Im Zuge von Industrie 4.0 und der Energiewende soll eine effizientere Energieversorgung und ein transparenteres Abrechnungsmodell für Verbraucher geschaffen werden. Vor diesem Hintergrund werden intelligente Messsysteme etabliert und Verbraucherdaten digital an Energieversorger übertragen. Dies birgt jedoch auch Risiken: „Durch das stete Zusammenwachsen der für den Betrieb von Anlagen eingesetzten Prozess- und Leittechnik mit Systemen der Informations- und Kommunikationstechnik, erhöht sich die Bedrohung durch mögliche Cyber-Angriffe“, sagt Gerhard Dreier, Produktmanager Energieerzeugung bei TÜV Nord. Daten könnten bei der digitalen Übermittlung durch gezielte Hacker-Angriffe in falsche Hände geraten; ebenso könnten digitale Zähler und andere Komponenten manipuliert werden.
Anforderungen an IT-Security
Mit dem IT-Sicherheitsgesetz, der Verordnung für kritische Infrastrukturen KritisV sowie dem IT-Sicherheitskatalog der Bundesnetzagentur werden umfangreiche Anforderungen zur IT-Security bei Energieerzeugern, Transportnetz- und Verteilnetzbetreibern definiert.
Eine wesentliche Forderung des genannten Sicherheitskatalogs ist die Einführung eines Informationssicherheits-Managementsystems (ISMS) auf Basis der Normen ISO 27001, ISO 27002 und ISO 27019. Dieses muss insbesondere bei Strom- und Gasnetzbetreibern bis zum 31. Januar 2018 etabliert und zertifiziert werden.
Die Integrität, Authentizität, Vertraulichkeit und Verfügbarkeit der Daten muss fortlaufend gewährleistet sein. Angesichts des bundesweit geplanten Einsatzes intelligenter Smart-Meter-Gateways sind die Hersteller gesetzlich verpflichtet, ihren Beitrag zur IT-Sicherheit zu leisten. In Deutschland dürfen nur Smart-Meter-Gateways eingesetzt werden, welche die Protection Profiles (PP0073 und PP0077) der Standards Common Criteria und BSI TR 03109 erfüllen.
Da das Smart-Meter-Gateway als Kommunikationseinheit eine zentrale Rolle spielt, ist darin festgelegt, dass alle Kommunikationsverbindungen verschlüsselt werden und dass nur autorisierten Teilnehmern und Geräten vertraut wird. Die verschiedenen Sicherheitsanforderungen an Betreiber und Hersteller zeigen, dass neue Herangehensweisen in der Etablierung und Zertifizierung von IT-Sicherheitsmaßnahmen nötig sind.
Risikomanagement
„Um den steigenden Risiken von Cyber-Angriffen auf das intelligente Energienetz entgegenzuwirken, ist eine ganzheitliche Betrachtung von funktionaler Sicherheit, also Safety, und IT-Security notwendig“, erklärt Dreier. „Durch einen erfolgreichen Angriff zum Beispiel auf einen Netzbetreiber, durch den die Stromversorgung eines Gebietes oder einer Stadt beeinträchtigt wird, ist die Versorgungssicherheit von Menschen unmittelbar betroffen.“ Es gilt, die IT-Security und die funktionale Sicherheit von Anlagen und Produkten gleichermaßen zu gewährleisten. Aus diesem Grund hat TÜV Nord die Bereiche IT-Security und Funktionale Sicherheit kombiniert und die Dienstleistung Security4Safety entwickelt. Mittels eines Cyber-Risk-Assessments werden Schwachstellen in Systemen ermittelt, das Schadensrisiko bewertet und erforderliche IT-Security-Maßnahmen abgeleitet. Zusätzlich wird Herstellern von Produkten der Automatisierungs- und Antriebstechnik sowie IT-Dienstleistern die Zertifizierung von Prozessen, Sicherheitsmanagementsystemen und Komponenten auf Basis der ISO IEC 62443 angeboten. Diese neue Norm bildet erstmalig die Kombination der Themenbereiche IT-Security und Funktionale Sicherheit in sogenannten IACS (Industrial Automation and Control System) ab und wird zunehmend an Bedeutung gewinnen.
