IT-Sicherheit in der Energiewirtschaft - Gefahren
einzelne Gefahrenquellen im Detail
A. Potenzielle Angriffspunkte und daraus resultierende Bedrohungen
Die Einrichtungen der Energiewirtschaft sind für viele Akteure - aus dem Blickwinkel einer eventuellen Einflussnahme - von Interesse. Terrorismus, Wirtschaftsspionage, Vorbereitung oder Führung eines Angriffskrieges [1]: in all diesen Fällen kann es für den Angreifer sinnvoll bzw. von großem Vorteil sein, die Energiewirtschaft ins Visier zu nehmen. Studien und Analysen darüber, was passieren würde, falls in der modernen westlichen Welt die Energieversorgung spürbar zum Erliegen gebracht wird, existieren zu genüge [7] - und alle zeichnen ein relativ düsteres Bild über die Folgen - zum Beispiel eines weiträumigen Stromausfalls.
An dieser Stelle Text werden einige Überlegungen angestellt, wo die Gefahrenquellen für das Energieversorgungssystem in Deutschland und eventuell auch in Europa lauern können, welche es zu erkennen und zu minimieren gilt. Dabei werden insbesondere die aktuellen Entwicklungen in der Branche - sei es infolge der technologischen Entwicklung, sei es wegen der gesetzlichen Vorgaben - kritisch hinterfragt. Dies sind im Einzelnen:
- Fernsteuerung von Anlagen,
- Steuerungssysteme in Transport- und Verteilernetzen,
- insbesondere: smart grids und smart metering.
1. Fernsteuerung von Anlagen
Die - im modernen Stromnetz zwingende - Fernsteuerung von Stromerzeugungsanlagen und teilweise auch der Anlagen, die Strom verbrauchen, führt zwangsläufig auch zu neuen Angriffsmöglichkeiten. Die innerhalb der sog. DER-Systeme [8| eingesetzten Anlagen können für einen Angriff auf Systemstabilität genutzt werden, indem sie durch gefälschte SCADA-Steuerbefehle heruntergefahren (oder anders beeinträchtigt) werden [9].
Die - im modernen Stromnetz zwingende - Fernsteuerung von Stromerzeugungsanlagen und teilweise auch der Anlagen, die Strom verbrauchen, führt zwangsläufig auch zu neuen Angriffsmöglichkeiten. Die innerhalb der sog. DER-Systeme [8| eingesetzten Anlagen können für einen Angriff auf Systemstabilität genutzt werden, indem sie durch gefälschte SCADA-Steuerbefehle heruntergefahren (oder anders beeinträchtigt) werden [9].
2. Steuerung von Transport- und Verteilernetzen
Der Einsatz von Software und allgemein von IKT-Systemen in der Energiewirtschaft findet auch bei Betrieb von Versorgungsnetzen und -anlagen statt. Dies führt zwangsläufig zur Entstehung von neuen Angriffsflächen in der Netzsteuerung und auch in anderen kritischen Bereichen der Netzwirtschaft, worauf der Gesetzgeber mit § 11 Abs. 1a und 1b EnWG reagiert.
Der Einsatz von Software und allgemein von IKT-Systemen in der Energiewirtschaft findet auch bei Betrieb von Versorgungsnetzen und -anlagen statt. Dies führt zwangsläufig zur Entstehung von neuen Angriffsflächen in der Netzsteuerung und auch in anderen kritischen Bereichen der Netzwirtschaft, worauf der Gesetzgeber mit § 11 Abs. 1a und 1b EnWG reagiert.
Neben den für Sicherheitsexperten bekannten Gefahren entstehen allerdings andauernd neue mit der fortschreitenden Entwicklung der IKT. So werden in der Energiewirtschaft z. B. auch die - im Hinblick auf die Frage der Sicherheit noch kaum erforschten - cyber physical systems, d. h. verbundene IT- und physische Systeme (CPS) eingesetzt [5]. Sie sollen künftig immer intensiver eingesetzt werden [6]. Dabei sind derartige Systeme wegen ihrer einzigartigen Verbindung von Software und physikalischen Komponenten (sog. embedded-Teile) noch einmal komplexer und - aus dem Blickwinkel der IT-Sicherheit - problematischer. Und ihre Verwundbarkeit wurde mit dem Stuxnet-Wurm deutlich [5].
3. Betrieb "intelligenter" Zähler
Dass Fernsteuerung im Energieversorgungsnetz bereits seit geraumer Zeit eine grundlegende Voraussetzung für den sicheren und effizienten Netzbetrieb ist, ist gemeinhin bekannt [2]. Sofern aber die bisherigen Lösungen auf geschlossenen und verantwortungsvoll konzipierten Systemen basieren, können sie nicht ohne erheblichen Aufwand angegriffen werden. Werden sie angegriffen (nachdem dieser Aufwand durch den Angreifer betrieben wurde), sind die nativen Schutzsysteme zu überwinden. Dies stellt eine - im Vergleich mit Einrichtungen im frei zugänglichen Raum, z. B. im Internet - systembedingt recht komfortable Situation dar, sofern sich die Verantwortlichen an grundlegende Sicherheitsstandards halten.
Dass Fernsteuerung im Energieversorgungsnetz bereits seit geraumer Zeit eine grundlegende Voraussetzung für den sicheren und effizienten Netzbetrieb ist, ist gemeinhin bekannt [2]. Sofern aber die bisherigen Lösungen auf geschlossenen und verantwortungsvoll konzipierten Systemen basieren, können sie nicht ohne erheblichen Aufwand angegriffen werden. Werden sie angegriffen (nachdem dieser Aufwand durch den Angreifer betrieben wurde), sind die nativen Schutzsysteme zu überwinden. Dies stellt eine - im Vergleich mit Einrichtungen im frei zugänglichen Raum, z. B. im Internet - systembedingt recht komfortable Situation dar, sofern sich die Verantwortlichen an grundlegende Sicherheitsstandards halten.
Die Aufnahme der - vom Gesetzgeber gewollten - "intelligenten" Messeinrichtungen in ein solches geschlossenes Steuerungssystem wäre mit einem hohen Aufwand verbunden. Es würde den Aufbau von komplett neuen, von bestehenden Netzen getrennten Lösungen bedeuten. Dies soll durch eine "pragmatische" [3] Lösung mit Kryptografie innerhalb von öffentlichen Netzen ersetzt werden. Die Bedrohungen durch Einbindung intelligenter Messeinrichtungen in die Versorgungsinfrastruktur sind dabei [4]:
- potenzielle Eingriffe in die Netzsteuerung,
- Versagen von Steuerungsfunktionen,
- menschliches Versagen bei Ausführung von Steuerungsaufgaben,
- Datenmissbrauch.
Inwiefern aber allein kryptografische Lösungen und Sicherheitsstandards für "intelligente" Messeinrichtungen und insbesondere für ihren Hauptbestandteil des Fernzugriffs - die sog. Smart-Meter-Gateways - ausreichen, das Gesamtsystem zu schützen, bleibt fraglich. Es ist zu bedenken, dass mit den nun flächendeckend einzuführenden, dezentralen Einrichtungen zur Messung von Leistung, Verbrauch etc. eine Öffnung für Angriffe auf das Energieversorgungssystem aus öffentlichen Datennetzen vollzogen wird. Es handelt sich dabei selbstverständlich nicht um eine Öffnung im Sinne einer bidirektionalen Kommunikation der Systeme untereinander, auf die eine Angreifer aus öffentlichem Netz Zugriff erhalten kann. Die Kenntnis und Manipulation bestimmter Daten vieler, unter die Kontrolle eines Angreifers gebrachten Messeinrichtungen kann eine Bedrohung des Gesamtsystems bedeuten - wenn dadurch z. B. Entscheidungen über die Netzführung plötzlich auf falscher Datenbasis beruhen. Erfolgt die Netzführung dabei automatisch, kann damit recht zügig eine Kettenreaktion hervorgerufen werden - ohne dass die (geschlossenen) Systeme der Netz- und Energieanlagensteuerung direkt angefasst werden müssen.
Darüber hinaus ist Verschlüsselung nicht für alle Komponenten und Kommunikationswege des Smart-Metering-Systems vorgeschrieben - die Kommunikation zwischen dem Smart Meter Gateway (SMGW) und Akteuren des externen Marktes müssen nicht zertifiziert werden [10]. Dies führt zu einer weiteren Lücke im System.
4. Potenzielle Angriffsszenarien
Konkrete Szenarien für Angriffe auf Stromnetze und ihre potenziellen Folgen werden in der Wissenschaft bereits diskutiert. Diese Szenarien können verschiedenen Ursprung und unterschiedlichen technischen Hintergrund haben. Im Hinblick auf Lücken in IKT-Systemen sind insbesondere - um nur einige Beispiele zu nennen - folgende Szenarien möglich:
Konkrete Szenarien für Angriffe auf Stromnetze und ihre potenziellen Folgen werden in der Wissenschaft bereits diskutiert. Diese Szenarien können verschiedenen Ursprung und unterschiedlichen technischen Hintergrund haben. Im Hinblick auf Lücken in IKT-Systemen sind insbesondere - um nur einige Beispiele zu nennen - folgende Szenarien möglich:
- Netzinstabilität wird durch Übernahme der Kontrolle über dedizierte Daten- und Sprachleitungen zwischen Systembetriebszentren und Anlagen hervorgerufen;
- geschaltete Kondensatorbatterien werden manipuliert, wodurch die Netzqualität beeinträchtigt wird;
- DER-Systeme werden mit gefälschten SCADA-Steuerbefehlen heruntergefahren.
Im gemeinsamen Projekt des Instituts für ökologische Wirtschaftsforschung (IÖW) und der Universität Bremen Strom-Resilienz [11] wurden zahlreiche, konkrete Sicherheitsprobleme im gegenwärtigen Stromnetz identifiziert. Nachstehend wird eine Liste mit Beispielen technischer Sicherheitslücken zusammengestellt, die auf dem Projektbericht basiert und die Bandbreite der Probleme schildern soll [12]:
- Schutzprofile der SMGW umfassen nicht die Kommunikation mit anderen Akteuren - trotz hohen Aufwands für Messstellenbetreiber entstehen so Sicherheitslücken;
- Hausautomation und übrige smart-home-Anwendungen setzen Protokolle, wie z. B. ZigBee Light Link, die - obwohl gar für Schlossanlagen etc. einsetzbar - mit einem allgemein bekannten (!) Masterschlüssel gesichert sind;
- ZigBee wird auch für Kommunikation mit intelligenten Wechselrichtern in DER-Systemen eingesetzt;
- Einsatz von Smart Energy Profile 2.0, dessen potenzielle Schwachstellen (noch?) nicht untersucht sind;
- Drittanbieter - und damit ihre IKT-Systeme als zusätzliches Einfallstor - haben Zugriff auf DER-Systeme; sie können sogar Zugriff auf zahlreiche DER-Systeme bündeln;
- zu Protokollen für die Kommunikation der DER-Systeme mit großen Stromnetzen zählen insb. DNP3 (distributed network protocol) oder IEC 61850, die Sicherheitsmängel im Design aufweisen; dennoch werden verbesserte Versionen oft nicht übernommen;
- früher geschlossene Systeme für Erzeugungsanlagen und Übertragungsnetze (mit den darin eingesetzten Protokollen ICS, SCADA), die durch air gap und security by obscurity weitgehend sicherer waren, als andere Umgebunden, werden immer mehr zu Standardprotokollen und auf TCP/IP migriert, womit sie alle dafür bekannten Probleme erben;
- ICS ist ohne Sicherheitsüberlegungen entstanden; "Modbus" ist völlig unverschlüsselt;
- industrielle Netzwerke sind teils ohne Absicherung mit Internet verbunden; Aufspüren und Hacken dieser ist mit immer mehreren und immer besseren Werkzeugen möglich;
- Teil der drahtlosen Systeme ist nicht abgesichert;
- Fernwartungsschnittstellen von Anlagen (Beispiel: Gasturbine) ermöglichen tiefgreifende Eingriffe in den Betrieb dieser.
C. Bisherige Vorkommnisse
Welche Dimension Probleme der IT-Sicherheit in vielen Wirtschafts- und Lebensbereichen erreichen, zeigen: die hier gesammelten Zwischenfälle.
Vgl. auch Interview mit dem Leiter Sicherheit bei Innogy: https://www.zdf.de/dokumentation/planet-e/blackout-interview-haacke-frage-2-100.html
[1] Die Gefahr eines - sogar militärischen - Konflikts europäischer Staaten mit Russland ist in der gegenwärtigen Situation gemäß der aktuellen Einschätzung der NATO-Experten leider wieder real geworden. Dass hierbei die Energiewirtschaft auch im Fokus stehen kann, zeigt der Fall Ukraine.
[2] Vgl. z. B. Heyne, Magga, vom Wege, in: Praxishandbuch MsbG, S. 189 ff.
[3] Dass diese Lösung als pragmatisch und allem Anschein nach als gangbarer Weg erscheint, vertreten - neben dem Gesetzgeber - auch Heyne, Magga, vom Wege, in: Praxishandbuch MsbG, S. 189/190 (Rn. 35).
[4] Heyne, Magga, vom Wege, in: Praxishandbuch MsbG, S. 190 (Rn. 36).
[5] Eckert, IT-Sicherheit, Kapitel 1.6, CPS; auch unter Berufung auf Wayne Wolf: Cyber-physical systems, in: Computer, 2009, 42 S. 88-89.
[6] Vgl. z. B. das Projekt Cyber Physical Systems für eine smarte Energiewirtschaft in NRW.
[7] Vgl. statt vieler nur TAB-Bericht „Was bei einem Blackout geschieht“, Petermann u. a. 2011.
[8] DER = distributed energy resources, d. h. kleinteilige Anlagen, die zur dezentralen Stromerzeugung genutzt werden und in der Regel in Verteilernetzen angeschlossen sind. Vgl. zur Rolle der DER-Systeme im Gesamtsystem im Kontext der Systemsicherheit Hirschl, Aretz, Bost, Tapia, Gößling-Reißmann, in: Vulnerabilität und Resilienz des digitalen Stromsystems, S. 25-27.
[9] Hirschl, Aretz, Bost, Tapia, Gößling-Reißmann, in: Vulnerabilität und Resilienz des digitalen Stromsystems, S. 28.
[10] Hirschl, Aretz, Bost, Tapia, Gößling-Reißmann, in: Vulnerabilität und Resilienz des digitalen Stromsystems, S. 31 unter Bezug auf Experteninterviews im Projekt.
[11] Unter dem Titel "Vulnerabilität und Resilienz des digitalen Stromsystems" ist der Endbericht zum Projekt erschienen. Der Bericht steht zum Download bereit.
[12] Hirschl, Aretz, Bost, Tapia, Gößling-Reißmann, in: Vulnerabilität und Resilienz des digitalen Stromsystems, S. 30 ff.
CategoryEnergierecht CategoryEnergieITSecurity
Diese Seite wurde noch nicht kommentiert.