ich war hier: EnergieRITSecurityGefahren

Version [95208]

Dies ist eine alte Version von EnergieRITSecurityGefahren erstellt von WojciechLisiewicz am 2019-08-06 11:16:46.

 

IT-Sicherheit in der Energiewirtschaft - Gefahren

einzelne Gefahrenquellen im Detail


A. Angriffspunkte und daraus resultierende Bedrohungen
Die Einrichtungen der Energiewirtschaft sind für viele Akteure - aus dem Blickwinkel einer eventuellen Einflussnahme - von Interesse. Terrorismus, Wirtschaftsspionage, Vorbereitung oder Führung eines Angriffskrieges [1]: in all diesen Fällen kann es für den Angreifer sinnvoll bzw. von großem Vorteil sein, die Energiewirtschaft ins Visier zu nehmen. Studien und Analysen darüber, was passieren würde, falls in der modernen westlichen Welt die Energieversorgung erheblich zum Erliegen gebracht wird, existieren zu genüge - und alle zeichnen ein relativ düsteres Bild über die Folgen - zum Beispiel eines weiträumigen Stromausfalls.

Im nachstehenden Text werden einige Überlegungen angestellt, wo die Gefahrenquellen für das Energieversorgungssystem in Deutschland und eventuell auch in Europa lauern können, welche es zu erkennen und zu minimieren gilt. Dabei werden insbesondere die aktuellen Entwicklungen in der Branche - sei es infolge der technologischen Entwicklung, sei es wegen der gesetzlichen Vorgaben - kritisch hinterfragt. Dies sind im Einzelnen:
  • Fernsteuerung von Anlagen,
  • Steuerungssysteme in Transport- und Verteilernetzen,
  • insbesondere: smart grids und smart metering.


1. Fernsteuerung von Anlagen

2. Steuerung von Transport- und Verteilernetzen
Der Einsatz von Software und allgemein von IKT-Systemen in der Energiewirtschaft findet auch bei Netzbetrieb statt. Dies führt zwangsläufig zur Entstehung von neuen Angriffsflächen in der Netzsteuerung und auch in anderen kritischen Bereichen der Netzwirtschaft, worauf der Gesetzgeber mit § 11 Abs. 1a und 1b EnWG reagiert.
Neben den für Sicherheitsexperten bekannten Gefahren entstehen allerdings andauernd neue mit der fortschreitenden Entwicklung der IKT. So werden in der Energiewirtschaft z. B. auch die - im Hinblick auf die Frage der Sicherheit noch kaum erforschten - cyber physical systems, d. h. verbundene IT- und physische Systeme (CPS) eingesetzt [5]. Für den künftigen Einsatz werden sie intensiv erforscht [6]. Dabei sind derartige Systeme wegen ihrer einzigartigen Verbindung von Software und physikalischen Komponenten (sog. embedded-Teile) noch einmal komplexer und problematischer. Und ihre Verwundbarkeit wurde mit dem Stuxnet-Wurm deutlich [5].

3. Betrieb "intelligenter" Zähler
Dass Fernsteuerung im Energieversorgungsnetz bereits seit geraumer Zeit eine grundlegende Voraussetzung für den sicheren und effizienten Netzbetrieb ist, ist gemeinhin bekannt [2]. Die bisherigen Lösungen basieren allerdings grundsätzlich auf geschlossenen Systemen. Geschlossene Systeme können nicht ohne erheblichen Aufwand angegriffen werden. Werden sie angegriffen (nachdem dieser Aufwand durch den Angreifer betrieben wurde), sind die nativen Schutzsysteme zu überwinden. Dies stellt eine - im Vergleich mit Einrichtungen im frei zugänglichen Raum, z. B. im Internet - systembedingt recht komfortable Situation dar, sofern sich die Verantwortlichen an grundlegende Sicherheitsstandards halten.

Die Aufnahme der - vom Gesetzgeber gewollten - "intelligenten" Messeinrichtungen in ein solches geschlossenes Steuerungssystem wäre mit einem hohen Aufwand verbunden. Es würde den Aufbau von komplett neuen, von bestehenden Netzen getrennten Lösungen bedeuten. Dies soll durch eine "pragmatische" [3] Lösung mit Kryptografie innerhalb von öffentlichen Netzen ersetzt werden. Die Bedrohungen durch Einbindung intelligenter Messeinrichtungen in die Versorgungsinfrastruktur sind dabei [4]:
    • potenzielle Eingriffe in die Netzsteuerung,
    • Versagen von Steuerungsfunktionen,
    • menschliches Versagen bei Ausführung von Steuerungsaufgaben,
    • Datenmissbrauch.

Inwiefern aber allein kryptografische Lösungen und Sicherheitsstandards für "intelligente" Messeinrichtungen und insbesondere für ihren Hauptbestandteil des Fernzugriffs - die sog. Smart-Meter-Gateways - ausreichen, das Gesamtsystem zu schützen, bleibt fraglich. Es ist zu bedenken, dass mit den nun flächendeckend einzuführenden, dezentralen Einrichtungen zur Messung von Leistung, Verbrauch etc. eine Öffnung für Angriffe auf das Energieversorgungssystem aus öffentlichen Datennetzen vollzogen wird. Es handelt sich dabei selbstverständlich nicht um eine Öffnung im Sinne einer bidirektionalen Kommunikation der Systeme untereinander, auf die eine Angreifer aus öffentlichem Netz Zugriff erhalten kann. Die Kenntnis und Manipulation bestimmter Daten vieler, unter die Kontrolle eines Angreifers gebrachten Messeinrichtungen kann eine Bedrohung des Gesamtsystems bedeuten - wenn dadurch z. B. Entscheidungen über die Netzführung plötzlich auf falscher Datenbasis beruhen. Erfolgt die Netzführung dabei automatisch, kann damit recht zügig eine Kettenreaktion hervorgerufen werden - ohne dass die (geschlossenen) Systeme der Netz- und Energieanlagensteuerung direkt angefasst werden müssen.





B. Bisherige Vorkommnisse
Welche Dimension Probleme der IT-Sicherheit erreichen, zeigen: die hier gesammelten Zwischenfälle.
Vgl. auch Interview mit dem Leiter Sicherheit bei Innogy: https://www.zdf.de/dokumentation/planet-e/blackout-interview-haacke-frage-2-100.html


[1] Die Gefahr eines - sogar militärischen - Konflikts europäischer Staaten mit Russland ist in der gegenwärtigen Situation gemäß der aktuellen Einschätzung der NATO-Experten leider wieder real geworden. Dass hierbei die Energiewirtschaft auch im Fokus stehen kann, zeigt der Fall Ukraine.

[2] Vgl. z. B. Heyne, Magga, vom Wege, in: Praxishandbuch MsbG, S. 189 ff.

[3] Dass diese Lösung als pragmatisch und allem Anschein nach als gangbarer Weg erscheint, vertreten - neben dem Gesetzgeber - auch Heyne, Magga, vom Wege, in: Praxishandbuch MsbG, S. 189/190 (Rn. 35).

[4] Heyne, Magga, vom Wege, in: Praxishandbuch MsbG, S. 190 (Rn. 36).

[5] Eckert, IT-Sicherheit, Kapitel 1.6, CPS.

[6] Vgl. z. B. das Projekt Cyber Physical Systems für eine smarte Energiewirtschaft in NRW.


CategoryEnergierecht CategoryEnergieITSecurity
Diese Seite wurde noch nicht kommentiert.
Valid XHTML :: Valid CSS: :: Powered by WikkaWiki