Das Risiko Cyber-Angriffe spielt auch bei Industrie 4.0 und Energiewende mit. Schließlich geht es um eine effizientere Energieversorgung und ein transparenteres Abrechnungsmodell für Verbraucher. „Durch das stete Zusammenwachsen der für den Betrieb von Anlagen eingesetzten Prozess- und Leittechnik mit Systemen der Informations- und Kommunikationstechnologie erhöht sich die Bedrohung durch mögliche Cyber-Angriffe“, so Gerhard Dreier, Produktmanager Energieerzeugung bei Tüv Nord.
Anforderungen an die IT-Security
Intelligente Energienetze benötigen intelligente IT-Sicherheitsstandards. Deshalb sind Strom- und Gasnetzbetreiber verpflichtet, bis zum 31. Januar 2018 ein Informationssicherheits-Managementsystem (ISMS) zum Schutz vor Cyber-Angriffen zu etablieren. Solche und weitere Sicherheitsmaßnahmen sind auch angesichts des anstehenden Rollouts der Smart-Meter-Systeme erforderlich.
Mit dem IT-Sicherheitsgesetz, der Verordnung für kritische Infrastrukturen KritisV sowie dem IT-Sicherheitskatalog der Bundesnetzagentur werden umfangreiche Anforderungen zur IT-Security bei Energieerzeugern, Transportnetz- und Verteilnetzbetreibern definiert.
Intelligente Smart-Meter-Gateways
Integrität, Authentizität, Vertraulichkeit und Verfügbarkeit der Daten müssen fortlaufend gewährleistet sein. Angesichts des bundesweit geplanten Einsatzes intelligenter Smart-Meter-Gateways sind die Hersteller gesetzlich verpflichtet, ihren Beitrag zur IT-Sicherheit zu leisten. In Deutschland dürfen nur Smart-Meter-Gateways eingesetzt werden, welche die Protection Profiles (PP0073 und PP0077) der Standards Common Criteria und BSI TR 03109 erfüllen. Das Smart-Meter-Gateway spielt als Kommunikationseinheit eine zentrale Rolle. Darin ist festgelegt, dass alle Kommunikationsverbindungen verschlüsselt werden. Zudem wird nur autorisierten Teilnehmern und Geräten vertraut. Die verschiedenen Sicherheitsanforderungen an Betreiber und Hersteller zeigen, dass neue Herangehensweisen in der Etablierung und Zertifizierung von IT-Sicherheitsmaßnahmen nötig sind.
Risikomanagement gegen Cyber-Angriffe
„Um den steigenden Risiken von Cyber-Angriffen auf das intelligente Energienetz entgegenzuwirken, ist eine ganzheitliche Betrachtung von funktionaler Sicherheit, also Safety, und IT-Security notwendig“, erklärt Dreier. Als mögliches Szenario beschreibt er einen erfolgreichen Angriff auf einen Netzbetreiber: Dadurch wäre beispielsweise die Stromversorgung eines Gebietes oder einer Stadt beeinträchtigt und „die Versorgungssicherheit von Menschen unmittelbar betroffen.“ Es gelte, die IT-Security und die funktionale Sicherheit von Anlagen und Produkten (Safety) gleichermaßen zu gewährleisten. Aus diesem Grund hat TÜV NORD die Bereiche „IT-Security“ und „Funktionale Sicherheit“ kombiniert und die Dienstleistung „Security4Safety“ entwickelt. Mittels eines Cyber-Risk-Assessments werden Schwachstellen in Systemen ermittelt. Das Schadensrisiko wird bewertet und erforderliche IT-Security-Maßnahmen werden abgeleitet.
Neue Norm
Zusätzlich wird Herstellern von Produkten der Automatisierungs- und Antriebstechnik sowie IT-Dienstleistern die Zertifizierung von Prozessen, Sicherheitsmanagementsystemen und Komponenten auf Basis der ISO IEC 62443 angeboten. Diese neue Norm bildet erstmalig die Kombination der Themenbereiche IT-Security und Funktionale Sicherheit in sogenannten IACS (Industrial Automation and Control System) ab und wird zunehmend an Bedeutung gewinnen.
Bildquellen:
- IT-Sicherheit TUšV NORD Henning Scheffen: www.tuev-nord-group.com
