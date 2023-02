Die neu gebauten Flüssigerdgas-Terminals in Deutschland sollen laut einem Medienbericht nur unzureichend vor Cyberattacken und Sabotage geschützt sein. Sie seien nicht als kritische Infrastruktur eingestuft und müssen damit weniger Sicherheitsvorkehrungen treffen, berichtet das ZDF-Magazin "frontal". Laut Bundesinnenministerium sei die Einstufung als kritische Infrastruktur in Vorbereitung. Die Betreiberunternehmen der LNG-Terminals weisen auf Nachfrage von heise online allerdings zurück, dass der Schutz deshalb lückenhaft sei.

Wie real die Bedrohungen sind, zeigt allein ein Fall aus Nordamerika: Im Frühjahr 2021 bekamen Teile der USA einen Vorgeschmack darauf, was passieren kann, wenn eine Cyberattacke auf kritische Infrastruktur verübt wird. Die Colonial Pipeline, das größte Pipelinesystem für Kraftstoffe in den USA wurde vom Betreiber nach einem Ransomware-Angriff tagelang außer Betrieb genommen. An Tankstellen, die über die Pipeline versorgt werden, spielten sich chaotische Szenen ab. Pikanterweise waren es nicht die besser geschützten Steuersysteme oder die elektrischen Systeme, die beeinträchtigt waren, sondern lediglich die IT für die Abrechnung – allerdings mit Auswirkungen auf den gesamten Betrieb.

Sabotage von Nord Stream: Ein Warnschuss?

Das Gefahrenbewusstsein in Europa wurde indessen durch die Sabotage an den Ostsee-Gaspipelines Nord Stream 1 und 2 geschärft. Bis heute ist ungeklärt, wer die Attacke auf die Rohre verübt hat. Es wird für möglich gehalten, dass weitere Angriffe auf kritische Infrastruktur verübt werden, um Europas Versorgung mit Energie zu gefährden. Dabei könnten auch Angriffe auf die IT eine Rolle spielen.

In dem ZDF-Bericht kommt der Sicherheitsexperte Sandro Gaycken, Direktor des Digital Society Institute an der European School of Management and Technology (ESMT) Berlin, zu Wort. Er sagt, dass allein aufgrund der Geschwindigkeit, in der die LNG-Terminals gebaut wurden, davon auszugehen sei, dass IT-Sicherheit nicht auf dem erforderlichen Level eingebaut wurde. Russland hätte leichtes Spiel, kritische Infrastrukturen in Deutschland anzugreifen. Eine Anfrage, wo genau er die Risiken sieht, beantwortete er bislang nicht.

Kritis und Sicherheitsgesetz: Neue Pflichten

Mit der Einstufung als kritische Infrastruktur und dem IT-Sicherheitsgesetz 2.0 würde auf die Terminalbetreiber eine Reihe neuer Pflichten zukommen. Dazu gehören Systeme zur Angriffserkennung, die mittels Mustern Unregelmäßigkeiten automatisch erkennen sollen. Ferner kommen auf die Firmen Meldepflichten bei Störungen und eine Registrierungspflicht zu.

Das sagen die Terminalbetreiber

Welche Vorkehrungen sie genau getroffen haben und wo potenzielle Angriffsflächen gesehen werden, darüber schweigen sich die Betreiber der LNG-Terminals aus Sicherheitsgründen aus. Die Sorge, dass bei der IT-Sicherheit stark nachgebessert werden muss, sehen sich allerdings als unbegründet an, wie Nachfragen von heise online ergeben haben.

Die Cybersicherheit auf der FSRU, dem schwimmenden Terminal, folge den internationalen Anforderungen der Internationalen Seeschifffahrts-Organisation (IMO) und TMSA3 (OCIMF) und liegt in der Verantwortung der Höegh LNG, wobei das NIST-Regelwerk für einen gezielten Ansatz im Bereich der Cybersicherheit verwendet wird, erklärte ein Sprecher von Uniper auf Nachfrage. Uniper betreibt das LNG-Terminal in Wilhelmshaven, das Mitte Dezember offiziell in Betrieb genommen wurde.

Schon jetzt mit dem BSI im Kontakt

Als Energieversorgungsunternehmen sei Uniper nach dem Energiewirtschaftsgesetz (EnWG) verpflichtet, einen angemessenen Schutz gegen Bedrohungen der Telekommunikations- und elektronischen Datenverarbeitungssysteme zu gewährleisten, die für einen sicheren Netz-/Anlagenbetrieb notwendig sind, erklärt der Sprecher weiter. "Die Bundesnetzagentur hat dazu einen Katalog von Sicherheitsanforderungen (IT-Sicherheitskatalog) veröffentlicht." Im Falle Wilhelmshavens habe man die gesetzlichen Anforderungen an die Informationssicherheit mit der Bundesnetzagentur erörtert. Als Teil des Gas-Fernleitungsnetzes müsse das LNG-Terminal den Anforderungen dieser IT-Sicherheitskataloge nachkommen – dies sei beim Bau gleich berücksichtigt worden. Zudem stehe das Unternehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) in ständigem Austausch. Es seien Maßnahmen wie Mitarbeiterschulungen, Zutrittsmanagement und Maßnahmen zur Informationssicherheit ergriffen worden.

Die Deutsche ReGas, die in Lubmin (Mecklenburg-Vorpommern) das erste komplett privat betriebene LNG-Terminal betreibt, erklärte gegenüber heise online, dass es das "ureigenste Interesse" des Betreibers sei, dass die von Lieferanten gebuchte Regasifizierungskapazität jederzeit uneingeschränkt zur Verfügung steht. "Aus diesem Grund haben wir alle notwendigen Maßnahmen ergriffen, um unsere sensible und systemrelevante Infrastruktur zu schützen. Zu weiteren Details geben wir zum Schutz vor ebensolchen potenziellen Angriffen selbstverständlich keine näheren Auskünfte." Bei der Firma German LNG Terminal, die in Brunsbüttel ein Flüssigerdgasterminal für das Jahr 2026 plant, habe man die spätere IT-Sicherheit heute schon im Blick, heißt es.

