• An allen Enden fester
  • OGE arbeitet mit Lkw-Herstellern zusammen
  • Verbände fordern mehr Hilfen bei Effizienz-Projekten
  • Vonovia will mehr Mieterstromanlagen bauen
  • Projektplaner von Amprion erhalten eigenes Bürogebäude
  • BEE: Energiewende braucht schnell mehr grüne Stromerzeugung
  • Aufbruch in die E-Luxusklasse mit reichlich Kilowatt
  • Feldversuch in Tamm macht Netze BW fit fürs Elektromobilität
  • Uniper klagt gegen niederländischen Kohleausstieg ohne Entschädigung
  • Netzagentur kürzt Gebotsvolumen um 250 MW
Enerige & Management > IT - Tipps für mehr Cyber-Sicherheit
Bild: Fotolia.com, Edelweiss
IT:
Tipps für mehr Cyber-Sicherheit
Eine Aufrüstung des elektrischen Netzes mit automatisierten, dezentralen IT-Komponenten macht das System verwundbarer gegenüber Fehlfunktionen und Cyber-Angriffen. Andre Herrmann* beschreibt, wie man sich dagegen schützen kann.
 
Bislang wurde das Thema Cyber-Sicherheit von den Energieversorgern trotz zunehmender Risiken häufig als entferntes Zukunftsproblem abgetan. Als die Stadtwerke Ettlingen jedoch Anfang 2014 ihre IT-Systeme von einem Profihacker auf Angriffssicherheit testen ließen und dieser lediglich zwei Tage benötigte, um in die vermeintlich sichere Leitwarte der städtischen Stromversorgung einzudringen, wurde schlagartig deutlich, dass die Cyber-Angriffe die Energiebranche längst erreicht haben. Doch wie sollten sich Energieversorger dieser Herausforderung stellen?
 
Die verschiedenen Aspekte der Cyber-Sicherheit
 

Hauptaufgabe der Cyber-Sicherheit ist es, die klassischen Schutzziele der Informationssicherheit (Verfügbarkeit, Integrität und Vertraulichkeit von IT-Systemen) sicherzustellen. Hierbei sind zwei verschiedene Felder zu berücksichtigen: die Funktionssicherheit (IT-Safety) und die Angriffssicherheit (IT-Security) eines IT-Systems.

Ein Beispiel aus der Automobilindustrie macht deutlich, dass beide Felder von großer Wichtigkeit sind: In modernen Kraftfahrzeugen wird beispielsweise das Bremssystem digital gesteuert. Dieses System muss fehlerfrei funktionieren. Mit Methoden der IT-Safety werden Korrektheit, Zuverlässigkeit und Verfügbarkeit des IT-Systems auch bei Störungen gewährleistet (Resilienz). Durch die IT-Security wird sichergestellt, dass das Bremssystem nicht durch Störangriffe über externe Schnittstellen geschädigt werden kann. Das fehlerfreie Funktionieren des Bremssystems kann nur dann garantiert werden, wenn beide Sicherheitsfelder (IT-Safety und IT-Security) planvoll miteinander kombiniert werden.

Dennoch liegt der Fokus der öffentlichen Diskussion zum Thema Cyber-Sicherheit in der Energiebranche derzeit fast ausschließlich auf der Abwehr von externen Angriffen. Insbesondere vor dem Hintergrund der Energiewende ist es jedoch zwingend notwendig, die Debatte um den Aspekt der Funktionssicherheit zu erweitern. Es muss bedacht werden, dass ein IT-System, das zwar gegen externe Angriffe – etwa durch Hacker oder Viren – gut geschützt ist, aber gleichzeitig eine hohe interne Fehleranfälligkeit aufweist, ebenso wenig zur Steuerung der Energieflüsse eingesetzt werden kann wie ein funktionssicheres System, das nicht oder nur unzureichend gegen externe Gefahren abgesichert ist.
 
Schritte zu einem sicheren Energiesystem
 
Für Energieversorger gilt es, sich rechtzeitig mit dem Thema Cyber-Sicherheit auseinandersetzen, um unter Berücksichtigung von Kosten und Risiken abzuwägen, zu welchem Zeitpunkt welche Maßnahmen durchgeführt werden müssen. Zwar gibt es derzeit in diesem Bereich noch keine gesetzlichen Vorgaben, doch ist zu erwarten, dass in naher Zukunft entsprechende Verordnungen erlassen werden.

So gibt es einen ersten Entwurf der Bundesnetzagentur zum IT-Sicherheitskatalog, in welchem die Einführung eines Informationssicherheitsmanagements (ISMS) bei Netzbetreibern gefordert wird. Für die Implementierung eines ISMS müssen diese geeignete Prozesse, Methoden und Werkzeuge einführen, die es ihnen ermöglichen, ihre IT-Risiken zu identifizieren und zu managen sowie geeignete Maßnahmen zu implementieren. Es ist davon auszugehen, dass der IT-Sicherheitskatalog noch im Laufe dieses Jahres verabschiedet und somit für Netzbetreiber verbindlich wird.

Zudem besteht schon heute das unternehmerische Risiko eines durch mangelnde IT-Sicherheit bedingten Systemausfalls mit seinen möglichen Neben- und Folgeerscheinungen. Aus diesem Grund ist es für Akteure der Energiebranche ratsam, sich proaktiv mit diesem Thema auseinanderzusetzen und erste Schritte einzuleiten.

Für die bestehende IT-Landschaft kann ein solcher Schritt beispielsweise ein professioneller Cyber-Sicherheits-Check sein. Bei diesem wird in einem Kurzaudit innerhalb eines Tages eine fundierte Einschätzung zum Sicherheitsniveau und zu den Schwachstellen des jeweiligen Unternehmens erarbeitet. Auf diese Weise können akute Risiken identifiziert und anschließend wirksam begrenzt werden. Zudem liefert ein solcher Check die ideale Grundlage, um später ISMS umzuführen und auch die weiteren Vorgaben des kommenden IT-Sicherheitskatalogs zu erfüllen.

Im Hinblick auf die zunehmende Integration intelligenter IT-Systeme in die Stromnetze, zum Beispiel in intelligenten Ortsnetzstationen (iONS), ist es schon heute enorm wichtig, IT-Sicherheitsrisiken zu beherrschen, um die Versorgungssicherheit zu garantieren und um wirtschaftliche Risiken zu kontrollieren. Die hierfür notwendigen Prozesse, Methoden und Werkzeuge für beide Sicherheitsfelder (IT-Safety und IT-Security) sind grundsätzlich bereits vorhanden. Diese werden jedoch bislang zumeist getrennt voneinander und nur punktuell eingesetzt. Entscheidend für die Sicherheit des zukünftigen Energiesystems ist die kontinuierliche Anwendung beider IT-Sicherheitsfelder in einem ganzheitlichen Sicherheitskonzept, das mit der Entwicklung des Stromnetzes selbst und den sich verändernden Risikofaktoren Schritt hält.
 
Kalkulation des Risikos
 
Zur Erarbeitung eines solchen ganzheitlichen Sicherheitskonzeptes bietet sich ein standardisiertes Vorgehensmodell an. Grundlage für dieses kann wiederum ein Informationssicherheitsmanagementsystem sein. Im Folgenden wird ein entsprechendes Vorgehen anhand des Beispiels einer iONS vorgestellt:
 
  • Identifikation der sicherheitskritischen Komponenten der iONS, beispielsweise Schnittstellen zum Internet (IT-Security) oder die Regelungssoftware (IT-Safety)
  • Ermittlung der Schadensszenarien und -kosten, die durch ein Versagen der sicherheitskritischen Komponenten entstehen können (zum Beispiel ein Angriff auf das Netzleitsystem über die iONS oder die Überlastung des Trafos durch fehlerhafte Schaltung)
  • Kalkulation der Risikokosten einer iONS. Hierfür ist die Eintrittswahrscheinlichkeit der Schadensszenarien durch IT-Safety- und IT-Security-Vorfälle zu erheben und mit der Höhe der Schadenskosten (aus Schritt 2) zu multiplizieren
  • Behandlung des Risikos. Zunächst sind Maßnahmen zu identifizieren und es gilt abzuwägen, inwiefern diese Maßnahmen wirtschaftlich sein können, oder ob Risiken akzeptiert werden sollen
  • Umsetzung entsprechender Maßnahmen.
 
Die wiederkehrende Durchführung dieses Vorgehens stellt sicher, dass die IT-Risiken jederzeit transparent sind und ihnen rechtzeitig und angemessen begegnet werden kann. Die konkrete Durchführung der einzelnen Schritte ist im Gegensatz zu anderen Branchen (etwa der Automobilbranche) für die Energieversorgung und hier insbesondere für den Bereich der intelligenten Stromnetze neu und erscheint daher noch eine Gleichung mit vielen Unbekannten zu sein.

Ganzheitliche Lösungsansätze werden hier nicht ad hoc entstehen, sondern müssen speziell für die jeweiligen Anwendungsfälle entwickelt werden. Schon heute gibt es ausreichend erprobte Möglichkeiten, bestehende IT-Infrastrukturen abzusichern und ganzheitliche Sicherheitskonzepte zu erstellen. Es liegt daher in der Hand jedes einzelnen Energieversorgers, ob er den neuen Sicherheitsanforderungen proaktiv – durch Lösungsansätze by design – oder reaktiv – im schlimmsten Fall by accident – begegnet.
 
 
* Andre Herrmann, BTC Business Technology Consulting AG, Oldenburg

 
Möchten Sie diese und weitere Nachrichten lesen?
 
 
Testen Sie E&M powernews
kostenlos und unverbindlich
  • Zwei Wochen kostenfreier Zugang
  • Zugang auf stündlich aktualisierte Nachrichten mit Prognose- und Marktdaten
  • + einmal täglich E&M daily
  • + zwei Ausgaben der Zeitung E&M
  • ohne automatische Verlängerung
 
Jetzt kostenlos testen
 
Login für Kunden
 

Kaufen Sie den Artikel
  • erhalten Sie sofort diesen redaktionellen Beitrag für nur € 8.93
 
JETZT ARTIKEL KAUFEN
Mehr zum Thema

 
Haben Sie Interesse an Content oder Mehrfachzugängen für Ihr Unternehmen?
 
Sprechen Sie uns an, wenn Sie Fragen zur Nutzung von E&M-Inhalten oder den verschiedenen Abonnement-Paketen haben.
Das E&M-Vertriebsteam freut sich unter Tel. 08152 / 93 11-77 oder unter  vertrieb@energie-und-management.de über Ihre Anfrage.
 
WEITERE INFORMATIONEN
© 2021 Energie & Management GmbH
Mittwoch, 01.10.2014, 09:04 Uhr