Cyber-Risiken bei M&A-Transaktionen im Energiesektor

Die Energiewirtschaft war Cyber-Risiken in den vergangenen Jahren zunehmend ausgesetzt. Die fortschreitende Digitalisierung der Energiebranche wird diesen Trend auch nur schwerlich umkehren können. Es wird daher von wesentlicher Bedeutung sein, wie mit diesen Risiken umzugehen ist und ob es den Beteiligten gelingt, ihre Infrastrukturen gegen Angriffe von außen effektiv abzusichern.

Gerade bei Unternehmenstransaktionen im Energiesektor wird die Absicherung von Assets gegen solche Cyber-Risiken eine nicht unerhebliche Rolle spielen. Dies betrifft auch und gerade den Bereich regenerativer Energien wie etwa Windparks. Erwerber müssen hier prüfen, welche tatsächlichen Risiken bestehen und wie diese sinnvoll adressiert bzw. mitigiert werden können.

 

Tatsächliche Risiken

Windparks sind komplexe, vernetzte Anlagen, auf die in vielen Fällen (auch) remote zugegriffen werden kann – sei es zur Wartung oder Steuerung der Anlage. Hierzu werden etwa Systeme wie CMS-, SCADA oder Park-Control verwendet, die größtenteils automatisiert die Steuerung des gesamten Parks übernehmen, da dies in der Regel deutlich effizienter ist, als die Steuerung einzelner Windräder. Wie auf jedes IT-System kann aber nicht nur potentiell remote auf einen solchen Windpark zugegriffen werden, sondern auch physisch über Terminals bzw. Schnittstellen. Dabei kann der Angriff sowohl extern über das Eindringen von Schwachstellen im Netz, der physischen Absicherung oder intern über Social Engineering erfolgen.

Bei einem möglichen Angriff auf einen Windpark sind verschiedene Schadensszenarien denkbar, von der Notwendigkeit, den Windpark komplett vom (Strom-)Netz zu nehmen, der Beeinträchtigung des Netzes bis hin zu physischen Schäden an der Anlage selbst oder dem Eindringen über einen schlecht geschützten Windpark in das Netzwerk des Betreibers. Insbesondere bei dislozierten, aber vernetzten Anlagen oder Off-Shore-Anlagen sind notwendige Eingriffe direkt an der Anlage durch den Betreiber dann mit erheblichem Aufwand verbunden.

 

Rechtliche Risiken

Rechtlich haftet ein Betreiber eines Windparks für möglicherweise entstehende Schäden aus einer Cyber-Attacke, insbesondere dann, wenn gesetzliche Pflichten für die Absicherung seiner Anlage bestehen und der Betreiber diese nicht erfüllt – etwa als Betreiber kritischer Infrastrukturen nach § 8a BSIG. Je nach Schadensszenario kann eine Cyber-Attacke zudem personenbezogene Daten betreffen, etwa die von Mitarbeitern, die Wartung und Steuerung der Anlagen übernehmen oder personenbezogene Daten, die auf verbundenen IT-Systemen gespeichert sind. In diesem Zusammenhang ist insbesondere darauf zu achten, dass auch eine Nichtverfügbarkeit von Daten, etwa aufgrund von Verschlüsselungs-Trojanern oder dem Löschen von Daten eine Verletzung des Schutzes personenbezogener Daten im Rahmen der Datenschutz-Grundverordnung darstellen.

Im Rahmen eines Asset- oder Share-Deals haftet unter Umständen der Verkäufer, wenn der Windpark die rechtlichen Anforderungen an die Cyber- und IT-Sicherheit nicht erfüllt. Das Risiko muss sich dabei gar nicht zwingend realisieren, der Mangel dürfte bereits darin liegen, dass die zwingenden Vorgaben zur IT-Sicherheit nicht erfüllt werden. Sind diese Pflichtverletzungen dann auch noch ursächlich für Schäden etwa an den Anlagen oder am Netz, kann auch hier eine Haftung des Verkäufers gegeben sein.

 

Vertragliche Regelungen genügen nicht

Vertragliche Regelungen im Unternehmenskaufvertrag können die Risiken für den Käufer nicht immer vollständig adressieren. Zudem ist bei Cyber-Attacken im Nachgang unter Umständen gar nicht mehr festzustellen, ob tatsächlich eine Verletzung der Anforderungen an die Cyber- und IT-Sicherheit ursächlich für den Schaden ist, den die Cyber-Attacke verursacht. Die Stellräder für eine vertragliche Regelung müssen daher verschiedene Bereiche abdecken, sowohl im Bereich der Compliance und Cyber- und IT-Sicherheit als auch im Datenschutz. Aus Verkäufersicht ist darauf zu achten, ob Haftungsbeschränkungen unter Umständen unwirksam sind und so vermeintlich abgedeckte Risiken etwa einer zwingenden gesetzlichen Haftung unterliegen oder breiten Garantieerklärungen unterfallen.

Aus Käufersicht ist neben der vertraglichen Absicherung der Risiken eine Due-Diligence empfehlenswert, die den tatsächlichen Stand der Cyber- und IT-Sicherheit sowie der Compliance des Targets genauer untersucht. Neben Policies und Richtlinien sowie relevanten Verträgen, etwa mit Wartungsdienstleistern sollten die verwendeten IT-Systeme für Steuerung und Abrechnung sowie Wartung auch technisch auf Aktualität und Updatefähigkeit geprüft werden. Außerdem muss das Sicherheitskonzept auch die physischen Zutritts- und Zugriffsbeschränkungen auf die relevanten Systeme angemessen adressieren.