Vom 22.11. - 25.11.2022 findet das Online-Seminar „IT Sicherheit für elektrische Netze“ statt.
Zum anstehenden Seminar hat Andrea Schröder, Leiterin der Akademie, den Seminarleiter Dr. Jörg Benze interviewt.
Andrea Schröder: Welche Gesetze, bezogen auf die Sicherheit von Energiesystemen, traten in den letzten Jahren in Kraft und wie haben diese zu einer Verbesserung der Sicherheit der Energieversorgung beigetragen?
Dr. Jörg Benze: Die Digitalisierung ist ein stetig voranschreitender Prozess, der mittlerweile ebenfalls im Energiesektor angelangt ist. Um mit den neuen Entwicklungen mitzuhalten, müssen Schutzmechanismen und Abwehrstrategien für die Aufrechterhaltung des Betriebs aktuell anwendbar sein. Bereits 2008 wurde eine Ermittlung unter dem Namen EU ECI Directive vorgestellt, welche eine Bewertung der Lage von Europas kritischer Infrastruktur vornahm und feststellte, dass die Notwendigkeit bestand, diesen Schutz zu verbessern. In den letzten Jahren wurden einige Gesetze verabschiedet, die den Schutz der Energieversorgung gewährleisten sollen. Darunter zählt die EU NIS Directive, eine Richtlinie über die Netz- und Informationssicherheit, die 2016 in Kraft trat und als Zielstellung ein hohes gemeinsames Niveau der Cybersicherheit in allen EU-Mitgliedsländern verfolgte. Obwohl sich die Cybersicherheitsfähigkeit erhöhte, erwies sich die Umsetzung als schwierig, es folgte eine Fragmentierung des Binnenmarktes auf verschiedenen Ebenen. Um Bedrohungen durch die Digitalisierung einzudämmen, wurde ein neuer Vorschlag erbracht, der die Sicherheitsanforderungen stärken soll. Dieser muss jedoch noch verabschiedet werden. Besonders relevant, insbesondere mit Hinblick auf das Thema des Seminares, ist die BSI KRITIS Verordnung, die 2016 in Kraft trat und zur Umsetzung des IT-Sicherheitsgesetzes diente. Dort wurden relevante Sektoren beschrieben und Schwellenwerte zur Bestimmung kritischer Infrastruktur genannt. 2019 verabschiedete die Europäische Union den EU Network Code for Cyber-Security, welcher Regelungen zur Cyberrisikobewertung, gemeinsame Mindestanforderungen, Cybersicherheitszertifizierung von Produkten und Dienstleistungen, Überwachung, Berichterstattung und Krisenmanagement enthielt. In Deutschland wurde 2021 ebenfalls das IT-Sicherheitsgesetz 2.0 verabschiedet, welches den Verbraucherschutz stärkt, Cybersicherheit in den Mobilfunknetzen garantieren und außerdem mehr Sicherheit in den Unternehmen gewährleisten soll. Diese Gesetzesverabschiedungen allein können einen Schutz von Energiesystemen nicht gewährleisten, wenn die technische Umsetzung durch passende Systeme nicht gegeben ist.
Andrea Schröder: : Welche Innovation gibt es im Energiesektor, die Schutz vor Cyberattacken benötigen könnte?
Dr. Jörg Benze: Den Schutz benötigen Smart-Grids. Diese Systeme kombinieren Erzeugung, Speicherung und Verbrauch, indem eine zentrale Steuerung diese aufeinander abstimmt. Eventuell auftretende Leistungsschwankungen werden im Netz ausgeglichen. Dabei erfolgt die Vernetzung durch den Einsatz von Informations- und Kommunikationstechnologien (IKT) sowie von Energiemanagementsystemen zur Koordination von den einzelnen Bestandteilen. In den intelligenten Stromnetzen werden nicht nur Energie, sondern ebenfalls Daten transportiert, wodurch der Netzbetreiber in regelmäßigen Abständen Informationen zur Energieproduktion und zum Energieverbrauch abrufen kann. Durch die intelligente Vernetzung ist das System jedoch ebenfalls anfällig für mögliche Angriffe, deren Ziele die Daten oder lediglich die dauerhafte Abschaltung sind. Es ist eine Herausforderung den sicherheitstechnischen Fragestellungen gerecht zu werden.
Andrea Schröder: : Warum sind Service- und Supportsysteme für Informations-und Kommunikationstechnologien notwendig? Welche existieren?
Dr. Jörg Benze: Durch die Komplexitätssteigerung des informationstechnischen Gebildes erhöht sich ebenfalls die Wahrscheinlichkeit für einen Ausfall. Durch die Prävention von Störungen und Betriebsunterbrechungen gewährleisten Service- und Supportsysteme einen sicheren und zuverlässigen Betrieb. Primär existieren zwei Frameworks, welche in der IKT angewendet werden. Einerseits ist dies Enhanced Telecom Operations Map (eTom), ein Framework für Unternehmensprozesse in der Telekommunikationsbranche. Der Vorteil von eTom besteht darin, dass die Nutzer eine einheitliche Sprache verwenden, welche den Austausch zwischen Mitarbeitern, Teams, Standorten und Unternehmen vereinfacht. Das Framework wird verwendet, um sich über Prozesse auszutauschen, Prozessabläufe zu definieren, zur Standarisierung von Kommunikation und Interaktion, zur Kostenreduzierung bei der Implementierung von IT-Systemen und es kann ebenfalls zur Identifizierung und Beseitigung von Prozesslücken genutzt werden. Andererseits gibt es das Information Technology Infrastructure Library (ITIL). Diese versteht sich als allgemeiner Standard für den Betrieb von IT-Infrastruktur und ist nicht völlig auf die Telekommunikationsbranche fokussiert. Darüber hinaus lassen sich beide Frameworks gut kombinieren, indem Teilprozesse aus der Information Technology Infrastructure Library übernommen und auf die Enhanced Telecom Operations Map angewendet werden können. Aus eTom detaillierte und modellierte Prozesse können ebenfalls auf ITIL-Prozesse angewendet werden.
Um die bewährten Betriebsprinzipien für IKT-Netze auf elektrische Energieversorgungsnetze bzw. Smart Grids zu adaptieren, wurde in Rahmen des EU-Mandates M/490 „Standardization Smart Grid“ das Smart Grid Architecture Model (SGAM) entwickelt, welches u.a. als eine Referenzarchitektur für das digitale Energieversorgungssystem dient und beide Welten in einem Modell zusammenführt.