Sicherheit im Smart Grid - Eckpunkte für ein Energieinformationsnetz - Stiftungs-Verbundkolleg
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Sicherheit im Smart Grid
Eckpunkte für ein Energieinformationsnetz
Claudia Eckert
1101 1110 1010 1101 1011 1110 1110 1111
Stiftungs-Verbundkolleg 90
Seite 1
Sicherheit im Smart Grid
Eckpunke für ein Energieinformationsnetz
Inhaltsverzeichnis
Impressum
Stiftungsreihe 90
1 Einleitung 3
Redaktion
Dr. Dieter Klumpp 2 Herausforderungen durch das Smart Grid 4
(Leitung)
Petra Bonnet M.A. 3 Sicherheit und Datenschutz 8
3.1 Rechtliche Rahmenbedingungen 8
3.2 Technische Rahmenbedingungen 9
3.3 Organisatorische Rahmenbedingungen und
Sicherheitsmanagement 10
4 Stand der Technik 11
4.1 Smart Meter und Messtechnik 12
Druck der Broschüre 4.2 Kommunikationsinfrastrukturen 15
DCC Kästl GmbH & Co. KG
4.3 IKT-gestützte Energiemanagementsysteme 16
Alle Rechte vorbehalten
© 2011
4.4 Normungsaktivitäten 18
Die Alcatel-Lucent Stiftung 5 Ausgewählte Angriffsszenarien 20
für Kommunikationsfor-
schung ist eine nichtrechts-
fähige Stiftung in der treu-
6 Forschungsbedarf 24
händerischen Verwaltung
des Stifterverbandes für die
6.1 Smart Meters, Gateways, Sensorik 25
Deutsche Wissenschaft.
6.2 Kommunikationsinfrastruktur 26
Angaben nach § 5 TMD/ 6.3 Energiemanagementsysteme 27
§ 55 RfStv
7 Erstellen einer Roadmap „IT-Sicherheit im Smart Grid“ 29
Stifterverband für die Deut- 7.1 Handlungsempfehlungen zur Erstellung einer
sche Wissenschaft e.V.
Barkhovenallee 1 nationalen Sicherheits-Roadmap 30
45239 Essen
Telefon: (02 01) 8401-0 7.2 Entwicklung einer Forschungsagenda 33
Telefax: (02 01) 8401-301
E-Mail: 8 Zusammenfassung 34
mail@stifterverband.de
Geschäftsführer:
Prof. Dr. Andreas Schlüter Projekt NEWISE 37
(Generalsekretär)
ISSN 0932-156x
Seite 2
Seite 3
Sicherheit im Smart Grid - Eckpunke für ein Energieinformationsnetz
Claudia Eckert, Christoph Krauß, Peter Schoo
Das Energieinformationsnetz ist eine sicherheits-
1 Einleitung
kritische Infrastruktur, deren Ausfall oder (par-
Energie gehört zu den Lebensadern der interna- tielle) Störung gravierende gesellschaftliche und
tionalen Wirtschaft. Während die fossilen Ener- volkswirtschaftliche Schäden nach sich zieht. Ne-
gieträger zunehmend knapper werden, steigt in ben den erforderlichen Netzen, um Daten recht-
Folge der fortschreitenden Industrialisierung der zeitig, korrekt, Privatsphären-bewahrend, ver-
Energiebedarf gewaltig mit gravierenden Konse- traulich und vollständig (aus Sicht des Dienstes,
quenzen für den Klimaschutz. Die Verknappung der die Daten benötigt) zwischen allen beteiligten
der fossilen Energiequellen und die ungelöste Parteien auszutauschen, werden insbesondere
Umweltproblematik der Nuklearenergie erfor- auch dezentral betriebene, kooperative Mana-
dern nachhaltig wirkende Lösungen, um den gementsysteme und verteilte Service-Plattfor-
steigenden Energiebedarf zu befriedigen und men benötigt, um Angebot- und Nachfrage so-
gleichzeitig die Umwelt zu schonen. Notwendig wohl auf einer mikroskopischen Ebene (räumli-
sind Energie-Systeme zur breitflächigen Nutz- cher Nahbereich) als auch auf einer makros-
barmachung erneuerbarer Energien und die sys- kopischen Ebene (zwischen Energieversorgern,
tematische Umsetzung von Energiesparmaß- Länder- und Kontinent-übergreifend) zu koordi-
nahmen. Im Gegensatz zu konventionellen Ener- nieren. Im Folgenden bezeichnen wir ein solches
giequellen weisen aber erneuerbare Energie- komplexes System von Systemen bestehend aus
quellen wie Wind, Sonne oder Wasserkraft ein IKT-Infrastrukturen und Energieinformations-
stark zeitvariantes Verhalten auf und können nur managementsystemen als Energieinformations-
gekoppelt mit Energiespeicherverfahren zum netz bzw. in Übernahme der englisch sprachli-
Einsatz kommen. Die klassische Lösung eines Ver- chen Beschreibung als Smart Grid.
bundes von Grundlast- und zugeschalteten Spit- Abbildung 1 veranschaulicht ein solches System.
zenlast-Kraftwerken mit einer hierarchischen Die European Technology Platform Smart Grids
Verteilung von Energie zur Verteilnetzebene (vgl. [ETPS2008]) definiert ein Smart Grid wie
muss strukturell verändert werden, da erneuer- folgt: “A Smart Grid is an electronically network
bare Energien beispielsweise durch Photovoltaik- that can intelligently integrate actions of all users
anlagen auch auf Verteilnetzebene eingespeist connected to it – generators, consumers and
werden und damit die Energiegewinnung nicht those that do both – in order to efficiently deliver
mehr hierarchisch sondern dezentral ist. Dies er- sustainable, economic and secure electricity sup-
fordert eine geeignete IKT-Infrastruktur zur plies.“ Das National Institute of Standards and
Steuerung des Energietransports. Technology (NIST) in den USA nimmt eine etwas
Durch ein dezentrales Management der Ver- erweiterte Sicht auf das Smart Grid ein, die auch
brauchs- und Angebotsdaten ermöglicht die diesem Papier zugrunde liegt. Das Smart Grid
steuernde IKT-Infrastruktur, den Stromverbrauch gemäß NIST (vgl. [EPR2009]) ist: „… moderniza-
nachhaltig zu senken und dabei gleichzeitig die tion of the electricity delivery system so it moni-
Energiekosten zu reduzieren, aber dennoch die tors, protects and automatically optimizes the
Versorgungssicherheit zu gewährleistet. Dies operation of its interconnected elements, from
dient letztlich auch dem Klimaschutz. the central and distributed generator through
Seite 4
Abbildung 1: Komponenten eines Smart Grid
the high-voltage transmission network and the gesteuert, betrieben und gewartet. Sie bestehen
distribution system, to industrial users and build- aus einer Vielfalt heterogener Systeme und sind
ing automation systems, to energy storage in- komplex vernetzte Systeme. Steuernde, einge-
stallations and to end-use consumers and their bettete Systeme wie Sensoren und Aktoren und
thermostats, electric vehicles, appliances and physikalische und betriebliche Prozesse (Physical
other household devices.” System) werden integriert und über vielfältige
Vernetzungstechnologien unter Einbeziehung
des Internets zu einem übergreifenden, vernetz-
2 Herausforderungen durch das Smart Grid ten System, dem Cyber-Physical System (u.a.
[Wolf09]) verbunden. Derartige Systeme kombi-
Während die Energieverteilnetze bereits verhält- nieren autonome, ressourcenschwache physikali-
nismäßig gut ausgebaut sind, ist ein Großteil der sche Geräte, wie u. a. digitale Zähler (Smart Me-
Informations- und Kommunikationsinfrastruktur ter) mit ressourcenstarken Backend- und Infor-
und der Software-Plattformen neu zu gestalten mationsmanagement-Systemen. Die verschiede-
bzw. sind bestehende Infrastrukturen entspre- nen Komponenten kommunizieren über draht-
chend auszubauen. Das Energieinformationsnetz lose oder drahtgebundene Vernetzungstechnolo-
der Zukunft ist charakterisiert durch eine dezen- gien, wie WLAN, UMTS oder auch Powerline. Die
trale Struktur (vgl. Abbildung 1). Die Verbrauchs- Systeme sind zudem durch eine hohe Dynamik
daten werden dezentral erfasst und abgerechnet, charakterisiert. Mobile Stromverbraucher und
und die Systeme werden vollständig dezentral Stromerzeuger in Form von Elektrofahrzeugen
Seite 5 Abbildung 2: Vernetzungsszenarien zukünftiger Smart Grids (Elektromobilitätsszenarien) und private Strom- gebot zu erfassen, und es muss Steuermöglich- Erzeuger, die dynamisch ihren erzeugten Strom keiten zur Verfügung stellen, zur Aktivierung/De- in die Netze einspeisen, erfordern ein adaptives, aktivierung von Energieverbrauchern und zur dynamisches Management (Demand Side Mana- Nutzung gespeicherter Energie. Um diese Aufga- gement), das in der Lage ist, Lastspitzen zu ver- ben zu erfüllen, ist die Einführung einer IKT- meiden, Energie zwischenzuspeichern und ab- gestützten Erfassung des dezentralen Energie- rufbar zu halten etc.. Der Markt ist dereguliert verbrauchs und ggf. der dezentralen Energieer- und muss als ein offener Dienstleistungsmarkt- zeugung zur Einspeisung in das Energienetz platz für Anbieter und Verbraucher konzipiert durch Smart Meter erforderlich. und umgesetzt sein. Um Interessenskonflikte zu vermeiden, müssen Abbildung 2 visualisiert eine Vision dieser zu- die Zuständigkeiten für die Wahrnehmung der künftigen Energieinformationsnetze bzw. Smart Aufgaben von Erzeugung, Messung, Transport Grids. und Abrechnung von Energieeinheiten entkop- Das zu entwickelnde Smart Grid muss die Ge- pelt werden. Gleichzeitig erfordert ein globales samtheit aller zentralen und dezentralen Ener- Funktionieren eines solch komplexen Systems, giequellen und -senken sicher und zuverlässig dass die beteiligten Parteien Daten austauschen miteinander verbinden. Es muss Komponenten und kooperieren. und Dienste anbieten, um den momentanen Energiebedarf und das momentane Energiean-
Seite 6
Im zukünftigen Smart Grid werden die Funkti- und Vollständigkeit der Daten, die für das Last-
onsbereiche wie das Erzeugen der Energie1, der management benötigt werden, für die Netz-
Transport und die Verteilung der Energie, das betreiber essentiell, während für den privaten
Messen des Verbrauchs, das Übermitteln der Endkunden die Vertraulichkeit seiner Verbrauchs-
Messdaten oder das Erstellen der Rechnungen, und Abrechnungsdaten und deren Korrektheit si-
die früher in der Regel in einer Hand lagen, von cherlich vordringliche Schutzbedarfe darstellen.
unterschiedlichen Geschäftspartnern (legal un- Das konzeptuelle Modell liefert darüber hinaus
bundling) ausgeübt. Damit erlangen die Ge- einen guten Ansatzpunkt, um Abhängigkeiten
schäftsbeziehungen zwischen den verschiedenen zwischen Subsystemen zu identifizieren und Do-
Teilnehmern am Markt einen immer wichtigeren mänen gegeneinander abzugrenzen. So werden
Stellenwert. Das resultierende Smart Grid ist ein beispielsweise im Bereich der Steuerung der
komplexes IKT-System, bestehend aus einer Viel- Energieübertragung vielfach SCADA2-Netze ein-
zahl heterogener Subsysteme (Hardware und gesetzt, die in Smart Grid-Szenarien nicht mehr
Software), die dezentral verwaltet werden, teil- wie bislang noch üblich isoliert betrieben wer-
weise nach Bedarf hinzu- und wieder abgeschal- den, sondern vermehrt an das Internet angebun-
tet werden und sehr unterschiedliche Anforde- den und darüber mit anderen Subsystemen ge-
rungen an die zu gewährleistende Sicherheit be- koppelt sind. Ein Angriff auf ein verwundbares
sitzen (mehrseitige Sicherheit). SCADA-System kann sich damit kaskadierend in
Abbildung 3 verdeutlicht die Komplexität der In- die angeschlossenen Netzsegmente ausbreiten,
frastruktur und die Abhängigkeiten zwischen den bzw. über diese Netze können gezielt Angriffe
Subsystemen. Ein solches Smart Grid stellt hohe auf verwundbare SCADA-Systeme durchgeführt
Anforderungen an die Qualität der verarbeiteten werden. Die Abbildung veranschaulicht auch,
Daten, die zur Steuerung der gesamten Strom- dass die digitalen Zähler (im Bild im Kasten rechts
versorgung und der Abrechnung der Leistungen unten als eine Komponente im Bereich der Heim-
verwendet werden. Die Abbildung beschreibt das automatisierung) lediglich ein Baustein in dem
von der NIST (vgl. [Lee2009]) entwickelte konzep- Gesamtsystem eines Smart Grid sind. Die Abbil-
tuelle Modell einer Referenzarchitektur für das dung verdeutlich zudem, dass die Sensoren, Zäh-
Smart Grid. Die Abbildung verdeutlicht die ver- ler oder aber auch lokalen Energieerzeugungs-
schiedenen Akteure in einem solchen Grid. Bei- Komponenten eines Haushaltes (rechter Kasten
spiel für Akteure sind Kunden, Energieversorger, unten) zum einen miteinander mittels Kommuni-
Energielieferanten, Energie-Erzeuger, Service- kationstechnologie wie WLAN vernetzt sind und
Anbieter, Marktplatzanbieter etc.. Diese Akteure zum anderen über verschiedene Netze an die
repräsentieren Rollen, die ähnliche Ziele, einen Außenwelt angekoppelt sind. Ein bidirektionaler
ähnlichen Schutzbedarf sowie ähnliche Rechte Datenverkehr ist möglich wie beispielsweise ein
und Pflichten haben. Diese konzeptuelle Bünde- Fernzugriff über ein IKT-Netz auf einen Sensor.
lung von Aktivitäten zu Rollen ist für eine Sicher-
heitsbetrachtung sehr nützlich. Sie ermöglicht es,
Schutzbedarfe aus Sicht der unterschiedlichen
Akteure zu erfassen. So ist beispielsweise eine
hohe Verfügbarkeit, hohe Integrität, Aktualität
1
Mit Energie-Erzeugung ist hier und im Folgenden die
Umwandlung von Primärenergie in Nutzenergie
2
gemeint. SCADA: Supervisory Control And Data Acquisition
Seite 7 Abbildung 3: Konzeptuelles Modell des Smart Grid (Quelle [Bee2010, Lee2009])
Seite 8
3 Sicherheit und Datenschutz teien, Daten kooperativ auszutauschen. Die gel-
tenden Datenschutzgesetze verbieten bereits
Die Integration von geeigneten Sicherheitsmaß- heute eine Profilbildung des Endverbrauchers
nahmen [Eck2009] zur Wahrung der Vertraulich- hinsichtlich seiner Lebensgewohnheiten. Ein
keit der ausgetauschten Daten und des Schutzes Smart Grid erfordert somit Lösungskonzepte und
der Privatsphäre, aber auch zur Sicherstellung Architekturen, um diese rechtlichen Auflagen zu
der Korrektheit, der Vollständigkeit der außer- erfüllen. Dazu ist zu klären, welche Daten über-
halb des eigenen Kontrollbereichs verarbeiteten haupt sinnvoll zu erheben sind, wie eine geeigne-
Daten sowie die Rechtzeitigkeit der Erbringung te Aggregierung und Anonymisierung zu gestal-
der gewünschten Dienstleistungen sind eine un- ten ist und wie durch dezentrale Verarbeitungs-
abdingbare Voraussetzung dafür, dass ein sol- schritte eine Profilbildung systematisch verhin-
ches Smart Grid funktionsfähig und nutzbar ist. dert werden kann. Für das kooperative Manage-
Dies ist notwendig, um von den Verbrauchern ment sind Maßnahmen zu entwickeln, so dass
auch akzeptiert zu werden und damit die ge- kritische Daten auch zwischen konkurrierenden
wünschten Effekte hinsichtlich Energieeinspa- Unternehmen vertrauensvoll ausgetauscht wer-
rung und Umweltschutz erfüllen zu können. den können, um globale Lagebilder zu erstellen,
Das Smart Grid muss von Anfang an so konzipiert ohne den Datenschutz zu gefährden.
werden, dass es angriffsresistenter als bisherige
Infrastrukturen ist, da ein Smart Grid in besonde-
3.1 Rechtliche Rahmenbedingungen
rer Weise eine schützenswerte kritische Infra-
struktur darstellt, die vielfältige Angriffsziele bie-
Das Datenschutzrecht hat bei der Stromversor-
tet. Mit der zunehmenden Abhängigkeit von ei-
gung bisher eine eher untergeordnete Rolle ge-
nem zuverlässigen und robusten Smart Grid für
spielt [Ro2010]. Für die Durchführung und Ab-
die Versorgungssicherheit steigt die Verletzlich-
rechnung der Stromversorgungsverträge wur-
keit und Verwundbarkeit durch gezielte Angriffe
den nur wenige personenbezogene Daten ver-
(Terroranschläge, Hackeraktivitäten, Manipulati-
wendet. Insbesondere wurde der Energiever-
onsversuche).
brauch in der Regel nur einmal jährlich erfasst.
Eine Herausforderung ist zudem die systemati- Die Einführung des Smart Grid verursacht jedoch
sche Integration von geeigneten Maßnahmen, vielfältige Risiken für die informationelle Selbst-
um auch in Ausnahme- und Notfällen das kom- bestimmung sowie für die Entscheidungs- und
plexe, vielparametrige System noch zu beherr- die Entfaltungsfreiheit [Cav2010], so dass sich die
schen. Die dezentrale Infrastruktur erfordert ko- Bedeutung des Datenschutzrechts enorm erhö-
operative Konzepte und eine Kombination aus hen wird [Ro2010b]. Insbesondere die Einführung
lokalen und globalen Maßnahmen, deren jeweili- tageszeit- und lastvariabler Tarife und die für die
ge Abhängigkeiten und Auswirkungen verstan- Optimierungsbestrebungen erforderliche detail-
den und beherrscht werden müssen. Um ein genaue Erfassung der Energieverbrauchswerte
rechtzeitiges und teilautonomes Handeln zu er- führen dazu, dass der Umfang der Erhebung
möglichen, werden zudem in stärkeren Maß (personenbezogener) Daten erheblich steigen
selbstorganisierenden Prinzipien eingesetzt wer- wird. Die Daten werden eine neue Qualität auf-
den müssen. weisen, die vor allem in der inhaltlichen und zeit-
Der Datenschutz steht häufig im Konflikt zum Be- lichen Nähe zum realen Geschehen sowie in der
darf an Daten für die Steuerbarkeit des Energie- Dichte der Angaben liegt, so dass ihnen bei einer
verbrauchs. Mangelhafter Datenschutz behindert Auswertung eine erhöhte Aussagekraft zukommt
andererseits die Bereitschaft der beteiligten Par- und damit das Risiko der Erstellung von Persön-Seite 9
lichkeitsprofilen steigt. Da die Stromversorgung gen an die Datensicherheit entsprechend dem
zudem zu den elementaren Lebensbedürfnissen jeweiligen Stand der Technik normativ gewähr-
gehört und praktisch jeder Haushalt, jedes Un- leistet werden. Der verfassungsrechtliche Auftrag
ternehmen, jede Behörde und jede öffentliche des Staates erfordert es, die Interessen der All-
Einrichtung ständig und dauerhaft Energie be- gemeinheit an einer zukunftssicheren Energie-
zieht, wird nahezu jeder Lebensbereich von den versorgung und dem Schutz der Umwelt zu för-
Datenerhebungen erfasst. dern und gleichzeitig das individuelle Grundrecht
Die Anzahl der beteiligten Akteure, zwischen de- auf informationelle Selbstbestimmung angemes-
nen ein Datenaustausch stattfindet, wird vor al- sen zu berücksichtigen. Inzwischen fordern die
lem aufgrund der gesetzlichen Vorgaben zur Ent- Datenschutzbeauftragten des Bundes und der
flechtung der Energieversorgungsbetriebe und Länder eine gesetzliche Regelung für die Erhe-
zur Öffnung des Messwesens anwachsen. bung der Verbrauchsdaten.
Schließlich werden aufgrund der Vervielfältigung
der Zwecke, für die die Daten zukünftig benötigt 3.2 Technische Rahmenbedingungen
werden, die Anzahl der Datenverarbeitungsvor-
gänge erheblich zunehmen. Die wesentlichen technischen Rahmenbedingun-
Die datenschutzrechtlichen Risiken können nur gen lassen sich wie folgt klassifizieren:
durch eine datenschutzkonforme, technische und
organisatorische Gestaltung des Energieinforma- • Energiegewinnung aus erneuerbaren Quellen
tionsnetzes vermieden oder zumindest gemin- und Energiespeicherung,
dert werden. Um eine möglichst hohe Effektivität
• Messtechnik zur Online-Erfassung von Ener-
zu erreichen, muss diese datenschutzkonforme gieflüssen einschließlich zugehöriger Daten-
Technikgestaltung bereits im Entwicklungspro- verarbeitung (zeitliche Verläufe, Statistiken,
zess vorgenommen werden. Eine datenschutz- Speicherung),
rechtliche Bewertung auf der Grundlage gesetzli-
• Kommunikationsinfrastrukturen zur Verbin-
cher Einzelfallprüfungen bei gleichzeitig klarer dung von Energieerzeugern, Energieverbrau-
Rollenverteilung zwischen verarbeitender Stelle chern (inklusive der Web-Schnittstellen zum
und Betroffenen ist vor dem Hintergrund der be- Zugriff auf die persönlichen Energiedaten),
sonderen datenschutzrechtlichen Risiken des Messstationen, Energiemanagementsyste-
Energieinformationsnetzes nicht mehr realisier- men und -administrationen,
bar. Zudem greifen sie in der Schutzintensität für • Energiemanagementsysteme zur dezentralen
die informationelle Selbstbestimmung zu kurz. Steuerung (z.B. in einem Unternehmen oder
Zur Unterstützung und Ergänzung einer daten- privaten Haushalt) sowie zur übergeordneten
schutzgerechten Gestaltung des Energieinforma- Gesamtsteuerung,
tionsnetzes sollte der Gesetzgeber Rahmenrege- • Verfahren zur Sicherstellung eines ungestör-
lungen vorsehen, die die Chancen der informati- ten Betriebsablaufs bei Teilausfall, vor-
onellen Selbstbestimmung trotz der beschriebe- sätzlichen Angriffen oder Katastrophen-
nen Risiken erhöhen. Die besondere Schutz- szenarien.
bedürftigkeit der Energiedaten könnte durch die
Einführung eines Energieinformationsgeheimnis-
Ein wichtiges Elemente in der zukünftigen IKT-
ses, eine strenge Zweckbindung, die durch zu-
Landschaft der Energiebranche ist die kommuni-
sätzliche Transparenzanforderungen gestützt
kationstechnische Vernetzung, also ein Kommu-
wird, sowie gesetzlich manifestierte Anforderun-
nikationsnetz [Orl2009], das parallel zum Ener-Seite 10
gienetz für die Übermittlung von z.B. Mess- und täten gesetzt [Li2010]. Benötigt werden Empfeh-
Steuerdaten sowie Tarifinformationen sorgen lungen und Handlungsanleitungen für charakte-
soll. ristische Einsatzszenarien.
Dabei sind zwei Bereiche für die Kommunikation Der zweite Bereich betrifft die Kommunikations-
von großem Interesse: netze zwischen dem Energieinformations-Gate-
(1) der lokale Bereich beim Kunden, der auch Teil way beim Kunden und einer zentralen Instanz
einer Heimautomatisierung sein kann, und des Versorgers, dem Energieinformationsmana-
gementsystem. Auch hier gibt es eine Reihe von
(2) der Bereich zwischen dem Kunden und dem
Optionen wie das Telefonnetz (PSTN, ISDN), DSL-
Versorger.
Anschluss, Kabelnetz, oder aber auch den Mobil-
Das Kommunikations-Gateway stellt das Binde- funk. Auch neue oder heute noch selten einge-
glied zwischen diesen beiden Bereichen dar. Es setzte Techniken sind mögliche Kandidatenwie
wird als Protokollwandler die Kommunikation Powerline-Übertragung (Nutzung der Stromlei-
über diese Grenze hinweg erlauben, gleichzeitig tung), drahtloser Festnetzanschluss (Wireless Lo-
aber auch als Filter agieren und die Bereiche ge- cal Loop WLL, WiMAX), Glasfaser direkt in die Nä-
geneinander abschotten. Weiterhin könnte dieses he oder ins Haus (Fiber to the X FTTX). Wie für
Gateway auch als Plattform für zukünftige Dien- den Heimbereich müssen auch hier Empfehlun-
ste dienen. Je nach Gegebenheiten und Erforder- gen und Handlungsanleitungen erarbeitet wer-
nissen sind unterschiedliche Architekturen mög- den, um unter Berücksichtigung der jeweiligen
lich. So kann ein solches Gateway dediziert einen vorhandenen anlagenspezifischen Eigenschaften
Kunden, aber auch mehreren Kunden bedienen, und den Anforderungen eine geeignete Auswahl
z.B. in einem Mehrfamilienhaus, oder sogar in ei- und Kombination von Technologien zu treffen.
ner Vorfeldeinrichtung untergebracht sein, wie
der Trafostation des Energieversorgers, um dann
mehrere Häuser abzudecken. Ein solches Gate- 3.3 Organisatorische Rahmenbedingungen
way lässt sich zudem nicht nur für den Bereich und Sicherheitsmanagement
der Stromversorgung einsetzen, sondern kann im
Sinne einer „Multi-Utility Unit“ auch für die Berei- Umfassende Sicherheit ist kein unveränderbarer
che Gas, Wasser und Fernwärme zuständig sein. Zustand, der einmal erreicht wird und sich nicht
wieder ändert. Insbesondere in sich noch entwi-
Die Vernetzung im Heimbereich, also zwischen
ckelnden Bereichen wie einem Smart Grid wird
Verbrauchsmessung mittels elektronischer Mess-
der Betrieb der Netzwerke und IKT-Systeme
technik, dem Gateway und eventuellen weiteren
ständigen dynamischen Veränderungen unter-
Elementen einer Heimautomatisierung, kann mit-
worfen sein. Viele dieser Veränderungen betref-
tels unterschiedlicher Technologien erfolgen. Zur
fen neben Änderungen der Geschäftsprozesse,
Auswahl stehen bereits heute verschiedene
der IKT, von Fachaufgaben, Infrastruktur und Or-
drahtgebunden Technologien, wie M-Bus, Kon-
ganisationsstrukturen auch die IT-Sicherheit und
nex, LON, oder aber auch die Mitbenutzung der
den Datenschutz. Dies gilt insbesondere für die
Stromleitung (z.B. Digitalstrom, X10, PLC auf
Energieversorgung als nationale kritische Infra-
OFDM-Basis), sowie verschiedenste Funktechni-
struktur, die angemessene Sicherheitsstandards
ken wie Bluetooth, Zigbee, WLAN, Wireless-M-
für die nachhaltige, weitere Verbesserung des Si-
Bus, oder aber auch Glasfaser (POF) und Frei-
cherheitsmanagements der Systeme aller betei-
raumoptik (IrDA). Alle diese Techniken haben ihre
ligten Parteien benötigt.
spezifischen Vor- und Nachteile und in jedem eu-
ropäischen Land werden andere Auswahlpriori-Seite 11
Um dauerhaft ein einmal erreichtes bzw. festge- Smart Grid eingesetzt werden können (z.B. Lage-
legtes Sicherheitsniveau aufrecht zu erhalten, bild und Health-Monitoring). Zudem werden in
muss das Sicherheitsmanagement aktiv betrie- den bisherigen Ansätzen die domänenspezifi-
ben werden. Ein mögliches Vorgehensmodell schen Standards wie IEC 62351, ISA SP99, NERC
hierzu wird beispielsweise in den IT-Sicherheits- CIP oder domänenspezifische Normen für das Si-
prozessen des „PLAN-DO-CHECK-ACT“- Regelkrei- cherheitsmanagement wie VDI/VDE 2182, IEC
ses (ISO 27001) beschrieben. Die Umsetzung der 6244 nur unzureichend in die Betrachtung mit
Sicherheitsprozesse erfolgt heute unter Berück- einbezogen.
sichtigung des Best Practice-Standards ITIL V3
und ist die Basis für das Managementsystem für
Informationssicherheit (ISMS) nach ISO 27001. In 4 Stand der Technik
der Planungsphase des Sicherheitsmanagements
werden Sicherheitsmaßnahmen definiert und Forschung und Entwicklung zur Gewinnung und
vorbereitet und ihre konkreten Sicherheitsmaß- Speicherung erneuerbarer Energien erfolgen be-
nahmen werden in der Ausführungsphase den reits seit Jahren. Diese Entwicklungen sind nicht
jeweiligen systemischen Anforderungen ange- abgeschlossen, werden aber im Folgenden nicht
passt bzw. durch neue Maßnahmen bereichert. weiter ausgeführt, da sich das Papier auf IKT-
Hier wird entschieden, welche Maßnahmen an- Aspekte beschränkt. Mit der Einführung von IKT-
gemessen und für den konkreten Fall effektiv Lösungen für die vernetzten Teilsysteme der
wirksam sind. Um derartige Fragen zu beantwor- Energieversorgung wurden und werden den rein
ten, werden die Methoden aus dem Risikomana- betrieblichen Anforderungen nach Betriebs-
gement verwendet, um letztlich Gegenmaßnah- sicherheit und Systemverfügbarkeit neue Anfor-
men zu definieren und Entscheidungen unter derungen hinzugefügt. Wie in vielen anderen Fäl-
Abwägung des verbleibenden Restrisikos treffen len überwogen häufig Time to Market-Ziele, und
zu können. es wurden durch die neuen Technologien verän-
derte Anforderungen übersehen und IT-
Die heute verwendeten Methoden des Risikoma-
Sicherheit eher vernachlässigt [SP2010]. Spätes-
nagements basieren auf Best Practice-Vorge-
tens seit dem Ausfall der elektrischen Fernver-
hensmodellen und stellen ein Rahmenwerk dar,
sorgung im Westen der Vereinigten Staaten von
um die Sicherheit und Verfügbarkeit in Energiein-
1996 ist die Notwendigkeit von Sicherungsmaß-
formationsnetzen nachhaltig zu gewährleisten.
nahmen und der Schutz vor kaskadierenden Ef-
Ob diese Normen und Vorgehensweisen auch im
fekten allen Betreibern vor Augen geführt wor-
Smart Grid anwendbar sind, ist jedoch noch zu
den, und die Gesellschaft konnte von der Abhän-
klären. So werden durch neue Geschäftsmodelle
gigkeit von kritischen Infrastrukturen erfahren
Abhängigkeiten, Verantwortungsbereiche und
[KO2003].
Schnittstellen und damit auch das jeweilige Risi-
komanagement neu zugeschnitten. Zusätzlich Welche Konsequenzen ein gezielter Angriff für
entstehen im Smart Grid durch die Kommunikati- den Betrieb schutzloser Anlagen haben kann,
onsinfrastrukturen und Energiemanagementsys- zeigt das durch das US-amerikanische Aurora-
teme ganz neue und bisher im Risikomanage- Projekt bereits im Jahr 1977 ausgeführte Experi-
ment noch nicht erfasste und berücksichtigte ment eines Hacking-Angriffs, der eine gezielte
Abhängigkeiten und Anforderungen. Die Metho- Überlastung eines Generators herbeiführte3. Stu-
den des Risikomanagements und die dabei ver-
3
wendeten Werkzeuge müssen erweitert werden,
so dass sie auch im laufenden Betrieb eines http://www.cnn.com/2007/US/09/26/power.at.ri
sk/index.htmlSeite 12
dien wie [Lu2009] zeigen, dass auch europäische trieautomation, zwei wichtige Dokumente5, die
Betreiber ihre Anlagen mittlerweile entsprechend Grundlagen beschreiben und Bewertungsverfah-
untersuchen und Konsequenzen ableiten. So ren für IT-Sicherheit in Industrieanlagen vor-
sieht ENEL, ein in Italien ansässiger und multi- schlagen. Mit einem weiteren Dokument6 wird
national operierender Energieerzeuger, einen versucht, Betreibern Möglichkeiten zur Sicherung
deutlichen Handlungsbedarf, die eigenen Anla- der IT-Infrastrukturen ihrer Anlagen an die Hand
gen besser gegen zu geben. Sie berücksichtigen jedoch nicht die
Problematik der Rückeinspeisung durch Prosu-
• Denial of Service-Angriffe auf ihre Internet mer, also von Nutzern, die sowohl Energie-
Gateways und das interne Netzwerk der verbraucher als auch -lieferanten sind. Ebenso
Produktionsanlagen, wenig werden in diesen Dokumenten die neuen
Anforderungen, die sich durch Elektrofahrzeuge
• Übernahme von Anlagenteilen durch An-
greifer, mittels eingeschleuster Trojaner, und deren Consumer- (Batterie aufladen) und
Producer- Verhalten (Batterieleistung zur Verfü-
• Manipulation interner Infrastrukturdienste
gung stellen) ergeben, oder aber nationale Nor-
(z.B. DNS Poisining) ,
men berücksichtigt.
• Ausnutzen bisher unentdeckter Schwach-
stellen (zero day exploits) sowie
• Angriffe auf das SCADA-Kommunikations- 4.1 Smart Meter und Messtechnik
protokoll
Durch die Nutzung intelligenter Stromnetze und -
zähler soll eine effizientere Energieversorgung
zu schützen. Dass derartige Sorgen berechtigt sowie ein transparenteres Abrechnungsmodell
sind, hat Mitte 2010 Stuxnet aufgezeigt, ein für die Verbraucher geschaffen werden. Intelli-
Wurm, der die Computer von SCADA-Systemen gente Stromzähler sind über öffentliche Netze an
(Leitwarten-Technologie) befallen kann, Teilsys- die Kommunikationsnetze der Energieversorger
teme gezielt übernahm und außer Betrieb setzte angeschlossen und ermöglichen so einen elek-
[Fa2010], [Br2010]. tronischen Datenaustausch. Zudem bieten sie
Es kann seit geraumer Zeit beobachtet werden, dem Nutzer eine transparente Verbrauchsanzei-
dass eine Reihe von neuen Anstrengungen, so- ge, auf deren Basis er seinen Energieverbrauch
wohl national als auch auf europäischer Ebene, steuern und beeinflussen kann. Daher müssen
getroffen werden, um neue Lösungen für den in- Smart Meter hohen sicherheitsrelevanten An-
novativen und zuverlässigen Betrieb von Anlagen sprüchen genügen.
zur Energieversorgung zu entwickeln. Nationales Intelligente Zähler erfassen den Stromverbrauch
Beispiel ist das BMWi-Programm E-Energy: IKT- und bereiten die gewonnenen Messwerte zur di-
basiertes Energiesystem der Zukunft mit seinen gitalen Verarbeitung und für die Übertragung
über Deutschland in Modellregionen verteilten zum Messstellenbetreiber auf. Von dort aus kön-
Projekten4. nen sie auch dem Nutzer, beispielsweise mittels
In den USA ist diese Entwicklung ebenfalls zu be- Webzugriff, wieder zur Verfügung gestellt wer-
obachten. 2007 veröffentlichte die ISA (Internati- den. Dabei werden folgende Informationen von
onal Society of Automation), eine der führenden
non-profit Organisationen im Bereich der Indus-
5
ANSI/ISA-99.00.01-2007, ANSI/ISA-TR99.00.01-2007
4 6
http://www.e-energy.de/ ANSI/ISA-99.02.01-2009Seite 13
der Messung bis zur Abrechnung verarbeitet (vgl. Rechnung tragen. Für die Datenverarbeitungs-
[Sch2010]): systeme ist zudem ein integriertes Datenschutz-
und Sicherheitsmanagementsystem aufzubau-
• Verbrauchsdaten, die von der Messstelle er- en.“7
fasst und zum Messstellenbetreiber zum Die Sicherheit und Vertrauenswürdigkeit dieser
Zwecke der Abrechnung übertragen werden, elektronischen Zähler, die in Deutschland gemäß
• Gerätedaten, die zur Erstellung und Über- dem geltenden Energiewirtschaftsgesetz bei
mittlung der Verbrauchsdaten notwendig Neubauten und bei Totalsanierungen bereits seit
sind und den Nutzer für die Abrechnung Januar 2010 eingebaut werden müssen, ist eben-
eindeutig identifizieren, falls noch nicht zufriedenstellend geklärt. So sind
• Nutzerdaten, die den Verbraucher kenn- diese Komponenten beispielsweise bidirektional
zeichnen und für die Abwicklung der Abrech- mit ihrer Umgebung verbunden. Das heißt, dass
nung erforderlich sind oder ihn einen Zugang sie nicht nur die erfassten Daten der von ihnen
zu einem möglichen Webinterface beim Be- überwachten Einheiten (Einzelhaushalte, Gebäu-
treiber der Messstelle gestatten und de, Liegenschaften) zur Weiterverarbeitung zu
• Daten, die Informationen über das zur den Betreibern senden, sondern selber auch di-
Abrechnung genutzte System liefern, wie z.B. rekt via Fernzugriff durch die Betreiber gesteuert
Verbrauchsumsätze, Systemzustand und To- und beeinflusst (z.B. Stromabschaltung) werden
pologie, Zulieferer des Wirksystems oder können.
einzelner Geräte, Ausbreitung und geogra-
Um sicherzustellen, dass bei der Nutzung von in-
phische Verteilung des Systems.
telligenten Stromzählern verbindliche Daten-
Der Betrieb eines solchen verteilten Abrech- schutz- und Datensicherheitsstandards greifen,
nungssystems liegt in der Verantwortung des wurde das Bundesamt für Sicherheit in der In-
Betreibers. Verschiedene Untersuchungen haben formationstechnik (BSI) im September 2010 vom
gezeigt, dass marktgängige intelligente Zähler Bundesministerium für Wirtschaft und Technolo-
ganz erhebliche Sicherheitsprobleme aufweisen. gie (BMWi) damit beauftragt, ein entsprechendes
Sie sind nicht manipulationssicher und können Schutzprofil (Protection Profile) zu erstellen. Am
aus der Ferne kontrolliert abgeschaltet werden 28. Januar 2011 wurde eine erste Version des
[An2010]. Bei den smarten Zählern sind noch ei- Schutzprofils für die Kommunikationseinheit (Ga-
nige weitere Grundsatzfragen unbeantwortet. teway) des Messsystems vorgestellt. Kern des
Dazu gehören die Fragen nach der Häufigkeit Schutzprofils des BSI ist eine Bedrohungsanalyse
und Frequenz der Messungen oder aber nach der sowie eine Beschreibung von Anforderungen zur
Granularität der zu erfassenden Parameter. Abwehr dieser Bedrohungen. Derzeit ist geplant,
Die 80. Konferenz der Datenschutzbeauftragten das Schutzprofil noch im Jahr 2011 fertig zu stel-
des Bundes und der Länder hat auf ihrer Sitzung len. In die Entwicklung eingebunden sind unter
im November 2010 eine gesetzliche Regelung für anderem der Bundesbeauftragte für den Daten-
die Erhebung, Verarbeitung und Nutzung der schutz und die Informationsfreiheit, die Bundes-
durch digitale Zähler erhobenen Verbrauchsin- netzagentur sowie die Physikalisch-Technische
formationen gefordert. Die Konferenz der Daten- Bundesanstalt.
schutzbeauftragten fordert weiter: „Die Anforde-
rungen an den technischen Datenschutz und die
IT-Sicherheit sind durch verbindliche Standards 7
festzuschreiben, die der Sensitivität der Daten http://www.datenschutz.hessen.de/k80.htm#ent
und den zu erwartenden Missbrauchsrisiken ry3316Seite 14 Multi-Utility, Heimautomatisierung zungsregler, Sonnenkollektoren, aber auch zu- Der digitale Stromzähler ist eine Komponente, künftige Komponenten der Heimautomatisierung deren Einführung vom deutschen Gesetzgeber Daten austauschen können. verpflichtend vorgeben ist. Das angesprochene, Aus der An- und Einbindung der Geräte der in Entwicklung befindliche Protection Profile für Heimautomatisierung versprechen sich die Ex- den Zähler, deckt die Bereiche ab, die durch den perten ein breites Feld für neue Geschäftsmodel- Gesetzgeber zu regulieren sind. Dazu gehört der le und Dienstleistungsangeboten, nicht nur durch Zähler an sich, der eichrechtliche Anforderungen Energienetzbetreiber, sondern auch durch Anbie- zu erfüllen hat, sowie seine Schnittstellen (Gate- ter von Telekommunikationsdiensten, Wasser- way) nach außen und den Sicherheitsanker versorger, etc. Um diese Vielzahl von Geräten zu (Hardware-Modul). Der Zähler besitzt eine unterstützen (multi-utility) sowie zur Anpassung Schnittstelle zu einem Kommunikations-Gateway, von Protokollen, werden Multi-Utility-Controller an das, wie weiter oben bereits ausgeführt, wei- bzw. Gateways eingesetzt. Das Protection Profile tere lokale Geräte der Heimautomatisierung an- bezieht sich nicht auf diese Geräte, die beispiels- geschlossen werden können. Das Smart Metering weise zu komplexeren Energiemanager-Kom- IKT-Gateway (MUC), das vom VDE spezifiziert ponenten erweitert werden können. Beispiele für wird, ist eine solche Gateway-Komponente, mit solche Energiemanager werden derzeit in den E- der, wie in Abbildung 4 aufgezeigt, vorhandene Energy-Projekten des BMWi erarbeitet. Zähler und Sensoren wie Gas-, Wasserzähler, Hei- Abbildung 4: Multi-Utility bzw. Smart Metering Gateway (MUC) (Quelle: RWE)
Seite 15
4.2 Kommunikationsinfrastrukturen oder PROFIBUS (Process Fieldbus), die keine Si-
cherheitsmaßnahmen wie beispielsweise Ver-
Die erforderlichen Kommunikationsinfrastruktu- schlüsselung anbieten. SCADA-Systeme haben
ren müssen nicht komplett neu konzipiert wer- sich von ursprünglich sehr stark isoliert betriebe-
den. Hier kann auf den existierenden vergleichs- nen Netzen zu offenen Systemen weiterentwi-
weise technologisch hohen Stand der Kommuni- ckelt, die mit Standard Soft- und Hardware, so-
kationstechnik aufgebaut werden wie z.B. digi- genannte COTS9-Produkte, betrieben werden,
tale Anschlussnetze (DSL-Techniken), Mobilfunk- über offene Kommunikationsstandards kommu-
netze der 2. und 3. Generation, lokale Funknetze, nizieren und an das Internet angeschlossen sind.
Sensornetze, lokale Rechnernetze (LAN) und das Für die Internet-Anbindung werden spezielle Ga-
Internet. teway-Komponenten verwendet, die die Schnitt-
Demgegenüber sind Neuentwicklungen erforder- stelle zwischen den Feldbus-basierten SCADA-
lich zur Vernetzung der (Strom)verbrauchenden Protokollen und dem Internet-Protokoll (IP) reali-
Geräte (z.B. über das Stromnetz selbst, die so ge- sieren. Zu ihren Aufgaben gehört die Umsetzung
nannte “Powerline Communication”) und für die zwischen den unterschiedlichen Protokollfamilien
Übertragung von Steuerdaten in den bestehen- (Feldbus, IP) sowie auch die Zwischenspeicherun-
den Kommunikationsinfrastrukturen, damit die gen der Daten, um die Performanz der Gateways
Übertragung sicher und robust ist und die erfor- zu erhöhen. Durch diese Ankopplung an IP-
derlichen Steuerungsaufgaben vertrauenswürdig basierte Netze sind SCADA-Systeme damit den
und zeitgerecht erfolgen können. Dies zielt insbe- üblichen Gefährdungen derartiger Netze ausge-
sondere auf die Absicherung von SCADA- setzt.
Systemen ab, die wichtige Bestandteile eines Da SCADA-Netze ursprünglich in isoliert betriebe-
Smart Grid sind (siehe Abbildung 3). nen Kontrollbereichen zum Einsatz kamen, wo
weniger die Sicherheit als die Echtzeit- und Leis-
tungsfähigkeit der Systeme eine Rolle spielte,
SCADA-Netze
wurde weitestgehend auf die Integration von Si-
SCADA-Netze werden in der Leittechnik zur cherheitsmaßnahmen in derartige Systeme ver-
Überwachung von Anlagen, Versorgungsleitun- zichtet. Klassische Sicherheitskonzepte, wie man
gen etc. eingesetzt. Dazu werden Sensoren und sie in der herkömmlichen Business-IT findet, wie
Aktoren so vernetzt, dass diese über das Feldbus- starke Zugangs- und Zugriffskontrollen, Firewalls
basierte SCADA-Netz8 mittels eines PCs oder Pro- und Einbruchserkennungsverfahren (Intrusion
grammable Logic Controller (PLC) gesteuert und Detection) oder aber auch Logging- und Monito-
kontrolliert werden. Derartige Systeme müssen ring-Verfahren, kommen in SCADA-Systemen
häufig Daten in Echtzeit verarbeiten, sind in der nicht oder nur sehr eingeschränkt zum Einsatz.
Regel ressourcenbeschränkt (wenig Speicher, Da die Daten in Echtzeit verarbeitet werden müs-
wenig CPU-Leistung) und werden in hochsicher- sen, führen Filterungen und aufwändige Kontrol-
heitskritischen Umgebungen betrieben. Die len oder Ver- und Entschlüsselungsoperationen
SCADA-Systeme verwenden eigene Protokollfa- zu Verzögerungen, die wiederum für die Be-
milien zur Kommunikation, wie CAN (Controller triebssicherheit der Systeme problematisch sind
Area Network), CIP (Common Industrial Protocol) und deshalb in der Regel nicht eingesetzt wer-
den. Häufig wird zudem ganz bewusst auf starke
Maßnahmen zur Authentisierung des Bedienper-
8
Es gibt über 150 meist proprietäre Protokolle in die-
sem Bereich, jedoch werden zunehmend offene
9
Protokollstandards eingesetzt. Commercial of the ShelfSeite 16
sonals an den Kontroll-Systeme verzichtet, und digitalen Zähler bereits ausgeführt haben. Eine
es werden Passwort-basierte Verfahren einge- ausführliche Taxonomie möglicher Angriffe auf
setzt, um den gefürchteten Lock-out-Effekten zu SCADA-Netze findet sich u.a. in [Igu2006].
begegnen. Diese Effekte beziehen sich auf opera-
tive Notsituationen, in denen das Bedienpersonal
4.3 IKT-gestützte Energiemanagement-
sehr schnell eingreifen und mit entsprechenden
systeme
Steuerungskommandos die in Echtzeit betriebe-
nen Anlagen abschalten oder andere Notfallmaß-
Im Gegensatz zur Kommunikationsinfrastruktur
nahmen vornehmen muss. Das Personal muss
existieren Energiemanagementsysteme, wie sie
sehr schnell einen direkten Zugriff auf die Anlage
in einem Smart Grid notwendig sind, bislang
haben; Verzögerungen durch vergessene lange
nicht. Erste systemische Lösungen werden der-
Passworte, nicht verfügbare Zugangstoken wie
zeit im Rahmen des BMWi E-Energy-Programms
Smartcards, versagende biometrische Authenti-
erstellt. Ein solches Management findet auf ver-
sierungen etc. werden häufig als zu hohe Risiken
schiedenen Ebenen statt. Bereits in den einzelnen
eingestuft. Verbesserte Authentisierungsverfah-
Privathaushalten sind lokale Managementsyste-
ren, die auch in den sehr zeitkritischen Notsitua-
me erforderlich (vgl. Abbildung 5), um die Ener-
tionen zuverlässig funktionieren, werden also
gie-Ströme im Haushalt zu steuern und ressour-
dringend benötigt.
censparend einzusetzen.
Verzögerungen werden auch durch Firewalls, die
Die Privathaushalte werden in lokalen Manage-
Daten filtern, verursacht. Darüber hinaus müss-
ment-Zentren zusammengeführt und koordi-
ten sie auch noch auf die oben genannten spe-
niert. Diese regionalen Zentren müssen unterein-
ziellen SCADA-Protokolle zugeschnitten werden
ander sowie mit überregionalen Zentren koordi-
und kontinuierlich, z.B. per Fernadministration,
niert zusammen arbeiten. Noch schwieriger und
aktualisiert werden. Dies eröffnet wiederum An-
komplexer wird das Szenario, wenn das Ener-
griffsmöglichkeiten. SCADA-Systeme erfordern
giemanagement über Landesgrenzen hinweg
Echtzeitfähigkeit und verfügen in den beteiligten
funktionieren muss. Auf europäischer Ebene
Sensoren häufig nur über sehr geringe Speicher-
muss dafür die bereits bestehende Vielzahl ver-
und Rechenressourcen sowie über geringe Da-
schiedener Arten der Energieerzeugung geeignet
tenraten bei der Übertragung, so dass auf eine
eingebunden werden. So verwendet Norwegen
Datenver- und Datenentschlüsselung in der Regel
vorwiegend Wasserkraft, Deutschland setzt einen
verzichtet wird. Es werden also keine gesicherten
hohen Anteil erneuerbarer Energien ein10, Frank-
Kommunikationskanäle zwischen den Kompo-
reich besitzt einen hohen Anteil an Atomenergie,
nenten eines SCADA-Netzes etabliert, so dass
während Polen ausschließliche fossile Brennstof-
keine Komponentenidentifizierung stattfindet
fe nutzt. Die komplexen Systemstrukturen, aber
und Daten abgehört, verändert oder auch neue
auch die unterschiedlichen Anforderungen an die
Daten eingeschleust werden können. Darüber
Erfassung, Auswertung sowie Speicherung von
hinaus fehlen auch Lösungen für ein effizientes,
Daten, der Umfang der Datenflüsse und ihre
automatisiert durchführbares Schlüsselmanage-
Echtzeitanforderungen sowie die erforderlichen
ment. Die Sensorik eines SCADA-Systems wird
Regelkreise erfordern ein überaus umfangreiches
häufig in Umgebungen eingesetzt, in denen ein
potentieller Angreifer physischen Zugriff auf die
10
Komponenten erhält. Somit ergeben sich hier Vgl. http://www.erneuerbare-
energien.de/files/pdfs/allgemein/application/pdf/ee
analoge Anforderungen an die Sicherheit derar-
_in_deutschland_update_bf.pdf
tiger Sensoren, wie wir sie im Speziellen für dieSeite 17 verteiltes System. An dieses Managementsystem den sind. Obwohl es in verwandten Anwen- werden höchste Anforderungen gestellt, die nicht dungsgebieten ähnliche Systeme bereits gibt, nur technischer Natur sind. Zu dessen Entwick- wie z.B. integrierte Produktionssteuersysteme, lung werden detaillierte Kenntnisse der Informa- Verkehrsmanagementsysteme (Luftfahrt, Bahn- tik, Informationsverarbeitung, Steuerungs- und systeme, Flottenmanagement) oder Logistiksys- Regelungstechnik sowie der Hardware- und Soft- teme (Supply Chain Management, Event Mana- ware-Systemtechnik erforderlich sein. gement), stellt das Smart Grid sehr viel komple- Ebenfalls spielen juristische und ökonomische xere und weitreichendere Anforderungen, so Fragestellungen eine große Rolle, so dass Juristen dass die bekannten Systeme nicht direkt nutzbar und Wirtschaftsinformatiker bzw. Betriebswirte sein werden. frühzeitig in den Prozess der Entwicklung der Insbesondere im Bereich der Sicherheit und des Managementsysteme des Smart Grid einzubin- Datenschutzes ergeben sich höhere Anforderun- Abbildung 5: Energiemanagementsysteme in Privathaushalten (Quelle: Siemens AG)
Seite 18
gen als in den oben genannten verwandten Sze- Die IKT-Infrastruktur und die Managementsys-
narien. Grund sind die Charakteristika des Smart teme des Smart Grid müssen deshalb frühzeitig
Grid wie Heterogenität und Vielzahl der beteilig- auch auf solche Anwendungsszenarien vorberei-
ten Parteien, die Dezentralität der Verwaltung, tet werden und Maßnahmen vorsehen, um äu-
die Sensibilität der erfassten Daten etc.. Gleichzei- ßerst sicherheitskritische und datenschutzrele-
tig müssen Sicherheit und Datenschutz die be- vante Mehrwertdienste in Zukunft unterstützen
sonderen betrieblichen Anforderungen von tradi- zu können. Neben der klaren Trennung von Da-
tionell autark betriebenen Anlagenteilen berück- ten, die für unterschiedliche Dienstleistungen er-
sichtigen. hoben, übermittelt und verarbeitet werden
Bestandteil der Energiemanagementsysteme sind (Zweckbindungs- und Datensparsamkeitsprinzi-
die Energiemarktplätze, über die im zukünftigem pien des Datenschutzes), dem Einsatz starker En-
Smart Grid Mehrwertdienste angeboten werden. de-zu-Ende-Verschlüsselungskonzepte für die
Mehrwertdienste werden in Zukunft nicht nur vertrauliche Übermittlung der Daten, werden
flexible Tarifmodelle umfassen, sondern sehr viel insbesondere auch starke Verfahren zur wechsel-
weiter reichende Dienste bzw. ganze Dienstleis- seitigen Identifizierung der Akteure und nicht-
tungsbündel (Packages) abdecken. Über die Mul- umgehbare, auditierbare, rollenbasierte Zugriffs-
ti-Utility Gateways kann die gesamte Heimauto- kontrollen erforderlich sein. Die Identifizierung
matisierung in die Entwicklung neuer Geschäfts- und Authentisierung der Akteure bezieht sich
modelle u. a. für Telekommunikationsanbieter dabei sowohl auf die so genannte Maschine-zu-
einbezogen werden, so dass beispielsweise eine Maschine-Kommunikation (M2M), bei der sich Ge-
Fernsteuerung der heimischen Geräte über Mo- räte, Dienste, Plattformen identifizieren und als
biltelefone ermöglicht wird. korrekt ausweisen müssen, als auch auf die Iden-
tifizierung der agierenden natürlichen Personen
Ein sehr großes Potential wird im Bereich der Ge-
bzw. der Rollen, in denen sie aktiv sind. Digitale
sundheitsversorgung und der IKT-gestützten
Ausweisdokumente mit integrierten Identifizie-
Pflege bei der Unterstützung von älteren und
rungsfunktionen wie der neue Personalausweis
mobilitätseingeschränkten Personen im Sinne
(nPA) oder die elektronische Gesundheitskarte
des Ambient Assisted Living gesehen. Zum Hin-
(eGK) und der Heilberuflerausweis (HBA) (vgl.
tergrund: In Deutschland ereignen sich mehr als
[Eck2009]), wie sie in Deutschland entwickelt und
70% aller medizinischen Zwischenfälle und Unfäl-
zum Teil bereits ausgerollt werden, könnten hier-
le im eigenen Haushalt. In der Gruppe der Betrof-
für eine Vorreiterrolle einnehmen und die euro-
fenen sind mehr als die Hälfte über 65 Jahre alt,
päische Standardisierung prägen. Konkrete
die in privaten Haushalten häufig alleine leben.
Schritte in dieser Richtung sind den Autoren des
Das Smart Grid zusammen mit seinen Marktplät-
Papiers jedoch bislang nicht bekannt.
zen wird eine umfassende und flächendeckende
IKT-Infrastruktur zur Verfügung stellen, die in ei-
nem weiteren Schritt auch für medizinische Un- 4.4 Normungsaktivitäten
terstützungsdienstleistungen genutzt werden
könnte. In solchen Szenarien werden eine Viel- Das NIST-Papier [EPR2009] hat unter anderem 14
zahl hochsensibler Daten ausgetauscht. Über z.B. zentrale Themenbereiche identifiziert, in denen
Fernzugriffe durch medizinisches Personal, wie neue oder überarbeitete Standards benötigt
Notfallpraxen, könnten darüber hinaus auch di- werden. Der Bereich IT-Sicherheit wird hierbei
rekte Eingriffe in die Abläufe in einem Privat- besonders hervorgehoben. Dies greift das DKE-
haushalt vorgenommen werden, indem spezielle Papier [DKE2010] auf und entwickelt Empfehlun-
Sensoren an- und abgeschaltet werden etc.. gen für eine Normungsroadmap für die ThemenSeite 19 Abbildung 6: Referenzarchitektur der Smart Meters Coordination Group (Quelle [DKE2010]) IT-Sicherheit und Datenschutz. Hierbei wird Mit den Common Criteria steht ein solcher inter- ebenfalls auf die entstehenden Zielkonflikte zwi- national anerkannter Bewertungskatalog bereits schen dem Datenschutz mit dem Ziel der Daten- zur Verfügung. sparsamkeit einerseits und den Stakeholdern an- Weltweit wird bereits jetzt mit hohem Druck an dererseits, die möglichst viele Informationen zur der Entwicklung von Roadmaps und Frameworks Bereitstellung von Mehrwertdiensten benötigen, für Smart Grid-Systeme und -Infrastrukturen ge- hingewiesen. Weiterhin wird gefordert, dass IT- arbeitet. Der Fokus der bislang vorangetriebenen Sicherheit als Kernthema bei der Architekturent- Aktivitäten lag auf der Entwicklung funktionaler wicklung betrachtet werden muss. IKT-Infrastrukturen und Komponenten [Jav2010]. Wesentliche Themen, die identifiziert werden, be- Die Frage der Sicherheit, Robustheit und Verläss- treffen rollenbasierte Zugriffskontrolle, Identi- lichkeit einer solchen Infrastruktur spielte bis- tätsmanagementfragen sowie die sichere Kom- lang, auch international, nur eine untergeordnete munikation. Zudem wird ein Bewertungssystem Rolle. Angesichts der immer stärker zu Tage tre- gefordert, so dass die Vergleichbarkeit und An- tenden Risiken durch Angriffe auf solch ein Ener- wendbarkeit von Sicherheitslösungen möglich ist. gieinformationsnetz werden aber u.a. in den USA
Seite 20
bereits massive Anstrengungen unternommen, te Chancen für die deutsche Wirtschaft gesehen,
um die Sicherheit der Energienetze zu gewähr- die kommenden Standards mit zu prägen.
leisten. So befassen sich verschiedene Standardi- Der skizzierte Stand der Technik hat gezeigt, dass
sierungsgremien (wie das US National Institute of im Bereich der Sicherheit und des Datenschutzes
Standards and Technology NIST) derzeit haupt- noch ein erheblicher Nachholbedarf besteht. Bei
sächlich mit der Erarbeitung von Anforderungs- der Konzipierung und Umsetzung eines Smart
spezifikationen [Lee2009], [NIST2010], [Mc2009], Grid müssen Sicherheits- und Datenschutzfrage-
[Khu2010]. stellungen von Anfang an einbezogen werden,
da eine Nachbesserung nur Stückwerk erzeugt,
Europäische Standardisierung mit hohen Kosten verbunden ist und lückenhaft
bleiben wird.
Um einen Europaweit einheitlichen Standard für
Smart Metering-Infrastrukturen zu erhalten, hat
die Europäische Union den Organisationen ETSI,
5 Ausgewählte Angriffsszenarien
CEN und CENELEC ein Mandat zur Ausarbeitung
von Standards erteilt11. Die diesen Standardisie- Das Smart Grid der Zukunft wird vielfältigen Be-
rungsbemühungen zugrunde liegende Referenz- drohungen und Angriffen ausgesetzt sein (vgl.
architektur ist in Abbildung 6 dargestellt (vgl. u.a. auch [Mc2009, Khu2010, Bee2010]). Eine US-
[DKE2010]). Das Ziel der Standardisierung ist es, amerikanische Studie aus dem Jahr 2008 kommt
Normen festzulegen, um eine Interoperabilität zu zu dem Ergebnis „the energy sector is most vul-
gewährleisten. Die Normungsarbeiten werden nerable to cyberattack“. Nachfolgend werden ei-
sich auf sechs Bereiche beziehen: nige allgemeine Angreiferklassen skizziert. Die
(1) Das Auslesen von Messwerten, offenen, dezentralen Architekturen der zukünfti-
(2) die bidirektionale Kommunikation zwischen gen Smart Grids vergrößern die potentiellen IT-
Zähler und Marktteilnehmer, Angriffsflächen und eröffnen Angreifern neue
und „attraktivere“ Möglichkeiten des direkten
(3) die Unterstützung unterschiedlicher Tarifmo-
Manipulierens und Eingreifens.
delle und Zahlungssysteme,
Angriffspunkte und Schwachstellen ergeben sich
(4) die Zählerfernabschaltung und der Versor-
unter anderem durch eine Vielzahl von ungenü-
gungsstart und das -ende,
gend abgesicherten Smart Metern [Hei2009,
(5) die Kommunikation mit Geräten der Heimau- Law2010], die als Massenprodukte in Haushalten,
tomatisierung und Gebäuden, Anlagen ausgerollt werden. Das dritte
(6)das Display zum Anzeigen der Zählerstände in Energiepaket, das das Europäische Parlament im
Echtzeit. April 2009 verabschiedet hat, empfiehlt, dass
80% aller Energiekunden bis 2020 Smart Meter
Diese Normierungsaktivitäten stecken noch in
haben sollen. Durch die Vernetzung, mit der
den Anfängen. Mit zeitnahen Entwicklungen von
Möglichkeit der Fernzugriffe auf Komponenten
deutschen Referenzaktivitäten, wie dem Protec-
und Systeme (die z.B. zur kostengünstigen und
tion Profile für Smart Meter, könnte Deutschland
effizienten Fernwartung sehr erwünscht sind),
in dieser Phase starken Einfluss auf die europäi-
ergibt sich eine Vielzahl mangelhaft abgesicher-
schen Normierung nehmen. Hier werden sehr gu-
ter offener Zugangspunkte, wodurch sicherheits-
kritische Zugriffe auf die Netze/Komponenten
des Smart Grid möglich werden. Drittanbieter
11 können ihre Mehrwertdienste in die Energie-
EU Mandat M/441Sie können auch lesen
