Sicherheit im Smart Grid
Eckpunkte für ein Energieinformationsnetz
von Prof. Dr. Claudia Eckert.
Energie gehört zu den Lebensadern der internationalen
Wirtschaft. Während die fossilen Energieträger
zunehmend knapper werden, steigt in
Folge der fortschreitenden Industrialisierung der
Energiebedarf gewaltig mit gravierenden Konsequenzen
für den Klimaschutz. Die Verknappung
der fossilen Energiequellen und die ungelöste
Umweltproblematik der Nuklearenergie erfordern
nachhaltig wirkende Lösungen, um den
steigenden Energiebedarf zu befriedigen und
gleichzeitig die Umwelt zu schonen. Notwendig
sind Energie-Systeme zur breitflächigen Nutzbarmachung
erneuerbarer Energien und die systematische
Umsetzung von Energiesparmaßnahmen.
4. Seite 3
Sicherheit im Smart Grid - Eckpunke für ein Energieinformationsnetz
Claudia Eckert, Christoph Krauß, Peter Schoo
Das Energieinformationsnetz ist eine sicherheits-
1 Einleitung
kritische Infrastruktur, deren Ausfall oder (par-
Energie gehört zu den Lebensadern der interna- tielle) Störung gravierende gesellschaftliche und
tionalen Wirtschaft. Während die fossilen Ener- volkswirtschaftliche Schäden nach sich zieht. Ne-
gieträger zunehmend knapper werden, steigt in ben den erforderlichen Netzen, um Daten recht-
Folge der fortschreitenden Industrialisierung der zeitig, korrekt, Privatsphären-bewahrend, ver-
Energiebedarf gewaltig mit gravierenden Konse- traulich und vollständig (aus Sicht des Dienstes,
quenzen für den Klimaschutz. Die Verknappung der die Daten benötigt) zwischen allen beteiligten
der fossilen Energiequellen und die ungelöste Parteien auszutauschen, werden insbesondere
Umweltproblematik der Nuklearenergie erfor- auch dezentral betriebene, kooperative Mana-
dern nachhaltig wirkende Lösungen, um den gementsysteme und verteilte Service-Plattfor-
steigenden Energiebedarf zu befriedigen und men benötigt, um Angebot- und Nachfrage so-
gleichzeitig die Umwelt zu schonen. Notwendig wohl auf einer mikroskopischen Ebene (räumli-
sind Energie-Systeme zur breitflächigen Nutz- cher Nahbereich) als auch auf einer makros-
barmachung erneuerbarer Energien und die sys- kopischen Ebene (zwischen Energieversorgern,
tematische Umsetzung von Energiesparmaß- Länder- und Kontinent-übergreifend) zu koordi-
nahmen. Im Gegensatz zu konventionellen Ener- nieren. Im Folgenden bezeichnen wir ein solches
giequellen weisen aber erneuerbare Energie- komplexes System von Systemen bestehend aus
quellen wie Wind, Sonne oder Wasserkraft ein IKT-Infrastrukturen und Energieinformations-
stark zeitvariantes Verhalten auf und können nur managementsystemen als Energieinformations-
gekoppelt mit Energiespeicherverfahren zum netz bzw. in Übernahme der englisch sprachli-
Einsatz kommen. Die klassische Lösung eines Ver- chen Beschreibung als Smart Grid.
bundes von Grundlast- und zugeschalteten Spit- Abbildung 1 veranschaulicht ein solches System.
zenlast-Kraftwerken mit einer hierarchischen Die European Technology Platform Smart Grids
Verteilung von Energie zur Verteilnetzebene (vgl. [ETPS2008]) definiert ein Smart Grid wie
muss strukturell verändert werden, da erneuer- folgt: “A Smart Grid is an electronically network
bare Energien beispielsweise durch Photovoltaik- that can intelligently integrate actions of all users
anlagen auch auf Verteilnetzebene eingespeist connected to it – generators, consumers and
werden und damit die Energiegewinnung nicht those that do both – in order to efficiently deliver
mehr hierarchisch sondern dezentral ist. Dies er- sustainable, economic and secure electricity sup-
fordert eine geeignete IKT-Infrastruktur zur plies.“ Das National Institute of Standards and
Steuerung des Energietransports. Technology (NIST) in den USA nimmt eine etwas
Durch ein dezentrales Management der Ver- erweiterte Sicht auf das Smart Grid ein, die auch
brauchs- und Angebotsdaten ermöglicht die diesem Papier zugrunde liegt. Das Smart Grid
steuernde IKT-Infrastruktur, den Stromverbrauch gemäß NIST (vgl. [EPR2009]) ist: „… moderniza-
nachhaltig zu senken und dabei gleichzeitig die tion of the electricity delivery system so it moni-
Energiekosten zu reduzieren, aber dennoch die tors, protects and automatically optimizes the
Versorgungssicherheit zu gewährleistet. Dies operation of its interconnected elements, from
dient letztlich auch dem Klimaschutz. the central and distributed generator through
5. Seite 4
Abbildung 1: Komponenten eines Smart Grid
the high-voltage transmission network and the gesteuert, betrieben und gewartet. Sie bestehen
distribution system, to industrial users and build- aus einer Vielfalt heterogener Systeme und sind
ing automation systems, to energy storage in- komplex vernetzte Systeme. Steuernde, einge-
stallations and to end-use consumers and their bettete Systeme wie Sensoren und Aktoren und
thermostats, electric vehicles, appliances and physikalische und betriebliche Prozesse (Physical
other household devices.” System) werden integriert und über vielfältige
Vernetzungstechnologien unter Einbeziehung
des Internets zu einem übergreifenden, vernetz-
2 Herausforderungen durch das Smart Grid ten System, dem Cyber-Physical System (u.a.
[Wolf09]) verbunden. Derartige Systeme kombi-
Während die Energieverteilnetze bereits verhält- nieren autonome, ressourcenschwache physikali-
nismäßig gut ausgebaut sind, ist ein Großteil der sche Geräte, wie u. a. digitale Zähler (Smart Me-
Informations- und Kommunikationsinfrastruktur ter) mit ressourcenstarken Backend- und Infor-
und der Software-Plattformen neu zu gestalten mationsmanagement-Systemen. Die verschiede-
bzw. sind bestehende Infrastrukturen entspre- nen Komponenten kommunizieren über draht-
chend auszubauen. Das Energieinformationsnetz lose oder drahtgebundene Vernetzungstechnolo-
der Zukunft ist charakterisiert durch eine dezen- gien, wie WLAN, UMTS oder auch Powerline. Die
trale Struktur (vgl. Abbildung 1). Die Verbrauchs- Systeme sind zudem durch eine hohe Dynamik
daten werden dezentral erfasst und abgerechnet, charakterisiert. Mobile Stromverbraucher und
und die Systeme werden vollständig dezentral Stromerzeuger in Form von Elektrofahrzeugen
6. Seite 5
Abbildung 2: Vernetzungsszenarien zukünftiger Smart Grids
(Elektromobilitätsszenarien) und private Strom- gebot zu erfassen, und es muss Steuermöglich-
Erzeuger, die dynamisch ihren erzeugten Strom keiten zur Verfügung stellen, zur Aktivierung/De-
in die Netze einspeisen, erfordern ein adaptives, aktivierung von Energieverbrauchern und zur
dynamisches Management (Demand Side Mana- Nutzung gespeicherter Energie. Um diese Aufga-
gement), das in der Lage ist, Lastspitzen zu ver- ben zu erfüllen, ist die Einführung einer IKT-
meiden, Energie zwischenzuspeichern und ab- gestützten Erfassung des dezentralen Energie-
rufbar zu halten etc.. Der Markt ist dereguliert verbrauchs und ggf. der dezentralen Energieer-
und muss als ein offener Dienstleistungsmarkt- zeugung zur Einspeisung in das Energienetz
platz für Anbieter und Verbraucher konzipiert durch Smart Meter erforderlich.
und umgesetzt sein. Um Interessenskonflikte zu vermeiden, müssen
Abbildung 2 visualisiert eine Vision dieser zu- die Zuständigkeiten für die Wahrnehmung der
künftigen Energieinformationsnetze bzw. Smart Aufgaben von Erzeugung, Messung, Transport
Grids. und Abrechnung von Energieeinheiten entkop-
Das zu entwickelnde Smart Grid muss die Ge- pelt werden. Gleichzeitig erfordert ein globales
samtheit aller zentralen und dezentralen Ener- Funktionieren eines solch komplexen Systems,
giequellen und -senken sicher und zuverlässig dass die beteiligten Parteien Daten austauschen
miteinander verbinden. Es muss Komponenten und kooperieren.
und Dienste anbieten, um den momentanen
Energiebedarf und das momentane Energiean-
7. Seite 6
Im zukünftigen Smart Grid werden die Funkti- und Vollständigkeit der Daten, die für das Last-
onsbereiche wie das Erzeugen der Energie1, der management benötigt werden, für die Netz-
Transport und die Verteilung der Energie, das betreiber essentiell, während für den privaten
Messen des Verbrauchs, das Übermitteln der Endkunden die Vertraulichkeit seiner Verbrauchs-
Messdaten oder das Erstellen der Rechnungen, und Abrechnungsdaten und deren Korrektheit si-
die früher in der Regel in einer Hand lagen, von cherlich vordringliche Schutzbedarfe darstellen.
unterschiedlichen Geschäftspartnern (legal un- Das konzeptuelle Modell liefert darüber hinaus
bundling) ausgeübt. Damit erlangen die Ge- einen guten Ansatzpunkt, um Abhängigkeiten
schäftsbeziehungen zwischen den verschiedenen zwischen Subsystemen zu identifizieren und Do-
Teilnehmern am Markt einen immer wichtigeren mänen gegeneinander abzugrenzen. So werden
Stellenwert. Das resultierende Smart Grid ist ein beispielsweise im Bereich der Steuerung der
komplexes IKT-System, bestehend aus einer Viel- Energieübertragung vielfach SCADA2-Netze ein-
zahl heterogener Subsysteme (Hardware und gesetzt, die in Smart Grid-Szenarien nicht mehr
Software), die dezentral verwaltet werden, teil- wie bislang noch üblich isoliert betrieben wer-
weise nach Bedarf hinzu- und wieder abgeschal- den, sondern vermehrt an das Internet angebun-
tet werden und sehr unterschiedliche Anforde- den und darüber mit anderen Subsystemen ge-
rungen an die zu gewährleistende Sicherheit be- koppelt sind. Ein Angriff auf ein verwundbares
sitzen (mehrseitige Sicherheit). SCADA-System kann sich damit kaskadierend in
Abbildung 3 verdeutlicht die Komplexität der In- die angeschlossenen Netzsegmente ausbreiten,
frastruktur und die Abhängigkeiten zwischen den bzw. über diese Netze können gezielt Angriffe
Subsystemen. Ein solches Smart Grid stellt hohe auf verwundbare SCADA-Systeme durchgeführt
Anforderungen an die Qualität der verarbeiteten werden. Die Abbildung veranschaulicht auch,
Daten, die zur Steuerung der gesamten Strom- dass die digitalen Zähler (im Bild im Kasten rechts
versorgung und der Abrechnung der Leistungen unten als eine Komponente im Bereich der Heim-
verwendet werden. Die Abbildung beschreibt das automatisierung) lediglich ein Baustein in dem
von der NIST (vgl. [Lee2009]) entwickelte konzep- Gesamtsystem eines Smart Grid sind. Die Abbil-
tuelle Modell einer Referenzarchitektur für das dung verdeutlich zudem, dass die Sensoren, Zäh-
Smart Grid. Die Abbildung verdeutlicht die ver- ler oder aber auch lokalen Energieerzeugungs-
schiedenen Akteure in einem solchen Grid. Bei- Komponenten eines Haushaltes (rechter Kasten
spiel für Akteure sind Kunden, Energieversorger, unten) zum einen miteinander mittels Kommuni-
Energielieferanten, Energie-Erzeuger, Service- kationstechnologie wie WLAN vernetzt sind und
Anbieter, Marktplatzanbieter etc.. Diese Akteure zum anderen über verschiedene Netze an die
repräsentieren Rollen, die ähnliche Ziele, einen Außenwelt angekoppelt sind. Ein bidirektionaler
ähnlichen Schutzbedarf sowie ähnliche Rechte Datenverkehr ist möglich wie beispielsweise ein
und Pflichten haben. Diese konzeptuelle Bünde- Fernzugriff über ein IKT-Netz auf einen Sensor.
lung von Aktivitäten zu Rollen ist für eine Sicher-
heitsbetrachtung sehr nützlich. Sie ermöglicht es,
Schutzbedarfe aus Sicht der unterschiedlichen
Akteure zu erfassen. So ist beispielsweise eine
hohe Verfügbarkeit, hohe Integrität, Aktualität
1
Mit Energie-Erzeugung ist hier und im Folgenden die
Umwandlung von Primärenergie in Nutzenergie
2
gemeint. SCADA: Supervisory Control And Data Acquisition
8. Seite 7
Abbildung 3: Konzeptuelles Modell des Smart Grid (Quelle [Bee2010, Lee2009])
9. Seite 8
3 Sicherheit und Datenschutz teien, Daten kooperativ auszutauschen. Die gel-
tenden Datenschutzgesetze verbieten bereits
Die Integration von geeigneten Sicherheitsmaß- heute eine Profilbildung des Endverbrauchers
nahmen [Eck2009] zur Wahrung der Vertraulich- hinsichtlich seiner Lebensgewohnheiten. Ein
keit der ausgetauschten Daten und des Schutzes Smart Grid erfordert somit Lösungskonzepte und
der Privatsphäre, aber auch zur Sicherstellung Architekturen, um diese rechtlichen Auflagen zu
der Korrektheit, der Vollständigkeit der außer- erfüllen. Dazu ist zu klären, welche Daten über-
halb des eigenen Kontrollbereichs verarbeiteten haupt sinnvoll zu erheben sind, wie eine geeigne-
Daten sowie die Rechtzeitigkeit der Erbringung te Aggregierung und Anonymisierung zu gestal-
der gewünschten Dienstleistungen sind eine un- ten ist und wie durch dezentrale Verarbeitungs-
abdingbare Voraussetzung dafür, dass ein sol- schritte eine Profilbildung systematisch verhin-
ches Smart Grid funktionsfähig und nutzbar ist. dert werden kann. Für das kooperative Manage-
Dies ist notwendig, um von den Verbrauchern ment sind Maßnahmen zu entwickeln, so dass
auch akzeptiert zu werden und damit die ge- kritische Daten auch zwischen konkurrierenden
wünschten Effekte hinsichtlich Energieeinspa- Unternehmen vertrauensvoll ausgetauscht wer-
rung und Umweltschutz erfüllen zu können. den können, um globale Lagebilder zu erstellen,
Das Smart Grid muss von Anfang an so konzipiert ohne den Datenschutz zu gefährden.
werden, dass es angriffsresistenter als bisherige
Infrastrukturen ist, da ein Smart Grid in besonde-
3.1 Rechtliche Rahmenbedingungen
rer Weise eine schützenswerte kritische Infra-
struktur darstellt, die vielfältige Angriffsziele bie-
Das Datenschutzrecht hat bei der Stromversor-
tet. Mit der zunehmenden Abhängigkeit von ei-
gung bisher eine eher untergeordnete Rolle ge-
nem zuverlässigen und robusten Smart Grid für
spielt [Ro2010]. Für die Durchführung und Ab-
die Versorgungssicherheit steigt die Verletzlich-
rechnung der Stromversorgungsverträge wur-
keit und Verwundbarkeit durch gezielte Angriffe
den nur wenige personenbezogene Daten ver-
(Terroranschläge, Hackeraktivitäten, Manipulati-
wendet. Insbesondere wurde der Energiever-
onsversuche).
brauch in der Regel nur einmal jährlich erfasst.
Eine Herausforderung ist zudem die systemati- Die Einführung des Smart Grid verursacht jedoch
sche Integration von geeigneten Maßnahmen, vielfältige Risiken für die informationelle Selbst-
um auch in Ausnahme- und Notfällen das kom- bestimmung sowie für die Entscheidungs- und
plexe, vielparametrige System noch zu beherr- die Entfaltungsfreiheit [Cav2010], so dass sich die
schen. Die dezentrale Infrastruktur erfordert ko- Bedeutung des Datenschutzrechts enorm erhö-
operative Konzepte und eine Kombination aus hen wird [Ro2010b]. Insbesondere die Einführung
lokalen und globalen Maßnahmen, deren jeweili- tageszeit- und lastvariabler Tarife und die für die
ge Abhängigkeiten und Auswirkungen verstan- Optimierungsbestrebungen erforderliche detail-
den und beherrscht werden müssen. Um ein genaue Erfassung der Energieverbrauchswerte
rechtzeitiges und teilautonomes Handeln zu er- führen dazu, dass der Umfang der Erhebung
möglichen, werden zudem in stärkeren Maß (personenbezogener) Daten erheblich steigen
selbstorganisierenden Prinzipien eingesetzt wer- wird. Die Daten werden eine neue Qualität auf-
den müssen. weisen, die vor allem in der inhaltlichen und zeit-
Der Datenschutz steht häufig im Konflikt zum Be- lichen Nähe zum realen Geschehen sowie in der
darf an Daten für die Steuerbarkeit des Energie- Dichte der Angaben liegt, so dass ihnen bei einer
verbrauchs. Mangelhafter Datenschutz behindert Auswertung eine erhöhte Aussagekraft zukommt
andererseits die Bereitschaft der beteiligten Par- und damit das Risiko der Erstellung von Persön-
10. Seite 9
lichkeitsprofilen steigt. Da die Stromversorgung gen an die Datensicherheit entsprechend dem
zudem zu den elementaren Lebensbedürfnissen jeweiligen Stand der Technik normativ gewähr-
gehört und praktisch jeder Haushalt, jedes Un- leistet werden. Der verfassungsrechtliche Auftrag
ternehmen, jede Behörde und jede öffentliche des Staates erfordert es, die Interessen der All-
Einrichtung ständig und dauerhaft Energie be- gemeinheit an einer zukunftssicheren Energie-
zieht, wird nahezu jeder Lebensbereich von den versorgung und dem Schutz der Umwelt zu för-
Datenerhebungen erfasst. dern und gleichzeitig das individuelle Grundrecht
Die Anzahl der beteiligten Akteure, zwischen de- auf informationelle Selbstbestimmung angemes-
nen ein Datenaustausch stattfindet, wird vor al- sen zu berücksichtigen. Inzwischen fordern die
lem aufgrund der gesetzlichen Vorgaben zur Ent- Datenschutzbeauftragten des Bundes und der
flechtung der Energieversorgungsbetriebe und Länder eine gesetzliche Regelung für die Erhe-
zur Öffnung des Messwesens anwachsen. bung der Verbrauchsdaten.
Schließlich werden aufgrund der Vervielfältigung
der Zwecke, für die die Daten zukünftig benötigt 3.2 Technische Rahmenbedingungen
werden, die Anzahl der Datenverarbeitungsvor-
gänge erheblich zunehmen. Die wesentlichen technischen Rahmenbedingun-
Die datenschutzrechtlichen Risiken können nur gen lassen sich wie folgt klassifizieren:
durch eine datenschutzkonforme, technische und
organisatorische Gestaltung des Energieinforma- • Energiegewinnung aus erneuerbaren Quellen
tionsnetzes vermieden oder zumindest gemin- und Energiespeicherung,
dert werden. Um eine möglichst hohe Effektivität
• Messtechnik zur Online-Erfassung von Ener-
zu erreichen, muss diese datenschutzkonforme gieflüssen einschließlich zugehöriger Daten-
Technikgestaltung bereits im Entwicklungspro- verarbeitung (zeitliche Verläufe, Statistiken,
zess vorgenommen werden. Eine datenschutz- Speicherung),
rechtliche Bewertung auf der Grundlage gesetzli-
• Kommunikationsinfrastrukturen zur Verbin-
cher Einzelfallprüfungen bei gleichzeitig klarer dung von Energieerzeugern, Energieverbrau-
Rollenverteilung zwischen verarbeitender Stelle chern (inklusive der Web-Schnittstellen zum
und Betroffenen ist vor dem Hintergrund der be- Zugriff auf die persönlichen Energiedaten),
sonderen datenschutzrechtlichen Risiken des Messstationen, Energiemanagementsyste-
Energieinformationsnetzes nicht mehr realisier- men und -administrationen,
bar. Zudem greifen sie in der Schutzintensität für • Energiemanagementsysteme zur dezentralen
die informationelle Selbstbestimmung zu kurz. Steuerung (z.B. in einem Unternehmen oder
Zur Unterstützung und Ergänzung einer daten- privaten Haushalt) sowie zur übergeordneten
schutzgerechten Gestaltung des Energieinforma- Gesamtsteuerung,
tionsnetzes sollte der Gesetzgeber Rahmenrege- • Verfahren zur Sicherstellung eines ungestör-
lungen vorsehen, die die Chancen der informati- ten Betriebsablaufs bei Teilausfall, vor-
onellen Selbstbestimmung trotz der beschriebe- sätzlichen Angriffen oder Katastrophen-
nen Risiken erhöhen. Die besondere Schutz- szenarien.
bedürftigkeit der Energiedaten könnte durch die
Einführung eines Energieinformationsgeheimnis-
Ein wichtiges Elemente in der zukünftigen IKT-
ses, eine strenge Zweckbindung, die durch zu-
Landschaft der Energiebranche ist die kommuni-
sätzliche Transparenzanforderungen gestützt
kationstechnische Vernetzung, also ein Kommu-
wird, sowie gesetzlich manifestierte Anforderun-
nikationsnetz [Orl2009], das parallel zum Ener-
11. Seite 10
gienetz für die Übermittlung von z.B. Mess- und täten gesetzt [Li2010]. Benötigt werden Empfeh-
Steuerdaten sowie Tarifinformationen sorgen lungen und Handlungsanleitungen für charakte-
soll. ristische Einsatzszenarien.
Dabei sind zwei Bereiche für die Kommunikation Der zweite Bereich betrifft die Kommunikations-
von großem Interesse: netze zwischen dem Energieinformations-Gate-
(1) der lokale Bereich beim Kunden, der auch Teil way beim Kunden und einer zentralen Instanz
einer Heimautomatisierung sein kann, und des Versorgers, dem Energieinformationsmana-
gementsystem. Auch hier gibt es eine Reihe von
(2) der Bereich zwischen dem Kunden und dem
Optionen wie das Telefonnetz (PSTN, ISDN), DSL-
Versorger.
Anschluss, Kabelnetz, oder aber auch den Mobil-
Das Kommunikations-Gateway stellt das Binde- funk. Auch neue oder heute noch selten einge-
glied zwischen diesen beiden Bereichen dar. Es setzte Techniken sind mögliche Kandidatenwie
wird als Protokollwandler die Kommunikation Powerline-Übertragung (Nutzung der Stromlei-
über diese Grenze hinweg erlauben, gleichzeitig tung), drahtloser Festnetzanschluss (Wireless Lo-
aber auch als Filter agieren und die Bereiche ge- cal Loop WLL, WiMAX), Glasfaser direkt in die Nä-
geneinander abschotten. Weiterhin könnte dieses he oder ins Haus (Fiber to the X FTTX). Wie für
Gateway auch als Plattform für zukünftige Dien- den Heimbereich müssen auch hier Empfehlun-
ste dienen. Je nach Gegebenheiten und Erforder- gen und Handlungsanleitungen erarbeitet wer-
nissen sind unterschiedliche Architekturen mög- den, um unter Berücksichtigung der jeweiligen
lich. So kann ein solches Gateway dediziert einen vorhandenen anlagenspezifischen Eigenschaften
Kunden, aber auch mehreren Kunden bedienen, und den Anforderungen eine geeignete Auswahl
z.B. in einem Mehrfamilienhaus, oder sogar in ei- und Kombination von Technologien zu treffen.
ner Vorfeldeinrichtung untergebracht sein, wie
der Trafostation des Energieversorgers, um dann
mehrere Häuser abzudecken. Ein solches Gate- 3.3 Organisatorische Rahmenbedingungen
way lässt sich zudem nicht nur für den Bereich und Sicherheitsmanagement
der Stromversorgung einsetzen, sondern kann im
Sinne einer „Multi-Utility Unit“ auch für die Berei- Umfassende Sicherheit ist kein unveränderbarer
che Gas, Wasser und Fernwärme zuständig sein. Zustand, der einmal erreicht wird und sich nicht
wieder ändert. Insbesondere in sich noch entwi-
Die Vernetzung im Heimbereich, also zwischen
ckelnden Bereichen wie einem Smart Grid wird
Verbrauchsmessung mittels elektronischer Mess-
der Betrieb der Netzwerke und IKT-Systeme
technik, dem Gateway und eventuellen weiteren
ständigen dynamischen Veränderungen unter-
Elementen einer Heimautomatisierung, kann mit-
worfen sein. Viele dieser Veränderungen betref-
tels unterschiedlicher Technologien erfolgen. Zur
fen neben Änderungen der Geschäftsprozesse,
Auswahl stehen bereits heute verschiedene
der IKT, von Fachaufgaben, Infrastruktur und Or-
drahtgebunden Technologien, wie M-Bus, Kon-
ganisationsstrukturen auch die IT-Sicherheit und
nex, LON, oder aber auch die Mitbenutzung der
den Datenschutz. Dies gilt insbesondere für die
Stromleitung (z.B. Digitalstrom, X10, PLC auf
Energieversorgung als nationale kritische Infra-
OFDM-Basis), sowie verschiedenste Funktechni-
struktur, die angemessene Sicherheitsstandards
ken wie Bluetooth, Zigbee, WLAN, Wireless-M-
für die nachhaltige, weitere Verbesserung des Si-
Bus, oder aber auch Glasfaser (POF) und Frei-
cherheitsmanagements der Systeme aller betei-
raumoptik (IrDA). Alle diese Techniken haben ihre
ligten Parteien benötigt.
spezifischen Vor- und Nachteile und in jedem eu-
ropäischen Land werden andere Auswahlpriori-
12. Seite 11
Um dauerhaft ein einmal erreichtes bzw. festge- Smart Grid eingesetzt werden können (z.B. Lage-
legtes Sicherheitsniveau aufrecht zu erhalten, bild und Health-Monitoring). Zudem werden in
muss das Sicherheitsmanagement aktiv betrie- den bisherigen Ansätzen die domänenspezifi-
ben werden. Ein mögliches Vorgehensmodell schen Standards wie IEC 62351, ISA SP99, NERC
hierzu wird beispielsweise in den IT-Sicherheits- CIP oder domänenspezifische Normen für das Si-
prozessen des „PLAN-DO-CHECK-ACT“- Regelkrei- cherheitsmanagement wie VDI/VDE 2182, IEC
ses (ISO 27001) beschrieben. Die Umsetzung der 6244 nur unzureichend in die Betrachtung mit
Sicherheitsprozesse erfolgt heute unter Berück- einbezogen.
sichtigung des Best Practice-Standards ITIL V3
und ist die Basis für das Managementsystem für
Informationssicherheit (ISMS) nach ISO 27001. In 4 Stand der Technik
der Planungsphase des Sicherheitsmanagements
werden Sicherheitsmaßnahmen definiert und Forschung und Entwicklung zur Gewinnung und
vorbereitet und ihre konkreten Sicherheitsmaß- Speicherung erneuerbarer Energien erfolgen be-
nahmen werden in der Ausführungsphase den reits seit Jahren. Diese Entwicklungen sind nicht
jeweiligen systemischen Anforderungen ange- abgeschlossen, werden aber im Folgenden nicht
passt bzw. durch neue Maßnahmen bereichert. weiter ausgeführt, da sich das Papier auf IKT-
Hier wird entschieden, welche Maßnahmen an- Aspekte beschränkt. Mit der Einführung von IKT-
gemessen und für den konkreten Fall effektiv Lösungen für die vernetzten Teilsysteme der
wirksam sind. Um derartige Fragen zu beantwor- Energieversorgung wurden und werden den rein
ten, werden die Methoden aus dem Risikomana- betrieblichen Anforderungen nach Betriebs-
gement verwendet, um letztlich Gegenmaßnah- sicherheit und Systemverfügbarkeit neue Anfor-
men zu definieren und Entscheidungen unter derungen hinzugefügt. Wie in vielen anderen Fäl-
Abwägung des verbleibenden Restrisikos treffen len überwogen häufig Time to Market-Ziele, und
zu können. es wurden durch die neuen Technologien verän-
derte Anforderungen übersehen und IT-
Die heute verwendeten Methoden des Risikoma-
Sicherheit eher vernachlässigt [SP2010]. Spätes-
nagements basieren auf Best Practice-Vorge-
tens seit dem Ausfall der elektrischen Fernver-
hensmodellen und stellen ein Rahmenwerk dar,
sorgung im Westen der Vereinigten Staaten von
um die Sicherheit und Verfügbarkeit in Energiein-
1996 ist die Notwendigkeit von Sicherungsmaß-
formationsnetzen nachhaltig zu gewährleisten.
nahmen und der Schutz vor kaskadierenden Ef-
Ob diese Normen und Vorgehensweisen auch im
fekten allen Betreibern vor Augen geführt wor-
Smart Grid anwendbar sind, ist jedoch noch zu
den, und die Gesellschaft konnte von der Abhän-
klären. So werden durch neue Geschäftsmodelle
gigkeit von kritischen Infrastrukturen erfahren
Abhängigkeiten, Verantwortungsbereiche und
[KO2003].
Schnittstellen und damit auch das jeweilige Risi-
komanagement neu zugeschnitten. Zusätzlich Welche Konsequenzen ein gezielter Angriff für
entstehen im Smart Grid durch die Kommunikati- den Betrieb schutzloser Anlagen haben kann,
onsinfrastrukturen und Energiemanagementsys- zeigt das durch das US-amerikanische Aurora-
teme ganz neue und bisher im Risikomanage- Projekt bereits im Jahr 1977 ausgeführte Experi-
ment noch nicht erfasste und berücksichtigte ment eines Hacking-Angriffs, der eine gezielte
Abhängigkeiten und Anforderungen. Die Metho- Überlastung eines Generators herbeiführte3. Stu-
den des Risikomanagements und die dabei ver-
3
wendeten Werkzeuge müssen erweitert werden,
so dass sie auch im laufenden Betrieb eines http://www.cnn.com/2007/US/09/26/power.at.ri
sk/index.html
13. Seite 12
dien wie [Lu2009] zeigen, dass auch europäische trieautomation, zwei wichtige Dokumente5, die
Betreiber ihre Anlagen mittlerweile entsprechend Grundlagen beschreiben und Bewertungsverfah-
untersuchen und Konsequenzen ableiten. So ren für IT-Sicherheit in Industrieanlagen vor-
sieht ENEL, ein in Italien ansässiger und multi- schlagen. Mit einem weiteren Dokument6 wird
national operierender Energieerzeuger, einen versucht, Betreibern Möglichkeiten zur Sicherung
deutlichen Handlungsbedarf, die eigenen Anla- der IT-Infrastrukturen ihrer Anlagen an die Hand
gen besser gegen zu geben. Sie berücksichtigen jedoch nicht die
Problematik der Rückeinspeisung durch Prosu-
• Denial of Service-Angriffe auf ihre Internet mer, also von Nutzern, die sowohl Energie-
Gateways und das interne Netzwerk der verbraucher als auch -lieferanten sind. Ebenso
Produktionsanlagen, wenig werden in diesen Dokumenten die neuen
Anforderungen, die sich durch Elektrofahrzeuge
• Übernahme von Anlagenteilen durch An-
greifer, mittels eingeschleuster Trojaner, und deren Consumer- (Batterie aufladen) und
Producer- Verhalten (Batterieleistung zur Verfü-
• Manipulation interner Infrastrukturdienste
gung stellen) ergeben, oder aber nationale Nor-
(z.B. DNS Poisining) ,
men berücksichtigt.
• Ausnutzen bisher unentdeckter Schwach-
stellen (zero day exploits) sowie
• Angriffe auf das SCADA-Kommunikations- 4.1 Smart Meter und Messtechnik
protokoll
Durch die Nutzung intelligenter Stromnetze und -
zähler soll eine effizientere Energieversorgung
zu schützen. Dass derartige Sorgen berechtigt sowie ein transparenteres Abrechnungsmodell
sind, hat Mitte 2010 Stuxnet aufgezeigt, ein für die Verbraucher geschaffen werden. Intelli-
Wurm, der die Computer von SCADA-Systemen gente Stromzähler sind über öffentliche Netze an
(Leitwarten-Technologie) befallen kann, Teilsys- die Kommunikationsnetze der Energieversorger
teme gezielt übernahm und außer Betrieb setzte angeschlossen und ermöglichen so einen elek-
[Fa2010], [Br2010]. tronischen Datenaustausch. Zudem bieten sie
Es kann seit geraumer Zeit beobachtet werden, dem Nutzer eine transparente Verbrauchsanzei-
dass eine Reihe von neuen Anstrengungen, so- ge, auf deren Basis er seinen Energieverbrauch
wohl national als auch auf europäischer Ebene, steuern und beeinflussen kann. Daher müssen
getroffen werden, um neue Lösungen für den in- Smart Meter hohen sicherheitsrelevanten An-
novativen und zuverlässigen Betrieb von Anlagen sprüchen genügen.
zur Energieversorgung zu entwickeln. Nationales Intelligente Zähler erfassen den Stromverbrauch
Beispiel ist das BMWi-Programm E-Energy: IKT- und bereiten die gewonnenen Messwerte zur di-
basiertes Energiesystem der Zukunft mit seinen gitalen Verarbeitung und für die Übertragung
über Deutschland in Modellregionen verteilten zum Messstellenbetreiber auf. Von dort aus kön-
Projekten4. nen sie auch dem Nutzer, beispielsweise mittels
In den USA ist diese Entwicklung ebenfalls zu be- Webzugriff, wieder zur Verfügung gestellt wer-
obachten. 2007 veröffentlichte die ISA (Internati- den. Dabei werden folgende Informationen von
onal Society of Automation), eine der führenden
non-profit Organisationen im Bereich der Indus-
5
ANSI/ISA-99.00.01-2007, ANSI/ISA-TR99.00.01-2007
4 6
http://www.e-energy.de/ ANSI/ISA-99.02.01-2009
14. Seite 13
der Messung bis zur Abrechnung verarbeitet (vgl. Rechnung tragen. Für die Datenverarbeitungs-
[Sch2010]): systeme ist zudem ein integriertes Datenschutz-
und Sicherheitsmanagementsystem aufzubau-
• Verbrauchsdaten, die von der Messstelle er- en.“7
fasst und zum Messstellenbetreiber zum Die Sicherheit und Vertrauenswürdigkeit dieser
Zwecke der Abrechnung übertragen werden, elektronischen Zähler, die in Deutschland gemäß
• Gerätedaten, die zur Erstellung und Über- dem geltenden Energiewirtschaftsgesetz bei
mittlung der Verbrauchsdaten notwendig Neubauten und bei Totalsanierungen bereits seit
sind und den Nutzer für die Abrechnung Januar 2010 eingebaut werden müssen, ist eben-
eindeutig identifizieren, falls noch nicht zufriedenstellend geklärt. So sind
• Nutzerdaten, die den Verbraucher kenn- diese Komponenten beispielsweise bidirektional
zeichnen und für die Abwicklung der Abrech- mit ihrer Umgebung verbunden. Das heißt, dass
nung erforderlich sind oder ihn einen Zugang sie nicht nur die erfassten Daten der von ihnen
zu einem möglichen Webinterface beim Be- überwachten Einheiten (Einzelhaushalte, Gebäu-
treiber der Messstelle gestatten und de, Liegenschaften) zur Weiterverarbeitung zu
• Daten, die Informationen über das zur den Betreibern senden, sondern selber auch di-
Abrechnung genutzte System liefern, wie z.B. rekt via Fernzugriff durch die Betreiber gesteuert
Verbrauchsumsätze, Systemzustand und To- und beeinflusst (z.B. Stromabschaltung) werden
pologie, Zulieferer des Wirksystems oder können.
einzelner Geräte, Ausbreitung und geogra-
Um sicherzustellen, dass bei der Nutzung von in-
phische Verteilung des Systems.
telligenten Stromzählern verbindliche Daten-
Der Betrieb eines solchen verteilten Abrech- schutz- und Datensicherheitsstandards greifen,
nungssystems liegt in der Verantwortung des wurde das Bundesamt für Sicherheit in der In-
Betreibers. Verschiedene Untersuchungen haben formationstechnik (BSI) im September 2010 vom
gezeigt, dass marktgängige intelligente Zähler Bundesministerium für Wirtschaft und Technolo-
ganz erhebliche Sicherheitsprobleme aufweisen. gie (BMWi) damit beauftragt, ein entsprechendes
Sie sind nicht manipulationssicher und können Schutzprofil (Protection Profile) zu erstellen. Am
aus der Ferne kontrolliert abgeschaltet werden 28. Januar 2011 wurde eine erste Version des
[An2010]. Bei den smarten Zählern sind noch ei- Schutzprofils für die Kommunikationseinheit (Ga-
nige weitere Grundsatzfragen unbeantwortet. teway) des Messsystems vorgestellt. Kern des
Dazu gehören die Fragen nach der Häufigkeit Schutzprofils des BSI ist eine Bedrohungsanalyse
und Frequenz der Messungen oder aber nach der sowie eine Beschreibung von Anforderungen zur
Granularität der zu erfassenden Parameter. Abwehr dieser Bedrohungen. Derzeit ist geplant,
Die 80. Konferenz der Datenschutzbeauftragten das Schutzprofil noch im Jahr 2011 fertig zu stel-
des Bundes und der Länder hat auf ihrer Sitzung len. In die Entwicklung eingebunden sind unter
im November 2010 eine gesetzliche Regelung für anderem der Bundesbeauftragte für den Daten-
die Erhebung, Verarbeitung und Nutzung der schutz und die Informationsfreiheit, die Bundes-
durch digitale Zähler erhobenen Verbrauchsin- netzagentur sowie die Physikalisch-Technische
formationen gefordert. Die Konferenz der Daten- Bundesanstalt.
schutzbeauftragten fordert weiter: „Die Anforde-
rungen an den technischen Datenschutz und die
IT-Sicherheit sind durch verbindliche Standards 7
festzuschreiben, die der Sensitivität der Daten http://www.datenschutz.hessen.de/k80.htm#ent
und den zu erwartenden Missbrauchsrisiken ry3316
15. Seite 14
Multi-Utility, Heimautomatisierung zungsregler, Sonnenkollektoren, aber auch zu-
Der digitale Stromzähler ist eine Komponente, künftige Komponenten der Heimautomatisierung
deren Einführung vom deutschen Gesetzgeber Daten austauschen können.
verpflichtend vorgeben ist. Das angesprochene, Aus der An- und Einbindung der Geräte der
in Entwicklung befindliche Protection Profile für Heimautomatisierung versprechen sich die Ex-
den Zähler, deckt die Bereiche ab, die durch den perten ein breites Feld für neue Geschäftsmodel-
Gesetzgeber zu regulieren sind. Dazu gehört der le und Dienstleistungsangeboten, nicht nur durch
Zähler an sich, der eichrechtliche Anforderungen Energienetzbetreiber, sondern auch durch Anbie-
zu erfüllen hat, sowie seine Schnittstellen (Gate- ter von Telekommunikationsdiensten, Wasser-
way) nach außen und den Sicherheitsanker versorger, etc. Um diese Vielzahl von Geräten zu
(Hardware-Modul). Der Zähler besitzt eine unterstützen (multi-utility) sowie zur Anpassung
Schnittstelle zu einem Kommunikations-Gateway, von Protokollen, werden Multi-Utility-Controller
an das, wie weiter oben bereits ausgeführt, wei- bzw. Gateways eingesetzt. Das Protection Profile
tere lokale Geräte der Heimautomatisierung an- bezieht sich nicht auf diese Geräte, die beispiels-
geschlossen werden können. Das Smart Metering weise zu komplexeren Energiemanager-Kom-
IKT-Gateway (MUC), das vom VDE spezifiziert ponenten erweitert werden können. Beispiele für
wird, ist eine solche Gateway-Komponente, mit solche Energiemanager werden derzeit in den E-
der, wie in Abbildung 4 aufgezeigt, vorhandene Energy-Projekten des BMWi erarbeitet.
Zähler und Sensoren wie Gas-, Wasserzähler, Hei-
Abbildung 4: Multi-Utility bzw. Smart Metering Gateway (MUC) (Quelle: RWE)
16. Seite 15
4.2 Kommunikationsinfrastrukturen oder PROFIBUS (Process Fieldbus), die keine Si-
cherheitsmaßnahmen wie beispielsweise Ver-
Die erforderlichen Kommunikationsinfrastruktu- schlüsselung anbieten. SCADA-Systeme haben
ren müssen nicht komplett neu konzipiert wer- sich von ursprünglich sehr stark isoliert betriebe-
den. Hier kann auf den existierenden vergleichs- nen Netzen zu offenen Systemen weiterentwi-
weise technologisch hohen Stand der Kommuni- ckelt, die mit Standard Soft- und Hardware, so-
kationstechnik aufgebaut werden wie z.B. digi- genannte COTS9-Produkte, betrieben werden,
tale Anschlussnetze (DSL-Techniken), Mobilfunk- über offene Kommunikationsstandards kommu-
netze der 2. und 3. Generation, lokale Funknetze, nizieren und an das Internet angeschlossen sind.
Sensornetze, lokale Rechnernetze (LAN) und das Für die Internet-Anbindung werden spezielle Ga-
Internet. teway-Komponenten verwendet, die die Schnitt-
Demgegenüber sind Neuentwicklungen erforder- stelle zwischen den Feldbus-basierten SCADA-
lich zur Vernetzung der (Strom)verbrauchenden Protokollen und dem Internet-Protokoll (IP) reali-
Geräte (z.B. über das Stromnetz selbst, die so ge- sieren. Zu ihren Aufgaben gehört die Umsetzung
nannte “Powerline Communication”) und für die zwischen den unterschiedlichen Protokollfamilien
Übertragung von Steuerdaten in den bestehen- (Feldbus, IP) sowie auch die Zwischenspeicherun-
den Kommunikationsinfrastrukturen, damit die gen der Daten, um die Performanz der Gateways
Übertragung sicher und robust ist und die erfor- zu erhöhen. Durch diese Ankopplung an IP-
derlichen Steuerungsaufgaben vertrauenswürdig basierte Netze sind SCADA-Systeme damit den
und zeitgerecht erfolgen können. Dies zielt insbe- üblichen Gefährdungen derartiger Netze ausge-
sondere auf die Absicherung von SCADA- setzt.
Systemen ab, die wichtige Bestandteile eines Da SCADA-Netze ursprünglich in isoliert betriebe-
Smart Grid sind (siehe Abbildung 3). nen Kontrollbereichen zum Einsatz kamen, wo
weniger die Sicherheit als die Echtzeit- und Leis-
tungsfähigkeit der Systeme eine Rolle spielte,
SCADA-Netze
wurde weitestgehend auf die Integration von Si-
SCADA-Netze werden in der Leittechnik zur cherheitsmaßnahmen in derartige Systeme ver-
Überwachung von Anlagen, Versorgungsleitun- zichtet. Klassische Sicherheitskonzepte, wie man
gen etc. eingesetzt. Dazu werden Sensoren und sie in der herkömmlichen Business-IT findet, wie
Aktoren so vernetzt, dass diese über das Feldbus- starke Zugangs- und Zugriffskontrollen, Firewalls
basierte SCADA-Netz8 mittels eines PCs oder Pro- und Einbruchserkennungsverfahren (Intrusion
grammable Logic Controller (PLC) gesteuert und Detection) oder aber auch Logging- und Monito-
kontrolliert werden. Derartige Systeme müssen ring-Verfahren, kommen in SCADA-Systemen
häufig Daten in Echtzeit verarbeiten, sind in der nicht oder nur sehr eingeschränkt zum Einsatz.
Regel ressourcenbeschränkt (wenig Speicher, Da die Daten in Echtzeit verarbeitet werden müs-
wenig CPU-Leistung) und werden in hochsicher- sen, führen Filterungen und aufwändige Kontrol-
heitskritischen Umgebungen betrieben. Die len oder Ver- und Entschlüsselungsoperationen
SCADA-Systeme verwenden eigene Protokollfa- zu Verzögerungen, die wiederum für die Be-
milien zur Kommunikation, wie CAN (Controller triebssicherheit der Systeme problematisch sind
Area Network), CIP (Common Industrial Protocol) und deshalb in der Regel nicht eingesetzt wer-
den. Häufig wird zudem ganz bewusst auf starke
Maßnahmen zur Authentisierung des Bedienper-
8
Es gibt über 150 meist proprietäre Protokolle in die-
sem Bereich, jedoch werden zunehmend offene
9
Protokollstandards eingesetzt. Commercial of the Shelf
17. Seite 16
sonals an den Kontroll-Systeme verzichtet, und digitalen Zähler bereits ausgeführt haben. Eine
es werden Passwort-basierte Verfahren einge- ausführliche Taxonomie möglicher Angriffe auf
setzt, um den gefürchteten Lock-out-Effekten zu SCADA-Netze findet sich u.a. in [Igu2006].
begegnen. Diese Effekte beziehen sich auf opera-
tive Notsituationen, in denen das Bedienpersonal
4.3 IKT-gestützte Energiemanagement-
sehr schnell eingreifen und mit entsprechenden
systeme
Steuerungskommandos die in Echtzeit betriebe-
nen Anlagen abschalten oder andere Notfallmaß-
Im Gegensatz zur Kommunikationsinfrastruktur
nahmen vornehmen muss. Das Personal muss
existieren Energiemanagementsysteme, wie sie
sehr schnell einen direkten Zugriff auf die Anlage
in einem Smart Grid notwendig sind, bislang
haben; Verzögerungen durch vergessene lange
nicht. Erste systemische Lösungen werden der-
Passworte, nicht verfügbare Zugangstoken wie
zeit im Rahmen des BMWi E-Energy-Programms
Smartcards, versagende biometrische Authenti-
erstellt. Ein solches Management findet auf ver-
sierungen etc. werden häufig als zu hohe Risiken
schiedenen Ebenen statt. Bereits in den einzelnen
eingestuft. Verbesserte Authentisierungsverfah-
Privathaushalten sind lokale Managementsyste-
ren, die auch in den sehr zeitkritischen Notsitua-
me erforderlich (vgl. Abbildung 5), um die Ener-
tionen zuverlässig funktionieren, werden also
gie-Ströme im Haushalt zu steuern und ressour-
dringend benötigt.
censparend einzusetzen.
Verzögerungen werden auch durch Firewalls, die
Die Privathaushalte werden in lokalen Manage-
Daten filtern, verursacht. Darüber hinaus müss-
ment-Zentren zusammengeführt und koordi-
ten sie auch noch auf die oben genannten spe-
niert. Diese regionalen Zentren müssen unterein-
ziellen SCADA-Protokolle zugeschnitten werden
ander sowie mit überregionalen Zentren koordi-
und kontinuierlich, z.B. per Fernadministration,
niert zusammen arbeiten. Noch schwieriger und
aktualisiert werden. Dies eröffnet wiederum An-
komplexer wird das Szenario, wenn das Ener-
griffsmöglichkeiten. SCADA-Systeme erfordern
giemanagement über Landesgrenzen hinweg
Echtzeitfähigkeit und verfügen in den beteiligten
funktionieren muss. Auf europäischer Ebene
Sensoren häufig nur über sehr geringe Speicher-
muss dafür die bereits bestehende Vielzahl ver-
und Rechenressourcen sowie über geringe Da-
schiedener Arten der Energieerzeugung geeignet
tenraten bei der Übertragung, so dass auf eine
eingebunden werden. So verwendet Norwegen
Datenver- und Datenentschlüsselung in der Regel
vorwiegend Wasserkraft, Deutschland setzt einen
verzichtet wird. Es werden also keine gesicherten
hohen Anteil erneuerbarer Energien ein10, Frank-
Kommunikationskanäle zwischen den Kompo-
reich besitzt einen hohen Anteil an Atomenergie,
nenten eines SCADA-Netzes etabliert, so dass
während Polen ausschließliche fossile Brennstof-
keine Komponentenidentifizierung stattfindet
fe nutzt. Die komplexen Systemstrukturen, aber
und Daten abgehört, verändert oder auch neue
auch die unterschiedlichen Anforderungen an die
Daten eingeschleust werden können. Darüber
Erfassung, Auswertung sowie Speicherung von
hinaus fehlen auch Lösungen für ein effizientes,
Daten, der Umfang der Datenflüsse und ihre
automatisiert durchführbares Schlüsselmanage-
Echtzeitanforderungen sowie die erforderlichen
ment. Die Sensorik eines SCADA-Systems wird
Regelkreise erfordern ein überaus umfangreiches
häufig in Umgebungen eingesetzt, in denen ein
potentieller Angreifer physischen Zugriff auf die
10
Komponenten erhält. Somit ergeben sich hier Vgl. http://www.erneuerbare-
energien.de/files/pdfs/allgemein/application/pdf/ee
analoge Anforderungen an die Sicherheit derar-
_in_deutschland_update_bf.pdf
tiger Sensoren, wie wir sie im Speziellen für die
18. Seite 17
verteiltes System. An dieses Managementsystem den sind. Obwohl es in verwandten Anwen-
werden höchste Anforderungen gestellt, die nicht dungsgebieten ähnliche Systeme bereits gibt,
nur technischer Natur sind. Zu dessen Entwick- wie z.B. integrierte Produktionssteuersysteme,
lung werden detaillierte Kenntnisse der Informa- Verkehrsmanagementsysteme (Luftfahrt, Bahn-
tik, Informationsverarbeitung, Steuerungs- und systeme, Flottenmanagement) oder Logistiksys-
Regelungstechnik sowie der Hardware- und Soft- teme (Supply Chain Management, Event Mana-
ware-Systemtechnik erforderlich sein. gement), stellt das Smart Grid sehr viel komple-
Ebenfalls spielen juristische und ökonomische xere und weitreichendere Anforderungen, so
Fragestellungen eine große Rolle, so dass Juristen dass die bekannten Systeme nicht direkt nutzbar
und Wirtschaftsinformatiker bzw. Betriebswirte sein werden.
frühzeitig in den Prozess der Entwicklung der Insbesondere im Bereich der Sicherheit und des
Managementsysteme des Smart Grid einzubin- Datenschutzes ergeben sich höhere Anforderun-
Abbildung 5: Energiemanagementsysteme in Privathaushalten (Quelle: Siemens AG)
19. Seite 18
gen als in den oben genannten verwandten Sze- Die IKT-Infrastruktur und die Managementsys-
narien. Grund sind die Charakteristika des Smart teme des Smart Grid müssen deshalb frühzeitig
Grid wie Heterogenität und Vielzahl der beteilig- auch auf solche Anwendungsszenarien vorberei-
ten Parteien, die Dezentralität der Verwaltung, tet werden und Maßnahmen vorsehen, um äu-
die Sensibilität der erfassten Daten etc.. Gleichzei- ßerst sicherheitskritische und datenschutzrele-
tig müssen Sicherheit und Datenschutz die be- vante Mehrwertdienste in Zukunft unterstützen
sonderen betrieblichen Anforderungen von tradi- zu können. Neben der klaren Trennung von Da-
tionell autark betriebenen Anlagenteilen berück- ten, die für unterschiedliche Dienstleistungen er-
sichtigen. hoben, übermittelt und verarbeitet werden
Bestandteil der Energiemanagementsysteme sind (Zweckbindungs- und Datensparsamkeitsprinzi-
die Energiemarktplätze, über die im zukünftigem pien des Datenschutzes), dem Einsatz starker En-
Smart Grid Mehrwertdienste angeboten werden. de-zu-Ende-Verschlüsselungskonzepte für die
Mehrwertdienste werden in Zukunft nicht nur vertrauliche Übermittlung der Daten, werden
flexible Tarifmodelle umfassen, sondern sehr viel insbesondere auch starke Verfahren zur wechsel-
weiter reichende Dienste bzw. ganze Dienstleis- seitigen Identifizierung der Akteure und nicht-
tungsbündel (Packages) abdecken. Über die Mul- umgehbare, auditierbare, rollenbasierte Zugriffs-
ti-Utility Gateways kann die gesamte Heimauto- kontrollen erforderlich sein. Die Identifizierung
matisierung in die Entwicklung neuer Geschäfts- und Authentisierung der Akteure bezieht sich
modelle u. a. für Telekommunikationsanbieter dabei sowohl auf die so genannte Maschine-zu-
einbezogen werden, so dass beispielsweise eine Maschine-Kommunikation (M2M), bei der sich Ge-
Fernsteuerung der heimischen Geräte über Mo- räte, Dienste, Plattformen identifizieren und als
biltelefone ermöglicht wird. korrekt ausweisen müssen, als auch auf die Iden-
tifizierung der agierenden natürlichen Personen
Ein sehr großes Potential wird im Bereich der Ge-
bzw. der Rollen, in denen sie aktiv sind. Digitale
sundheitsversorgung und der IKT-gestützten
Ausweisdokumente mit integrierten Identifizie-
Pflege bei der Unterstützung von älteren und
rungsfunktionen wie der neue Personalausweis
mobilitätseingeschränkten Personen im Sinne
(nPA) oder die elektronische Gesundheitskarte
des Ambient Assisted Living gesehen. Zum Hin-
(eGK) und der Heilberuflerausweis (HBA) (vgl.
tergrund: In Deutschland ereignen sich mehr als
[Eck2009]), wie sie in Deutschland entwickelt und
70% aller medizinischen Zwischenfälle und Unfäl-
zum Teil bereits ausgerollt werden, könnten hier-
le im eigenen Haushalt. In der Gruppe der Betrof-
für eine Vorreiterrolle einnehmen und die euro-
fenen sind mehr als die Hälfte über 65 Jahre alt,
päische Standardisierung prägen. Konkrete
die in privaten Haushalten häufig alleine leben.
Schritte in dieser Richtung sind den Autoren des
Das Smart Grid zusammen mit seinen Marktplät-
Papiers jedoch bislang nicht bekannt.
zen wird eine umfassende und flächendeckende
IKT-Infrastruktur zur Verfügung stellen, die in ei-
nem weiteren Schritt auch für medizinische Un- 4.4 Normungsaktivitäten
terstützungsdienstleistungen genutzt werden
könnte. In solchen Szenarien werden eine Viel- Das NIST-Papier [EPR2009] hat unter anderem 14
zahl hochsensibler Daten ausgetauscht. Über z.B. zentrale Themenbereiche identifiziert, in denen
Fernzugriffe durch medizinisches Personal, wie neue oder überarbeitete Standards benötigt
Notfallpraxen, könnten darüber hinaus auch di- werden. Der Bereich IT-Sicherheit wird hierbei
rekte Eingriffe in die Abläufe in einem Privat- besonders hervorgehoben. Dies greift das DKE-
haushalt vorgenommen werden, indem spezielle Papier [DKE2010] auf und entwickelt Empfehlun-
Sensoren an- und abgeschaltet werden etc.. gen für eine Normungsroadmap für die Themen
20. Seite 19
Abbildung 6: Referenzarchitektur der Smart Meters Coordination Group (Quelle [DKE2010])
IT-Sicherheit und Datenschutz. Hierbei wird Mit den Common Criteria steht ein solcher inter-
ebenfalls auf die entstehenden Zielkonflikte zwi- national anerkannter Bewertungskatalog bereits
schen dem Datenschutz mit dem Ziel der Daten- zur Verfügung.
sparsamkeit einerseits und den Stakeholdern an- Weltweit wird bereits jetzt mit hohem Druck an
dererseits, die möglichst viele Informationen zur der Entwicklung von Roadmaps und Frameworks
Bereitstellung von Mehrwertdiensten benötigen, für Smart Grid-Systeme und -Infrastrukturen ge-
hingewiesen. Weiterhin wird gefordert, dass IT- arbeitet. Der Fokus der bislang vorangetriebenen
Sicherheit als Kernthema bei der Architekturent- Aktivitäten lag auf der Entwicklung funktionaler
wicklung betrachtet werden muss. IKT-Infrastrukturen und Komponenten [Jav2010].
Wesentliche Themen, die identifiziert werden, be- Die Frage der Sicherheit, Robustheit und Verläss-
treffen rollenbasierte Zugriffskontrolle, Identi- lichkeit einer solchen Infrastruktur spielte bis-
tätsmanagementfragen sowie die sichere Kom- lang, auch international, nur eine untergeordnete
munikation. Zudem wird ein Bewertungssystem Rolle. Angesichts der immer stärker zu Tage tre-
gefordert, so dass die Vergleichbarkeit und An- tenden Risiken durch Angriffe auf solch ein Ener-
wendbarkeit von Sicherheitslösungen möglich ist. gieinformationsnetz werden aber u.a. in den USA
21. Seite 20
bereits massive Anstrengungen unternommen, te Chancen für die deutsche Wirtschaft gesehen,
um die Sicherheit der Energienetze zu gewähr- die kommenden Standards mit zu prägen.
leisten. So befassen sich verschiedene Standardi- Der skizzierte Stand der Technik hat gezeigt, dass
sierungsgremien (wie das US National Institute of im Bereich der Sicherheit und des Datenschutzes
Standards and Technology NIST) derzeit haupt- noch ein erheblicher Nachholbedarf besteht. Bei
sächlich mit der Erarbeitung von Anforderungs- der Konzipierung und Umsetzung eines Smart
spezifikationen [Lee2009], [NIST2010], [Mc2009], Grid müssen Sicherheits- und Datenschutzfrage-
[Khu2010]. stellungen von Anfang an einbezogen werden,
da eine Nachbesserung nur Stückwerk erzeugt,
Europäische Standardisierung mit hohen Kosten verbunden ist und lückenhaft
bleiben wird.
Um einen Europaweit einheitlichen Standard für
Smart Metering-Infrastrukturen zu erhalten, hat
die Europäische Union den Organisationen ETSI,
5 Ausgewählte Angriffsszenarien
CEN und CENELEC ein Mandat zur Ausarbeitung
von Standards erteilt11. Die diesen Standardisie- Das Smart Grid der Zukunft wird vielfältigen Be-
rungsbemühungen zugrunde liegende Referenz- drohungen und Angriffen ausgesetzt sein (vgl.
architektur ist in Abbildung 6 dargestellt (vgl. u.a. auch [Mc2009, Khu2010, Bee2010]). Eine US-
[DKE2010]). Das Ziel der Standardisierung ist es, amerikanische Studie aus dem Jahr 2008 kommt
Normen festzulegen, um eine Interoperabilität zu zu dem Ergebnis „the energy sector is most vul-
gewährleisten. Die Normungsarbeiten werden nerable to cyberattack“. Nachfolgend werden ei-
sich auf sechs Bereiche beziehen: nige allgemeine Angreiferklassen skizziert. Die
(1) Das Auslesen von Messwerten, offenen, dezentralen Architekturen der zukünfti-
(2) die bidirektionale Kommunikation zwischen gen Smart Grids vergrößern die potentiellen IT-
Zähler und Marktteilnehmer, Angriffsflächen und eröffnen Angreifern neue
und „attraktivere“ Möglichkeiten des direkten
(3) die Unterstützung unterschiedlicher Tarifmo-
Manipulierens und Eingreifens.
delle und Zahlungssysteme,
Angriffspunkte und Schwachstellen ergeben sich
(4) die Zählerfernabschaltung und der Versor-
unter anderem durch eine Vielzahl von ungenü-
gungsstart und das -ende,
gend abgesicherten Smart Metern [Hei2009,
(5) die Kommunikation mit Geräten der Heimau- Law2010], die als Massenprodukte in Haushalten,
tomatisierung und Gebäuden, Anlagen ausgerollt werden. Das dritte
(6)das Display zum Anzeigen der Zählerstände in Energiepaket, das das Europäische Parlament im
Echtzeit. April 2009 verabschiedet hat, empfiehlt, dass
80% aller Energiekunden bis 2020 Smart Meter
Diese Normierungsaktivitäten stecken noch in
haben sollen. Durch die Vernetzung, mit der
den Anfängen. Mit zeitnahen Entwicklungen von
Möglichkeit der Fernzugriffe auf Komponenten
deutschen Referenzaktivitäten, wie dem Protec-
und Systeme (die z.B. zur kostengünstigen und
tion Profile für Smart Meter, könnte Deutschland
effizienten Fernwartung sehr erwünscht sind),
in dieser Phase starken Einfluss auf die europäi-
ergibt sich eine Vielzahl mangelhaft abgesicher-
schen Normierung nehmen. Hier werden sehr gu-
ter offener Zugangspunkte, wodurch sicherheits-
kritische Zugriffe auf die Netze/Komponenten
des Smart Grid möglich werden. Drittanbieter
11 können ihre Mehrwertdienste in die Energie-
EU Mandat M/441
22. Seite 21
marktplätze einbringen, jedoch fehlen derzeit Si- rechnung, Mehrwertdienste etc.) gekoppelt. Es
cherheits-APIs, einfache Test-Suiten etc., mit de- besteht die Gefahr, dass die bekannt anfälligen
nen die Qualität der Dienste, insbesondere deren Business-IT-Systeme durch mangelhafte Über-
Vertrauenswürdigkeit, technisch geprüft werden wachungen und Isolierungen den gesicherten
kann. Die Bereitstellung unsicherer Mehrwert- Betrieb von Versorgungsnetzen und Energiema-
dienste, bei deren Nutzung sensitive Kundenda- nagementsystemen bedrohen.
ten verarbeitet werden, birgt die Gefahr des Da- Schwachstellen und Bedrohungen werden durch
tenmissbrauchs und der unberechtigten Weiter- Angreifer ausgenutzt, die versuchen, ihre jeweili-
gabe von Daten (Data Leakage), so dass sich gen Ziele zu erreichen. Ein Smart Grid stellt ein
Gefährdungen der Vertraulichkeit und der Pri- attraktives Angriffsziel dar, so dass zu erwarten
vatheit sowie Compliance und Haftungsprobleme ist, dass insbesondere terroristische und kriminell
ergeben können. motivierte Angriffe zunehmen werden. Nachfol-
Es ist aus Kostengründen naheliegend, dass man gend sind einige mögliche Angreifer-Klassen
für die Kommunikationsinfrastruktur zumindest aufgelistet.
in Teilen auf das bestehende Internet zurückgrei-
fen wird und dass man zur durchgängigen und
(1) Cyber-Terrorist
effektiven Verarbeitung von Energiedaten in dem
komplex vernetzten System versuchen wird, die Die Palette der möglichen Angriffe ist vielfältig.
Internet-Protokoll Familie IP als gemeinsame Pro- Das nachfolgende Zitat verdeutlicht das Potential,
tokollschicht zu etablieren. Den Vorteilen einer auch wenn die skizzierten Szenarien so in
einheitlichen Vorgehensweise stehen zum einen Deutschland derzeit nicht auftreten: "Plant
die bekannten Sicherheitsschwächen der Internet control networks (and their programmable logic
Protokolle (IP Protokolle) gegenüber. Hierfür gibt controllers) should be disconnected from the In-
es aber einige Lösungsansätze, die auch im Smart ternet," said Peter Zatko, technical director of the
Grid verwendbar sind. Besondere Bedrohungen national intelligence research unit at BBN Tech-
ergeben sich zum anderen aus der IP-basierten nologies. "These are the things lifting and lower-
„Monokultur“, die eine schnelle, ungehinderte ing the plutonium rods into the water to make
Ausbreitung von Schadenssoftware (Malware) steam...It's on the Internet. This is terrifying."
wie Würmer und Viren begünstigt, so dass die Die möglichen Angriffspunkte für terroristische
Verfügbarkeit von Diensten und Komponenten Angreifer sind bereits Gegenstand internationa-
beeinträchtigt, gefälschte Daten in Umlauf oder ler Fachkonferenzen, wie der erste Cyber-
aber auch gezielte Sabotage-Aktionen durchge- Security Gipfel in 2010 verdeutlicht. Auf dem Gip-
führt werden können. fel haben Experten realistische Angriffe disku-
Das Smart Grid wird IKT-basierte Systeme mit tiert, bei denen Angreifer versuchen, gezielt ge-
physikalischen Komponenten zu den so genann- fälschte Daten einzuschleusen, um z.B. die Ener-
ten Cyber-Physical Systems verbinden. An der gieversorgung bei sicherheitskritischen Anlagen
Schnittstelle zwischen physischen und IKT- zu stören. Überwachungsnetze (z.B. SCADA
gestützten Systemen werden neue Schwachstel- [Igu2006]) können manipuliert werden, um die
len und Verwundbarkeiten auftreten, die für ge- Weitergabe von Daten zu verzögern, oder durch
zielte Angriffe, wie Denial-of-Service, terroristi- falsche Daten Notfallszenarien wie das Abschal-
sche Attacken etc. ausgenutzt werden können. ten oder Herunterfahren von Anlagen auszulö-
Mit dem Smart Grid werden Energieversor- sen. Die Verfügbarkeit von Diensten kann gezielt
gungsnetze und Netze, die vordringlich zur Ab- gestört werden durch so genannte Denial of Ser-
wicklung von Business-IT verwendet werden (Ab- vice-Angriffe, z.B. durch das Etablieren von Bot-
23. Seite 22
Abbildung 7 Angriffspfad des Stuxnet-Virus
Netzen [Sto2009], um gezielte Stromausfälle mit steme zunehmend gefährdet sind. Der Stuxnet-
hohen volkswirtschaftlichen Schäden herbei zu Angriff verlief in mehreren Stufen, wobei in der
führen. Bereits 2009 hatte der Sicherheitsspezia- ersten Stufe unter Ausnutzung klassischer An-
list Mike Davis auf der Black Hat Konferenz mit griffsmethoden Schwachstellen in Windows-PCs
einer Simulation demonstriert, dass innerhalb ausgenutzt und diese PCs mit dem Virus infiziert
von 24 Stunden 15 000 Smart Meter von einem wurden. Auf diesem Weg wurden dann auch PCs
Wurmprogramm infiziert werden und damit auch infiziert, die zur Programmierung von PLCs (Pro-
von dem Angreifer kontrolliert werden können. cess Control Systems) verwendet werden. Da mit
Ferngesteuerte Smart Meter, die in einer Größen- derartigen PCs Kontrollprogramme für Steuerge-
ordnung von tausenden Geräten durch einen sol- räte (PCLs) erstellt werden, deren Programmcode
chen Angriff zu einem Zeitpunkt an- oder abge- dann auf die eigentlichen Steuergeräte geladen
schaltet werden, können die Stabilität eines gro- und ausgeführt wird, ist hier der kritische Schritt
ßen Bereichs des Versorgungsnetzes massiv erfolgt. Beim Stuxnet-Angriff wurden die Steuer-
beeinträchtigen und damit die Versorgungssi- geräte, wie eine SIMATIC, also nicht selbst infi-
cherheit ganzer Regionen gefährden. ziert, sondern es wurde ein Programmcode auf
Die IT-Systeme können somit ihrerseits als „Tat- die Rechner geladen, der Steuerbefehle enthielt,
waffen“ genutzt werden, um Sabotage-Angriffe die die Betriebssicherheit der durch die PCs ge-
durchzuführen, die zum Beispiel die physikalische steuerten Anlagen gefährdet haben. Eine detail-
Zerstörung von Komponenten durch Steuerungs- lierte Darstellung des Angriffs und seiner Konse-
Komponenten (z.B. Überhitzen, Fluten etc.) zum quenzen für Energieversorgungsnetze und ähnli-
Ziel haben können. Der Stuxnet-Wurm (vgl. Ab- cher Netze ist in dem technischen Bericht [Br10]
bildung 7), der im Sommer 2010 iranische Atom- zu finden.
kraftwerke bedroht hat, war ein markantes Sig-
nal dafür, dass sicherheitskritische Infrastruktu-
ren wie industrielle Kontrollsysteme, PCSs
(Process Control Systems) oder auch SCADA-Sy-
24. Seite 23
(2) Endkunde/Bürger als Täter kontrollieren und um auf dieser Basis erpresseri-
sche Geldforderungen zu stellen. Weitere Beispie-
Digitale Zähler und andere Komponenten des
le kriminell motivierter Angriffe sind das wider-
Smart Grid werden direkten physischen Angrif-
rechtliche Akquirieren von sensitiven Verbrau-
fen ausgesetzt sein, da sie leicht zugänglich sind.
cherinformationen und deren Verkauf.
Zählerkomponenten und Vernetzungsinfrastruk-
turen können zum einen Ziel von Manipulations- Neben diesen direkten Angriffen auf die ITK-
angriffen durch die Kunden des Smart Grid sein. Infrastruktur mit den unmittelbaren Problemen
Zum anderen können sie von den Endkunden ge- für die Versorgungssicherheit etc. können krimi-
zielt dazu missbraucht werden, um andere Betei- nelle Angriffe, die nicht direkt gegen die Infra-
ligte zu schädigen. So können digitale Zähler, die struktur gerichtete sind, negative Auswirkungen
in Privathaushalten direkt physisch zugreifbar auf das globale Energieversorgungssystem ha-
sind, von deren Besitzern gezielt manipuliert ben. So haben die im Januar 2011 publik gewor-
werde, um die eigenen Verbrauchsdaten zu ver- denen Angriffe, bei denen Kriminelle durch einfa-
ändern. Die Energieinformations-Infrastrukturen, che Phishing-artige Angriffe bis zu zwei Millionen
können zudem gezielt genutzt werden, um Ener- Emissionsberechtigungen im Wert von 28 Millio-
giedaten und Nutzungsprofile Dritter (Mieter, nen Euro gestohlen haben sollen, dazu geführt,
Nachbarn etc.) auszuspähen. Angreifer können dass der Handel mit diesen Rechten vorüberge-
aber auch versuchen, sich geldwerte Vorteile (Be- hend ausgesetzt wurde. Dies hatte erhebliche fi-
trug) zu verschaffen, indem sie beispielsweise nanzielle Schäden zur Folge. Mangelnde Identi-
manipulierte Daten, die eine Energieeinspeisung tätsüberprüfungen und andere mangelhafte Si-
vorgeben, in das Netz einbringen. Denkbar sind cherheitsvorkehrungen sowie fehlendes Sicher-
auch Angriffe, wie das „Umleiten“ von Ver- heitsbewusstsein bei den verantwortlichen Stel-
brauchsdaten auf andere Nutzer, so dass deren len (aufgrund einer manipulierten E-Mail haben
Konto belastet wird. Das sind Ausprägungen von sie sich beispielsweise massenhaft bei einem ge-
Angriffen, die auf einen Identitätsdiebstahl hin- fälschten Server mit ihren jeweiligen Zugangsda-
aus laufen. Da die Kommunikationsverbindung ten neu registriert) waren die Ursache dieser
zwischen den Zählern und den Managementsys- massiven Diebstähle.
temen bidirektional ist, kann man auch versu-
chen, von außen die Zähler fremder Personen zu (4) Mitarbeiter/Dienstleister
manipulieren, z.B. durch eine gezielte Sabotage
Mitarbeiter von Infrastrukturbetreibern oder de-
durch Missbrauch der Infrastruktur, um beispiels-
ren Dienstleister könnten beispielsweise klassi-
weise unautorisiert eine Stromabschaltung bei
schen Social Engineering-Angriffen ausgesetzt
Dritten herbei zu führen.
werden. Über USB-Sticks, E-Mail-Attachements
oder manipulierte Web-Seiten könnte versucht
(3) Organisierte Kriminalität werden, Schadsoftware auf PCs/Notebooks und
Da ein Smart Grid eine Vielzahl von geldwerten anderen Endgeräten von Service-Mitarbeitern
Objekten und Informationen verwaltet, wird es einzuschleusen. So hat ein Experte auf der RSA
ein lukratives Angriffsziel für die organisierte Conference 2009 einen Einbruch in ein Kraftwerk
Kriminalität werden. Beispiele für Angriffe, mit demonstriert, indem ein Kernkraftwerks-Mitar-
denen sich Geld verdienen lässt, umfassen den beiter durch Social Engineering dazu gebracht
Diebstahl von Leistungen wie zum Beispiel die wurde, einen Link in einer E-Mail anzuklicken, so
kostenlose Energienutzung, die preiswerte Ein- dass Schadsoftware auf den PC des Mitarbeiters
richtung von Bot-Netzen, um das Smart Grid zu geladen wurde. Durch diese Manipulation erlang-
25. Seite 24
te der Angreifer Zugriffsrechte an Kernkraft- lichen Gründen ideal, widerspricht aber dem Be-
werks-internen Wartungsdiensten, die dem Mit- darf von Betreibern an möglichst vielen Informa-
arbeiter zugänglich waren. tionen über Verbrauchs- bzw. Nutzungsprofilen,
Durch Phishing-Angriffe könnten Angreifer ver- um diese in Mehrwertdienstleistungen zu ver-
suchen, sich Zugangsdaten von Mitarbeitern an- markten.
zueignen und sich unter der gefälschten Identität
des Mitarbeiters einen nicht-autorisierter Zugang
zu beschaffen. Der oben bereits angesprochene 6 Forschungsbedarf
Diebstahl von Passwörtern für Emissionskonten
Wie dargestellt, umfasst ein Smart Grid eine Viel-
deutscher Unternehmen12 ist ein weiteres Beispiel
zahl von Sensoren wie Smart Metern zur Daten-
von Social Engineering-Angriffen. Unsicher kon-
erfassung und zur Überwachung, die in nicht-
figurierte Remote-Zugänge für die Fernwartung
vertrauenswürdigen Umgebungen sowohl in Pri-
von Netzen eröffnen für Angreifer die Möglich-
vathaushalten als auch in gewerblich betriebe-
keit, unter der Identität des berechtigten Mitar-
nen Gebäuden und Liegenschaften als Massen-
beiters den Fernzugriff z.B. auf Privathaushalte
produkt zum Einsatz kommen werden. Die Geräte
oder aber auch auf Service-Einrichtungen durch-
sind in der Regel unbeschränkt zugänglich, so
zuführen und beispielsweise Daten zu manipulie-
dass erhebliche Probleme durch diesen direkten
ren.
physischen Zugriff auftreten. Durch die starke
Die skizzierten Angriffe stellen lediglich einen Dezentralisierung durch die Anbindung von Mik-
Ausschnitt der möglichen Bedrohungen dar. Die- ro BHKWs, Elektro- und Hybridfahrzeugen, er-
se sind in systematischer Weise zu erfassen und neuerbaren Energiequellen etc. kommt es zu
zu bewerten. Dazu ist es erforderlich, charakte- Kontrollverlusten der Netzbetreiber. Die Ener-
ristische Einsatzszenarien und Systemarchitek- giemanagementplattformen sind offene Markt-
turen zu identifizieren und anhand derer eine plätze, in die Mehrwertdienste durch Dritte dy-
Bedrohungs- und Risikoanalyse durchzuführen. namisch eingebunden werden und über Cloud-
Weiterführende, vertiefende Arbeiten sind erfor- Dienste IT-Dienstleistungen durch Dritte erbracht
derlich, um anhand charakteristischer Szenarien werden.
derartige Analysen durchzuführen, Sicherheits-
Die Problembereiche im Smart Grid sind sehr
konzepte zur Absicherung der Architekturen zu
vielschichtig. Es müssen unterschiedliche, skalie-
entwerfen und Handlungsempfehlungen für de-
rende und auf die jeweiligen Anforderungen zu-
ren Umsetzung in realen Einsatzszenarien zu ge-
geschnittenen Lösungskonzepte entwickelt, in ih-
ben. Für derartige Szenarien sind die unter-
rem Zusammenspiel analysiert und in eine Ge-
schiedlichen Interessen der beteiligten Parteien
samtsystem-Lösung sicher integriert werden. Es
zu erfassen, und es sind Architekturausprägun-
gibt zwar bereits eine Vielzahl von Einzellösun-
gen zu entwerfen, die den zum Teil widersprüch-
gen und Schutzmechanismen, die jedoch noch
lichen Anforderungen der Marktteilnehmern
nicht so nahtlos in die Systeme des Smart Grid in-
Rechnung tragen. So ist beispielsweise eine de-
tegrierbar sind, dass das gewünschte, durchge-
zentrale Lösung, bei der die Verarbeitung der
hend hohe Sicherheitsniveau nachhaltig gewähr-
personenbeziehbaren Verbrauchsdaten vollstän-
leistet werden kann. Hier sind noch weitere For-
dig in der Hand des Kunden, also in einem Endge-
schungs- und Entwicklungsarbeiten notwendig.
rät beim Kunden verbleibt, aus datenschutzrecht-
Nachfolgend werden für die in diesem Papier an-
12
gesprochenen Themenbereiche Smart Meter,
http://www.zeit.de/wirtschaft/2010-02/hacker-
Kommunikationsinfrastruktur und Energiemana-
emissionshandel-datendiebstahl
26. Seite 25
gementsysteme einige offenen Forschungsfra- weise leichtgewichtige Hardware-Sicherheits-
gen skizziert. Diese müssten in einem nächsten module für sichere Schlüsselspeicher versehen
Schritt systematisch erarbeitet und in einer For- werden. Sie müssen in der Lage sein, Nachweise
schungsagenda zur Sicherheit im Smart Grid ih- über die Integrität ihrer Soft- und Hard-ware so
ren Niederschlag finden. zu erstellen, dass diese Nachweise von dritter
Seite überprüft werden können (z.B. leichtge-
wichtige Attestierung von Sensoren und Akto-
6.1 Smart Meters, Gateways, Sensorik
ren).
Derzeit fehlt es noch an geeigneten Maßnahmen Die beteiligten Komponenten müssen sich zudem
für den Manipulationsschutz von Smart Metern effizient wechselseitig identifizieren und authen-
und Gateways. Das angesprochene Protection tisieren können. Dementsprechend sind skalie-
Profile des BSI sieht den Einsatz von Hardware- rende Identifikations- und Authentisierungs-
Sicherheitsmodulen im Gateway vor. Noch ist of- schemata für Komponenten zu entwickeln, wie
fen, in welcher Weise derartige Sicherheitsmodu- beispielsweise leichtgewichtige PKI13-Lösungen
le in das Gateway eingebunden sein werden (z.B. für ressourcenschwache Sensoren und Geräte
als Chipkarte, die einfach ersetzt werden kann, und deren Schlüsselmanagement, oder neuartige
wenn sich die Rahmenbedingungen ändern, oder Lösungen, die eine Identifikation auf der Basis
als fest integrierter Chip). Die Gewährleistung ei- der eindeutigen physischen Objekteigenschaften
ner sehr langen operativen Laufzeit derartiger ermöglichen.
Gateways, die Fernwartung, sichere System-
Updates und sicheres Nachrüsten von zusätzli- Test-Methoden und -Werkzeuge
chen Sicherheitsfunktionen umfassen muss, sind
Die in sicherheitskritischen Domänen eingesetz-
noch zu klärende Fragen.
ten Geräte müssen Sicherheitstests durchlaufen.
Heutige Gerätetechnologie muss somit konse- Hierfür wird derzeit vom BSI das Protection Profi-
quent weiterentwickelt werden. Erforderlich sind le für Smart Meters festgelegt. Technische Richt-
zum einen zugeschnittene Sicherheitsmechanis- linien zur Entwicklung und Validierung von intel-
men wie Verschlüsselungsfunktionen, Schlüssel- ligenten Zählern werden im nächsten Schritt si-
managementdienste, Zugriffskontrollmechanis- cherlich folgen. Weitere Testszenarien fehlen
men, Datenfilterungskonzepte, die zur Härtung jedoch noch. So sollten nach den jetzigen Stand
bestehender Komponenten eingesetzt werden der Technik die eingesetzten Komponenten resis-
können. Zum anderen sind innovative Produkte tent gegenüber Seitenkanal-Angriffen sein, die es
und Sicherheitstechnologien zu entwickeln, die ermöglichen, sensitives Schlüsselmaterial aus
als vertrauenswürdige Kommunikationsend- eingebetteten Komponenten, wie Chips, zu ex-
punkte im Energieinformationsnetz eingesetzt trahieren. Entsprechende Untersuchungen und
werden können. Es werden Sicherheitslösungen Testmethoden werden unter anderem vom
benötigt, die unterschiedliche Grade an Sicher- Fraunhofer-Institut SIT in München angeboten
heit unterstützen, jeweils zugeschnitten auf die (vgl. Abbildung 8) und in Projekten, wie dem
Einsatzszenarien. Erforderlich sind somit Techno- BMBF-Konsortialprojekte RESIST mit Firmen wie
logien zusammen mit integrierten Kontroll- und Infineon, Giesecke&Devrient oder aber auch Rho-
Überwachungsdiensten, so dass die eingesetzten de und Schwarz (vgl. http://www.resist-
Systemkomponenten besser gegen Manipulati- projekt.de) weiter entwickelt. Im SIT-Testlabor
onsversuche geschützt und gehärtet werden
(Manipulationsresistenz). Die Komponenten müs-
13
sen mit zusätzlichen Fähigkeiten wie beispiels- Public-Key Infrastruktur
27. Seite 26
werden derzeit auch Smart Meter Komponenten
in Bezug auf ihre Sicherheit getestet. Neben den
reinen Sicherheitstests werden Interoperabili-
tätstests notwendig; hierfür sind ebenfalls Test-
rahmen zu erstellen und Testumgebungen auf-
zusetzen.
6.2 Kommunikationsinfrastruktur
Das Energieinformationsnetz der Zukunft um-
fasst eine Vielzahl von Messwertgebern, Feldsen-
soren und (drahtlosen) Netzen, um bestehende
Systeme und Prozesse der Energieversorger aus
Leitwarten heraus zu steuern und zu regeln
(SCADA) oder mittels Fernwartung zu prüfen und
ggf. sogar zu reparieren. Die entsprechenden
Steuerungssysteme greifen in die Abläufe der
Energieversorger ein. Dabei eröffnet die Fern-
wartung Zugänge zu sicherheitskritischen Kom-
ponenten und Diensten, so dass hier besondere
Schutz- oder Isolationsmaßnahmen integriert
werden müssen. In Zukunft werden diese Aufga-
ben aufgrund der zunehmend dezentralen Ener-
gieerzeugung komplexer. Gleichzeitig müssen
diese Aufgaben durch die absehbare Deregulie-
rung der Märkte im Kontext einer größeren or-
ganisatorischen Heterogenität bewältigt werden.
Die Frage, welche Sicherheitslösungen für die
Kommunikation zwischen verteilten Anlagentei-
len für die Übertragung von Informationen über
drahtlose, mobile oder Festnetzverbindungen ge-
eignet sind, ist noch nicht vollständig geklärt. Aus
technischer Perspektive sind besonders die Naht-
stellen zwischen unterschiedlichen Technologien
problematisch. So ist durch geeignete Maßnah-
men sicherzustellen, dass ein gewünschtes Maß
an Sicherheit durchgängig und nahtlos über ver-
schiedene Technologien und Betreiberdomänen
hinweg garantiert wird. Die Vergangenheit hat
Abbildung 8: EM-Sonde zum Messen der elektro-
gezeigt, dass es gerade an den Nahtstellen unter- magnetischen Abstrahlung auf einem geöffneten
schiedlicher Technologien und an den Nahtstellen Chip (Mitte), Messplatz zur Poweranalyse eines Mik-
zwischen unterschiedlichen Betreibern zu erheb- rocontrollers und FPGA-Platine zu dessen Steue-
lichen Sicherheitsproblemen kommt, wie z.B. bei rung (oben und unten) im Testlabor des Fraunhofer
SIT-München
der Kopplung von GSM/UMTS und WLAN-Netzen.
28. Seite 27
Ferner müssen gemeinsam genutzte IKT-Infra- Isolierung von Teilbereichen und für kontrollierte
strukturdienste (z.B. DNS) besondere Sicherheits- Bereichsübergänge. Notwendig werden ferner
sowie Zuverlässigkeitsanforderungen erfüllen Betriebskonzepte zur Angriffs- und Ausfalltole-
und Migrationsmöglichkeiten zulassen. ranz durch geeignete Isolierungs- und Redun-
Die Sicherheitsimplikationen, die sich aus der zu- danzmaßnahmen.
nehmenden Vernetzung für SCADA-Netze erge-
ben, werden von den aktuellen SCADA-Lösungen 6.3 Energiemanagementsysteme
noch nicht geeignet erfasst (vgl. u.a. [St2003,
Igu2008]]. Die Einbettung echtzeitfähiger Sicher- Das Smart Grid erfordert komplexe Manage-
heitskonzepte in SCADA-Netze und Gateways, die mentsoftware, um die Fülle der erhobenen Daten
Unterstützung einer effizienten und sicheren Ma- auf dezentralen Serversystemen bei Stromunter-
schine-zu-Maschine-Kommunikation (M2M) in nehmen, aber auch bei Dienstleistern (z.B. über
derartigen Steuerungssystemen sowie die Ein- Cloud-Services) zu verarbeiten. Neue digitale
bettung effizienter Verschlüsselungs- und Ent- Marktplätze entstehen mit neuen Dienstleistun-
schlüsselungsmaßnahmen zusammen mit einem gen und Geschäftsmodellen, um Energie kosten-
effizienten Schlüsselmanagement fehlt. Ansätze günstig und sparsam zu produzieren und zu nut-
hierzu könnten Varianten von leichtgewichtigen zen.
PKI-Lösungen sein, die auf die Einsatzdomäne
Für die zu entwickelnden Energiemarktplätze
zuzuschneiden sind. Die Schlüssel müssen ver-
bzw. Energie-Clouds und die Mehrwertdienste,
trauenswürdig in den ressourcenschwachen Ge-
basierend auf der Smart Grid IKT-Infrastruktur,
räten gespeichert werden, so dass sich hier wie-
sollte soweit wie möglich und anwendbar auf be-
derum der Bedarf an angriffsresistenten, ver-
stehende Standards im Bereich der Web-Services,
trauenswürdigen leichtgewichtigen Hardware-
der Service-orientierten Architekturen etc. zu-
basierten Sicherheitsanker ergibt. Hoch perfor-
rückgegriffen werden. Um mandantenfähige,
mante Überwachungs- und Filterungskomponen-
vertrauenswürdige Services über eine gemein-
ten, wie beispielsweise integrierte Micro-Fire-
same Plattform anzubieten, sind die gleichen Si-
walls in ressourcenbegrenzte SCADA-Netze wer-
cherheitsfragestellungen zu lösen, wie sie derzeit
den ebenso benötigt wie effiziente, echtzeit-
auch in einem allgemeineren Kontext beim
fähige Überwachungsfunktionen, zur frühzeiti-
Cloud-Computing bearbeitet werden. Die Lösun-
gen Erkennung und Abwehr von Angriffs-
gen des Cloud-Computing sollten in die Energie-
versuchen auf und in SCADA-Netzen. Für die
Domäne übertragen werden. Zentrale Sicher-
sichere Einbindung von Bedienpersonal werden
heitsherausforderungen betreffen die sichere
verbesserte Authentisierungsverfahren benötigt,
und vertrauenswürdige Identifizierung und Au-
die auch in zeitkritischen Notsituationen zuver-
thentisierung der Marktteilnehmer und die rol-
lässig funktionieren.
len- und aufgabenbasierte Zugriffs- bzw. Nut-
Für das Smart Grid ist zudem die Entwicklung de- zungskontrollen. In Deutschland werden mit dem
dizierter, in nahe Echtzeit agierender Überwa- neuen Personalausweis (nPA) flächendeckend si-
chungsprotokolle im Sinne kooperativer Früh- chere Identifizierungstokens ausgerollt. Daneben
warnsysteme erforderlich, um aufkommende gibt es eine Vielzahl anderer Authentisierungs-
Probleme frühzeitig zu erkennen und rechtzeitig techniken, so dass ein umfassender Dienst im
geeignete Abwehrmaßnahmen einzuleiten. Be- Sinne von Identity-as-a-Service wünschenswert
nötigt werden technische Lösungen (u. a. Scha- wäre, der ein einheitliches Identitätsmanage-
lenmodelle, Stufenmodelle) mit abgestuften Kon- ment z.B. in der Energy-Cloud ermöglicht.
trollen (Identität, Zugriffskontrolle) zur gezielten