Dr. Wilhelm Eschweiler, würden Sie sich sowie die Bundesnetzagentur kurz vorstellen?
Wir sind die zentrale Infrastrukturbehörde Deutschlands und fördern den Wettbewerb in den Märkten für Energie, Telekommunikation, Post und Eisenbahnen. Unsere Aufgabe ist, die Leistungsfähigkeit der zentralen Lebensadern unseres Landes sicherzustellen.
Es gilt, Monopole in den netzgebundenen Märkten präventiv zu verhindern. Der Wettbewerb sorgt für faire Marktbedingungen, beides dient dem Verbraucherschutz. Wir brauchen eine effiziente Regulierung der so wichtigen Digitalisierungsprozesse. Und wir brauchen eine sichere und bezahlbare Energieversorgung. Bei diesen und vielen weiteren Themen legen wir den Schwerpunkt auf Effizienz und Nachhaltigkeit. Wo das noch bessergehen kann, weisen wir darauf hin.
Ich bin seit 2014 Vizepräsident dieser Behörde in ihrer Bonner Zentrale. Meine zentrale Aufgabe ist die Telekommunikation und damit auch das Thema Sicherheit im Cyber-Bereich. Außerdem bin ich für den Eisenbahn-Sektor zuständig. Davor war ich seit 2007 Leiter des Referats „Europäische IKT-Politik“ im Bundesministerium für Wirtschaft und Energie. Von 2002 bis 2006 habe ich dort das Referat „Internationale Telekommunikations- und Postpolitik“ geleitet. Sie sehen, die Telekommunikation mit all ihren Facetten spielt schon lange eine entscheidende Rolle in meinem beruflichen Leben.
Wie begegnet die Bundesnetzagentur den wachsenden Bedrohungen durch Cyberangriffe auf kritische Infrastrukturen, insbesondere auf die Strom- und Gasnetze?
Die Bedrohungslage im Energiesektor ist seit Frühjahr 2022 auf einem gleichbleibenden Niveau. Aufgrund hoher Sicherheitsstandards gab es weder Beeinträchtigungen, noch Ausfälle von kritischen Infrastrukturen im Energiesektor als Folge von Angriffen.
Die von uns regulierten Betreiber müssen die Anforderungen der IT-Sicherheitskataloge nach dem Energiewirtschaftsgesetz unter Berücksichtigung der internationalen Standards erfüllen. Konkret müssen Betreiber von Energieversorgungsnetzen sowie KRITIS-Energieanlagen innerhalb festgeschriebener Umsetzungsfristen eine lückenlose Zertifizierung auf Basis der jeweils aktuellen Fassung der ISO-Normen nachweisen. Die korrekte Umsetzung und somit die Einhaltung des Stands der Technik wird durch akkreditierte Zertifizierungsstellen im Rahmen von individuellen Zertifizierungsverfahren mit verpflichtenden, flächendeckend Vor-Ort-Prüfungen bei allen Betreibern sichergestellt.
Die Bundesnetzagentur zeichnet sich als Regulierungsbehörde durch ihre hohe Sektor-Expertise aus, die wesentlich für die Entwicklung und Überprüfung von Standards ist. Da der Energiesektor starken Veränderungen unterworfen ist, wurde ein regelmäßiger Austausch mit der Branche etabliert. So werden komplexe Branchenspezifika fortlaufend in den Vorgaben der BNetzA abgebildet. Da die Bundesnetzagentur im Energiesektor bereits umfangreiche Erfahrungen und Kontakte etabliert hat, sind die Branchen-Dialoge zum Thema IT-Sicherheit ausgesprochen effizient und vertrauensvoll.
Eine kontinuierliche Evaluierung und Novellierung der bestehenden Sicherheits-Vorgaben und des gesetzlichen Rahmens ist unerlässlich. Das liegt nicht nur an Veränderungen für bereits regulierte Betreiber, sondern auch an der Vielzahl neu hinzukommender Akteure im Energiesektor. Ein Beispiel sind hier digitale Energiedienste. Über die rein präventiven Maßnahmen hinaus, hätten wir gerne mehr gesetzliche Möglichkeiten, um auf IT-Sicherheitsvorfälle reagieren zu können. Hierzu gehört aktuell insbesondere die zügige Erfassung von IT-Sicherheitsvorfällen und die Bewertung möglicher oder tatsächlicher Auswirkungen auf den Energiebereich. Nur so ist es möglich, im Ernstfall diesen Auswirkungen entgegenzuwirken.
Ebenso wie die sich ändernde Bedrohungslage und die sich ändernden Energiesysteme besteht aus unserer Sicht daher aktuell ein kontinuierlicher Bewertungs-Bedarf für mögliche Novellen im Bereich IT-Sicherheit Energie.
Welche Rolle spielt die Bundesnetzagentur bei der Umsetzung der europäischen Cybersicherheitsstrategie und der Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen (NIS-Richtlinie)?
Aus der NIS Richtlinie fallen der Bundesnetzagentur Aufgaben im Hinblick auf die Sicherstellung der Cybersicherheit der Unternehmen im TK-Sektor zu. Im Eivernehmen mit dem BSI und dem BfDI erstellen wir den Katalog für Sicherheitsanforderungen für das Betreiben von TK- und Datenverarbeitungssystemen. Darüber hinaus bewertet und überprüft die Bundesnetzagentur die technischen und organisatorischen Schutzmaßnahmen der Betreiber von TK-Netzen und TK-Diensten. Sicherheitsvorfälle oder Mängel sind bei der Bundesnetzagentur und dem BSI zu melden. Eine jährliche Berichtspflicht über eingegangene Störfälle und Abhilfemaßnahmen erfolgt gegenüber dem BSI. Auch im Hinblick auf die Daten- und Informationssicherheit findet eine Zusammenarbeit mit dem BSI und dem BfDI statt.
Außerdem arbeitet die Bundesnetzagentur gemeinsam mit dem BSI daran, die Widerstandsfähigkeit der öffentlichen TK-Netze und der öffentlich zugänglichen TK-Dienste zu erhöhen. Hierfür hat die Bundesnetzagentur im September 2022 ein Strategiepapier veröffentlich, das zusammen mit der TK-Branche und dem BSI entwickelt wurde.
Haus weit begleiten wir die Umsetzung der NIS2-RL und auch der EU-Richtlinie über die Resilienz kritischer Einrichtungen (CER-RL) als Teil der Cybersicherheitsstrategie der EU. Grund dafür ist, dass beide Richtlinien und deren Umsetzung in nationales Recht Auswirkungen auf mehrere Sektoren und deren Zuständigkeiten haben wird. Möglicherweise werden die Zuständigkeiten der Bundesnetzagentur erweitert. Weitere Einzelheiten können zum jetzigen Stand der beiden Gesetzesvorhaben nicht benannt werden. Es bleibt zudem auch in Zukunft spannend mit Blick auf die Cybersecuritystrategie der EU, da nun auch der erste Entwurf des Cyber Resilience Act vorliegt. Er soll sich um ein höheres Schutzniveau von Hardware- und Softwareprodukten bemühen.
Wie unterstützt die Bundesnetzagentur den Einsatz von 5G-Technologien in Deutschland und welche Anforderungen stellt sie an die Sicherheit und Zuverlässigkeit der 5G-Netze?
Die Wichtigkeit der TK-Netze ist der Bundesnetzagentur bewusst und hat eine hohe Priorität. Die weltweite Vernetzung der Menschen gehört längst zu unserem Alltag. Intelligente Entwicklungen wie automatisiertes Fahren, Industrie 4.0 und Internet of Things verändern den Telekommunikationsmarkt rasant. Die Digitalisierung ist nicht aufzuhalten und allgegenwärtig. Sie stellt aber die Beteiligten auch vor große Herausforderungen.
Die Bundesnetzagentur hat daher bereits im Rahmen der Auktion 2019 Frequenzbereiche bereitgestellt, die zwar technologieneutral zugeteilt wurden, aber als Grundlage neuer technologischer Entwicklungen wie 5G und einer besseren Flächenversorgung dienen können. Neben den bundesweiten Frequenznutzungsrechten stellt die Bundesnetzagentur weitere Frequenzen für lokale Zuteilungen bereit, die für 5G-Anwndungen genutzt werden können.
Die Mobilfunkversorgung hat sich mit der Bereitstellung entsprechender Frequenzen in Deutschland spürbar verbessert. Dies wird insbesondere beim Blick auf 5G deutlich. Die breitbandige Technologie ist in über 87 Prozent in der Fläche Deutschlands verfügbar.
Neue Technologien, neue Dienste und geänderte Bedrohungslagen erfordern aber auch eine permanente Überprüfung der Anforderungen an die Sicherheit und Widerstandsfähigkeit der Telekommunikationsnetze- und Dienste. Aufgabe der Bundesnetzagentur ist es, Vorgaben zu machen, dass Telekommunikationsnetze ein ausreichend hohes Schutzniveau und die größtmögliche Stabilität aufweisen.
Ein Ziel muss es sein, mit Maßnahmen diese Sicherheit herzustellen. So erlegt das Telekommunikationsgesetz den Betreiber und Anbietern von Telekommunikationsnetzen und -diensten bereits genau solche Maßnahmen und Vorkehrungen auf.
Einzelheiten der zutreffenden Maßnahmen ergeben sich aus dem Katalog von Sicherheitsanforderungen. Der Katalog ist ein wichtiges Werkzeug, um Störfälle zu vermeiden und die Verfügbarkeit in den TK-Netzen sicherzustellen. Er legt zu treffende technische Vorkehrungen und wichtige Maßnahmen fest. Diese müssen die Unternehmen umsetzen. Besonders mit Blick auf neue Technologien, neue Dienste, müssen verschärfte Schutzmaßnahmen zum Einsatz kommen.
Die Liste der kritischen Funktionen ist Teil des Katalogs von Sicherheitsanforderungen und bezieht sich auf Netze mit erhöhtem Gefährdungspotenzial, also vor allem 5G-Netze. Die Liste definiert auf Basis des EU Risk Assessment Funktionen, welche besonders hohe Sicherheitsanforderungen an die Komponenten stellen.
In Deutschland tätige TK-Netzbetreiber müssen kritische Komponenten von 5G-Netzen dem Bundesministerium des Innern und für Heimat anzeigen. Bundesnetzagentur und BSI sind am Verfahren beteiligt und haben mit der Liste der kritischen Funktionen als Anlage zum Sicherheitskatalog eine der Grundlagen für diese Prüfungsverfahren veröffentlicht, da mit deren Hilfe die Betreiber die kritischen Komponenten eruieren können und diese dem BMI melden müssen.
Was erwartet die Bundesnetzagentur von Ihrer Beiratsmitgliedschaft im Cyber Security Cluster?
Alle haben ein Interesse daran, die Cybersicherheit weiter auszubauen. Das ist nicht nur ein Thema für Wirtschaft und Politik, sondern für die ganze Gesellschaft, also die Menschen in unserem Land. In dem Tempo, in dem die verfügbaren Datenmengen wachsen, müssen auch unsere Kompetenzen wachsen. Das gelingt am besten in Zusammenarbeit mit allen, die die Expertise haben. Im Cyber Security Cluster finden wir die in geballter Form. Ein Cluster ist ja nichts anderes als ein Netzwerk, in dem Kräfte gebündelt sind. Ein Austausch ist hier nicht nur möglich, sondern die zentrale Voraussetzung für Entwicklung. Die Mitgliedsunternehmen übersetzen ihre Erfahrungen aus der täglichen Praxis in den Transfer von Wissen. Von diesem Wissen wird die Bundesnetzagentur als neues Beiratsmitglied auch profitieren. Ich persönlich hoffe, dieses wiederum in meine Arbeit in der Bundesnetzagentur einbringen zu können. Umgekehrt können wir unsere Perspektive und Erfahrung aus Verwaltung und Regulierung in dieses wichtige Netzwerk beisteuern.