gesichert. Ein konventioneller Einsatz von Schadsoftwareschutz oder eine Deep-Packet-Inspektion könnte die Laufzeiten bzw. Latenzen von Befehlen im System und Netzwerk verlängern und damit den Echtzeitbetrieb erschweren. Die Umsetzung dieser Maßnahmen ist daher auch system- und prozessabhängig. • Das Bedien- und Administrationspersonal der Prozess-IT ist im Energiesektor unterschiedlich stark für Sicherheitsfragen sensibilisiert. Der Grad der Sensibilisierung ist betreiber- und personenabhängig und daher schwer einzuschätzen. Größere Betreiber führen teilweise regelmäßige, unternehmensweite Kampagnen zur Sensibilisierung durch. Kleinere Betreiberunternehmen informieren und schulen die Mitarbeiter eher bedarfsbezogen – beispielsweise bei der Einstellung eines neuen Mitarbeiters oder nach dem Eintritt von Sicherheitsvorfällen. „Social Engineering“, also das Sammeln von sicherheitsrelevanten Informationen durch die Manipulation von Mitarbeitern, stellt aus Sicht der Betreiber ein erhebliches Risiko dar und wird von Bundesamt für Sicherheit in der Informationstechnik 159 5 Cyber-Sicherheit ihnen als solches behandelt. Aufgrund des sozialen Charakters dieser Gefährdung können allerdings keine technischen Maßnahmen oder direkte Schulungen zur Abwehr durchgeführt werden. Diese Gefährdung betrifft alle Betreiber im Sektor. • Präventive Maßnahmen gegen ein Versagen von Software und der Schutz vor möglichen Manipulationen von Hard- und Software vor dem Einsatz im Unternehmen können sowohl in der Büro- als auch in der Prozess-IT ausgebaut werden. Ein Beispiel für eine solche Gefährdung ist die Manipulation einer Firmware beim Hersteller oder zwischen Herstellung und Einsatz (beispielsweise bei Händlern). Eine solche Gefährdung wird auf Seiten der Betreiber bisher selten in Prüf- und Notfallmaßnahmen berücksichtigt. • Die IKT im Sektor Energie ist vorrangig auf die Erfüllung des Schutzziels „Verfügbarkeit“ ausgerichtet. Die Betreiber legen außerdem Wert auf die Sicherstellung der Integrität und der Vertraulichkeit ihrer Systeme, behandeln diese aber (sofern sie nicht unmittelbar mit dem Schutzziel Verfügbarkeit verknüpft sind) zumeist mit nachrangiger Priorität. Bestimmte Maßnahmen zur Sicherheit der IKT-Systeme gegenüber Angriffen oder Manipulationen werden zum Teil nicht vollständig umgesetzt, da befürchtet wird, dass diese den laufenden Betrieb und die Verfügbarkeit beeinträchtigen könnten. • In Bereichen mit hohen Anforderungen an die Verfügbarkeit auch in Krisenlagen, werden Systeme, Komponenten und Netzverbindungen häufig (mehrfach) redundant ausgelegt. In der Branche Elektrizität nutzen die Netzbetreiber beispielsweise oft ein sofort lauffähiges Leitsystem-Backup und testen dieses regelmäßig. Fällt das primäre System aus, wird mit vergleichsweise wenig Aufwand auf das Ersatzsystem umgeschaltet. Für den Fall, dass ein System von einer Schadsoftware oder einem Programmierfehler betroffen ist, kann dies aber unter Umständen auch ein technisch identisches Rückfall-System betreffen. Teilweise wird im Sektor eine physische Ersatz-IT-Infrastruktur vorgehalten, die jedoch nicht sofort einsatzfähig ist. • Bei Prozess-IT, insbesondere bei integrierter Steuerungstechnik wie SPS, stellen eingeschränkte Absicherungsmöglichkeiten auf Geräteebene ein Risiko dar. Die sehr stark auf die technischen Anforderungen des jeweiligen Prozesses abgestimmte Hardware ermöglicht meist keine Installation von weiteren (Sicherheits-)Komponenten oder entsprechenden Anpassungen. Der Schutz dieser prozessnahen Systeme muss daher (neben einer geeigneten Netzsegmentierung) als zusätzliche Sicherheitsschicht abseits der Geräte gewährleistet werden. • Bei Systemen und IKT-Infrastrukturen, die nicht durch eine zentrale IT-Abteilung oder eine eigene Abteilung für die Prozess-IT koordiniert werden (insbesondere bei kleineren Betreiberunternehmen), sind Maßnahmen für die Cyber-Sicherheit bisher nicht oder nur teilweise umgesetzt. Dies ist teilweise der langen Einsatzzeit der Systeme geschuldet, zum Teil auch dem historisch bedingten Wachstum der Systeme und Infrastrukturen im Sektor. Davon ist speziell die Branche Strom betroffen, die bedingt durch die Integration der Stromnetze in den neuen Bundesländern und die verhältnismäßig komplexe Architektur der Netze eine tendenziell stärker heterogene IKT-Landschaft aufweist als andere Branchen im Sektor. • Bei Altsystemen (Legacy-Systemen) lassen sich neue Sicherheitsanforderungen oftmals nicht vollständig umsetzen. Im Energiesektor kommen zum Teil weiterhin Betriebssysteme wie Microsoft Windows XP oder ältere Unix-Derivate zum Einsatz, deren Unterstützung durch den Hersteller beendet wurde. Diese Systeme werden zum Teil als in Maschinen eingebettete Systeme eingesetzt und sind daher nur schwer anpassbar. Dieser Sachverhalt lässt sich teilweise durch „Härten“ der Systeme angehen, also durch das Deaktivieren aller nicht benötigten Funktionalitäten und Aktivieren aller möglichen und sinnvollen Sicherheitsmechanismen. Eine derartige Maßnahme wird zumeist nicht flächendeckend durchgeführt und ist nicht für alle Systeme durchführbar. Sie bietet zudem nicht vor allen Gefährdungen Schutz. Ein Fehler im Leitsystem kann beispielsweise nur eingeschränkt durch eine Systemhärtung kompensiert werden. • Die sogenannte Air-Gap, das heißt die physische Abtrennung von Systemen von externen Verbindungen, wird im Sektor Energie oftmals als ausreichende Sicherheitsmaßnahme für ICS-Systeme angesehen. Mittlerweile lässt sich diese Praxis aber immer weniger umsetzen, da vermehrt Verbindungen zum 160 Bundesamt für Sicherheit in der Informationstechnik Cyber-Sicherheit Datenaustausch mit anderen Systemen benötigt werden. Auch Netze isolierte Systeme sind gegenüber Schadsoftware anfällig – die Air-Gap kann beispielsweise durch den unkontrollierten Einsatz von Wechseldatenträgern überbrückt werden. Darüber hinaus verhindert die Air-Gap die Möglichkeit, bei Fehlern in der Steuersoftware oder als Reaktion auf eine akute Gefährdung kurzfristig Updates in die isolierten Geräte einzuspielen. Dies kann jedoch bei Situationen, in denen ein kurzfristiger Zugriff zur Behebung von Störungen nötig ist von Nachteil sein, da es auch den Zugriff der eigenen IT einschränkt. Daher existieren häufig Wartungszugänge, die aber bei mangelnder Kontrolle selbst ein Risiko darstellen. • Zusätzlich zur physischen Trennung der Netzwerkbereiche mittels Air-Gap wird von vielen Betreibern im Energiesektor eine Netzwerksegmentierung vorgenommen. Die Ausprägung und Effektivität dieser Segmentierung und ihrer Absicherung (bspw. durch Firewalls) ist stark betreiberabhängig. Zum Teil liegen trotz der Segmentierung weiter direkte und ungefilterte (Netzwerk-)Verbindungen zwischen dem Büro- und dem Prozess-IT-Netz vor. Diese Verbindungen können ein Sicherheitsrisiko darstellen, wenn darüber ein Fehler bzw. eine Angriff zwischen den Netzen ermöglicht wird. • Eine Möglichkeit zur Steuerung oder Überwachung von Prozess-IT bei einem Betreiber mittels direktem Zugang, also ohne den vorherigen Aufbau einer VPN-Verbindung oder über isolierte Netzzugänge, ist in der Regel nicht vorhanden. Sollte dies doch möglich sein, ist es häufig die Folge einer fehlerhaften Implementierung bzw. eines unbeabsichtigten oder beabsichtigten Verstoßes von Mitarbeitern oder Dienstleistern gegen Sicherheitsrichtlinien. • Der Fernzugriff auf Prozess-IT durch Anlagenhersteller, weitere Dienstleister oder eigene Mitarbeiter ist bei den meisten Betreibern (vor allem bei größeren Unternehmen) umfassend geregelt. In einigen Fällen ist die Umsetzung des Fernzugriffs pragmatisch, wie beispielsweise die Verbindung oder Trennung physischer Netzwerkzugänge nach telefonischer Rücksprache. Die technischen Ausprägungen von Zugriffsmöglichkeiten unterscheiden sich allerdings innerhalb des Sektors nach den Betreibern zum Teil erheblich. Die technischen Regelungen werden zumeist mit organisatorischen Regelungen unterstützt, die die Verantwortung bei einem Fernzugriff explizit regeln. • Die IKT-Systeme und -Infrastrukturen in der Büro-Umgebung (beispielsweise für ERP-Systeme, Energiehandelssysteme oder die Kommunikation via E-Mail) im Sektor Energie werden oftmals mit einem hohem Sicherheitsniveau betrieben. Viele Betreiber setzen entsprechende organisatorische und technische Regelungen und Maßnahmen um. • Eine Erfassung von Büro-IT-Komponenten in einer Datenbank bzw. Tabelle ist im Regelfall unternehmensweit vorhanden. Für die Leittechnik wird ein Inventar der Komponenten häufig in den jeweiligen Fachabteilungen vorgehalten, selbst wenn die Leittechnik konventionelle IKT-Komponenten enthält oder Kommunikationsbeziehungen in das Büronetz bestehen. Somit kann zumeist nicht zentral erfasst werden, welche Systeme von Gefährdungen betroffen sein könnten, beispielsweise bei Bekanntwerden einer Sicherheitslücke für ein bestimmtes Gerät. Damit wird die schnelle Reaktion auf Gefährdungen dieser Systeme erschwert und vermeintlich im Unternehmen behobene Schwachstellen verbleiben auf nicht inventarisierten Systemen. • Die Rechenzentren der größeren Betreiber im Sektor sind in der Regel nach etablierten Standards und Best Practices, auch hinsichtlich der Cyber-Sicherheit, konzeptioniert und betrieben. Dies trifft allerdings selten IKT-Systeme und die IKT-Systeme und -Komponenten auf der Steuerungs- und Feldebene zu. Die Qualität der Konzeption und deren Umsetzung ist betreiberabhängig. Bedingt durch die Dezentralität der Geräte und Komponenten in der Steuerungs- und Feldebene wird die Umsetzung ähnlicher Standards zur Cyber-Sicherheit zusätzlich erschwert. Zudem stellen auch unterschiedliche Gerätegenerationen, Hersteller und Systemtechnologien eine große Herausforderung dar. Aufgrund der hohen Diversität gibt es nicht für alle Konfigurationen und Systeme geeignete Standards und Best Practices. 5.3.3 Überwachung und Monitoring (Detektion und Reaktion) • Im Büroumfeld der großen Betreiber ist eine permanente Überwachung der Netzwerke weitestgehend vorhanden. Viele Unternehmen besitzen zumindest ein rudimentäres Sicherheitsereignismanagement Bundesamt für Sicherheit in der Informationstechnik 161 5 Cyber-Sicherheit und betreiben eine Netzwerküberwachung (beispielsweise zur Erfassung von Verfügbarkeiten). Besonders bei den Großkonzernen ist dieses Monitoring stark ausgeprägt. Für kleinere Betreiber liegen keine ausreichenden Informationen zu dieser Maßnahme vor. • Bei größeren Betreiberunternehmen werden meist auch komplexere Maßnahmen zur Überwachung und zum Schutz von Netzwerken – wie IDS und Intrusion Protection Systeme (IPS) – umgesetzt. Bei einigen Betreibern kommen sehr komplexe Lösungen zum Einsatz, beispielsweise das Security Incident and Event Management (SIEM), die mittels Anomalien Angriffe und Einbrüche erkennen sollen. Diese werden in der Regel nicht für Produktions- und Leittechnik, sondern primär für die Büro-IT eingesetzt. • Eine zeitnahe Erkennung von Sicherheitsvorfällen ist bei einem Einfluss auf die Versorgung, die Produktion oder die Verfügbarkeit von Systemen im Regelfall gegeben. Werden jedoch gezielt falsche Betriebsdaten an die Systeme übermittelt, die plausibel erscheinen (wie im Fall von Stuxnet), kann dies laut Aussage vieler Betreiber bisher nicht zuverlässig erkannt werden. Besonders in den Prozessen die den Energiehandel oder die Bedarfsplanung betreffen, kann dies fatal sein, beispielsweise wenn manipulativ zu wenig oder zu viel Kapazitäten angefordert werden. • Bei Bekanntwerden von Schwachstellen in Steuerungsanlagen werden diese häufig durch den Hersteller behandelt. Die IT-Abteilung der Betreiber wird hiervon in der Regel nicht direkt informiert und kann daher auch nicht sofort eigenständig auf die Gefährdung reagieren. Die Betreiber sind daher auf die Informationen und Handlungsempfehlungen der jeweiligen Hersteller angewiesen. Teilweise werden die Geräte und Komponenten ohne das Wissen der Betreiber von den Herstellern per Fernzugriff aktualisiert. Die Betreiber bleiben dann über Gefährdungen und Sicherheitsvorfälle unaufgeklärt und könnten keine gezielte Untersuchung auf Schäden durchführen. • Die Kommunikation mit staatlichen Stellen findet überwiegend im Zusammenhang mit Fragen der Regulierung statt. Sicherheitsvorfälle im Energiesektor werden, sofern diese eintreten oder unter den Betreibern kommuniziert werden, durch die Betreiber oder gegebenenfalls externe Dienstleister (beispielsweise Computer-Forensik) und ohne staatliche Mitwirkung bearbeitet. Insbesondere die Branche Öl nutzt hier ein branchenweites Forum zur Kommunikation von Sicherheitsvorfällen. • Aufgrund der verstärkten Veröffentlichung von Sicherheitsvorfälle werden sowohl die Sicherheit von ICS-/SCADA-Systemen als auch die zur Herstellung eines hohen Sicherheitsniveaus nötigen Maßnahmen durch die Hersteller der Systeme stärker in den Vordergrund gehoben. Dies wirkt sich positiv auf den gesamten Energiesektor aus. Gleichzeitig hat es allerdings zur Folge, dass die Forschung und einige Hacker sich explizit auf die Identifikation von Schwachstellen in SCADA-Komponenten und der Netzleittechnik spezialisieren. 5.3.4 Externe Abhängigkeiten • In der Cyber-Sicherheit bestehen für Unternehmen des Sektors Energie Abhängigkeiten von und zu externen Partnern. Sollte es zu Sicherheitsproblemen bei diesen Partnern oder bei der Kommunikation zwischen dem Unternehmen und diesen Partnern kommen, können Störungen und Ausfälle im Umfeld der Kritischen Infrastrukturen die Folge sein. Speziell in der Branche Elektrizität sind einige IKT-Dienstleistungen oder (Teile der) IKT-Infrastrukturen bei einzelnen Betreibern an Dienstleister ausgelagert, daher ist diese Branche besonders betroffen. Gleiches gilt auch bei der Einführung neuer IKT-Komponenten. Es bestehen nicht nur Abhängigkeiten zwischen Hersteller und Betreiber, sondern häufig zwischen Hersteller (teils auch noch Händler), Integrator und Betreiber. • Wie in den anderen KRITIS-Sektoren besteht im Sektor Energie für einzelne Prozesse eine Abhängigkeit von der Verfügbarkeit des Internetzugangs und der durch Provider bereitgestellten Netzwerkverbindungen, wie MPLS- oder Dark-Fiber-Netze. Fehler bzw. Ausfälle in diesen Funktionalitäten oder Angriffe auf IKT-Komponenten des Internets können sich unter Umständen negativ auf die IKT in der Versorgung mit Strom, Öl und Gas auswirken. 162 Bundesamt für Sicherheit in der Informationstechnik Cyber-Sicherheit • Die Cyber-Sicherheit der Betreiber ist abhängig von den Lieferanten der Steuerungstechnik und von den Herstellern der Leitsysteme. Dies gilt für alle Branchen des Energiesektors. Die Behebung von Schwachstellen, die ihren Ursprung in der Entwicklung einer Komponente beim Hersteller oder in der Vorkonfiguration eines Systems bei einem Lieferanten haben, ist nach der Auslieferung an die Betreiber nur schwer realisierbar. • Durch die Liberalisierung im Strom- und Gasmarkt und die damit verbundenen Informationsaustauschpflichten entstehen weitere IKT-Abhängigkeiten. Die Kommunikation zwischen organisatorisch und technisch getrennten Betreiberunternehmen muss über teils öffentliche Kanäle stattfinden. Dadurch kann es zu Sicherheitsproblemen kommen: So wird beispielsweise die Kompromittierung der Vertraulichkeit oder Integrität der Daten durch Man-In-The-Middle-Attacken erleichtert. • Die Strom- und Gas-Übertragungsnetzbetreiber sowie die Verteilnetzbetreiber sind grundsätzlich auf den Austausch von Informationen angewiesen. Die Sicherheit dieses Austausches ist nur zum Teil reguliert und somit weitestgehend von den jeweiligen Sicherheitsmaßnahmen der beteiligten Betreiber abhängig. Ihnen obliegt die Entscheidung, ob beispielsweise eine Verschlüsselung und Authentifizierung der Kommunikation eingesetzt wird und ob die ausgetauschten Informationen zusätzlich verifiziert werden. Grundsätzlich kann auch in diesem Bereich die Übertragung der Informationen über teils öffentliche Kanäle ein Sicherheitsrisiko darstellen. • Die Abhängigkeit der Betreiber von IT-Dienstleistern stellt die größte externe Abhängigkeit im Energiesektor dar. Die Büro-IT der Betreiber wird zum Teil vollständig durch externe Dienstleister bereitgestellt. Die geschäftskritischen IT-Systeme (insbesondere die Prozess-IT) verbleiben in der Regel weitestgehend in der Verantwortung des Betreibers oder einer dedizierten IT-Betreibergesellschaft des Energieunternehmens. Zum Teil – insbesondere bei Betreiberkonzernen – wird aber auch eine IT-Betriebsgesellschaft ausgelagert und mit der Durchführung der Tätigkeiten beauftragt. Besonders in diesen Fällen sind Vorkehrungen hinsichtlich der Cyber-Sicherheit in den Dienstleistungsverträgen und Service-Level-Agreements (SLAs) zu treffen und diese auf Einhaltung zu prüfen. 5.4 Herausforderungen und Trends Die Herausforderungen und Trends im vielschichtigen Sektor „Energie“ lassen sich aus vielen Perspektiven betrachten. Diese Studie versucht, angelehnt an vorige Abschnitte, Trends und Herausforderungen jeweils zusammengefasst in den folgenden Kategorien zu beschreiben: 1. Organisatorisch: Herausforderungen und Trends, welche die interne Struktur der Betreiber und deren Sicherheitsorganisationen betreffen. 2. Technisch: Änderungen und Entwicklungen eingesetzter Technologien in Bezug auf Betrieb, Produktion oder Schutz von IKT. 3. Regulatorisch: Auswirkungen und Herausforderungen an und durch nationale Regulierung. 4. Marktbezogen: Entwicklungen und Marktbewegungen, die Auswirkungen auf eingesetzte Technologien, Verfahren und Schutzniveaus der Dienstleistungen haben. Es ergeben sich folgende allgemeine Feststellungen zu den Herausforderungen und Trends: • Die Bedrohungslage der Betreiber im Energiesektor durch Cyber-Risiken sinkt nicht. Die Mehrzahl der Betreiber geht von einer Zunahme der Bedrohung aus, weitere von keiner Veränderung der Lage. • Die grundsätzliche Komplexität bzw. Komplexitätszunahme von IT-Systemen stellt eine große Herausforderung dar. Besonders die zunehmende Vernetzung von IKT und ICS aller Ausprägungen über das Internet und untereinander ist eine herausfordernde Aufgabe für die Betreiber. • Im Energiesektor sind häufig ältere Gerätegenerationen und Softwarelösungen im Einsatz, sogenannte „Legacy-Systeme“. Der Schutz dieser Systeme stellt eine große Herausforderung dar. Das ist insbesondere Bundesamt für Sicherheit in der Informationstechnik 163 5 Cyber-Sicherheit dann der Fall, wenn die Geräte und Lösungen aus technischen Gründen hinsichtlich der Cyber-Sicherheit nicht auf den Stand der Technik auf- bzw. nachgerüstet werden können. • Die größeren Betreiber im Energiesektor sehen die Bedrohung durch Cyber-Spionage (und eine dadurch mögliche Sabotage) häufig als eine große Herausforderung für die Cyber-Sicherheit im Unternehmen. Sogenannte Advanced Persistent Threats (APT), die über einen sehr langen Zeitraum geplante und komplexe Angriffe darstellen, erfordern zusätzliche und mehrstufige Sicherheitsmaßnahmen, um Anomalien erkennen können. • Die Forschung nach Schwachstellen im Umfeld der IKT-Sicherheit (z. B. durch Hersteller, Universitäten und professionelle Unternehmen) gewinnt an Bedeutung. Es handelt sich um eine Reaktion auf die veränderte Bedrohungslage, die sich durch eine zunehmende Zahl von Angriffsversuchen tendenziell verschärft. Organisatorisch • Eine große organisatorische Herausforderung für multinationale Betreiber in den Branchen Strom, Gas und Mineralöl stellt deren eigene Internationalität dar. Das trifft besonders auf die großen Mineralölkonzerne im Öl- und Gasumfeld zu. Bei diesen sind Teile des Unternehmens in anderen europäischen oder außereuropäischen Länder ansässig. Teilweise wurde diese Zuordnung für den Betrieb (bspw. Helpdesk) oder Teile der Wartung der Prozess-IT (beispielsweise Monitoring) umgesetzt. • Als Resultat der Internationalität der Betreiber im Energiesektor ergeben sich weitere Herausforderungen bei der Umsetzung von Cyber-Sicherheitsstandards. So unterscheidet sich der Grad der Umsetzung der Cyber-Sicherheit zwischen den einzelnen Landesgesellschaften der Betreiber. Die Verbindung der ausländischen Unternehmensteile mit in Deutschland betriebener IT stellt hierbei eine wesentliche Herausforderung dar, insbesondere bei Konzernen. • Weitere Herausforderungen hinsichtlich der Cyber-Sicherheit entstehen aus historisch gewachsenen bzw. im Rahmen des Unbundling getrennten Konzernstrukturen mit zentraler Unternehmens-Steuerung. Durch dies können mehrere Stellen in einem Unternehmen für Cyber-Sicherheit zuständig sein. • Die Unternehmens-IT der Betreiber, speziell bei Konzernen, wird teilweise durch externe Dienstleister betrieben. Anlagen werden zumeist von Firmen (Integratoren) eingerichtet, die ebenfalls als Dienstleister tätig sind. Damit sind technische Aspekte der Prozess-IT möglicherweise nicht in der Verantwortung der unternehmenseigenen IT-Abteilung. Der Trend zur Auslagerung von IT wird sich voraussichtlich fortsetzen, da Anlagen- und Prozesstechnik an Komplexität zunimmt und insbesondere kleinere Betreiber nur eingeschränkt über spezialisiertes Personal verfügen. • Aus den externen Abhängigkeiten der Betreiber im Energiesektor resultieren Herausforderungen für die Cyber-Sicherheit. Die Kontrolle aller zuliefernden Unternehmen der Wertschöpfungskette anhand der Cyber-Sicherheit gestaltet sich für die Betreiber in weiten Teilen als schwierig. Organisatorische Regelungen werden zwar mit den Dienstleistern und Herstellern getroffen. Die Prüfung der Einhaltung von Regelungen und Umsetzung von technischen Maßnahmen stellt die Betreiber jedoch vor eine komplexe Herausforderung. Die Herausforderungen wachsen mit den externen Abhängigkeiten, beispielsweise durch Outsourcing. • Den auftretenden Herausforderungen begegnen die Betreiber zunehmend mit branchenspezifischen Hilfsmitteln. Die Norm ISO/IEC TR 27019 und der IT-Sicherheitskatalog geben bereits entsprechende Leitlinien für die Cyber-Sicherheit in der Strombranche vor, die in Zukunft umzusetzen sind. Analog werden auch in der Gas- und Ölbranche eigene Normen, Standards und Regelungen entwickelt, die als Best Practices bzw. Leitlinien verwendet werden können. Betreiber sind zur Entwicklung von Best Practices in Branchenverbänden und Arbeitskreisen organisiert. 164 Bundesamt für Sicherheit in der Informationstechnik Cyber-Sicherheit Technisch • Die Vernetzung von Komponenten im Feld mit zentralen Steuerungs- und Überwachungssystemen nimmt weiter zu – insbesondere in den Branchen Strom und Gas. Damit geht auch ein Wachstum der Komplexität und Heterogenität der verbundener Systeme und Komponenten einher. Ein Resultat hiervon sind weiter steigende IKT-Abhängigkeiten und neue Risiko- und Angriffsszenarien. • Die Verwendung von (teilweise) öffentlichen Weitverkehrs- und Mobilfunknetzen nimmt zu, vor allem zur Kommunikation mit Systemen in der Feldebene. Aufgrund des (zum Teil) öffentlichen Charakters dieser Netze, können an diese nicht die gleichen Verfügbarkeitsanforderungen gestellt werden wie an die übrige Infrastruktur. Teilweise werden redundante Mobilfunkverbindungen eingesetzt, bei einem Ausfall aller Netze wäre jedoch keine Kommunikation mit den Systemen mehr möglich. • Im Energiesektor existieren Planungen zur Einrichtung von für die Branchen dedizierten IKT-Netzen, sogenannten „Branchennetzen“. Bei Umsetzung dieser Bestrebungen würden die Betreiber einer Branche gemeinsam die nötige Infrastruktur für ein Weitverkehrsnetz aufbauen, betreiben und pflegen. Aufgrund der im vorherigen Punkt genannten Herausforderung, entstand die Planung eines eigenes Branchennetzes durch den BDEW und durch Vertreter aus der Strom- und Gasbranche. • Die Verwendung von Standardkomponenten (z. B. Netzwerkkomponenten) in Bereichen, in denen früher stark spezialisierte Geräte verwendet wurden, nimmt zu. Dies betrifft auch die Feldebene. Der Grund hierfür ist vor allem die bessere Vertrautheit der Mitarbeiter bei den Betreibern mit den Standardkomponenten und das daraus hervorgehende finanzielle Einsparpotenzial. Wirtschaftlichen Vorteile unterstützen diesen Trend. • Die Vernetzung von IKT-Komponenten in der Steuerungsebene mit der Büro-IT verstärkt sich. Das kann große Auswirkungen auf die IT-Sicherheit haben. Die Büro-IT ist wesentlich stärker exponiert (bspw. durch Kundenportale und Schnittstellen mit Lieferanten und Marktpartnern) als die Prozess-IT. Die Schnittstellen zwischen stärker exponierten IKT-Komponenten zur Prozess-IT könnten zum Angriff auf Prozess- und Netzleittechnik verwendet werden. Besonders kleinere Betreiber weisen in diesen Bereichen häufiger Nachholbedarf auf. • Der Einsatz von Kommunikationskomponenten gewinnt in nahezu allen Prozessen im Sektor Energie zunehmend an Bedeutung. Es handelt sich um eine Reaktion auf die gestiegenen Anforderungen an die Echtzeitkommunikation in der Prozess-IT. Selbst wenn ein Prozess (noch) nicht in Echtzeit gesteuert werden kann bzw. soll, beabsichtigen die Betreiber in der Regel zumindest eine zeitnahe Messung der Betriebsparameter, um kurzfristig auf Änderungen reagieren zu können. Die so ermittelten Daten beeinflussen weitere Prozesse, beispielsweise Berechnungen für Steuerungsentscheidungen bei der Berechnung der Netzfahrpläne. Ein Sicherheitsvorfall in diesen Kommunikationskomponenten kann Auswirkungen auf andere Prozesse haben. • In der Strombranche ist die Schwarzstartfähigkeit 27 der Anlagen nicht durchgängig gewährleistet bzw. aufgrund der Beschaffenheit der Anlagen nicht möglich. Für den erfolgreichen Wiederanlauf des Stromnetzes nach einem Schwarzfall werden IKT-Komponenten (Leitstelle, Kommunikationsmittel) benötigt. Die IKT-Komponenten müssen mit Strom versorgt werden um hochzufahren, bevor sie ihre Funktionalitäten wieder bereitstellen können. Gleichzeitig sind diese aber essentiell für den Betrieb des Stromnetzes und der Anlagen. Besondere IKT- und Anlagen-Bestandteile sollten allerdings auch im Schwarzfall Betriebsfähigkeiten gewährleisten. Dieser Wiederanlauf (Schwarzstart) wurde bisher nur bei einzelnen Betreibern und isoliert simuliert. Mangels anderer Erkenntnisse und Erfahrungswerte wird davon ausgegangen, dass große Teile der Stromversorgung kurzfristig nicht schwarzstartfähig sind. Langfristig erwarten Betreiber, dass die Versorgung wieder hergestellt werden kann. • In der Branche Elektrizität wird die Nutzung des Stromnetzes zunehmend volatil, das heißt die Anzahl der dezentralen Einspeiser nimmt im Zuge der Energiewende zu. In diesem Zusammenhang entstehen steigende Anforderungen an die Steuerbarkeit der Energieeinspeisung und der Lasten, beispielsweise den automatischen Lastenabwurf zur Sicherung der Netzstabilität. Darüber hinaus erfordert es eine 27 Siehe auch den Untersuchungsbedarf in Abschnitt 6.3. Bundesamt für Sicherheit in der Informationstechnik 165 5 Cyber-Sicherheit vermehrte Beobachtung und Steuerung auf den Ebenen der Nieder- und Mittelspannung. Diese Anforderungen benötigen zur Umsetzung IKT-Lösungen, die zu einer Zunahme der IKT-Abhängigkeiten und letztlich deren Komplexität beitragen. • Die Virtualisierung von IKT-Komponenten im Sektor Energie nimmt zu. So lassen sich beispielsweise Netzwerkkomponenten, Server und Clients virtualisieren und zentralisieren. Dies soll die Kosten senken, die Konfiguration der Komponenten erleichtern und die Verfügbarkeit der IKT erhöhen. Gleichzeitig können durch eine Angleichung der IT-Strategie mit der Prozess-IT-Strategie auch finanzielle Synergien genutzt werden. Durch Virtualisierung und die damit einhergehende Komplexitätszunahme entstehen auch neue Herausforderungen hinsichtlich der IKT-Abhängigkeiten und der Sicherheit. Regulatorisch • Die zunehmende Liberalisierung und Regulierung im Energiesektor ändert die Begebenheiten in den jeweiligen Märkten. Davon ist die Mineralölbranche weniger betroffen. Durch die Entflechtung der Netzbetreiber in der Strom- und Gasbranche sind im Sektor neue Organisationen entstanden, die einen diskriminierungsfreien Informationsaustausch ermöglichen müssen. Zwischen den Marktpartnern selbst besteht aufgrund des liberalisierten Gas- und Strommarkts ein erhöhter Abstimmungs- und damit Kommunikationsbedarf, der vermehrt elektronisch und über zentrale Portale abgewickelt wird. Dadurch entstehen neue, komplexe Anforderungen an die IKT und damit verbundene Prozesse, die gleichzeitig zu einer Erhöhung der IKT-Abhängigkeiten führen. • Bislang ist die Mineralölbranche von einer Regulierung weitgehend ausgenommen. Dennoch sind auch in dieser Branche in den vergangenen Jahren neue Anforderungen entstanden. Ein Beispiel ist die verpflichtende Meldung von Kraftstoffpreisen durch Tankstellenbetreiber an die Markttransparenzstelle für Kraftstoffe. Auch wenn die Zahl der neuen Anforderungen in der Branche Mineralöl überschaubar ist, erwachsen daraus neue Anforderungen an die IKT, die die Abhängigkeiten verstärken. • Die Erneuerbare-Energien-Gesetze in ihren verschiedenen Fassungen und die daraus folgende zunehmende Verbreitung von erneuerbaren Energieerzeugungsformen haben in der Branche Strom zu neuen und komplexeren Anforderungen an die IKT geführt. Die bei der Einspeisung zu bevorzugenden Solar-, Wind- und anderen Erzeugungsanlagen müssen beispielsweise mittels elektronischer Prognosen in die Netzplanung einbezogen werden. Dies führt zu einem Anstieg der IKT-Abhängigkeit. • Die Zunahme von Direktvermarktern im Strommarkt stellt eine Herausforderung für die Branche dar. Die Direktvermarkter vermarkten teilweise Erzeugungskapazitäten im Gigawatt-Bereich, werden aber – im Gegensatz zum den übrigen Teilnehmern im Strommarkt – bisher nur wenig reguliert bzw. in die Sicherheitsbetrachtungen aufgenommen. Es ist zum jetzigen Zeitpunkt nicht klar, ob die Kontrolle der Erzeugungskapazitäten auch zu Problemen bei der Versorgungssicherheit führen kann. Es handelt sich hier um neue Marktakteure, die weiter untersucht werden müssen. Im Hinblick auf die Cyber-Sicherheit der Direktvermarkter werden jedoch neue Anforderungen und somit IKT-Abhängigkeiten entstehen. • Einige Betreiber im Sektor Energie sehen das künftige IT-Sicherheitsgesetz als eine Herausforderung an. Die enthaltenen Anforderungen an die Cyber-Sicherheit sind zum Teil aus ihrer Sicht noch nicht ausreichend spezifiziert oder weisen Parallelen zu anderen Anforderungen (bspw. dem § 11 Abs. 1a des Energiewirtschaftsgesetzes) auf. Die kurzen Fristen zur Umsetzung stellen für einige Betreiber eine Herausforderung dar, da die notwendigen Strukturen in den Unternehmen noch nicht vorhanden sind. • Die Versorgungssicherheit für Gas und Strom ist nur schwer durch ausschließlich nationale Regulierung und Maßnahmen zur Cyber-Sicherheit sicherzustellen. Durch die länderübergreifende Vermaschung der Übertragungs- bzw. Transportnetze, dadurch bedingt auch die Vernetzung ihrer IKT, können Fehler oder erfolgreiche Angriffe auf Betreiber in anderen europäischen Ländern sowohl über die technischen und physikalischen Zusammenhänge als auch über die Verbindungen zwischen den IKT-Infrastrukturen Auswirkungen auf die Betreiber in Deutschland haben. • Eine weitere Herausforderung ist die Speicherung, Verarbeitung und Bereitstellung von Daten im Rahmen eines Smart Grid. Hierbei muss neben der Sicherstellung der Informationssicherheit auch der 166 Bundesamt für Sicherheit in der Informationstechnik Cyber-Sicherheit Datenschutz beachtet werden. Durch das Bekanntwerden von Sicherheitsvorfällen in anderen Branchen, bei denen Kundendaten öffentlich zugänglich wurden, nimmt die Sensibilität der Betreiber gegenüber der Thematik zu. Die Daten- und Informationssicherheit kann nur durch die Umsetzung entsprechender Maßnahmen zur Cyber-Sicherheit realisiert werden. Marktbezogen • Bei allen Betreibern im Energiesektor nimmt der Kostendruck aufgrund der Marktliberalisierung zu. Das betrifft insbesondere Stadtwerke, große Energieversorger sowie Mineralölkonzerne. Der Kostendruck kann eine Herausforderung für die Informationssicherheit sein, beispielsweise wenn Investitionen in die Cyber-Sicherheit zur Kostenoptimierung eingeschränkt werden. • Die Zunahme der erneuerbaren Energieerzeugung stellt die Strombranche nicht nur vor konkrete elektrotechnische Herausforderungen. Zusätzlich erwachsen steigende Anforderungen an die IKT-Systeme, beispielsweise zur Prognose der Energieerzeugung. Daneben gibt es immer komplexere prozessuale Anforderungen, die mit Hilfe von weiteren IKT-Komponenten und -Systemen umgesetzt werden müssen. • Die Gewinnung von Primärenergieträgern durch neue Technologien, wie die Förderung aus unkonventionellen Lagerstätten (Fracking), Wiederaufnahme von Ölförderung stillgelegter Felder oder Förderung von Ölsanden, könnte zur Zunahme der Kritikalität der Erzeugungsanlagen in der deutschen Öl- und Gasbranche führen. Diese Technologien sind allerdings gesellschaftlich umstritten, daher besteht eine erhöhte Gefahr von Cyber-Angriffen auf diese Anlagen (beispielsweise durch „Hacktivisten“) und generell auf die mit solchen Technologien assoziierten Betreiber. • Der konventionelle Gastransport über Pipelines wird durch Flüssigerdgas (LNG) ergänzt, da einige Betreiber aus wirtschaftlichen Gründen eine Diversifikation des Erdgasmarktes verfolgen. Mit dem Bau von LNG-Anlagen geht die Einführung weiterer IKT-Systeme einher, ebenso müssen diese mit den bestehenden Komponenten und Systemen vernetzt werden. Daraus entstehen weitere und zunehmend komplexere IKT-Abhängigkeiten. • In der Mineralölbranche, speziell im Tankstellenmarkt, werden vermehrt Produkte abseits der konventionellen Kraftstoffe Benzin und Diesel angeboten. Die Aus- bzw. Umrüstung von immer mehr Anlagen mit Systemen für die Lagerung und Abgabe von LPG, CNG, Strom oder weiteren Energieträgern wie Wasserstoff schreitet voran. Diese neuen oder erweiterten Anlagen erfordern zusätzliche oder umfangreichere IKT-Systeme zur Überwachung und Steuerung, was zu einer weiteren Zunahme der IKT-Abhängigkeit und Vernetzung führt. Bundesamt für Sicherheit in der Informationstechnik 167 6 Schlussfolgerungen und Ausblick 6 Schlussfolgerungen und Ausblick 6.1 Fazit und Zusammenfassung Die vorliegende Studie hat die drei KRITIS-Branchen des Sektors Energie untersucht, wie er in Kapitel 1 „Sektorüberblick“ umrissen wird. Ziel war, die IKT-Abhängigkeiten und den Stand der Cyber-Sicherheit der Elektrizitätsbranche, der Gasbranche und der Mineralölbranche zu erfassen. Dazu wurden die Teile dieser Branchen untersucht, die direkt oder indirekt an der Erbringung der drei kritischen Dienstleistungen des Sektors beteiligt sind: – die Stromversorgung, – die Gasversorgung, – und die Kraftstoff- und Heizölversorgung. Die Kritischen Infrastrukturen, das heißt die Anlagen und Einrichtungen dieser Dienstleistungen vom Kraftwerk bis zur Tankstelle, sind in der Hand von privaten oder öffentlichen Betreiberorganisationen. Ein Betreiber kann dabei in mehreren Branchen oder sogar mehreren Sektoren gleichzeitig aktiv sein. Die Betreiber sind häufig in Branchenverbänden organisiert, die sich einerseits politisch und fachlich für die Belange ihrer Mitglieder einsetzen, andererseits aber auch technische Vorgaben entwickeln. Während in manchen Sektoren einer großen Zahl von Kunden auch eine große Zahl von Betreibern gegenübersteht, gibt es im deutschen Energiesektor verhältnismäßig wenig Betreiber, die somit jeweils eine große Anzahl an Kunden versorgen. Das ist zum Teil eine Folge der natürlichen Monopole in der Energieversorgung, denn der Betrieb von parallelen Netzinfrastrukturen durch mehrere Betreiber wäre nicht wirtschaftlich. In der Branche Strom agieren am deutschen Markt beispielsweise nur vier Übertragungsnetzbetreiber, die jeweils in einem großen Teil Deutschlands die Übertragung von Elektrizität über Höchtspannungsnetze übernehmen. Je nach Branche sind die Kritischen Infrastrukturen unterschiedlich stark reguliert. Die Branche Strom hebt sich mit einer Vielzahl an regulatorischen Vorgaben ab, gefolgt von der Gas- und schließlich der Mineralölbranche. Die regulatorischen Anforderungen werden teilweise durch die Umsetzung von Empfehlungen und Standards erfüllt, die von Branchenverbänden oder anderen nationalen und internationalen Organisationen entwickelt bzw. veröffentlicht wurden. Die Regulierung hat Einfluss auf die Betreiberstruktur. So sind das Netz, die Belieferung, und die Erzeugung sowie der Handel im Strom und Gasmarkt gemäß den gesetzlichen, europäischen Anforderungen entflochten, also organisatorisch und technisch getrennt. Kapitel 2 „Branchen“ beschreibt ausführlich diese und weitere technische und organisatorische Zusammenhänge in den Branchen des Energiesektors. Jede Dienstleistung, und damit auch die Aktivitäten einer gesamten Branche, lässt sich abstrakt als ein Gesamtprozess modellieren. Die Grundlage einer solchen Modellierung ist, dass die Prozesse in den einzelnen Anlagen miteinander verknüpft sind und gemeinsam die Erbringung der Dienstleistung ermöglichen. Im Umkehrschluss bedeutet das, dass bei einer Störung, einem Ausfall oder einer Beeinträchtigung einer Anlage oder auch nur eines Prozesses die Versorgungssicherheit der gesamten Dienstleitung gefährdet sein kann. Das trifft speziell in der Stromversorgung zu, in der sich Fehler im europäischen Verbundnetz aufgrund der elektrophysikalischen Gegebenheiten unmittelbar elektrisch verteilen und kaskadierend zum Zusammenbruch des Netzes führen können. Mit moderner Technik lassen sich diese Zusammenhänge zwar besser überwachen und steuern, eine Entkopplung des Betriebs von den physikalischen Zusammenhängen ist jedoch nicht möglich. Die Bereitstellung von Regelenergie zur Stabilisierung der Netzfrequenz ist daher eine sehr komplexe und zu jedem Zeitpunkt wichtige Aufgabe zur Aufrechterhaltung der Stromversorgung. Im Extremfall können Fehlentwicklungen, wie beispielsweise Fehler bei der Erfassung von Strommengen, nicht mehr kompensiert werden und es kommt zum Zusammenbruch des Stromnetzes. Gleiches gilt 168 Bundesamt für Sicherheit in der Informationstechnik Schlussfolgerungen und Ausblick beispielsweise auch bei Fehlern in der Datenübertragung oder bei Fehlern in Schalthandlungen durch das Betriebspersonal. Aufgrund des großen Umfangs technischer Zusammenhänge konnte die vorliegende Studie nicht alle betriebsinternen Prozesse der Branchen im Detail darstellen. Daher wurden nur die Prozesse ausgewählt und beschrieben, die eine direkte Relevanz für die Sicherheit der Kritischen Infrastrukturen haben. Dabei handelt es sich vorrangig um Prozesse zur Versorgung und Steuerung sowie zur Koordinierung mit anderen Marktpartnern. Auf eine Darstellung von sekundären Prozessen, wie der betrieblichen Administration oder der längerfristigen Planung, wurde aufgrund des begrenzten Studienumfangs verzichtet. Obwohl es sich bei den drei Dienstleistungen grundsätzlich um verschiedene „Produkte“ handelt, weisen die jeweiligen Branchen in technischer und organisatorischer Hinsicht auf hoher Betrachtungsebene Ähnlichkeiten auf. Beispielsweise ist sowohl das Gas- als auch das Stromnetz in ein Übertragungs- und ein Verteilnetz aufgeteilt. Beide Branchen nutzen beispielsweise in Leitzentralen grundsätzlich ähnliche oder sogar identische Steuer- und Regelkomponenten für den Betrieb ihrer Anlagen. Innerhalb beider Branchen ist die Diversität der eingesetzten Systeme und deren Alter aber ähnlich weit gestreut. Der Energiehandel in der Strom- und Gasbranche weist ebenfalls starke Ähnlichkeiten auf, was unter anderem in der ähnlichen Netzstruktur begründet ist. Trotz vieler Parallelen gibt es aber auch große Unterschiede zwischen den Branchen. Der Handel mit Mineralöl unterscheidet sich beispielsweise signifikant von den anderen beiden Branchen im Energiesektor, da dieser (mit Ausnahme von Heizöl) deutschlandweit von wenigen, stark verflochtenen Unternehmen kontrolliert wird. Zudem gibt es in der Branche Mineralöl kein Verteilnetz, über das Mineralölprodukte an Letztverbraucher geliefert werden können. Die Strombranche unterscheidet sich in mancher Hinsicht sehr von den beiden anderen Branchen. Dort treten Wechselwirkungen der Teilprozesse zur Erbringung der Dienstleistung auch auf der Prozessebene fast unmittelbar auf. Die unvermeidbaren elektrotechnischen und physikalischen Zusammenhänge zwischen den Prozessen entfalten eine annähernd unmittelbare Wirkung. Diese und weitere technischen Zusammenhänge wurden im Kapitel 3 „Kritische Dienstleistungen“ beschrieben. Die Zuverlässigkeit der betriebsinternen Prozesse und damit die Sicherheit der Kritischen Infrastrukturen ist durch eine Vielzahl von Bedrohungen aus allen Bedrohungskategorien gefährdet. Darunter fallen auch Naturkatastrophen, menschliches Versagen, physische Manipulationen oder Anschläge. In der vorliegenden Studie werden nur die Zusammenhänge und Bedrohungen analysiert, die in direkter Verbindung zu Informations- und Kommunikationstechnologien (IKT) stehen. Die Prozesse innerhalb der Dienstleistungen werden je nach Branche, aber auch betreiberindividuell, in unterschiedlichem Ausmaß und auf verschiedene Weise durch IKT unterstützt. Je mehr aber die Abläufe innerhalb der Prozesse mit IKT durchdrungen werden, umso mehr steigt auch die Abhängigkeit der Dienstleistung als Ganzes von der Funktionsfähigkeit der technischen Komponenten. Die Durchdringung der betriebsinternen Prozesse mit IKT und folglich die IKT-Abhängigkeit in den einzelnen Branchen des Sektors Energie ist sowohl über die Branchen hinweg als auch zwischen den betriebsinternen Prozessen einer Branche als auch bei verschiedenen Betreibern unterschiedlich. Die Mehrzahl der Prozesse ist heute bereits stark von IKT durchdrungen oder abhängig. Nur wenige Vorgänge könnten über längere Zeit vollständig ohne diese Komponenten durchgeführt oder aufrechterhalten werden. Die größte IKT-Abhängigkeit der kritischen Dienstleistungen im gesamten Energiesektor entsteht durch den Einsatz von Prozess- und Netzleittechnik, Industrial Control Systems (ICS) oder ICS-ähnliche Komponenten. Sie dienen dem Messen, Steuern und Regeln der Abläufe einer Dienstleistung bzw. des Prozesses. Dabei variiert der Grad der IKT-Abhängigkeit je nach Prozess. Bei den einzelnen Betreibern kann es trotz gleicher oder ähnlicher technischer und organisatorischer Herausforderungen unterschiedliche Lösungsansätze geben. In der Folge kann sich die eingesetzte IKT von Unternehmen zu Unternehmen stark ähneln oder große Unterschiede aufweisen. Insbesondere die Architektur und das Alter der Anlagen, sowie die IT-Praxis der Unternehmen können sehr heterogene IKT-Landschaften zur Folge haben und erschweren eine einheitliche Betrachtung. Bundesamt für Sicherheit in der Informationstechnik 169 6 Schlussfolgerungen und Ausblick Die in den Prozessen eingesetzten IKT-Komponenten sind unterschiedlich kritisch für die Aufrechterhaltung des Betriebs. Durch direkte oder indirekte (kaskadierende 28) Effekte kann in vielen Fällen über Probleme mit der IKT in einem Teilprozess in letzter Konsequenz die gesamte Dienstleistung gestört werden oder ausfallen. Je nachdem, ob solche gravierenden Folgen möglich sind, unterscheidet sich daher die Kritikalität der IKT in den Prozessen – und damit die Relevanz für den Schutz Kritischer Infrastrukturen. Nicht alle von dieser Studie betrachteten Prozesse sind in dem Maße von IKT abhängig, dass es KRITIS-relevant ist. Die Darstellung der Prozesse in dieser Studie zeigt deshalb, ob die IKT-Abhängigkeit des jeweiligen Prozesses wesentlich oder nicht wesentlich ist. In einigen Fällen unterscheidet sich diese Einschätzung nach Betreibern stark, die IKT-Abhängigkeit insgesamt ist dann entsprechend sowohl als wesentlich als auch als unwesentlich gekennzeichnet. Die IKT-Abhängigkeit der einzelnen Prozesse sollte insbesondere in Bezug auf die Verfügbarkeitsanforderungen nicht überbewertet werden. Viele Prozesse sind ohne eine permanente (zentrale) Steuerung lauffähig und nur im Ausnahme- oder Störungsfall muss regelnd eingegriffen werden. Beispielsweise ist der Übertragungsprozess bei Strom nicht permanent von IKT abhängig. Bei den jeweiligen Übertagungsnetzbetreibern muss jedoch (manuell aber mithilfe von IKT) je nach Zustand des Netzes mit Aktionen eingegriffen werden, beispielsweise um Lastspitzen zu kompensieren. Die Automatisierung durch IKT-Einsatz in diesem Bereich nimmt zu. Andererseits darf nicht unterbewertet werden, welche Auswirkungen über IKT-Systeme ausgelöste Fehlschaltungen für die Aufrechterhaltung der kritischen Dienstleistung haben können (vgl. Folgen des Vorfalls in Kapitel 4 „Vorfallsammlung“, Seite 139 bei der „Systemstörung im europäischen Verbundnetz bei Abschaltung einer Hochspannungsleitung über die Ems“ für das Europäische Stromnetz). Eine IKT-Abhängigkeit muss nicht bedeuten, dass es bei einer Störung oder einem Ausfall sofort zu gravierenden Problemen mit der Dienstleistung kommen muss. In vielen Fällen greift eine IKT-Ersatzversorgung durch Backup-Systeme, manuelle Vorgänge oder durch eine Kompensation mittels anderer (Teil-)Prozesse. Im Umkehrschluss kann ein Prozess, in dem keine IKT-Ersatzversorgung möglich ist, besonders kritisch sein. Negative Folgen von Integritätsproblemen oder gar gezielten Manipulationen von IKT-Systemen werden durch Redundanzmaßnahmen oder IKT-Ersatzversorgung allerdings in der Regel nicht verhindert. Ein wichtiges Ergebnis der Untersuchung ist, dass sich der Umfang und die Art des IKT-Einsatzes und dementsprechend die Abhängigkeit der Prozesse von IKT ändert. Bei den meisten Prozessen ist eine Zunahme zu verzeichnen. Die umfangreichsten Veränderungen finden in der Branche Strom statt. Zudem werden zukünftig weitere Anforderungen an das Stromnetz und die eingesetzte IKT entstehen, besonders im Zuge der Energiewende und der daraus entstehenden Notwendigkeit für eine zeitnähere Regelung. Damit entstehen auch neue Anforderungen an IKT, beispielsweise nimmt die Anzahl der dezentralen Erzeuger zu. Ihre stark schwankende Leistung muss durch kompensierende Maßnahmen, wie den intelligenten Lastabwurf, oder eine Speicherung von Energie, begleitet werden. Auch der langfristige Aufbau eines „Smart Grid“ wird von einem steigenden IKT-Einsatz begleitet. Auch die technische Umsetzung regulatorischer Vorgaben führt zur Einführung weiterer IKT-Infrastrukturen mit potenziell KRITIS-relevanter Wirkung. So muss derzeit durch die Übertragungsnetzbetreiber die Verpflichtung zur Ausführung netz- und marktbezogener Maßnahmen zur Netzstabilisierung umgesetzt werden, wenn die Sicherheit oder Zuverlässigkeit der Stromversorgung gefährdet ist (siehe § 13 EnWG). Dies umfasst den Lastenabwurf und den Einsatz von Regelenergie, welche beide nur durch IKT-Einsatz koordinierbar sind. Lösungsansätze wurden gemeinsam von VKU und BDEW in einem Praxisleitfaden zur Umsetzung der Systemverantwortung („Praxis-Leitfaden für unterstützende Maßnahmen von Stromnetzbetreibern“) vorgeschlagen. Die den oben aufgeführten Zusammenhängen zugrundeliegenden Prozesse wurden untersucht. Aufgrund großer Unterschiede zwischen den Betreibern und selbst zwischen den Anlagen eines Betreibers konnte nicht auf alle IKT-Abhängigkeiten im Detail eingegangen werden. Es war daher das Ziel, einen 28 Ein kaskadierender Ausfall kann eintreten, wenn der Ausfall oder die Störung einer Komponente zu Problemen mit weiteren Komponenten in derselben oder in verbundenen Anlagen führt. Ein Beispiel ist der in Kapitel 4 „Vorfallsammlung“ (Seite 140) beschriebene „Kreisläufer-Vorfall“. 170 Bundesamt für Sicherheit in der Informationstechnik Schlussfolgerungen und Ausblick verallgemeinerten aber handhabbaren Stand der IKT-Abhängigkeit zu erfassen. Auf Abweichungen in der Praxis in Teilen des Prozesses oder in der Diversität der IKT-Implementierungen wurde, wann immer möglich, hingewiesen. Wie bereits beim Ausfall der betriebsinternen Prozesse gibt es auch für den Ausfall oder die Störung der IKT-Komponenten innerhalb dieser Prozesse eine Vielzahl von Ursachen. Wichtige Fragen, die im Rahmen dieser Studie bearbeitet werden sind deshalb: – Wodurch wird der Einsatz von IKT kritisch für die Dienstleistung? – Was sind die konkreten Bedrohungen, denen die IKT ausgesetzt ist? – Was ist und wozu braucht ein Unternehmen Cyber-Sicherheit? In tatsächlichen Vorfällen lassen sich Anhaltspunkte zur Beantwortung der oben aufgeführten Fragen finden. Spätestens seit dem Stuxnet-Vorfall im Jahr 2010 kennt diese Thematik auch ein breites Publikum. Seitdem gab es weitere Vorfälle, die direkt oder indirekt mit dem Energiesektor verbunden sind. Die durch eine der Netzsituation nicht angepasste Abschaltung einer Elektrizitätsübertragungsnetzleitung verursachte Großstörung im europäischen Stromnetz macht deutlich, dass schon eine einzelne gegen die Netzstabilität wirkende IKT-gestützte Schalthandlung das gesamte europäische Verbundnetz beeinträchtigen kann. In Kapitel 4 „Vorfallsammlung“ wurde neben diesen Vorfällen auf einige weitere Vorfälle eingegangen und konkrete Gefährdungen dargestellt, vor denen die IKT in einer kritischen Dienstleistung geschützt werden sollte. Die Umsetzung der Cyber-Sicherheit gegen bestehende Bedrohungen ist im Energiesektor sehr unterschiedlich. Einige Betreiber setzen Maßnahmen für einen hohen Grad an Sicherheit um, während andere dies nur in sehr geringem Umfang tun. Kapitel 5 „Cyber-Sicherheit“ hat sich daher mit dem Stand der Cyber-Sicherheit befasst und soll sowohl einen momentanen Stand wiedergeben, als auch mögliche Entwicklungen in der nahen Zukunft aufzeigen. Insgesamt ist die Versorgungssicherheit im Energiesektor bereits auf einem hohen Niveau. In Bezug auf die notwendige informationstechnische Absicherung besteht dennoch Bedarf nach weiterer Optimierung. Insbesondere durch die Vielzahl der IKT-Abhängigkeiten, die tendenziell noch weiter zunehmen, sowie durch eine steigende Anzahl von Cyber-Angriffen und Bedrohungen ist die Versorgungssicherheit gefährdet. Durch zielgerichtete Handlungen der öffentlichen Hand, eine entschlossene Reaktion der Betreiber und durch Forschung auf dem Gebiet der Cyber-Sicherheit können Bedrohungen frühzeitig erkannt und das Risiko eines Ausfalls reduziert werden. Diese Studie identifiziert daher Handlungs- und Untersuchungsbedarf mit dem langfristigen Ziel, das Niveau der Versorgungssicherheit durch eine effektive und effiziente Umsetzung der Cyber-Sicherheit stabil zu halten und weiter zu steigern. Diese Empfehlungen werden in den folgenden Abschnitten 6.2 und 6.3 ausführlich beschrieben. Eine wichtige Erkenntnis der Studie ist, dass ihre Aussagen in regelmäßigen Abständen überprüft und gegebenenfalls ergänzt oder angepasst werden sollten. Der Energiesektor ist sowohl in organisatorischer, wie auch in technischer Hinsicht einem ständigen Wandel unterworfen. Themen wie die Energiewende zeigen, dass sich die Umstände im Sektor, wie auch in den Kritischen Infrastrukturen allgemein, innerhalb eines relativ kurzen Zeitraumes sehr stark ändern können. Um auf die entstehenden Herausforderungen vorbereitet zu sein, bedarf es einer frühzeitigen und durchgängigen Analyse der neuen und geänderten Prozesse und der darin eingesetzten IKT. Im Studienzeitraum sind, sowohl im Kontext der Energiewende als auch anderer regulatorischer Vorgaben, verpflichtende Maßnahmen für weitere grundlegende strukturelle Anpassungen getroffen oder konkretisiert worden oder deren Umsetzung angelaufen, einhergehend mit erheblicher KRITIS-Relevanz für die nachhaltige Gewährleistung der Versorgungssicherheit (vgl. z. B. BDEW-Abschaltkaskade). Bundesamt für Sicherheit in der Informationstechnik 171 6 Schlussfolgerungen und Ausblick 6.2 Notwendiger Handlungsbedarf Als Ergebnis der Studie und in Kenntnis der weiteren Arbeiten zum Schutz Kritischer Infrastrukturen im Energiesektor werden den Stakeholdern in Staat und Wirtschaft die Folgenden konkreten Aktionen empfohlen: Einführung von Informationssicherheits-Managementsystemen Die Einführung eines Informationssicherheits-Managementsystems (ISMS) wird für alle im Sektor Energie aktiven Unternehmen empfohlen. Für Betreiber, deren betriebsinterne Prozesse kritisch für die Versorgungssicherheit der Dienstleistungen sind und deren Prozesse kritische IKT-Abhängigkeiten beinhalten, ist die Einführung eines ISMS unabdingbar. Priorität sollten dabei systematische, etablierte Standards wie die ISO/IEC 27000 Normenreihe und BSI IT-Grundschutz haben, die zum Teil speziell mit Blick auf die Anforderungen deutscher Organisationen und Unternehmen entwickelt wurde. Dabei sollten auch Grundschutzbausteine oder Hinweise mit konkreten Handlungsempfehlungen für ICS-, Prozess- und Branchentechnik zusätzlich zum vorhandenen ICS-Kompendium entwickelt und von den Betreibern umgesetzt werden. Entwicklung und Umsetzung von branchenspezifischen Standards Darüber hinaus sollten weitere branchenspezifische Standards entwickelt und umgesetzt werden. Mit dem Standard ISO/IEC TR 27019 wurde bereits ein Rahmenwerk speziell für Energieversorgungsunternehmen (EVU) entwickelt. Es enthält Handlungsempfehlungen, die die Inhalte des ISO 27002 um spezifische Maßnahmen für Prozesskontrollsysteme der EVU ergänzen [TeleTrust 2012]. Es sind Vorgaben und Anforderungen an die Sicherheit und Zuverlässigkeit der kritischen Dienstleistungen verständliche und geeignete Mindestanforderungen mit Blick auf die Zielgruppe gefordert. Insbesondere muss berücksichtigt werden, dass für kleinere Betreiber nicht immer ein Maximalstandard hinsichtlich der Cyber-Sicherheit nötig ist. Unter Berücksichtigung der Besonderheiten der Anforderungen des jeweiligen Betreibertyps sollte die öffentliche Hand – beispielsweise das BSI – die Wirtschaft bei der Entwicklung branchenspezifischer Ergänzungen unterstützen. Schaffung einheitlicher regulatorischer Standards in den Bereichen Öl und Gas Die Branchen Strom und Gas sind zur Zeit Gegenstand vieler regulatorischer Maßnahmen, während in der Mineralölbranche vergleichsweise wenige Maßnahmen verabschiedet worden sind. In diesen Bereichen wird von der öffentlichen Hand noch weitgehend auf die Selbstregulierung der Branche vertraut. Mit den steigenden Anforderungen an die IKT stößt diese Strategie jedoch an Grenzen. Eine Lösung könnte die Erarbeitung eines IT-Sicherheitskatalogs explizit für Öl durch die Betreiber und die öffentliche Hand sein, wie bereits im Strom- und Gasbereich geschehen. Förderung der Cyber-Sicherheit durch Anreizmechanismen Die öffentliche Hand hat die Aufgabe, die Umsetzung der Verbesserungen bezüglich Cyber-Sicherheit entweder durch die Gesetzgebung geeignet zu steuern, oder sie durch Anreizmechanismen zu fördern. Beispielsweise besteht bereits die Möglichkeit, Netzbetreiber für Verbesserungen in der Qualität ihrer Netze mit höheren Netzentgelten zu entlohnen. Die Informationssicherheit sollte grundsätzlich als Qualitätskriterium der Netze aufgenommen werden. Im Zuge dieser Maßnahmen sollte die öffentliche Hand mit den Regulierungsbehörden – beispielsweise der Bundesnetzagentur – gemeinsam Mechanismen mit Anreizen zur Verbesserung der Cyber-Sicherheit erarbeiten. Dieser Punkt kann damit auch dem weiteren Untersuchungsbedarf (Abschnitt 6.3) zugerechnet werden. 172 Bundesamt für Sicherheit in der Informationstechnik Schlussfolgerungen und Ausblick Verbesserung der Reaktionsfähigkeit29 Auch im Energiesektor gelten folgenden Grundsätze: Die Aufrechterhaltung der notwendigen Sicherheit ist ein Prozess und absolute Sicherheit kann es nicht geben. Deshalb ist sowohl bei den Betreibern, als auch bei der öffentlichen Hand eine ganzheitliche Strategie zur Absicherung der betriebsinternen Prozesse notwendig. Gerade bei Angriffen auf die IKT, deren Muster sich ständig ändern, sind drei Punkte besonders wichtig. Erstens sollten Unternehmen mehr Gewicht auf die Prävention legen, um Vorfälle zu verhindern. Dies sollte unter anderem Maßnahmen wie eine verbesserte Schulung der Mitarbeiter oder einen Austausch von Informationen zwischen Betreibern umfassen (siehe auch die folgende Empfehlung). Zweitens müssen Vorfälle frühzeitig erkannt werden. Die Detektion kann durch organisatorische Maßnahmen wie gemeinsame Lagezentren oder durch technische Lösungen wie Intrusion Detection Systeme (IDS) verbessert werden. Drittens ist eine gute Reaktion auf unvermeidbare Vorfälle nötig. Bei jedem Vorfall empfiehlt es sich, eine gründliche Nachbereitung durchzuführen, beispielsweise über eine forensische Untersuchung (Fehler-Ursache-Analyse). Werden diese Punkte beachtet, kann ein Unternehmen oder eine Einrichtung besser auf eine sich ändernde Bedrohungslage reagieren. Förderung des Austausches bezüglich der Cyber-Sicherheit Zur Zeit unternehmen die Betreiber ihre Anstrengungen und Forschungsarbeiten zur Cyber-Sicherheit teils eigenständig, teils innerhalb der Branchenverbände. Mit den wissenschaftlich-technischen Verbänden der im Energiesektor tätigen Unternehmen existieren bereits sehr erfahrene und in der Praxis bewährte Foren zum Austausch von Best Practices und zur Selbstregulierung durch technische Regelsetzung. Die Aktivitäten dieser Verbände hinsichtlich der Informationssicherheit sollten weiter ausgebaut und der Austausch mit externen Experten verstärkt werden. Es könnten erhebliche Synergien genutzt werden, beispielsweise durch eine zentrale Einrichtung oder ein Forum, in dem die Betreiber ein gemeinsames Vorgehen abstimmen könnten. Auch durch eine verbesserte Kommunikation der Betreiber untereinander, ggf. auch sektor- und branchenübergreifend, können weitere Synergieeffekte generiert werden. Beispielsweise könnten Cyber-Angriffe auf die Betreiber schneller erkannt werden, wenn diese bestimmte Angriffsmuster untereinander austauschen. Die Einrichtung eines solchen zentralen Kompetenzzentrums oder Forums sollte daher von den Betreibern vorangetrieben und durch die öffentliche Hand unterstützt werden. An dieser Stelle sei insbesondere auf die Aktivitäten des UP KRITIS verwiesen. Förderung der Forschung im Bereich KRITIS Länder wie Israel besitzen spezialisierte Forschungseinrichtungen, die sich technisch vertieft mit der Problematik Cyber-Sicherheit auseinander setzen. Darunter fällt auch die experimentelle Untersuchung von Systemen und Netzen. Beispielhaft sei hier die Möglichkeit genannt, Angriffe gegen Steuerungssysteme in realitätsnahem Umfeld zu simulieren. Dies sollte wenn möglich auf simulierte Netzsysteme ausgedehnt werden. Ein Szenario ist die Einrichtung von Simulatoren für Netzleitstellen, die sich in Teilen bereits heute im Einsatz befinden, allerdings bisher wenig für die Forschung zur Cyber-Sicherheit genutzt werden. Die Forschung könnte durch eine engere Kooperation von Betreiberunternehmen und Forschungseinrichtungen noch vertieft werden und sollte daher durch die öffentliche Hand gefördert werden. Beispiele für zu fördernde Forschungsprojekte finden sich im folgenden Abschnitt 6.3. Wahrung der äußeren Sicherheit durch Cyber-Sicherheit Aktuelle Sicherheitsvorfälle rücken die Cyber-Sicherheit weiter in den Fokus der Öffentlichkeit. Diese Sicherheitsvorfälle betreffen auch Betreiber von Kritischen Infrastrukturen. Die Kompromittierung von Anlagen und Systemen der Betreiber kann von Interesse für die nationale Sicherheit sein, beispielsweise wenn dadurch die nationale Ölreserve gefährdet wird. Das betrifft ebenfalls die durch ausländische Betreiber kontrollierten Speicherkapazitäten, vor allem in der Gas- und Ölbranche. Eine verstärkte Regulierung, insbesondere zur Bildung nationaler Reserven von Energieträgern sowie die verpflichtende Formulierung von spezifischen Maßnahmen zur Cyber-Sicherheit sollte durch die öffentliche Hand geprüft werden. Ferner 29 Siehe dazu auch den Abschnitt 5.3.3, Seite 161. Bundesamt für Sicherheit in der Informationstechnik 173 6 Schlussfolgerungen und Ausblick sind durch die öffentliche Hand Maßnahmen zur Sicherung der Einflussnahme auf die IKT-Komponenten der durch ausländische Betreiber kontrollierten Speicherkapazitäten zu treffen. Wechselwirkung zwischen Markt und Versorgung Für den Strombereich sollte überdacht werden, inwieweit Beeinträchtigungen energiewirtschaftlicher Prozesse den Betrieb der kritischen Dienstleistung und damit die Gewährleistung der Versorgungssicherheit beeinträchtigen könnten und ob hier gegebenenfalls eine dedizierte Sollbruchstelle vorhanden sein sollte. Bisher steht nicht fest, ob und wie auch bei unterschiedlichen Beeinträchtigungen energiewirtschaftlicher Prozesse eine Versorgung mit Strom für die Allgemeinheit durch die Betreiber gewährleistet werden kann bzw. muss. Theoretisch sind die Prozesse des Handels und der Belieferung mit Strom voneinander entkoppelt, dennoch könnte durch bewusst oder unbewusst falsche Handlungen auf energiewirtschaftlicher Ebene (bspw. Fehler bei der Erstellung und Übermittlung von Fahrplänen von Kraftwerken oder gezielte Manipulation der entsprechenden Prozesse) die Elektrizitätsversorgung beeinträchtigt werden. Stärkung der Datensicherheit Weitergehende, verpflichtende Maßnahmen zur Cyber-Sicherheit durch die öffentliche Hand sollten geprüft werden, beispielsweise die regulatorische Verpflichtung zu einer Datenverschlüsselung bei der Einführung neuer IKT-gestützter Teilinfrastrukturen in der Energieversorgung oder neuer energiewirtschaftlicher Prozesse zur Unterstützung der Energiewende. Außerdem sollten verpflichtende Methoden und Vorgehen zur Authentifizierung innerhalb der Betreiberinfrastrukturen, untersucht werden um ein einheitliches Mindestmaß für Cyber-Sicherheit im Energiesektor zu etablieren. Systematische Entwicklung hin zu einem robusten und resilienten intelligenten Stromnetz Die langfristige Notwendigkeit zum Aufbau eines robusten und resilienten intelligenten Stromnetzes ist im Sektor Energie bekannt. Die Umsetzung der Cyber-Sicherheit im zukünftigen Stromnetz ist hingegen weniger im Fokus. Zwar existieren einige Normen und Best Practices in diesem Bereich, es fehlt jedoch noch an konkreten und verpflichtenden regulatorischen Maßnahmen, um das zukünftige Stromnetz hinsichtlich der Cyber-Sicherheit abzusichern. Es fehlen beispielsweise konkret vorgegebene Architekturen zur Realisierung der Cyber-Sicherheit. Für das zukünftige Stromnetz ist unter anderem die Entwicklung neuer Funktionen und Prozesse bei den Betreibern notwendig. Es muss erarbeitet werden, wie diese Prozesse geschützt werden können – wenn möglich bereits im Laufe der Entwicklung und vor der Implementierung. Konkret sind dabei die anfallenden Daten der Smart Meter und Feldgeräte des zukünftigen Stromnetzes zu schützen. Es ist nicht nur wichtig zu bedenken, welche Auswirkungen der Missbrauch dieser Daten hätte, sondern wie dieser von vornherein vermieden werden kann. Die Sicherstellung der Funktionen des zukünftigen Stromnetzes (die selbst abhängig von der Versorgung mit Strom sind) bei IKT- oder Stromausfall, z. B. durch Redundanz, ist noch im Detail durch Betreiber und Forschung zu erarbeiten. Rahmensetzung für Direktvermarkter Direktvermarkter in der Branche Strom sind verhältnismäßig neue Akteure am Energiemarkt. Zwar beschränkt sich deren Aktivität im Wesentlichen auf die Erneuerbaren Energien, die bereits weitgehend reguliert sind. Allerdings sind momentan noch wenige bis keine Regularien existent, die die Direktvermarkter und insbesondere deren Cyber-Sicherheit explizit betreffen. Die Direktvermarkter stellen zur Zeit, aufgrund der geringen bzw. nicht vorhandenen Vorgaben, einen nicht abschätzbaren Risikofaktor für die Aufrechterhaltung der Versorgungssicherheit dar. Hier sollte eine Rahmensetzung erfolgen, beispielsweise durch Ausweitung der existierenden Normen auf die Direktvermarkter bzw. Schaffung neuer Normen für diese Akteure. Das sollte nicht nur hinsichtlich der Cyber-Sicherheit geschehen, sondern auch im Hinblick auf die Sicherung der Markttransparenz und der Diskriminierungsfreiheit. Rahmensetzung für Handelsplätze Bisher existieren verhältnismäßig wenige regulatorisch wirkende Standards, die direkt die Energiebörsen und insbesondere deren Cyber-Sicherheit betreffen. Besonders im Hinblick auf die informationstechnische 174 Bundesamt für Sicherheit in der Informationstechnik Schlussfolgerungen und Ausblick Absicherung und mit ihr verbundene übergeordnete Aspekte sollte eine konkretere Rahmensetzung geprüft werden (siehe dazu auch die Empfehlung „Wechselwirkung zwischen Markt und Versorgung“). Im Zuge dessen sollten auch Maßnahmen getroffen werden, die ein Ausweichen auf ausländische oder andere – im Zweifel weniger regulierte – Handelsplattformen unterbinden. Insbesondere, wenn Manipulationen der jeweiligen Handelsplattform auf die energiebetrieblichen Prozesse wirken und die Versorgungssicherheit gefährden können, muss sichergestellt werden, dass der informationstechnische Schutz der Handelsplattformen der potenziellen Schadwirkung Rechnung trägt. Zertifizierte bzw. akkreditierte Dienstleister für KRITIS und Cyber-Sicherheit Bei der Betreiberbefragung wurde der Wunsch geäußert, externe Unterstützung für Cyber-Sicherheit und für Maßnahmen zum Schutz Kritischer Infrastrukturen beauftragen zu können. Insbesondere kleinen und mittleren Unternehmen fällt es schwer, entsprechende Kompetenzen umfassend im eigenen Haus aufzubauen. Eine Beauftragung scheitert bisher aber teilweise an einem Mangel konkreter Angebote oder Unsicherheit über die Eignung externer Dienstleister. Deshalb wird empfohlen, entweder staatlich koordiniert oder über der Selbstorganisation der Wirtschaft, geeignete Zertifizierungen oder Akkreditierungen für Dienstleister in der Cyber-Sicherheit und KRITIS zu schaffen. 6.3 Weiterer Untersuchungsbedarf Neben den konkreten Handlungsempfehlungen haben sich im Verlauf der Studie weitere Punkte ergeben, die eine tiefer gehende Betrachtung erfordern: Betrachtung komplexer und kaskadierender Ausfallszenarien Die Komplexität der Vernetzung der Energienetze nimmt zu, gleiches gilt für die Vernetzung der IKT-Netze. Damit gewinnt das Szenario einer kaskadierenden informationstechnischen Störung an Bedeutung, das heißt das informationstechnische Übergreifen eines Ausfalls in einem Netzsegment in weitere Segmente. Besonders im Hinblick auf die wachsende Komplexität der Netze (Übertragungs- und Verteilnetze) steigt die Wahrscheinlichkeit für solche Szenarien. Diese finden jedoch zur Zeit noch wenig Beachtung, unter anderem wegen der Vielzahl an zu betrachtenden Parametern in einem solchen Szenario. Es ist daher notwendig, dass die Betreiber – gegebenenfalls in Kooperation mit der Forschung – derartige Szenarien betrachten und ggf. simulieren, um die Folgen solcher Vorfälle abschätzen und Maßnahmen zur Vermeidung einleiten zu können. Weitere Untersuchung besonders kritischer Prozesse Innerhalb der Studie war es nicht möglich, alle Prozesse des Energiesektors in der wünschenswerten Tiefe zu untersuchen. Es wird daher empfohlen, besonders kritische Anlagen und Prozesse in eigenständigen Untersuchungen weiterführend zu analysieren. Das trifft insbesondere auf die Stromversorgung zu, bei der im Laufe der Untersuchung eine sehr große Komplexität und Heterogenität der Betreiberunternehmen deutlich wurde. Die Studie weist deshalb auf weiteren Untersuchungsbedarf hin und beschreibt Sachverhalte, auf die in einer erweiterten Analyse eingegangen werden könnte. Verteilte Organisationen und Einfluss auf die Versorgungssicherheit Die Betreiber im Energiesektor sind geografisch über das gesamte Land verteilt, aber organisatorisch und zum Teil auch technisch miteinander verbunden. Aufgrund dieser Verteilung werden im Energiesektor unter anderem gemeinsam genutzte Leitsysteme für Betreiber eingesetzt, die in verschiedenen Branchen und Sektoren aktiv sind. Das kann einerseits zu einer erhöhten Cyber-Sicherheit durch weniger Zentralität beitragen, andererseits aber die Cyber-Sicherheit gefährden – beispielsweise durch eine erschwerte zentrale Wartung der Systeme. Gleichzeitig nimmt der Kostendruck auf die Betreiber weiter zu. Zur Kostenoptimierung und Zentralisierung der Betreuung der Leitsysteme werden bei einigen Betreibern, die in unterschiedlichen Bundesamt für Sicherheit in der Informationstechnik 175 6 Schlussfolgerungen und Ausblick Branchen und Sektoren aktiv sind, zunehmend Querverbundleitsysteme eingesetzt. Diese vereinen die verschiedenen Leitsysteme, beispielsweise für Gas, Strom und Wasser, in einem einzigen zentralen System. Dadurch wird die Betreuung aus einer zentralen Leitstelle ermöglicht, ggf. durch einen gemeinsamen und/oder spartenübergreifenden Dispatcher. Ein solches System ist erheblich umfangreicher und stellt einen zentralen Angriffspunkt dar. Weitere Forschungsarbeiten sind notwendig, um zu prüfen, welches der beiden Konzepte – geteilte oder querverbundene Leitsysteme – am wirtschaftlichsten, robustesten und vor allem welches Konzept zukünftig die beste Cyber-Sicherheit bieten kann. Die Kernaufgabe wird dabei sein, die individuellen Gegebenheiten der Betreiber zu berücksichtigen. Verhalten der Wertschöpfungskette der kritischen Dienstleistungen in Notsituationen In der Forschung wird seit einigen Jahren verstärkt untersucht, welche Konsequenzen ein vollständiger Ausfall (Schwarzfall oder englisch „Blackout“) des Stromnetzes hätte, beispielsweise durch das Büro für Technikfolgenabschätzung beim Deutschen Bundestag. Diese Betrachtungen sollten um die physikalische Sicht der IKT erweitert werden. Der vollständige Schwarzfall ist bisher noch nicht eingetreten. In Simulationen wird aber untersucht, ob ein Kraftwerk nach einem Zusammenbruch des Netzes aus eigener Kraft wieder anfahren könnte (Schwarzstartfähigkeit). Nicht schwarzstartfähige Kraftwerke sind in erweiterten Szenarien bzgl. der Initiierung des Netzwiederaufbaus ausgehend von einem oder mehreren schwarzstartfähigen Kraftwerken zu betrachten. Diese Untersuchungen sollten auf die anderen Branchen des Energiesektors ausgeweitet und insbesondere bezüglich der IKT-Abhängigkeiten (beispielsweise Abhängigkeit vom Funktionieren der Mobilfunknetze) vertieft werden. Eine Forschung mit ähnlichem Schwerpunkt sollte auch in den weiteren kritischen Dienstleistungen, idealerweise durch die öffentliche Hand, durchgeführt und gefördert werden. Dies betrifft beispielsweise einen Zusammenbruch des Ferngasnetzes. Bei Verlust des Gasdrucks kann es zu Verunreinigungen durch Luft im Netz kommen, die mit Zeit- und Ressourcenaufwand wieder entfernt werden müssten. Die Problematik „Schwarzstartfähigkeit“ lässt sich damit auch auf das Gasnetz ausdehnen. Eine ähnliche Frage stellt sich in der Dienstleistung Treibstoff- und Heizölversorgung. Hier sollten die Folgen und kompensierende Maßnahmen bei einem großflächigen Ausfall der Raffineriekapazitäten (beispielsweise durch einen Schadsoftware-Befall der Anlagen) durch die Betreiber und die Forschung untersucht werden. Folgen eines Ausfalls der Datenübertragung bei einem oder mehreren Marktpartnern Die Akteure in den kritischen Dienstleistungen des Sektors Energie haben sich in den vergangenen Jahren immer stärker durch IKT vernetzt. Die Tendenz zur Vernetzung bleibt mittelfristig bestehen. Der Austausch von Daten geschieht teils zur Optimierung der Geschäftsabläufe, teils aufgrund von regulatorischen Anforderungen (Martkpartnerprozesse). Unklar ist hier, was bei einem großflächigen Ausfall der Kommunikation eines Bertreibertyps oder einer Region geschehen würde. Es sollte deshalb untersucht werden, ob das Stromnetz auch ohne die Daten der Kraftwerksbetreiber zu Fahrplänen und Einsatzbereitschaft in einem Notbetrieb lauffähig wäre. In vielen Bereichen, beispielsweise dem Gashandel, wird die Kommunikation durch die Betreiber als zum jetzigen Zeitpunkt (noch) nicht kritisch für die Versorgungssicherheit betrachtet. In anderen Bereichen, beispielsweise bei virtuellen Kraftwerken, stellt die Kommunikation aber bereits heute einen kritischer Faktor dar. Grundsätzlich ist für ein derartiges Ausfallszenario bereits der Ausfall von Kommunikationsschnittstellen ausreichend, weshalb dies unbedingt zusätzlich berücksichtigt werden muss. Die Entwicklung sollte daher angesichts der steigenden Bedeutung des Datenaustausches beobachtet werden, gegebenenfalls ist hier regulatorisch einzugreifen. Demand Side Management Die Energieversorgung der Zukunft wird durch die Energiewende stärker von dem Einspeise- und Lastmanagement abhängig sein. Die Erzeugung der elektrischen Energie ist bei den erneuerbaren Quellen an eine Vielzahl von Parametern gebunden, die mit einem gewissen Grad an Zuverlässigkeit prognostiziert werden müssen. Außerdem muss der Verbrauch in größerem Umfang als bisher beeinflussbar sein, da Einspeisung und Verbrauch im Stromnetz ausgeglichen sein müssen. Dazu ist die Förderung des Einsatzes 176 Bundesamt für Sicherheit in der Informationstechnik Schlussfolgerungen und Ausblick von Technologien zur intelligenten Steuerung von Haushaltsgeräten, sogenannten Smart Home Technologien, durch die öffentliche Hand zu prüfen. Die Beeinflussbarkeit dieser Geräte durch die Betreiber, beispielsweise durch Fernzugriff oder Lastenprofile, sollte ebenfalls Bestandteil der Betrachtungen sein. Durch den Einsatz derartiger Technologien wäre es den Betreibern zukünftig möglich, die Lastensteuerung der Stromnetze (Demand Side Management) detaillierter zu koordinieren, beispielsweise durch den gezielten Lastenabwurf zur Netzstabilisierung. Sichere Implementierung neuer IKT-gestützter Teilinfrastrukturen Im Rahmen der Energiewende und der Fortentwicklung hin zu intelligenten Energieversorgungssystemen werden in Elektrizitäts- und Gasversorgung IKT-gestützte Teilinfrastrukturen eingeführt oder in ihrem Funktionsumfang ausgeweitet. Hier sollte von staatlicher Seite aus Sorge getragen werden, dass alle für die nachhaltige Sicherstellung der Versorgungssicherheit relevanten Aspekte des informationstechnischen Schutzes bei solchen Fortentwicklungen geeignet berücksichtigt werden. Ein Beispiel hierfür sind die von Betreibern elektrischer Versorgungsnetze umzusetzenden Vorgaben aus dem EnWG in Bezug auf den von ihnen zu leistenden Beitrag zur Netzstabilität durch Lastabwurf auf Verlangen des übergeordneten Netzbetreibers (im Rahmen der „Abschaltkaskade“). Insbesondere sollten hierbei auch Gesamtbetrachtungen bzgl. Robustheit und Resilienz der angedachten Fortentwicklungen erfolgen. Nutzung von Synergien mit dem Ausland Nicht nur in Deutschland wurde der Bedarf für den Schutz von Kritischen Infrastrukturen erkannt. In anderen Ländern existieren bereits explizite Regelungen durch den Gesetzgeber, die die Cyber-Sicherheit von Kritischen Infrastrukturen betreffen. Beispielsweise haben die USA bereits mehrere Direktiven veröffentlicht, in denen die Betreiber Anweisungen für den Schutz Kritischer Infrastrukturen erhalten. In Deutschland existieren derartige Regularien zur Zeit noch nicht.Das IT-Sicherheitsgesetz könnte in Zukunft um konkretere Anweisungen und Auflagen erweitert werden. Grundsätzlich sollte deshalb untersucht werden, inwieweit internationale Normen und Regularien auch für den deutschen Energiesektor anwendbar sind. Einfluss der Handelsplätze Der Einfluss der Energiebörsen und des Marktes auf die Robustheit und Resilienz der Versorgungsdienstleistungen der Strom- und Gasversorgung ist bisher noch nicht vollständig klar. Daher sind auch die aus diesem Einfluss abzuleitenden Anforderungen an die IKT-Abhängigkeiten von Börsen und Markt und deren informationstechnische Absicherung unklar. Die öffentliche Hand sollte in Zusammenarbeit mit Forschungseinrichtungen weitergehende Untersuchungen vorantreiben, die diese Sachverhalte näher beleuchten. Gleiches gilt für andere für die Versorgung relevante energiewirtschaftliche Prozesse, wie beispielsweise die Resilienz des Fahrplanmanagements und der Marktpartnerkommunikationsprozesse. Regelmäßige Erfassung des Stands der Cyber-Sicherheit Die IKT unterliegt einem stetigem Wandel. Damit geht eine Veränderung der Anforderungen an die IKT und häufig eine Steigerung der IKT-Abhängigkeiten einher. Daraus resultieren wiederum steigende Anforderungen an die Cyber-Sicherheit. Zur Erfüllung dieser Anforderungen ist die regelmäßige Erfassung des Bedarfs und des Stands der Cyber-Sicherheit im Sektor notwendig, um auf die Trends und Herausforderungen reagieren zu können bzw. diese frühzeitig zu erkennen. Dies kann beispielsweise durch weitere Studien wie in der vorliegenden Form geschehen. Bundesamt für Sicherheit in der Informationstechnik 177 Anhänge Anhänge Stichwort- und Abkürzungsverzeichnis Abkürzung Begriff ACER Agency for the Cooperation of Energy Regulators AFM+E Außenhandelsverband für Mineralöl und Energie e. V. AKW Atomkraftwerk BDEW Bundesverband der Energie- und Wasserwirtschaft BEE Bundesverband Erneuerbare Energie bft Bundesverband Freier Tankstellen BGR Bundesanstalt für Geowissenschaften und Rohstoffe BHKW Blockheizkraftwerk BImSchV Bundesimmissionsschutzverordnung Bio-SNG Biomass Synthetic Natural Gas BioKraftQuG Biokraftstoffquotengesetz BKM Bilanzkreismanagement BMU Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit BMUB Bundesministerium für Umwelt, Naturschutz, Bau und Reaktorsicherheit BMWi Bundesministerium für Wirtschaft und Energie (bis Dezember 2013: Bundesministerium für Wirtschaft und Technologie) BNE Bundesverband Neuer Energieanbieter BNetzA Bundesnetzagentur 178 Beschreibung Agentur für die Zusammenarbeit der Energieregulierungsbehörden Synthetisches Erdgas (aus Biomethan) Ausgleich realer und prognostizierter Verbräuche Bundesamt für Sicherheit in der Informationstechnik Anhänge Abkürzung Begriff Beschreibung BP Betriebsinterner Prozess BSI Bundesamt für Sicherheit in der Informationstechnik CASTOR Cask for Storage and Transport of Radioactive Material Behälter zur Aufbewahrung und zum Transport radioaktiven Materials CC Common Criteria for Information Technology Security Evaluation Allgemeine Kriterien für die Bewertung der Sicherheit von Informationstechnologie CCS Carbon Dioxide Capture and Storage CO2-Abscheidung und -Speicherung CEPS Central European Pipeline System CERT Computer Emergency Response Team Koordinationsteam zur Reaktion auf IT-Sicherheitsvorfälle CNG Compressed Natural Gas Stark verdichtetes Erdgas CO2 Kohlendioxid „Treibhausgas“ CSV-Datei Comma Separated Value Textdatei, in der die Datenfelder durch ein Zeichen, z. B.Kommata, getrennt sind DB Deutsche Bahn AG DGMK Deutsche Wissenschaftliche Gesellschaft für Erdöl, Erdgas und Kohle e. V. DL Dienstleistung DSM Demand Side Management Prinzip der selektiven Abschaltung von Verbrauchern – Lastenmanagement DSL Digital Subscriber Line Übertragungsstandard für (Breitband-)Datendienste über das Telefonnetz DSO Distribution System Operator Siehe VNB (Distribution System Operator) DVGW Deutscher Verein des Gas- und Wasserfaches DWD Deutscher Wetterdienst Bundesamt für Sicherheit in der Informationstechnik 179 Anhänge Abkürzung Begriff Beschreibung EBV Erdölbevorratungsverband EE-Anlage Erneuerbare-Energie-Anlage EEG Erneuerbare-Energien-Gesetz EEX European Energy Exchange Europäische Strombörse in Leipzig EFET European Federation of Energy Traders Verband europäischer Energiehändler EFET Deutschland Verband Deutscher Gas- und Stromhändler e. V. EFR Europäische Funk-Rundsteuerung ENTSO-E European Network of Transmission System Operators for Electricity Verband Europäischer Übertragungsnetzbetreiber – Elektrizität ENTSOG European Network of Transmission System Operators for Gas Verband Europäischer Fernleitungsnetzbetreiber für Gas EnWG Energiewirtschaftsgesetz ErdölBevG Erdölbevorratungsgesetz EVU Energieversorgungsunternehmen FBG Fernleitungs-Betriebsgesellschaft mbH FNB Fernleitungsnetzbetreiber FNB Gas Fernleitungsnetzbetreiber Gas e. V. Fracking Hydraulic Fracturing GasGVV Gasgrundversorgungsverordnung GASPOOL GASPOOL Balancing Services GmbH GDR Gasdruckregelgerät GDRM-Anlage / GDR-Anlage Gas-Druckregel- und Messanlage Gas-Druckregelanlage 180 Lösen von Schiefergas unter Einsatz von Wasserdruck und Chemikalien aus dem Untergrund Bundesamt für Sicherheit in der Informationstechnik Anhänge Abkürzung Begriff Beschreibung GeLiGas Geschäftsprozesse Lieferantenwechsel Gas GHD Gewerbe, Handel und Dienstleistungen GIS Geographisches Informationssystem GPKE Geschäftsprozesse zur Kundenbelieferung mit Elektrizität GPS Global Positioning System GuD Gas-und-Dampf-Kombikraftwerk GW Gigawatt GWB Gesetz gegen Wettbewerbsbeschränkungen GWh Gigawattstunde(n) H-Gas High Calorie Gas HAE Hauptabsperreinrichtung HGÜ HochspannungsgleichstromübertragungLeitungen HMI Human Machine Interface HT/NT-Zähler Haupttarif-/Nebentarifstromzähler Hz Hertz ICS Industrial Control System Industrielles Kontrollsystem IEC International Electrotechnical Commission Internationale Elektrotechnische Kommission IKT Informations- und Telekommunikationstechnologien IP Internet-Protokoll ISDN Integrated Services Digital Network Bundesamt für Sicherheit in der Informationstechnik Globales Positionsbestimmungssystem Gas mit hohem Energiegehalt durch hohen Methangehalt Mensch-Maschine-Schnittstelle, z. B. Visualisierung Standard für digitales Telefonnetz, über das Sprach- und Datendienste angeboten werden 181 Anhänge Abkürzung Begriff Beschreibung ISMS Informationssicherheits-mangementsyste m IT Informationstechnik KKW Kernkraftwerk km Kilometer KT Kommunikationstechnik kV Kilovolt kW Kilowatt kWh Kilowattstunde(n) KWK Kraft-Wärme-Kopplung L-Gas Low Calorie Gas Lkw Lastkraftwagen LNG Liquefied Natural Gas Flüssigerdgas LPG Liquefied Petroleum Gas Flüssiggas, das bei der Herstellung von Benzin und Diesel aus Rohöl anfällt LWL Lichtwellenleiter Glasfaserkabel M-O-E Merit-Order-Effekt Verdrängung teuer produzierender Kraftwerke durch den Markteintritt eines Kraftwerks mit geringeren Grenzkosten MessZV Messzugangsverordnung Modem Modulator / Demodulator Gerät zur Einwahl in das Internet MOM Manufacturing Operations Management System System zur Steuerung und Regelung von Produktionsprozessen MPLS-Netzwer k Multiprotocol Label Switching Netzwerk (Verbindungsorientiertes) Vermittlungsprotokoll zur Übertragung von Datenpaketen (in einem verbindungslosen Netzwerk) 182 Gas mit niedrigem Energiegehalt durch geringen Methangehalt Bundesamt für Sicherheit in der Informationstechnik Anhänge Abkürzung Begriff Beschreibung MTS-K Markttransparenzstelle für Kraftstoffe MW Megawatt MWV Mineralölwirtschaftsverband e. V. NABEG Netzausbaubeschleunigungsgesetz NCG NetConnect Germany GmbH & Co. KG NEPS North European Pipeline System NG Natural Gas NRV Netzregelverbund NWO-Pipeline Nord-West-Oelleitung GmbH OECD Organisation for Economic Co-operation and Development ONS Ortsnetzstation OPEC Organization of the Petroleum Exporting Countries Organisation erdölexportierender Länder OPF-Systeme Optimal Power Flow System System zur Blindleistungsregelung bzw. -optimierung OTC-Handel Over-The-Counter-Handel Außerbörslicher Handel Pkw Personenkraftwagen PLS Prozessleitsystem z. B. SCADA-System PMU Power Management Unit (Mikro-)Controller zur Regelung von Funktionen der Energieversorgung von digitalen Geräten PRISMA Prisma European Capacity Platform GmbH Europäische Online-Plattform für den Handel mit Kapazitätsrechten der Gasbranche PS Prozessschritt PV Photovoltaik Energiegewinnung aus der Sonnenkraft REMIT Regulation on Wholesale Energy Market Marktüberwachung zur Bekämpfung Bundesamt für Sicherheit in der Informationstechnik Erdgas Organisation für wirtschaftliche Zusammenarbeit und Entwicklung 183 Anhänge Abkürzung Begriff Integrity and Transparency Beschreibung von Insiderhandel und Marktmanipulation RMR Rhein-Main-Rohrleitung RohrFltgV Rohrfernleitungsverordnung RTU Remote Terminal Unit Fernbedienungs-Terminal SAIDI-Wert System Average Interruption Duration Index Durchschnittliche Ausfalldauer je versorgtem Verbraucher SCADA Supervisory Control and Data Acquisition Überwachen und Steuern mittels eines Computersystems SKE Steinkohleeinheiten SMGW Smart Meter Gateway Smart Meter mit Steuereinheiten SNG Synthetic Natural Gas Aus Kohle oder Biomasse hergestelltes Gas SPS Speicherprogrammierbare Steuerung StromGVV Stromgrundversorgungsverordnung SysStabV Systemstabilitätsverordnung t Tonne(n) TAB Büro für Technikfolgenabschätzung beim Deutschen Bundestag TASE-Protokol l Telecontrol Application Service Element Protokoll zur Kopplung von Netzleitstellen TFH Trägerfrequenznachrichtenübertragung über Hochspannungsleitungen Siehe Power Line Carrier TSO Siehe ÜNB (Transmission System Operator) TW Terawatt TWh Terawattstunden ÜNB Übertragungsnetzbetreiber 184 Bundesamt für Sicherheit in der Informationstechnik Anhänge Abkürzung Begriff Beschreibung UNITI UNITI Bundesverband mittelständischer Mineralölunternehmen e. V. UPS Unterprozessschritt USV Unterbrechungsfreie Stromversorgung V Volt VDE Verband der Elektrotechnik Elektronik Informationstechnik e. V. VDN Verband der Netzbetreiber VHP Virtueller Handelspunkt VIK Verband der Industriellen Energie- und Kraftwirtschaft VKU Verband kommunaler Unternehmen VNB Verteilnetzbetreiber VPN Virtual Private Network Virtuelles privates Netzwerk, das auf dem Internet aufgebaut ist W2W Well to Wheel Ölwertschöpfungskette von der Quelle auf die Räder WEA Windenergieanlage WEG Wirtschaftsverband Erdöl- und Erdgasgewinnung Bundesamt für Sicherheit in der Informationstechnik Fiktiver Lieferpunkt als Übergabestelle bei Gaslieferungen 185 Anhänge Glossar Begriff Beschreibung (N-1)-Kriterium Kriterium für die Ausfallwahrscheinlichkeit anhand von zusätzlich vorhandener Redundanz, um bei Ausfall den Betrieb durch (N-1) Objekte aufrechterhalten zu können Aktor Fernwirkkomponente; Stellgerät Balgengaszähler Gaszähler zur Messung des Gasvolumenstroms durch Verdrängungsmessung Baseload Leistungsblöcke, die an der Strombörse zugekauft werden, um die Grundlast abzudecken Bi-Fuel Möglichkeit, ein Fahrzeug mit zwei verschiedenen Kraftstoffarten zu betreiben (z. B. CNG und Ottokraftstoff) Blindleistung Leistung, die ins Netz eingespeist wird ohne verbraucht zu werden Blowout Unkontrollierter Ausbruch von Öl, Gas oder Wasser aus einem Bohrloch Clearing Verrechnung von Forderungen und Verbindlichkeiten Cloud(-Computing) Entfernter Verbund von Rechnern, verbunden über das Internet Cracken / Cracking-Verfahren Verfahren zur Aufspaltung langer Kohlenwasserstoffe, z. B. aus Schweröl, in kürzere Verbindungen zur Herstellung anderer Mineralprodukte Dispatching Erstellung und Ausführung eines längerfristigen Fahrplans für Kraftwerke Downstream Verteilung von Öl-Endprodukten und Gas an Endkunden E10 Ottokraftstoff mit einem Anteil von fünf bis zehn Prozent Bio-Ethanol Endenergie Teil der Sekundärenergie, der nach verlustbehafteter Umwandlung und Übertragung beim Endverbraucher tatsächlich verfügbar ist Entry-Exit-Betriebsmodell Abrechnungssystem zur Vergütung von Gastransportleistungen – Einspeisung von Gas an einem beliebigen Punkt im Netz und Entnahme an einem anderen beliebigen Punkt Erdölkondensat Auch „Gaskondensat“; Gemisch flüssiger Kohlenwasserstoffe, die bei Änderung von Druck und Temperaturen, z. B. infolge einer Bohrung, ausfallen 186 Bundesamt für Sicherheit in der Informationstechnik Anhänge Begriff Beschreibung Eruptionskreuz Rohrleitung bestehend aus mehreren Teilen, die direkt und fest mit dem Bohrloch verbunden ist; dient als Bohrlochabschluss und zur kontrollierten Entnahme von Erdöl und -gas Exploration Untersuchung und Erschließung von Erdgas- oder Erdölvorkommen vor der Förderung Feldbus Verbindungssystem (Bussystem), durch das die Feldgeräte (Sensoren) und Stellglieder (Aktoren) einer Anlage mit einem Steuergerät verbunden werden Feldebene Die Feldebene enthält die Empfänger und Sender von Fernwirktechnik Ferraris-Zähler Konventioneller elektromechanischer Stromzähler Firmware In (elektronische) Geräte eingebettete Betriebssoftware Grundlast Belastung eines Stromnetzes, die während eines Tages nicht unterschritten wird Just-In-Time-Anlieferung Lieferung von Material in Stückzahl und zum Zeitpunkt, wie es in der Produktion benötigt wird Kaverne Natürlich oder künstlich geschaffener unterirdischer Hohlraum Kolonne Säulenförmige Apparatur zur Trennung von Stoffen, u. A. bei der Ölraffinierung eingesetzt Kurzschlussleistung Größe für die Bemessung der Beanspruchung einer elektrischen Anlage Leitsystem System zur Leitung, Steuerung und Überwachung von Prozessen bzw. Vorgängen, i. d. R. bestehend aus mehreren Sensoren und Aktoren Leitwarte / Leitstand Ein oder mehrere Arbeitsplätze, an dem aus die Informationen des oder der Leitsysteme zusammenlaufen und eine oder mehrere Anlagen überwacht und gesteuert werden Löschung von Schiffen Entladen von Schiffen Meter Management System Zählerverwaltungssystem Midstream Lagerung und Transport von Öl-Rohprodukten Minutenreserve Reserve, die Schwankungen im Stromnetz innerhalb Viertelstunden ausgleicht Molch Maschine, die in eine Pipeline eingesetzt wird und verschiedene Aufgaben haben kann Bundesamt für Sicherheit in der Informationstechnik 187 Anhänge Begriff Beschreibung Odorierung Beimischung von geruchsintensiven Stoffen, um Gas olfaktorisch wahrnehmbar zu machen Offshore Auf dem Wasser Onshore An Land Parametrierung Abbildung anhand von Variablen („Parametern“) Peakload Spitzenlasttarifierung – Umlegung der Kosten der Kapazität auf die Nachfrager der Spitzenlastperiode Pipeline Fernleitung für den Transport von Gas oder Erdöl(-produkten) Power Line Carrier Technik zum Nachrichtenaustausch zwischen Betreibern über das (Hochspannungs-)Stromnetz Primärenergie Energiemenge in den ursprünglichen Trägern wie Erdgas, Steinkohle oder Kernenergie Primärreserve Reserve, die Schwankungen im Stromnetz innerhalb von Sekunden ausgleicht Prospektion Eingrenzung von Erdgas- oder Erdölvorkommen vor der Förderung Prosumer Verbrauchskunden, die gleichzeitig auch Produzenten von Energie sind Redispatching Kurzfristige Anpassung in Reaktion auf Anforderungen der Übertragungsnetzbetreiber Sauergas Erdgas mit einem hohen Anteil an Schwefelwasserstoff Schwarzstart Hochfahren eines Kraftwerks ohne Stromversorgung von außen Sekundärenergie Energiemenge von Produkten aus Verarbeitungsprozessen von Primärenergieträgern in andere Energieträger wie elektrischer Strom, Mineralöl, Koks, Briketts Sekundärreserve Reserve, die Schwankungen im Stromnetz innerhalb fünf Minuten ausgleicht Sensor Messfühler Smart Grid Modernes Stromnetz mit Einbeziehung von analogen oder digitalen Kommunikationstechnologien zur Sammlung von Informationen und Steuerung Smart Meter Digitale Messeinrichtungen zur Erfassung des Verbrauchs von Strom, 188 Bundesamt für Sicherheit in der Informationstechnik Anhänge Begriff Beschreibung Gas, Wärme oder Wasser, die Informations- und Kommunikationstechnologie zum Betrieb nutzen Spotmarkt Börse für physisch gehandelte Rohstoffe – kurzfristig State Estimation Mess-, Steuerungs- und Regelungstechnik im Verteilnetz Stuxnet-Vorfall Angriff auf Urananreicherungsanlagen im Iran durch eine Schadsoftware. Der Angriff erfolgte durch infizierte Projektdateien auf speicherprogrammierbaren Steuerungen des Herstellers Siemens Süßgas Erdgas mit einem geringem Anteil an Schwefelwasserstoff Terminmarkt Börse für physisch gehandelte Rohstoffe – zeitliches Auseinanderfallen von Börsengeschäft und dessen Erfüllung Trading Handel Transportpfadmodell (Veraltetes) Transportmodell für Gas, bei dem die Gashändler für den Transport über eine bestimmte Strecke Durchleitungsverträge mit allen beteiligten Netzbetreibern abschließen mussten Übertragungsnetz Netz zum überregionalen Stromtransport vom Ort der Erzeugung zu Verbrauchsschwerpunkten Upstream Exploration und Förderung von Rohöl und Erdgas Bundesamt für Sicherheit in der Informationstechnik 189 Literaturverzeichnis Literaturverzeichnis 50Hertz 2013 50Hertz: Unternehmen. 2013. http://www.50hertz.com/cps/rde/xchg/trm_de/hs.xsl/unternehmen.htm (28.03.2014) AEE 2014 Agentur für Erneuerbare Energien: Bundesländer in der Übersicht. 2014. http://www.foederal-erneuerbar.de/uebersicht/bundeslaender/BW%7CBY%7CB %7CBB%7CHB%7CHH%7CHE%7CMV%7CNI%7CNRW%7CRLP%7CSL%7CSN %7CST%7CSH%7CTH %7CD/kategorie/top+10/auswahl/533-anzahl_elektro-pkw_p#goto_533 (16.05.2014) AFM+E 2014 Aussenhandelsverband für Mineralöl und Energie e.V (AFM+E): Mitgliedsunternehmen. 2014. http://www.afm-verband.de/mitglieder/mitgliedsunternehmen-und-verbaende (10.03.2014) AGEB 2014a Arbeitsgemeinschaft Energiebilanzen e. V.: Energieverbrauch in Deutschland im Jahr 2013. 2014. http://www.ag-energiebilanzen.de/index.php? article_id=29&fileName=ageb_jahresbericht2013_20140317.pdf (28.03.2014) AGEB 2014b AG Energiebilanzen e.V.: Primärenergieverbrauch. 2014. http://www.ag-energiebilanzen.de/DE/daten-und-fakten/primaerenergieverbrauc h/primaerenergieverbrauch.html (27.03.2014) AGEB 2014c AG Energiebilanzen e.V.: Stromerzeugung nach Energieträgern (Strommix) von 1990 bis 2013 (in TWh) Deutschland insgesamt. 2014. http://www.ag-energiebilanzen.de/28-0-Zusatzinformationen.html (15.10.2014) AGEB 2013 Arbeitsgemeinschaft Energiebilanzen e.V.: Energieverbrauch in Deutschland: Daten für das 1. bis 4. Quartal 2013. 2013. (10.03.2014) agrarheute 2011 www.agrarheute.com: Weniger als 300.000 landwirtschaftliche Betriebe in Deutschland. 2011. http://www.agrarheute.com/betriebszahlen (16.05.2014) Allelein 2012 Allelein, Hans-Josef; Zahoransky, Richard: Energietechnik: Systeme zur Energieumwandlung. Kompaktwissen für Studium und Beruf; mit 44 Tabellen. Wiesbaden: Vieweg + Teubner 2012. Amprion 2014a Amprion: Beschaffung von Regelleistung und -energie in Deutschland. 2014. http://www.amprion.net/systemdienstleistungen-regelenergie (16.04.2014) Amprion 2014b Amprion: Daten und Fakten: Die Amprion GmbH in Zahlen. 2014. http://www.amprion.net/kennzahlen (25.03.2014) API 2013a American Petroleum Institute (API): [Titel fehlt!]: Understanding the Oil and Natural Gas Supply Chains. 2013. http://www.api.org/policy-and-issues/policy-items/safety/understanding-the-oilnatural-gas-supply-chains (06.05.2014) API 2013b American Petroleum Institute (API): Pipeline Performance Tracking System: Frequently Asked Questions. 2013. http://www.api.org/oil-and-natural-gas-overview/transporting-oil-and-natural-ga s/pipeline-performance-ppts/~/media/files/oil-and-natural-gas/ppts/ppts_faqs_in dexed.ashx (15.05.2014) 190 Bundesamt für Sicherheit in der Informationstechnik Literaturverzeichnis ASUE 2010 Arbeitsgemeinschaft für sparsamen und umweltfreundlichen Energieverbrauch e.V. (ASUE); Deutsche Vereinigung des Gas- und Wasserfaches e.V. (DVGW): Gasinstallation: Tipps für die Praxis. 2010. (21.05.2014) B.A.U.M. 2012 B.A.U.M Consulting: Smart Energy made in Germany: Zwischenergebnisse der E-Energy-Modellprojekte auf dem Weg zum Internet der Energie. 2012. (06.06.2014) BAFA 2014 Bundesamt für Wirtschaft und Ausfuhrkontrolle: Amtliche Mineralöldaten. 2014. http://www.bafa.de/bafa/de/energie/mineraloel_rohoel/amtliche_mineraloeldate n/2014/index.html (16.05.2014) BAM 2012 Bundesanstalt für Materialforschung und -prüfung: Ausschuss für Rohrfernleitungen (AfR). 2012. http://www.bam.de/de/microsites/afr/index.htm (13.03.2014) Bayernoil 2014 Bayernoil: Anteilseigner Anteilseigner Ruhr Oel GmbH. 2014. http://www.bayernoil.de/Ruhr-Oel-GmbH.42.0.html (15.04.2014) BBK 2010 Innenministerium Baden-Württemberg; Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK): Krisenmanagement Stromausfall: Kurzfassung. Krisenmanagement bei einer großflächigen Unterbrechung der Stromversorgung am Beispiel Baden-Württemberg. 2010. (22.04.2014) BDEW 2014a BDEW Bundesverband der Energie- und Wasserwirtschaft e. V.: BDEW-Mitglieder und Ehrenmitglieder. 2014. http://www.bdew.de/internet.nsf/id/mitglieder-de (28.03.2014) BDEW 2014b BDEW Bundesverband der Energie- und Wasserwirtschaft e. V.: Energienetze und Regulierung. 2014. http://www.bdew.de/internet.nsf/id/8DPKHW-DE_Energienetze-und-Regulierung (12.06.2014) BDEW 2013a BDEW Bundesverband der Energie- und Wasserwirtschaft e. V.: Deutsches Stromnetz ist 1,8 Millionen Kilometer lang: Stromnetzlänge in Deutschland entspricht 45facher Erdumrundung. 2013. http://www.bdew.de/internet.nsf/id/20130412-pi-deutsches-stromnetz-ist-18-mill ionen-kilometer-lang-de (21.03.2014) BDEW 2013b Bundesverband der Energie- und Wasserwirtschaft e.V.: Ranglisten der deutschen Stromversorger: nach Stromabgabe an Letztverbraucher in Deutschland in Mrd. kWh. Gesamte Stromversorgung. 2013. http://www.bdew.de/internet.nsf/id/DE_Top_10_der_deutschen_Stromversorger_2 005?open&ccm=500030020 (30.04.2014) BDEW 2013c Bundesverband der Energie- und Wasserwirtschaft e.V.: Erdgas bleibt Nummer eins in Neubau und Bestand. 2013. http://www.bdew.de/internet.nsf/id/20130312-pi-erdgas-bleibt-nummer-eins-inneubau-und-bestand-de (16.05.2014) BDEW 2013d BDEW Bundesverband der Energie- und Wasserwirtschaft e. V.: Erdgas bleibt Nummer eins in Neubau und Bestand. 2013. http://www.bdew.de/internet.nsf/id/20130312-pi-erdgas-bleibt-nummer-eins-inneubau-und-bestand-de (02.04.2014) BDEW 2013e Bundesverband der Energie- und Wasserwirtschaft: Anhang zu BDEW-Pressemeldung „Erdgas bleibt Nummer eins in Neubau und Bestand“, 12. März 2013: Tabelle 1: Beheizungssysteme in neuen Wohnungen. 2013. (16.04.2014) Bundesamt für Sicherheit in der Informationstechnik 191 Literaturverzeichnis BDEW 2013f Bundesverband der Energie- und Wasserwirtschaft: BDEW-Roadmap: Realistische Schritte zur Umsetzung von Smart Grids in Deutschland. 2013. (16.04.2014) BDEW 2012a Bundesverband der Energie- und Wasserwirtschaft e.V.: Smart Grids in Deutschland: Handlungsfelder für Verteilnetzbetreiber auf dem Weg zu intelligenten Netzen. 2012. (06.06.2014) BDEW 2012b BDEW Bundesverband der Energie- und Wasserwirtschaft e. V.: Energiemarkt Deutschland: Zahlen und Fakten zur Gas-, Strom und Fernwärmeversorgung. Frankfurt: 2012. BEE 2014 Bundesverband Erneuerbare Energie e.V. (BEE): BEE – Dachverband der Erneuerbaren. 2014. http://www.bee-ev.de/BEE/BEE.php (28.03.2014) BFT 2014 Bundesverband Freier Tankstellen e.V.: Warum Mitglied werden? 2014. http://www.bft.de/mitglieder/mitgliedschaft/ (27.03.2014) BGR 2013 Bundesanstalt für Geowissenschaften und Rohstoffe (BGR): Energierohstoffe: Energiestudie 2013. 2013. http://www.bgr.bund.de/DE/Themen/Energie/Produkte/energiestudie2013_Zusa mmenfassung.html (27.03.2014) BGR 2012 Bundesanstalt für Geowissenschaften und Rohstoffe: Abschätzung des Erdgaspotenzials aus dichten Tongesteinen (Schiefergas) in Deutschland. 2012. (04.04.2014) BKartA 2014a Bundeskartellamt: Markttransparenzstelle für Kraftstoffe. 2014. http://www.bundeskartellamt.de/DE/Wirtschaftsbereiche/Mineral %C3%B6l/MTS-Kraftstoffe/mtskraftstoffe_node.html (27.03.2014) BKartA 2014b Bundeskartellamt: Das Bundeskartellamt. 2014. http://www.bundeskartellamt.de/DE/UeberUns/Bundeskartellamt/bundeskartella mt_node.html (27.03.2014) BKartA 2011 Bundeskartellamt: Sektoruntersuchung Kraftstoffe: Abschlussbericht gemäß § 32e GWB – Mai 2011. 2011. (24.03.2014) BMF 2013 Bundesministerium der Finanzen: Bundeshaushalt 2012: Mineralölsteuer. 2013. http://www.bundeshaushalt-info.de/startseite/#/2012/soll/einnahmen/gruppe/03 1.html (16.05.2014) BMI 2013 Bundesministerium des Innern: Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme: Referentenentwurf des Bundesministeriums des Innern. 2013. (12.06.2014) BMI 2011a Bundesministerium des Innern: Sektoren- und Brancheneinteilung Kritischer Infrastrukturen. 2011. (10.04.2014) BMI 2011b Bundesministerium des Innern: Schutz Kritischer Infrastrukturen – Risiko- und Krisenmanagement: Leitfaden für Unternehmen und Behörden. 2011. http://www.bmi.bund.de/SharedDocs/Downloads/DE/Broschueren/2008/Leitfade n_Schutz_kritischer_Infrastrukturen.html (10.06.2014) BMI 2009 Bundesministerium des Innern: Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie). 2009. http://www.bmi.bund.de/SharedDocs/Downloads/DE/Broschueren/2009/kritis.ht ml (10.06.2014) BMU 2012 Bundesumweltministerium (BMU): Umweltauswirkungen von Fracking bei der Aufsuchung und Gewinnung von Erdgas aus unkonventionellen Lagerstätten: 192 Bundesamt für Sicherheit in der Informationstechnik Literaturverzeichnis Risikobewertung, Handlungsempfehlungen und Evaluierung bestehender rechtlicher Regelungen und Verwaltungsstrukturen. FG II 2.1. 2012. (16.04.2014) BMU 2003 Dr. Franz Meyer: Leistungsprognosen für Windanlagen. 2003. (02.05.2014) BMWi 2014a Bundesministerium für Wirtschaft und Technologie (BMWi): E-Energy IKT-basiertes Energiesystem der Zukunft. 2014. http://www.e-energy.de/de/958.php (28.03.2014) BMWi 2014b Bundesministerium für Wirtschaft und Energie; Öffentlichkeitsarbeit, Referat: BMWi - Erneuerbare Energien auf einen Blick. 2014. http://www.bmwi.de/DE/Themen/Energie/Erneuerbare-Energien/erneuerbare-en ergien-auf-einen-blick.html (05.06.2014) BMWi 2014c Bundesministerium für Wirtschaft und Energie: Zahlen und Fakten. 2014. http://www.bmwi.de/DE/Themen/Energie/Strommarkt-der-Zukunft/zahlen-fakt en.html (15.10.2014) BMWi 2013a Bundesministerium für Wirtschaft und Technologie: Entwicklung einer Nachrüstungsstrategie für Erzeugungsanlagen am Mittel- und Niederspannungsnetz zum Erhalt der Systemsicherheit bei Über- und Unterfrequenz. 2013. http://www.bmwi.de/DE/Mediathek/publikationen,did=614018.html (12.06.2014) BMWi 2013b Bundesministerium für Wirtschaft und Technologie (BMWi): Monitoring-Bericht nach § 51 EnWG zur Versorgungssicherheit bei Erdgas. 2013. (07.03.2014) BMWi 2013c Bundesministerium für Wirtschaft und Technologie (BMWi): Energie in Deutschland: Trends und Hintergründe zur Energieversorgung. 2013. (12.03.2014) BMWi 2013d Bundesministerium für Wirtschaft und Energie: Energiedaten: Gesamtausgabe. 2013. http://www.bmwi.de/DE/Themen/Energie/Energiedaten-und-analysen/Energied aten/gesamtausgabe,did=476134.html (27.03.2014) BMWi 2011 Grebe, Eckhard: Das 50,2Hz-Problem: Systemverhalten bei spontanem Leistungsungleichgewicht. 2011. (28.03.2014) BMWi 2002 Bundesministerium für Wirtschaft und Technologie (BMWi) (27.09.2002): Verordnung über Rohrfernleitungsanlagen (Rohrfernleitungsverordnung) RohrFLtgV BNetzA 2014a Bundesnetzagentur: Lieferantenanzeige. 2014. http://www.bundesnetzagentur.de/DE/Sachgebiete/ElektrizitaetundGas/Unterne hmen_Institutionen/HandelundVertrieb/Lieferantenanzeige/lieferantenanzeige.h tml (30.04.2014) BNetzA 2014b Bundesnetzagentur: Übersicht über die Strom- und Gasnetzbetreiber. 2014. http://www.bundesnetzagentur.de/cln_1911/DE/Sachgebiete/ElektrizitaetundGas /Unternehmen_Institutionen/DatenaustauschundMonitoring/UnternehmensSta mmdaten/UebersichtStromUndGasNetzbetreiber/UebersichtStromUndGasnetzbet reiber_node.html (19.03.2014) BNetzA 2014c Bundesnetzagentur: Kraftwerksliste. 2014. http://www.bundesnetzagentur.de/DE/Sachgebiete/ElektrizitaetundGas/Unterne hmen_Institutionen/Versorgungssicherheit/Erzeugungskapazitaeten/Kraftwerksli ste/kraftwerksliste-node.html (07.10.2014) BNetzA 2013a Bundesnetzagentur; Bundeskartellamt: Monitoringbericht 2013. 2013. (06.03.2014) Bundesamt für Sicherheit in der Informationstechnik 193 Literaturverzeichnis BNetzA 2013b Bundesnetzagentur; Bundeskartellamt: Unterbrechungsdauer der Stromversorgung in Deutschland bis 2012. 2013. http://de.statista.com/statistik/daten/studie/241414/umfrage/stromversorgungsu nterbrechungen-in-deutschland/ (27.03.2014) BNetzA 2011a Bundesnetzagentur: Versorgungsqualität - SAIDI-Wert 2012. 2011. http://www.bundesnetzagentur.de/cln_1412/DE/Sachgebiete/ElektrizitaetundGas /Unternehmen_Institutionen/Versorgungssicherheit/Gasnetze/Versorgungsqualit %C3%A4t/Versorgungsqualitaet_node.html (19.05.2014) BNetzA 2011b Bundesnetzagentur: Anlage zu dem Beschluss BK7-06-067 vom 20. August 2007: Geschäftsprozesse Lieferantenwechsel Gas (GeLi Gas). 2011. (04.04.2014) BNetzA 2011c Bundesnetzagentur: Anlage zum Beschluss BK6-06-009: Darstellung der Geschäftsprozesse zur Anbahnung und Abwicklung der Netznutzung bei der Belieferung von Kunden mit Elektrizität. 2011. (04.04.2014) BNetzA 2007 Bundesnetzagentur: Bericht der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen: über die Systemstörung im deutschen und europäischen Verbundsystem am 4. November 2006. 2007. (04.04.2014) BP Global 2014 BP Global: About BP | BP Global: Group organization. 2014. http://www.bp.com/en/global/corporate/about-bp/company-information/grouporganization.html (27.03.2014) Bundesanzeiger 2014 Bundesanzeiger: Bundesanzeiger. 2014. https://www.bundesanzeiger.de/ebanzwww/wexsservlet (13.03.2014) Bundestag 2012 Dr. Martin Lindner: Beschlussempfehlung und Bericht des Ausschusses für Wirtschaft und Technologie (9. Ausschuss): Entwurf eines Gesetzes zur Einrichtung einer Markttransparenzstelle für den Großhandel mit Strom und Gas. 2012. (27.03.2014) Bundestag 2011 Deutscher Bundestag: Technikfolgenabschätzung (TA): Bericht des Ausschusses für Bildung, Forschung und Technikfolgenabschätzung (18. Ausschuss) gemäß § 56a der Geschäftsordnung. TA-Projekt: Gefährdung und Verletzbarkeit moderner Gesellschaften – am Beispiel eines großräumigen und langandauernden Ausfalls der Stromversorgung. 2011. (07.05.2014) Bundestag 1983 Deutscher Bundestag: Antwort der Bundesregierung: auf die Kleine Anfrage des Abgeordneten Dr. Ehmke (Ettlingen) und der Fraktion DIE GRÜNEN | Kohleverflüssigung. Drucksache 10/398. 1983. (16.04.2014) ChemSite 2014 ChemSite: Ruhr Oel GmbH. 2014. http://www.chemsite.de/chemsite-en/chemieparks-industriestandorte/gelsenkirc hen/unternehmen_am_standort/03ruhr_oel_gmbh.php (16.05.2014) CLEAN 2011 CLEAN Projekt: Enhanced Gas Recovery (EGR). 2011. http://www.clean-altmark.org/front_content.php?idcat=1486 (06.05.2014) DB 2013 DB Mobility Logistics: Daten& Fakten 2012. 2013. (02.04.2014) dena 2013 Deutsche Energie-Agentur GmbH (dena): Einleitung Smart Meter - Effiziente Energiesysteme. 2013. http://www.effiziente-energiesysteme.de/themen/smartmeter/einleitung-smartmeter.html (05.06.2014) dena 2012 Deutsche Energie-Agentur GmbH (dena): Verkehr. Energie. Klima.: Alles Wichtige auf einen Blick… Berlin: 2012. 194 Bundesamt für Sicherheit in der Informationstechnik Literaturverzeichnis dena 2011 Deutsche Energie-Agentur GmbH (dena): Ungeliebt, aber unentbehrlich: Bedarf und Produktion von Mineralöl im künftigen Energiemix. 2011. http://www.dena.de/publikationen/verkehr/studie-ungeliebt-aber-unentbehrlichbedarf-und-produktion-von-mineraloel-im-kuenftigen-energiemix.html (27.03.2014) Destatis 2014a Statistisches Bundesamt (Destatis): Preise: Daten zur Energiepreisentwicklung. Lange Reihen von Januar 2000 bis Februar 2014. 2014. https://www.destatis.de/DE/Publikationen/Thematisch/Preise/Energiepreise/Ene rgiepreisentwicklungPDF_5619001.pdf (16.04.2014) Destatis 2014b Statistisches Bundesamt (Destatis): Wirtschaftsbereiche - Energie - Erzeugung: Bruttostromerzeugung in Deutschland für 2011 bis 2013. 2014. https://www.destatis.de/DE/ZahlenFakten/Wirtschaftsbereiche/Energie/Erzeugun g/Tabellen/Bruttostromerzeugung.html (27.03.2014) Destatis 2014c Statistisches Bundesamt (Destatis): Energie- und Wasserversorgung: Betriebe, Beschäftigte, geleistete Arbeitsstunden und Entgelte der Betriebe von Unternehmen mit 20 und mehr Beschäftigten. 2014. https://www.destatis.de/DE/ZahlenFakten/Wirtschaftsbereiche/Energie/Beschaeft igteUmsatzInvestitionen/Tabellen/BetriebsergebnisseWirtschaftszweige.html (18.03.2014) Destatis 2014d Statistisches Bundesamt (Destatis): Erzeugung: Aufkommen von Gasen: Naturgas. 2014. https://www.destatis.de/DE/ZahlenFakten/Wirtschaftsbereiche/Energie/Erzeugun g/Tabellen/AufkommenGas.html (27.03.2014) Destatis 2014e Statistisches Bundesamt (Destatis): Erzeugung: Monatsbericht über die Elektrizitätsversorgung. 2014. https://www.destatis.de/DE/ZahlenFakten/Wirtschaftsbereiche/Energie/Erzeugun g/Tabellen/BilanzElektrizitaetsversorgung.html (28.03.2014) Destatis 2013 Statistisches Bundesamt (Destatis): Beschäftigung, Umsatz, Investitionen und Kostenstruktur der Unternehmen in der Energieversorgung, Wasserversorgung, Abwasser- und Abfallentsorgung, Beseitigung von UmweltverschmutzungenFachserie 4 Reihe 6.1 - 2011. 2013. (28.03.2014) Deutsche Börse o.J.a Deutsche Börse: Deutsche Börse IT - Referenzen. o.J… http://deutsche-boerse.com/it/dispatch/de/listcontent/gdb_navigation/technolog y/05_Ueber_Deutsche__Boerse_T/05_referenzen/Content_files/ts_sp_ref_eex.htm (10.09.2014) Deutsche Börse o.J.b Deutsche Börse Group: Deutsche Börse IT - ComXerv. o.J… http://deutsche-boerse.com/it/dispatch/de/kir/gdb_navigation/technology/11_itsolutions/15_IT_for_Energy/10_ComXerv (10.09.2014) Deutschlandfunk 2014 Godehard Weyerer: Drehscheibe für den deutschen Rohöl-Import. 2014. http://www.deutschlandfunk.de/nord-west-oelleitung-gmbh-drehscheibe-fuer-de n-deutschen.1197.de.html?dram:article_id=277451 (11.03.2014) DIW 2013 DIW Berlin: Klimapolitik bestimmt die Zukunft der Erdgasmärkte - Reserven reichen auch langfristig aus. 2013. http://www.diw.de/de/diw_01.c.425470.de/themen_nachrichten/klimapolitik_best immt_die_zukunft_der_erdgasmaerkte_reserven_reichen_auch_langfristig_aus.ht ml (04.04.2014) DVGW o.J. DVGW Service & Consult GmbH: Nachrichtentypen zur Abwicklung des Gastransports und Bilanzkreismanagements (GABi Gas). o.J… Bundesamt für Sicherheit in der Informationstechnik 195 Literaturverzeichnis https://www.dvgw-sc.de/no_cache/it-services/marktpartner-gasnetz/gastransport -gabi/ (10.09.2014) e.on 2013 E.ON SE: Geschäftsbericht 2013. 2013. (15.10.2014) E.ON Ruhrgas 2014 Götzen, Peter; Linke, Gerald; Spiecker, Udo et al.: Störungsmangement im Dispatching: Einsatz moderner Informationstechnologien und Organisationen für die Koordination von Bereitschaftsdiensten. 2014. http://www.gat-dvgw.de/fileadmin/gat/PDF_Vortragsarchiv_04/linke_ms_01.pdf (22.05.2014) EBV 2013 Erdölbevorratungsverband: Bericht über das Geschäftsjahr 2012/2013. 2013. (13.03.2014) Ecofys 2011 Bömer, Jens; Zolotarev, Pavel; et al.: Auswirkungen eines hohen Anteils dezentraler Erzeugungsanlagen auf die Netzstabilität bei Überfrequenz & Entwicklung von Lösungsvorschlägen zu deren Überwindung: Langfassung. 2011. (29.04.2014) EEK 2013 o. V.: Erdgasspeicherung. ERDÖL ERDGAS KOHLE, Nr. 11. 2013. (27.03.2014) EEX 2014 European Energy Exchange AG: Zusammenfassung der geplanten und ungeplanten Nichtbeanspruchbarkeiten ≥ 100 MW. 2014. http://www.transparency.eex.com/de/daten_uebertragungsnetzbetreiber/stromerz eugung/Zusammenfassung%20der%20bekannten%20und%20ungeplanten %20Nichtbeanspruchbarkeiten%20von%20Erzeugungseinheiten%20mit%20einer %20Netto-Nennleistung (03.04.2014) elster 2012 Pellmann, Michael: Datenkommunikation in Transport-Gasnetzen. 2012. (09.09.2014) EnBW 2013 EnBW Energie Baden-Württemberg AG: Bericht 2012. 2013. (15.10.2014) enet 2014 ene't GmbH: Karte der Stromnetzbetreiber. 2014. https://www.enet.eu/kartestromnetzbetreiber.html (19.05.2014) ENTSOG 2011 European Network of Transmission System Operators for Gas: ENTSOG TRANSPARENCY PLATFORM. 2011. http://www.gas-roads.eu/map/commercial-information (27.03.2014) EnWG 2005 Bundesministerium der Justiz und für Verbraucherschutz (07.07.2005): Gesetz über die Elektrizitäts- und Gasversorgung (Energiewirtschaftsgesetz - EnWG) - EnWG, vom 04.10.2013. Fundstelle: Juris.de EU 2010 Europäisches Parlament und Rat der Europäischen Union (20.10.2010): Regulation (EU) No 994/2010 of the European Parliament and of the Council of 20 October 2010 concerning measures to safeguard security of gas supply and repealing Council Directive 2004/67/EC Text with EEA relevance EU 2009 Europäisches Parlament und Rat der Europäischen Union (05.06.2009): zur Förderung der Nutzung von Energie aus erneuerbaren Quellen und zur Änderung und anschließenden Aufhebung der Richtlinien 2001/77/EG und 2003/30/EG Richtlinie 2009/28/EG Eurogas 2013 Eurogas: Statistical Report 2013. 2013. (11.03.2014) Eurostat 2014 Eurostat: Versorgung, Umwandlung, Verbrauch Elektrizität jährliche Daten. 2014. http://appsso.eurostat.ec.europa.eu (02.04.2014) EWE 2013 EWE AG: Geschäftsbericht 2012. 2013. http://www.ewe.com/de/_media/download/ewe_gb12_d_s.pdf (15.10.2014) 196 Bundesamt für Sicherheit in der Informationstechnik Literaturverzeichnis EWI 2012 Energiewirtschaftliches Institut an der Universität zu Köln: Der Merit-Order-Effekt der erneuerbaren Energien: Analyse der kurzen und langen Frist. 2012. (12.06.2014) ExxonMobil 2009 ExxonMobil Production Deutschland GmbH: Die Aufbereitung von Erdgas: Energie, die sich gewaschen hat. 2009. (06.05.2014) Falley et al. 2010 Falley, Tino; Bauer, Herbert; Dietzsch, Frank Verm.-Ass. Dipl.-Ing.: Dispatching in der Gasversorgung. energie-wasser-praxis, Nr. 9. 2010. (06.05.2014) FAZ 2013 Balzter, Sebastian; Theurer, Marcus: Der neue Ölrausch in der Nordsee. 2013. http://www.faz.net/aktuell/wirtschaft/rohstoffe-der-neue-oelrausch-in-der-nords ee-12130355.html (16.04.2014) FNB Gas 2014a FNB Gas: Zahlen und Fakten. 2014. http://www.fnb-gas.de/de/fernleitungsnetze/zahlen-und-fakten/zahlen-und-fakte n.html (27.03.2014) FNB Gas 2014b FNB Gas: Marktgebiete. 2014. http://www.fnb-gas.de/de/fernleitungsnetze/marktgebiete/marktgebiete.html (10.06.2014) Gasag 2013 GASAG Berliner Gaswerke Aktiengesellschaft: Geschäftsbericht 2013. 2013. https://www.gasag.de/Downloads/Unternehmen/Geschaeftsbericht/GASAG_Gesc haeftsbericht_2012.pdf (15.10.2014) Gaspool 2014a Gaspool: GASPOOL: Handelsvolumina. 2014. http://www.gaspool.de/hub_handelsvolumina.html (07.03.2014) Gaspool 2014b Gaspool: GASPOOL: Unternehmen. 2014. http://www.gaspool.de/unternehmen.html (27.03.2014) Gaspool 2009 Hümbs, Ludger: Informationsveranstaltung für Bilanzkreisverantwortliche. 2009. (04.04.2014) Handelsblatt 2014a Schulte, Andreas (2014): Kraftwerke ziehen in die Wolke - Neue Software soll die Bündelung regenerativer Energiequellen erleichtern. In: Handelsblatt, 19.05.2014 (95), S. 50 Handelsblatt 2014b Handelsblatt: EnBW darf unrentable Kraftwerke nicht abschalten. 2014. http://www.handelsblatt.com/unternehmen/industrie/bundesnetzagentur-enbwdarf-unrentable-kraftwerke-nicht-abschalten/9337078.html (16.04.2014) HWWI 2013 Piaszeck, Simon; Wenzel, Lars; Wolf, André: Regional Diversity in the Costs of Electricity Outages: Results for German Counties. HWWI Research, Nr. 142. 2013. (13.05.2014) HWWI 2010 Bräuninger, Michael; Leschus, Leon; Matthies, Klaus: Die volkswirtschaftliche Bedeutung des Raffineriesektors in Deutschland. 2010. (16.05.2014) IDW 2013 Bardt, Hubertus Dr.: Fossile Rohstoffe der Chemischen Industrie: Eine Herausforderung für den Standort NRW. 2013. (16.05.2014) IMF 2011 Cohen, Gail; Joutz, Frederick; Loungani, Prakash: Measuring Energy Security: Trends in the Diversification of Oil and Natural Gas. International Monetary Fund. IMF Working Paper, Nr. 39. 2011. (16.04.2014) iTAC 2014 iTAC Zentrale Deutschland: Vorteile/Funktionen - Produktionssoftware: Traceability, MES, Manufacturing Execution System, iTAC, Rückverfolgbarkeit, Produktionssoftware. 2014. http://de.itac.de/_ssf-7lxJQP/pages/products/itacpts/vorteilefunktionen.html (15.05.2014) Bundesamt für Sicherheit in der Informationstechnik 197 Literaturverzeichnis ITAG 2013 ITAG: Über uns - Referenzen. 2013. (27.03.2014) ITReseller.ch 2011 Vogel, Michel: Gaspipeline in der Ostsee kommuniziert über Swisscom-Netz. 2011. http://www.itreseller.ch/Artikel/68469/Gaspipeline_in_der_Ostsee_kommuniziert_ ueber_Swisscom-Netz.html (09.09.2014) KBA 2014 Kraftfahrt-Bundesamt: Bestand an Personenkraftwagen am 1. Januar 2014 nach Bundesländern und ausgewählten Kraftstoffarten absolut. 2014. http://www.kba.de/cln_031/nn_269000/DE/Statistik/Fahrzeuge/Bestand/Umwelt/ 2014__b__umwelt__dusl__absolut.html (02.04.2014) Kommission 2011 Europäische Kommission: Klimaschutz und Effizienz als Maßstab für Energiesteuern. 2011. http://ec.europa.eu/deutschland/press/pr_releases/9886_de.htm (12.03.2014) Langner et al. 2013 Langner, Theodor; Küster, Michael; Müller-Kirchenbauer, Joachim Prof.: Lokale Erdgasspeicheranlagen in Deutschland – Teil 1. energie-wasser-praxis, Nr. 2. 2013. (07.05.2014) LBEG 2014 Landesamt für Bergbau, Energie und Geologie: Erdöl- und Erdgasreserven in der Bundesrepublik Deutschland am 1. Januar 2014. 2014. (31.03.2014) LBEG 2013a Landesamt für Bergbau, Energie und Geologie: Jahresbericht: Erdöl und Erdgas in der Bundesrepublik Deutschland 2012. 2013. http://www.lbeg.niedersachsen.de/portal/live.php? navigation_id=655&article_id=936&_psmand=4 (27.03.2014) LBEG 2013b Landesamt für Bergbau, Energie und Geologie: Erdöl und Erdgas in der Bundesrepublik Deutschland 2012. 2013. (27.02.2014) Mezger 2007 Mezger, Tomáz: Technische Bewertung der Bereitstellung von Sekundärregelleistung mit Mikro-KWK-Anlagen: Diplomarbeit. 2007. (10.06.2014) Monopolkom. 2013 Monopolkommission: Energie 2013: Wettbewerb in Zeiten der Energiewende. Sondergutachten 65. 2013. (16.02.2014) MWV 2014a Mineralölwirtschaftsverband e.V.: Mineralöl spielt zentrale Rolle im Energiemix. 2014. http://www.mwv.de/upload/Presseinformation/Pressemeldungen/Meldungen/14 0318_PM_MWV_-_Mineral__l_spielt_zentrale_Rolle_im_Energiemix_g1r5FxZCvCcs f4Z.pdf (27.03.2014) MWV 2014b Mineralölwirtschaftsverband e.V.: MWV - Über uns: Raffinerien in Deutschland. 2014. http://www.mwv.de/index.php/ueberuns/raffinerien (27.03.2014) MWV 2013 Mineralölwirtschaftsverband e.V.: MWV-Jahresbericht 2012. 2013. http://www.mwv.de/index.php/service/publikationen (12.03.2014) MWV 2012 Mineralölwirtschaftsverband e.V.: Raffinerien und Pipelines in der Bundesrepublik Deutschland. 2012. http://www.mwv.de/index.php/ueberuns/pipelines (30.04.2014) MWV 2006 Mineralölwirtschaftsverband e.V.: Pipelinebroschüre: Mineralölversorgung mit Pipelines. 2006. (15.05.2014) MWV 1999 Mineralölwirtschaftsverband e.V.: Mineralöl-Logistik. 1999. (15.05.2014) MZ 2014 Höhne, Steffen: Energiebörse EEX in Leipzig: Zeitenwende im Gashandel. 2014. http://www.mz-web.de/wirtschaft/energieboerse-eex-in-leipzig-zeitenwende-imgashandel,20642182,26799052.html (10.06.2014) 198 Bundesamt für Sicherheit in der Informationstechnik Literaturverzeichnis NCG 2014a NetConnect Germany: NCG - NetConnect Germany: Porträt und Gesellschafter. 2014. http://www.net-connect-germany.de/cps/rde/xchg/SID-891D4F27-CB29866B/ncg /hs.xsl/804.htm (27.03.2014) NCG 2014b NetConnect Germany: NCG - Datenservice. 2014. http://datenservice.net-connect-germany.de/Handelsvolumen.aspx (27.03.2014) NDAV 2006 Bundesregierung; Bundesministerium für Wirtschaft und Technologie; Bundesrat (01.11.2006): Niederdruckanschlussverordnung - NDAV, vom 03.09.2010 NEP 2014 Netzentwicklungsplan (NEP): Die Übertragungsnetzbetreiber: Verantwortung für Systemstabilität und Modernisierung. 2014. http://www.netzentwicklungsplan.de/content/die-%C3%BCbertragungsnetzbetrei ber (14.03.2014) NEP 2013 Netzentwicklungsplan (NEP): Netzentwicklungsplan 2013: Erster Entwurf. 2013. http://www.netzentwicklungsplan.de/content/netzentwicklungsplan-2013-ersterentwurf (28.03.2014) Neue OZ 2014 Hinrichs, Herman: Das schwarze Gold des Hümmling fließt wieder. 2014. http://www.noz.de/lokales/werlte/artikel/461883/das-schwarze-gold-des-hummli ng-fliesst-wieder (12.06.2014) nytimes.com 2012 Otterman, Sharon (2012): Above 40th Street, the Powerless Go to Recharge. In: nytimes.com, 01.11.2012 http://www.nytimes.com/2012/11/02/nyregion/above-40th-street-the-powerlessgo-to-recharge.html?_r=1& (10.06.2014) Oiltanking 2014 Oiltanking Deutschland GmbH & Co. KG: Oiltanking. 2014. http://www.oiltanking.com/Oiltanking/de/Dienstleistungen/terminals/Lagerung_ von_Mineraloelprodukten/europe/oiltanking_hamburg.php (12.03.2014) PRISMA 2014 PRISMA: PRISMA – The Joint European Capacity Platform. 2014. https://platform.prisma-capacity.eu/center/about.xhtml (04.04.2014) Prognos 2013 Prognos AG: Szenariorahmen für den Netzentwicklungsplan Gas 2014 der Fernleitungsnetzbetreiber: im Auftrag der deutschen Fernleitungsnetzbetreiber. 2013. (27.03.2014) Rat 2002 Der Rat der Europäischen Union (16.12.2002): zur Durchführung der in den Artikeln 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln VERORDNUNG (EG) Nr. 1/2003, vom 04.01.2003 regelleistung.net 2014 regelleistung.net: Markt für Regelleistung in Deutschland. 2014. https://www.regelleistung.net/ip/action/static/marketinfo (10.06.2014) Riepl 2008 Riepl, Stefan: File:Stromversorgung.png. 2008. http://commons.wikimedia.org/wiki/File:Stromversorgung.png (15.10.2014) Rigzone 2014 Rigzone: How Does Pipeline Pigging Work? 2014. http://www.rigzone.com/training/insight.asp?insight_id=310&c_id=19 (15.05.2014) RWE 2014a RWE AG: Kraftwerkskapazität nach Betreibern in Deutschland 2008 und 2013. 2014. https://www.rwe.com/web/cms/de/2388282/transparenz-offensive/stromdaten-k ompakt/kraftwerkskapazitaet-nach-betreibern-in-deutschland-2008-und-2013/ (16.05.2014) RWE 2014b RWE AG: Kraftwerkskapazität nach Betreibergruppen und Marktanteile Erzeugung Deutschland 2012. 2014. Bundesamt für Sicherheit in der Informationstechnik 199 Literaturverzeichnis http://www.rwe.com/web/cms/de/2074536/transparenz-offensive/stromdaten-ko mpakt/kraftwerkskapazitaet-nach-betreibergruppen-und-marktanteile-erzeugun g-deutschland-2012/ (28.03.2014) RWE 2014c RWE Dea AG: Aufbereitung von Gas. 2014. http://www.rwe.com/web/cms/de/55158/rwe-dea/know-how/aufbereitung-von-g as/ (06.05.2014) RWE 2014d RWE Dea AG: RWE Dea - Mittelplate. 2014. https://www.rwe.com/web/cms/de/54710/rwe-dea/standorte-weltweit/standorte/ deutschland/mittelplate/ (15.05.2014) RWE 2013 RWE AG: Geschäftsbericht 2013. 2013. (15.10.2014) RWE 2008 RWE Dea AG: Erdgasspeicher: Wolfersberg, Inzenham-West, Breitbrunn/Eggstätt. 2008. (12.05.2014) Schlumgerber 2014 Schlumberger: blowout preventer: Schlumberger Oilfield Glossary. 2014. http://www.glossary.oilfield.slb.com/en/Terms/b/blowout_preventer.aspx (15.05.2014) Schubert 2014 Schubert, Jan: The German shipping sector and the implementation of Liquefied Natural Gas as fuel for ships: Remaining obstacles and possible solutions (Master thesis). 2014. (02.06.2014) Schweiz Erdgas 2010 Schweizerische Erdgaswirtschaft: Sicherheit von Erdgashochdruckanlagen: Schadensszenarien. Erläuterungen zum "Rahmenbericht zur standardisierten Ausmasseinschätzung und Risikoermittlung". 2010. (13.05.2014) Scinexx 2009 Frater, Harald: Deutschland im Netz: „Energiedrehscheibe“ in Europa. 2009. http://www.scinexx.mobi/dossier-detail-439-7.html (27.03.2014) Shell Global 2014 Shell Global: About Shell. 2014. http://www.shell.com/global/aboutshell.html (27.03.2014) Spiegel 2010 Philip Bethge: Explodierte Ölplattform: Bohren bis zum Bruch. 2010. http://www.spiegel.de/wissenschaft/natur/explodierte-oelplattform-bohren-bis-z um-bruch-a-692427-2.html (15.05.2014) SRU 2013 Sachverständigenrat für Umweltfragen: Fracking zur Schiefergasgewinnung Ein Beitrag zur energie-und umweltpolitischen Bewertung. 2013. (12.06.2014) SRU 2009 Rücker: Weichenstellung für eine nachhaltige Stromversorgung. 2009. (20.03.2014) statista 2014 statista: Marktanteile der führenden Tankstellenmarken am gesamten Kraftstoffabsatz (Stand: 1. Januar 2014). 2014. http://de.statista.com/statistik/daten/studie/3444/umfrage/marktanteile-auf-dem -tankstellenmarkt-in-deutschland/ (19.05.2014) Statista 2014 statista: Durchschnittliche Unterbrechungsdauer der Stromversorgung in ausgewählten Ländern Europas im Jahr 2010 (je Kunde in Minuten). 2014. http://de.statista.com/statistik/daten/studie/37960/umfrage/dauer-der-unterbrec hung-der-stromversorgung-in-europa-im-jahr-2008/ (27.03.2014) SWM 2013 Stadtwerke München: Geschäftsbericht 2012. 2013. http://www.swm.de/dms/swm/dokumente/unternehmen/swm/geschaeftsbericht -2012.pdf (15.10.2014) SWP 2012a Stadtwerke Pforzheim: BHB-GW-04-418 Technische Mindestanforderungen der Gasmessanlage. 2012. (10.09.2014) 200 Bundesamt für Sicherheit in der Informationstechnik Literaturverzeichnis SWP 2012b Westphal, Kirsten: Versorgungssicherheit beim Erdgas: Ein Schlaglicht auf vier Herausforderungen für die Politik. SWP-Aktuell, Nr. April. 2012. (31.03.2014) TAB 2010 Petermann, Thomas; Bradke, Harald; Arne, Lüllmann et al.: Gefährdung und Verletzbarkeit moderner Gesellschaften – am Beispiel eines großräumigen Ausfalls der Stromversorgung. 2010. (14.04.2014) TankNotStrom o.J. TankNotStrom: Energie- und Kraftstoffversorgung von Tankstellen und Notstromaggregaten bei längerfristigem Stromausfall. o.J… (10.06.2014) TeleTrust 2012 Kasper, Rolf-Dieter: DIN SPEC 27009 Informationssicherheit in Energienetzen: Deutsche Normungsinittiative zur IT-Sicherheit in Smart Grids. 2012. https://www.teletrust.de/uploads/media/TeleTrusT-Infotag_SmartGrid_Kasper.pdf (18.05.2014) TenneT 2014 TenneT TSO GmbH: SuedLink: Die Hauptschlagader der Energiewende. 2014. http://suedlink.tennet.eu/suedlink.html (28.03.2014) TenneT 2013 TenneT TSO GmbH: Strukturmerkmale. 2013. http://www.tennettso.de/site/Transparenz/veroeffentlichungen/netzkennzahlen/s trukturmerkmale (28.03.2014) Thüga 2014 Thüga Aktiengesellschaft: Daten und Fakten. 2014. http://www.thuega.de/thuega-gruppe/ergebnisse/daten-und-fakten.html (15.10.2014) TransnetBW 2014 TransnetBW: Unternehmenskennzahlen. 2014. http://www.transnetbw.de/de/unternehmen/portrait/unternehmenskennzahlen (28.03.2014) UBA 2013 Umweltbundesamt: Datenbank "Kraftwerke in Deutschland". 2013. http://www.umweltbundesamt.de/daten/energiebereitstellung-verbrauch/kraftwe rke (01.04.2014) Umweltdatenbank o. J. Umweltdatenbank.de: Heizöl. o. J… http://www.umweltdatenbank.de/cms/lexikon/lexikon-h/2355-heizoel.html (29.10.2014) UNITI 2014 UNITI Bundesverband mittelständischer Mineralölunternehmen e.V.: UNITI Portrait. 2014. http://www.uniti.de/uniti-gruppe/uniti-e.v./portrait/portrait.html (13.03.2014) UP KRITIS 2013 UP KRITIS: UP KRITIS: Öffentlich-Private Partnerschaft zum Schutz Kritischer Infrastrukturen. 2013. http://www.bbk.bund.de/SharedDocs/Downloads/Kritis/DE/Fortschreibung_Gesa mtdokument.pdf?__blob=publicationFile (06.10.2014) VBEW 2005 Dähne, Clemens: Bilanzkreis- und Fahrplanmanagement: vor dem Hintergrund des Energiewirtschaftgesetzes mit der Stromnetzzugangsverordnung. 2005. http://www.vbew.de/fileadmin/datei_anhaenge/223_Veranstaltungen/Vortrag_D_ hne.pdf (10.06.2014) VDE 2010 Verband der Elektrotechnik Elektronik Informationstechnik e.V.: Energieinformationsnetze und -systeme: Bestandsaufnahme und Entwicklungstendenzen. 2010. (29.04.2014) VDN 2007a Dipl.-Ing. Holger Berndt; Dipl.-Ing. Mike Hermann; Dipl.-Ing. Horst D. Kreye et al.: TransmissionCode 2007: Netz- und Systemregeln der deutschen Übertragungsnetzbetreiber. 2007. (28.03.2014) Bundesamt für Sicherheit in der Informationstechnik 201 Literaturverzeichnis VDN 2007b Dipl.-Ing. Christof Epe; Dipl.-Ing. Jan Fuhrberg-Baumann; Dipl.-Ing. Ute Herbst et al.: DistributionCode 2007: Regeln für den Zugang zu Verteilungsnetzen. 2007. (12.03.2014) VGB 2012 VGB PowerTech e.V.: Regeldynamisches Zusammenwirken von Kraftwerken und Netzen bei deregulierter Energiewirtschaft: Umsetzung von Maßnahmen zur Reduktion der Kraftwerksbeanspruchung. 2012. http://www.vgb.org/fue_projekt332.html (29.04.2014) VKU 2014 Verband kommunaler Unternehmen e. V (VKU): VKU - Über uns: Der Spitzenverband der kommunalen Wirtschaft. 2014. http://www.vku.de/ueber-uns.html (28.03.2014) VNG o.J. VNG Gasspeicher GmbH: VNG Gasspeicher GmbH: Zuverlässig und flexibel im Gasmarkt. o.J… http://www.vng-gasspeicher.de/content/de/zz_Downloads/Imagebrosche.pdf (07.05.2014) WEG 2014a WEG - Wirtschaftsverband Erdöl- und Erdgasgewinnung e.V.: Erdgas & Erdöl Enstehung Suche Förderung. 2014. https://www.erdoel-erdgas.de/Medien/Publikationen/Broschueren/Erdgas-Erdoel (15.05.2014) WEG 2014b WEG - Wirtschaftsverband Erdöl- und Erdgasgewinnung e.V.: Erdgas aus Deutschland. 2014. https://www.erdoel-erdgas.de/Themen/Erdgas-aus-Deutschland (27.03.2014) Welt.de 2014 Wetzel, Daniel: Nationale Gasreserve für Deutschland gefordert. 2014. http://www.welt.de/wirtschaft/article125740892/Nationale-Gasreserve-fuer-Deuts chland-gefordert.html (31.03.2014) Welt.de 2013 Wetzel, Daniel: Jede Stunde Blackout kostet 600 Millionen Euro. 2013. http://www.welt.de/wirtschaft/article121265359/Jede-Stunde-Blackout-kostet-600 -Millionen-Euro.html (27.03.2014) Welt.de 2012 welt.de: Gier der Zocker gefährdet deutsche Stromnetze. 2012. http://www.welt.de/wirtschaft/article13871423/Gier-der-Zocker-gefaehrdet-deuts che-Stromnetze.html (03.04.2014) Welt.de 2010 Burger, Jost: Eine dezentrale Branche unter Strom: Die regionale Energieversorgung liegt im Trend – davon profitieren auch kommunale Versorger. Perfekt aufgestellt sind sie bislang aber noch nicht… 2010. http://www.welt.de/wirtschaft/article8139111/Eine-dezentrale-Branche-unter-Str om.html (28.03.2014) Wernekinck et al. 2011 Wernekinck, Ulrich: Smart Metering in der Gasversorgung. energie-wasser-praxis 2011. (20.03.2014) Wintershall 2014a Wintershall: Bohrung. 2014. http://www.heimische-foerderung.de/erdol-und-erdgas-sicher-fordern/bohrung/ (05.05.2014) Wintershall 2014b Wintershall: Exploration von Öl und Gas mit Know-how und Hightech. 2014. http://www.wintershall.com/technologie/exploration.html (15.05.2014) Wirtschafts Woche 2013 Wirtschafts Woche: Analyse der kurzen und langen Frist: Hedgefonds profitiert vom Wetter. 2013. http://www.wiwo.de/finanzen/boerse/strompreis-spekulation-hedgefonds-profiti ert-vom-wetter/7606064.html (10.06.2014) 202 Bundesamt für Sicherheit in der Informationstechnik Literaturverzeichnis Yang 2013 Yang, Chi-Jen; Jackson, Robert B.: China's synthetic natural gas revolution. Nature Climate change, Nr. 10. 2013. (20.03.2014) Zoll 2014 Zoll: Biokraftstoffquote. 2014. http://www.zoll.de/DE/Fachthemen/Steuern/Verbrauchsteuern/Energie/Besonde rheiten/Biokraftstoffquote/biokraftstoffquote_node.html (27.03.2014) Bundesamt für Sicherheit in der Informationstechnik 203