Seit Juli 2015 ist das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) in Kraft.

Bild: iStock, Alphaspirit

Digitale Identität Wer steckt hinter dem Datenstrom?

15.11.2016

Viele EVU zählt der Gesetzgeber zu den vom IT-Sicherheitsgesetz betroffenen Firmen der Kritischen Infrastruktur (KRITIS). Für die Unternehmen bedeutet das: Sie müssen ihre Sicherheitsvorkehrungen und -architekturen überprüfen und in vielen Fällen nachrüsten. Eine der wesentlichen Herausforderungen ist dabei die digitale Identität von Menschen und Maschinen.

Seit Juli 2015 ist das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) in Kraft. Betroffen sind Unternehmen, die kritische Infrastrukturen (KRITIS) betreiben in den Bereichen Energie, Informationstechnik und Telekommunikation, Wasser, Ernährung, Finanzen, Transport und Verkehr sowie Gesundheit. Als kritisch definiert das Gesetz Infrastrukturen mit hoher Bedeutung für das Gemeinwesen. Also solche, bei deren Ausfall es zu erhebliche Versorgungsengpässe oder Gefährdungen der öffentlichen Sicherheit kommen könnte.

Das IT-Sicherheitsgesetz stellt an diese Unternehmen unter anderem folgenden Bedingungen:

  • Sie müssen die IT, die für die Bereitstellung von Diensten erforderlich ist, gemäß dem aktuellen Stand der Technik absichern und das alle zwei Jahre überprüfen lassen.

  • Das Bundesamt für Sicherheit in der Informationstechnik (BSI) darf die Beseitigung festgestellter Sicherheitsmängel anordnen.

  • Die Unternehmen müssen dem BSI erhebliche Störungen ihrer IT melden, sofern diese Auswirkungen auf die Verfügbarkeit kritischer Dienstleistungen haben könnten.

Im Bereich der Energieversorger gilt diese Regelung für eine Vielzahl von Anlagen, die für die Erbringung der kritischen Dienstleistungen zwingend erforderlich sind. Dazu gehören zum Beispiel im Strombereich zentrale und dezentrale Erzeugungsanlagen mit oder ohne Wärmeauskoppelung, Übertragungsnetze, Speicheranlagen, Anlagen und Systeme für den Stromhandel oder die Steuerung und Bündelung elektrischer Leistung, Verteilernetze und Messstellen. In der Gas- und Ölversorgung kommen weitere Anlagen hinzu.

IT-Sicherheit wie 1990

Die IT dieser Anlagen nach dem gegenwärtigen Standards abzusichern, ist für die EVU keine leichte Aufgabe. Zum Teil hinkt ihre IT-Sicherheit dem aktuellen Stand der Security-Technologien 10 oder sogar 20 Jahre hinterher. Solange Kraftwerke, Gasturbinen, Speicher, Wind- und Solaranlagen in sich geschlossene Systeme waren, ohne Verbindung ins Internet oder zu anderen Anlagen, stellte das kein allzu großes Problem dar. Doch der Vernetzungsgrad der Anlagen untereinander und mit einer Vielzahl von externen Steuerungs- und Wartungssystemen hat sich im letzten Jahrzehnt stark erhöht. Hinzukommen wird in Zukunft außerdem noch der Ausbau der digitalen Kundenbeziehungen. Auch hier kommt in Sachen Security erheblicher Aufwand auf die EVU zu. Zumal künftig der Kunde in noch viel größerem Umfang nicht nur Stromabnehmer, sondern auch -lieferant sein kann, etwa durch die Einspeisung von Solarstrom in die Netze. Er ist somit nicht nur über die Kunden- und Abrechnungsportale mit den EVU verbunden, sondern auch auf der Netzseite – im Zweifelsfall also mit der kritischen Infrastruktur.

Überall dort, wo Verknüpfungen entstehen, geht es um Datenaustausch, um Kommunikation. Das können zum Beispiel Transaktionen sein, Steuerbefehle, Nachrichten oder Messwerte. Aus Sicherheits- und Verfahrensgründen muss diese Kommunikation sehr häufig verbindlich und revisionssicher sein. Deshalb ist es nötig, dass sich Sender und Empfänger eindeutig identifizieren und authentifizieren. Auch eine Manipulation des Inhalts der Kommunikation gilt es zu verhindern. Schließlich muss sich ein Stromproduzent absolut sicher sein, dass die Anlagen exakt seinen Vorgaben entsprechend arbeiten; zum Beispiel eine Gasturbine in einem Kraftwerk ihre Leistung genau gemäß den Vorgaben drosselt, wenn ein Abschnitt des Stromnetzes gerade weniger Energie braucht. Das Gleiche gilt auch für Privathaushalte. Hier muss zum Beispiel sichergestellt werden, dass ein abgelesener Zählerstand tatsächlich aus diesem Haushalt stammt und die über die Mobile Applikation übertragenen Werte korrekt sind.

Gehärtete Apps bestätigen die digitale Identität

Letzteres lässt sich zum Beispiel mit gehärtete Apps umsetzen, die mittels einer 2-Faktor-Authentifizierung zweifelsfrei die digitale Identität eines Nutzers bestätigen. Sie müssen außerdem einen zweiten sicheren Kommunikationskanal aufweisen und zum anderen die kommunizierten Daten verschlüsseln sowie gegen Hacker-Angriffe absichern. Sogenannte Handy- oder mobile TAN, die per SMS versendet werden, reichen dafür nicht aus. Die SMS-Nachrichten sind nicht verschlüsselt und können deshalb von Angreifern manipuliert werden. Banken und Versicherungen verabschieden sich unter anderem bereits von dem SMS- oder Handy-TAN-Verfahren. Auch die Aufsichtsbehörden stufen diese Methoden als nicht mehr sicher ein.

Entsprechende Software zur zweifelsfreien Identifizierung stellt die Firma Kobil Systems her, mit ihren Tools Trusted Login, Trusted View und Trusted Sign. Speziell für EVU hat sie zusammen mit App-Entwicklern sogenannte hybride Smartphone-Apps entwickelt, die Kommunikation und Transaktio-
nen zwischen Anbietern und Kunden absichern. Mit ihnen lässt sich zum Beispiel der Zählerstand verbindlich und sicher melden. Kobil verspricht EVU, die App innerhalb weniger Arbeitstage zu implementieren.

Die Sicherheitstechnik funktioniert unabhängig vom eingesetzten Endgerät und benötigt keine zusätzliche Hardware, um Transaktionen zu autorisieren oder zu signieren. Sie besteht aus einem Frontend- und einem Backend-Teil und nutzt zwei eigene unabhängige Kommunikationswege. Das Software Development Kit (SDK) lässt sich in jede mobile App einbetten. Es besitzt die Fähigkeit, Apps vor dem Kopieren aus dedizierten Geräten, der Manipulation und der Erstellung von Fake-Apps zu schützen. Die mit Hilfe des SDK entwickelten Apps beherbergen den Frontend-Teil der Sicherheitslösung, der über eine Reihe integrierter Sicherheitsfunktionen verfügt. Dazu zählen Schutz vor bösartigen URLs, Verschlüsselung und Jailbreak- und Malware-Detection.

Verschlüsselte Kommunikation per App

Mit diesen Funktionen wird die App zur virtuellen Chipkarte und ist genauso sicher wie eine physische. Bei ihrer ersten Aktivierung verknüpft sich die App mit dem Mobilgerät, auf dem sie installiert ist und registriert sich anschließend selbst auf dem Smart Security Management Server (SSMS). Er stellt den Backend-Teil der Sicherheitslösung dar und befindet sich in der Regel im Rechenzentrum der EVU. Der Server kontrolliert, ob die App tatsächlich auf dem ursprünglich registrierten Gerät läuft. Außerdem prüft er, ob ihr Code modifiziert wurde. Dadurch ist sichergestellt, dass eine sichere Verbindung zum Endgerät besteht und die verschlüsselten Daten, die von der App kommen, auch authentisch sind. Erst wenn der Server seine Prüfroutinen erfolgreich durchgeführt hat, gibt er der angemeldeten App ein Login-Ticket. Mit diesem meldet sich die App dann bei dem eigentlichen Webportal des EVU an. Ab diesem Moment ist die Kommunikation zwischen Kunde und EVU verschlüsselt, verbindlich und sicher.

Verbindlichkeit und Sicherheit sind praktisch in allen Bereichen der digitalisierten Energie-Wertschöpfungskette unabdingbare Voraussetzung. Auch die Machine-to-Machine-, Service- und Prozesskommunikation muss entsprechend abgesichert werden. In all diesen Bereichen wendet Kobil die gleichen Prinzipien an – allerdings ohne Apps. Schließlich wird kein Kunde authentifiziert, sondern eine Maschine, etwa eine Gasturbine.

Dass die Digitalisierung der Energieversorger bereits begonnen hat und mit hoher Geschwindigkeit voranschreitet, belegt die Studie „Deutschlands Energieversorger werden digital“, für die 120 Führungskräfte aus EVU von der Unternehmensberatung Pricewaterhousecooper (PWC) befragt wurden. 81 Prozent der Befragten rechnen damit, dass die Digitalisierung binnen der nächsten zwei Jahre eine unternehmensweite Rolle spielen wird. Es gilt also bereits jetzt,
die Weichen dafür und für eine verbindliche Kommunikation zu stellen.

Firmen zu diesem Artikel
Verwandte Artikel