SlideShare ist ein Scribd-Unternehmen logo
Sicherheit im Smart Grid
Eckpunkte für ein Energieinformationsnetz

                 Claudia Eckert




            1101 1110 1010 1101 1011 1110 1110 1111




         Stiftungs-Verbundkolleg                      90
Seite 1



                                                      Sicherheit im Smart Grid
                                                   Eckpunke für ein Energieinformationsnetz




                              Inhaltsverzeichnis



                                  1      Einleitung                                                  3
                                  2      Herausforderungen durch das Smart Grid                      4
Impressum                         3      Sicherheit und Datenschutz                                  8
Stiftungsreihe 90                        3.1   Rechtliche Rahmenbedingungen                          8

Redaktion
                                         3.2   Technische Rahmenbedingungen                          9
Dr. Dieter Klumpp                        3.3   Organisatorische Rahmenbedingungen und
(Leitung)
Petra Bonnet M.A.                              Sicherheitsmanagement                               10
                                  4      Stand der Technik                                         11
                                         4.1   Smart Meter und Messtechnik                         12
                                         4.2   Kommunikationsinfrastrukturen                       15
                                         4.3   IKT-gestützte Energiemanagementsysteme              16
                                         4.4   Normungsaktivitäten                                 18
                                  5      Ausgewählte Angriffsszenarien                             20
Druck der Broschüre               6      Forschungsbedarf                                          24
DCC Kästl GmbH & Co. KG
                                         6.1   Smart Meters, Gateways, Sensorik                    25
Alle Rechte vorbehalten
Alcatel-Lucent Stiftung                  6.2   Kommunikationsinfrastruktur                         26
Stiftungsverbundkolleg e.V.
                                         6.3   Energiemanagementsysteme                            27
© 2011
                                  7      Erstellen einer Roadmap „IT-Sicherheit im Smart Grid“     29
                                         7.1   Handlungsempfehlungen zur Erstellung einer
                                               nationalen Sicherheits-Roadmap                      30
Postadresse
                                         7.2   Entwicklung einer Forschungsagenda                  33
Alcatel-Lucent Stiftung           8      Zusammenfassung                                           34
Lorenzstraße 10
70435 Stuttgart

Telefon                           Projekt NEWISE                                                   37
(0711) 821-45002
Telefax
(0711) 821-42253
E-Mail
office@stiftungaktuell.de

www.stiftungaktuell.de



ISSN 0932-156x
Seite 2
Seite 3



       Sicherheit im Smart Grid - Eckpunke für ein Energieinformationsnetz
                                                         Claudia Eckert, Christoph Krauß, Peter Schoo


                                                    Das Energieinformationsnetz ist eine sicherheits-
1 Einleitung
                                                    kritische Infrastruktur, deren Ausfall oder (par-
Energie gehört zu den Lebensadern der interna-      tielle) Störung gravierende gesellschaftliche und
tionalen Wirtschaft. Während die fossilen Ener-     volkswirtschaftliche Schäden nach sich zieht. Ne-
gieträger zunehmend knapper werden, steigt in       ben den erforderlichen Netzen, um Daten recht-
Folge der fortschreitenden Industrialisierung der   zeitig, korrekt, Privatsphären-bewahrend, ver-
Energiebedarf gewaltig mit gravierenden Konse-      traulich und vollständig (aus Sicht des Dienstes,
quenzen für den Klimaschutz. Die Verknappung        der die Daten benötigt) zwischen allen beteiligten
der fossilen Energiequellen und die ungelöste       Parteien auszutauschen, werden insbesondere
Umweltproblematik der Nuklearenergie erfor-         auch dezentral betriebene, kooperative Mana-
dern nachhaltig wirkende Lösungen, um den           gementsysteme und verteilte Service-Plattfor-
steigenden Energiebedarf zu befriedigen und         men benötigt, um Angebot- und Nachfrage so-
gleichzeitig die Umwelt zu schonen. Notwendig       wohl auf einer mikroskopischen Ebene (räumli-
sind Energie-Systeme zur breitflächigen Nutz-       cher Nahbereich) als auch auf einer makros-
barmachung erneuerbarer Energien und die sys-       kopischen Ebene (zwischen Energieversorgern,
tematische Umsetzung von Energiesparmaß-            Länder- und Kontinent-übergreifend) zu koordi-
nahmen. Im Gegensatz zu konventionellen Ener-       nieren. Im Folgenden bezeichnen wir ein solches
giequellen weisen aber erneuerbare Energie-         komplexes System von Systemen bestehend aus
quellen wie Wind, Sonne oder Wasserkraft ein        IKT-Infrastrukturen und Energieinformations-
stark zeitvariantes Verhalten auf und können nur    managementsystemen als Energieinformations-
gekoppelt mit Energiespeicherverfahren zum          netz bzw. in Übernahme der englisch sprachli-
Einsatz kommen. Die klassische Lösung eines Ver-    chen Beschreibung als Smart Grid.
bundes von Grundlast- und zugeschalteten Spit-      Abbildung 1 veranschaulicht ein solches System.
zenlast-Kraftwerken mit einer hierarchischen        Die European Technology Platform Smart Grids
Verteilung von Energie zur Verteilnetzebene         (vgl. [ETPS2008]) definiert ein Smart Grid wie
muss strukturell verändert werden, da erneuer-      folgt: “A Smart Grid is an electronically network
bare Energien beispielsweise durch Photovoltaik-    that can intelligently integrate actions of all users
anlagen auch auf Verteilnetzebene eingespeist       connected to it – generators, consumers and
werden und damit die Energiegewinnung nicht         those that do both – in order to efficiently deliver
mehr hierarchisch sondern dezentral ist. Dies er-   sustainable, economic and secure electricity sup-
fordert eine geeignete IKT-Infrastruktur zur        plies.“ Das National Institute of Standards and
Steuerung des Energietransports.                    Technology (NIST) in den USA nimmt eine etwas
Durch ein dezentrales Management der Ver-           erweiterte Sicht auf das Smart Grid ein, die auch
brauchs- und Angebotsdaten ermöglicht die           diesem Papier zugrunde liegt. Das Smart Grid
steuernde IKT-Infrastruktur, den Stromverbrauch     gemäß NIST (vgl. [EPR2009]) ist: „… moderniza-
nachhaltig zu senken und dabei gleichzeitig die     tion of the electricity delivery system so it moni-
Energiekosten zu reduzieren, aber dennoch die       tors, protects and automatically optimizes the
Versorgungssicherheit zu gewährleistet. Dies        operation of its interconnected elements, from
dient letztlich auch dem Klimaschutz.               the central and distributed generator through
Seite 4




 Abbildung 1: Komponenten eines Smart Grid


the high-voltage transmission network and the         gesteuert, betrieben und gewartet. Sie bestehen
distribution system, to industrial users and build-   aus einer Vielfalt heterogener Systeme und sind
ing automation systems, to energy storage in-         komplex vernetzte Systeme. Steuernde, einge-
stallations and to end-use consumers and their        bettete Systeme wie Sensoren und Aktoren und
thermostats, electric vehicles, appliances and        physikalische und betriebliche Prozesse (Physical
other household devices.”                             System) werden integriert und über vielfältige
                                                      Vernetzungstechnologien unter Einbeziehung
                                                      des Internets zu einem übergreifenden, vernetz-
2 Herausforderungen durch das Smart Grid              ten System, dem Cyber-Physical System (u.a.
                                                      [Wolf09]) verbunden. Derartige Systeme kombi-
Während die Energieverteilnetze bereits verhält-      nieren autonome, ressourcenschwache physikali-
nismäßig gut ausgebaut sind, ist ein Großteil der     sche Geräte, wie u. a. digitale Zähler (Smart Me-
Informations- und Kommunikationsinfrastruktur         ter) mit ressourcenstarken Backend- und Infor-
und der Software-Plattformen neu zu gestalten         mationsmanagement-Systemen. Die verschiede-
bzw. sind bestehende Infrastrukturen entspre-         nen Komponenten kommunizieren über draht-
chend auszubauen. Das Energieinformationsnetz         lose oder drahtgebundene Vernetzungstechnolo-
der Zukunft ist charakterisiert durch eine dezen-     gien, wie WLAN, UMTS oder auch Powerline. Die
trale Struktur (vgl. Abbildung 1). Die Verbrauchs-    Systeme sind zudem durch eine hohe Dynamik
daten werden dezentral erfasst und abgerechnet,       charakterisiert. Mobile Stromverbraucher und
und die Systeme werden vollständig dezentral          Stromerzeuger in Form von Elektrofahrzeugen
Seite 5




  Abbildung 2: Vernetzungsszenarien zukünftiger Smart Grids


(Elektromobilitätsszenarien) und private Strom-               gebot zu erfassen, und es muss Steuermöglich-
Erzeuger, die dynamisch ihren erzeugten Strom                 keiten zur Verfügung stellen, zur Aktivierung/De-
in die Netze einspeisen, erfordern ein adaptives,             aktivierung von Energieverbrauchern und zur
dynamisches Management (Demand Side Mana-                     Nutzung gespeicherter Energie. Um diese Aufga-
gement), das in der Lage ist, Lastspitzen zu ver-             ben zu erfüllen, ist die Einführung einer IKT-
meiden, Energie zwischenzuspeichern und ab-                   gestützten Erfassung des dezentralen Energie-
rufbar zu halten etc.. Der Markt ist dereguliert              verbrauchs und ggf. der dezentralen Energieer-
und muss als ein offener Dienstleistungsmarkt-                zeugung zur Einspeisung in das Energienetz
platz für Anbieter und Verbraucher konzipiert                 durch Smart Meter erforderlich.
und umgesetzt sein.                                           Um Interessenskonflikte zu vermeiden, müssen
Abbildung 2 visualisiert eine Vision dieser zu-               die Zuständigkeiten für die Wahrnehmung der
künftigen Energieinformationsnetze bzw. Smart                 Aufgaben von Erzeugung, Messung, Transport
Grids.                                                        und Abrechnung von Energieeinheiten entkop-
Das zu entwickelnde Smart Grid muss die Ge-                   pelt werden. Gleichzeitig erfordert ein globales
samtheit aller zentralen und dezentralen Ener-                Funktionieren eines solch komplexen Systems,
giequellen und -senken sicher und zuverlässig                 dass die beteiligten Parteien Daten austauschen
miteinander verbinden. Es muss Komponenten                    und kooperieren.
und Dienste anbieten, um den momentanen
Energiebedarf und das momentane Energiean-
Seite 6



Im zukünftigen Smart Grid werden die Funkti-              und Vollständigkeit der Daten, die für das Last-
onsbereiche wie das Erzeugen der Energie1, der            management benötigt werden, für die Netz-
Transport und die Verteilung der Energie, das             betreiber essentiell, während für den privaten
Messen des Verbrauchs, das Übermitteln der                Endkunden die Vertraulichkeit seiner Verbrauchs-
Messdaten oder das Erstellen der Rechnungen,              und Abrechnungsdaten und deren Korrektheit si-
die früher in der Regel in einer Hand lagen, von          cherlich vordringliche Schutzbedarfe darstellen.
unterschiedlichen Geschäftspartnern (legal un-            Das konzeptuelle Modell liefert darüber hinaus
bundling) ausgeübt. Damit erlangen die Ge-                einen guten Ansatzpunkt, um Abhängigkeiten
schäftsbeziehungen zwischen den verschiedenen             zwischen Subsystemen zu identifizieren und Do-
Teilnehmern am Markt einen immer wichtigeren              mänen gegeneinander abzugrenzen. So werden
Stellenwert. Das resultierende Smart Grid ist ein         beispielsweise im Bereich der Steuerung der
komplexes IKT-System, bestehend aus einer Viel-           Energieübertragung vielfach SCADA2-Netze ein-
zahl heterogener Subsysteme (Hardware und                 gesetzt, die in Smart Grid-Szenarien nicht mehr
Software), die dezentral verwaltet werden, teil-          wie bislang noch üblich isoliert betrieben wer-
weise nach Bedarf hinzu- und wieder abgeschal-            den, sondern vermehrt an das Internet angebun-
tet werden und sehr unterschiedliche Anforde-             den und darüber mit anderen Subsystemen ge-
rungen an die zu gewährleistende Sicherheit be-           koppelt sind. Ein Angriff auf ein verwundbares
sitzen (mehrseitige Sicherheit).                          SCADA-System kann sich damit kaskadierend in
Abbildung 3 verdeutlicht die Komplexität der In-          die angeschlossenen Netzsegmente ausbreiten,
frastruktur und die Abhängigkeiten zwischen den           bzw. über diese Netze können gezielt Angriffe
Subsystemen. Ein solches Smart Grid stellt hohe           auf verwundbare SCADA-Systeme durchgeführt
Anforderungen an die Qualität der verarbeiteten           werden. Die Abbildung veranschaulicht auch,
Daten, die zur Steuerung der gesamten Strom-              dass die digitalen Zähler (im Bild im Kasten rechts
versorgung und der Abrechnung der Leistungen              unten als eine Komponente im Bereich der Heim-
verwendet werden. Die Abbildung beschreibt das            automatisierung) lediglich ein Baustein in dem
von der NIST (vgl. [Lee2009]) entwickelte konzep-         Gesamtsystem eines Smart Grid sind. Die Abbil-
tuelle Modell einer Referenzarchitektur für das           dung verdeutlich zudem, dass die Sensoren, Zäh-
Smart Grid. Die Abbildung verdeutlicht die ver-           ler oder aber auch lokalen Energieerzeugungs-
schiedenen Akteure in einem solchen Grid. Bei-            Komponenten eines Haushaltes (rechter Kasten
spiel für Akteure sind Kunden, Energieversorger,          unten) zum einen miteinander mittels Kommuni-
Energielieferanten, Energie-Erzeuger, Service-            kationstechnologie wie WLAN vernetzt sind und
Anbieter, Marktplatzanbieter etc.. Diese Akteure          zum anderen über verschiedene Netze an die
repräsentieren Rollen, die ähnliche Ziele, einen          Außenwelt angekoppelt sind. Ein bidirektionaler
ähnlichen Schutzbedarf sowie ähnliche Rechte              Datenverkehr ist möglich wie beispielsweise ein
und Pflichten haben. Diese konzeptuelle Bünde-            Fernzugriff über ein IKT-Netz auf einen Sensor.
lung von Aktivitäten zu Rollen ist für eine Sicher-
heitsbetrachtung sehr nützlich. Sie ermöglicht es,
Schutzbedarfe aus Sicht der unterschiedlichen
Akteure zu erfassen. So ist beispielsweise eine
hohe Verfügbarkeit, hohe Integrität, Aktualität


1
    Mit Energie-Erzeugung ist hier und im Folgenden die
     Umwandlung von Primärenergie in Nutzenergie
                                                          2
     gemeint.                                                 SCADA: Supervisory Control And Data Acquisition
Seite 7




Abbildung 3: Konzeptuelles Modell des Smart Grid (Quelle [Bee2010, Lee2009])
Seite 8



3 Sicherheit und Datenschutz                             teien, Daten kooperativ auszutauschen. Die gel-
                                                         tenden Datenschutzgesetze verbieten bereits
Die Integration von geeigneten Sicherheitsmaß-           heute eine Profilbildung des Endverbrauchers
nahmen [Eck2009] zur Wahrung der Vertraulich-            hinsichtlich seiner Lebensgewohnheiten. Ein
keit der ausgetauschten Daten und des Schutzes           Smart Grid erfordert somit Lösungskonzepte und
der Privatsphäre, aber auch zur Sicherstellung           Architekturen, um diese rechtlichen Auflagen zu
der Korrektheit, der Vollständigkeit der außer-          erfüllen. Dazu ist zu klären, welche Daten über-
halb des eigenen Kontrollbereichs verarbeiteten          haupt sinnvoll zu erheben sind, wie eine geeigne-
Daten sowie die Rechtzeitigkeit der Erbringung           te Aggregierung und Anonymisierung zu gestal-
der gewünschten Dienstleistungen sind eine un-           ten ist und wie durch dezentrale Verarbeitungs-
abdingbare Voraussetzung dafür, dass ein sol-            schritte eine Profilbildung systematisch verhin-
ches Smart Grid funktionsfähig und nutzbar ist.          dert werden kann. Für das kooperative Manage-
Dies ist notwendig, um von den Verbrauchern              ment sind Maßnahmen zu entwickeln, so dass
auch akzeptiert zu werden und damit die ge-              kritische Daten auch zwischen konkurrierenden
wünschten Effekte hinsichtlich Energieeinspa-            Unternehmen vertrauensvoll ausgetauscht wer-
rung und Umweltschutz erfüllen zu können.                den können, um globale Lagebilder zu erstellen,
Das Smart Grid muss von Anfang an so konzipiert          ohne den Datenschutz zu gefährden.
werden, dass es angriffsresistenter als bisherige
Infrastrukturen ist, da ein Smart Grid in besonde-
                                                         3.1   Rechtliche Rahmenbedingungen
rer Weise eine schützenswerte kritische Infra-
struktur darstellt, die vielfältige Angriffsziele bie-
                                                         Das Datenschutzrecht hat bei der Stromversor-
tet. Mit der zunehmenden Abhängigkeit von ei-
                                                         gung bisher eine eher untergeordnete Rolle ge-
nem zuverlässigen und robusten Smart Grid für
                                                         spielt [Ro2010]. Für die Durchführung und Ab-
die Versorgungssicherheit steigt die Verletzlich-
                                                         rechnung der Stromversorgungsverträge wur-
keit und Verwundbarkeit durch gezielte Angriffe
                                                         den nur wenige personenbezogene Daten ver-
(Terroranschläge, Hackeraktivitäten, Manipulati-
                                                         wendet. Insbesondere wurde der Energiever-
onsversuche).
                                                         brauch in der Regel nur einmal jährlich erfasst.
Eine Herausforderung ist zudem die systemati-            Die Einführung des Smart Grid verursacht jedoch
sche Integration von geeigneten Maßnahmen,               vielfältige Risiken für die informationelle Selbst-
um auch in Ausnahme- und Notfällen das kom-              bestimmung sowie für die Entscheidungs- und
plexe, vielparametrige System noch zu beherr-            die Entfaltungsfreiheit [Cav2010], so dass sich die
schen. Die dezentrale Infrastruktur erfordert ko-        Bedeutung des Datenschutzrechts enorm erhö-
operative Konzepte und eine Kombination aus              hen wird [Ro2010b]. Insbesondere die Einführung
lokalen und globalen Maßnahmen, deren jeweili-           tageszeit- und lastvariabler Tarife und die für die
ge Abhängigkeiten und Auswirkungen verstan-              Optimierungsbestrebungen erforderliche detail-
den und beherrscht werden müssen. Um ein                 genaue Erfassung der Energieverbrauchswerte
rechtzeitiges und teilautonomes Handeln zu er-           führen dazu, dass der Umfang der Erhebung
möglichen, werden zudem in stärkeren Maß                 (personenbezogener) Daten erheblich steigen
selbstorganisierenden Prinzipien eingesetzt wer-         wird. Die Daten werden eine neue Qualität auf-
den müssen.                                              weisen, die vor allem in der inhaltlichen und zeit-
Der Datenschutz steht häufig im Konflikt zum Be-         lichen Nähe zum realen Geschehen sowie in der
darf an Daten für die Steuerbarkeit des Energie-         Dichte der Angaben liegt, so dass ihnen bei einer
verbrauchs. Mangelhafter Datenschutz behindert           Auswertung eine erhöhte Aussagekraft zukommt
andererseits die Bereitschaft der beteiligten Par-       und damit das Risiko der Erstellung von Persön-
Seite 9



lichkeitsprofilen steigt. Da die Stromversorgung     gen an die Datensicherheit entsprechend dem
zudem zu den elementaren Lebensbedürfnissen          jeweiligen Stand der Technik normativ gewähr-
gehört und praktisch jeder Haushalt, jedes Un-       leistet werden. Der verfassungsrechtliche Auftrag
ternehmen, jede Behörde und jede öffentliche         des Staates erfordert es, die Interessen der All-
Einrichtung ständig und dauerhaft Energie be-        gemeinheit an einer zukunftssicheren Energie-
zieht, wird nahezu jeder Lebensbereich von den       versorgung und dem Schutz der Umwelt zu för-
Datenerhebungen erfasst.                             dern und gleichzeitig das individuelle Grundrecht
Die Anzahl der beteiligten Akteure, zwischen de-     auf informationelle Selbstbestimmung angemes-
nen ein Datenaustausch stattfindet, wird vor al-     sen zu berücksichtigen. Inzwischen fordern die
lem aufgrund der gesetzlichen Vorgaben zur Ent-      Datenschutzbeauftragten des Bundes und der
flechtung der Energieversorgungsbetriebe und         Länder eine gesetzliche Regelung für die Erhe-
zur Öffnung des Messwesens anwachsen.                bung der Verbrauchsdaten.
Schließlich werden aufgrund der Vervielfältigung
der Zwecke, für die die Daten zukünftig benötigt     3.2     Technische Rahmenbedingungen
werden, die Anzahl der Datenverarbeitungsvor-
gänge erheblich zunehmen.                            Die wesentlichen technischen Rahmenbedingun-
Die datenschutzrechtlichen Risiken können nur        gen lassen sich wie folgt klassifizieren:
durch eine datenschutzkonforme, technische und
organisatorische Gestaltung des Energieinforma-      •     Energiegewinnung aus erneuerbaren Quellen
tionsnetzes vermieden oder zumindest gemin-                und Energiespeicherung,
dert werden. Um eine möglichst hohe Effektivität
                                                     •     Messtechnik zur Online-Erfassung von Ener-
zu erreichen, muss diese datenschutzkonforme               gieflüssen einschließlich zugehöriger Daten-
Technikgestaltung bereits im Entwicklungspro-              verarbeitung (zeitliche Verläufe, Statistiken,
zess vorgenommen werden. Eine datenschutz-                 Speicherung),
rechtliche Bewertung auf der Grundlage gesetzli-
                                                     •     Kommunikationsinfrastrukturen zur Verbin-
cher Einzelfallprüfungen bei gleichzeitig klarer           dung von Energieerzeugern, Energieverbrau-
Rollenverteilung zwischen verarbeitender Stelle            chern (inklusive der Web-Schnittstellen zum
und Betroffenen ist vor dem Hintergrund der be-            Zugriff auf die persönlichen Energiedaten),
sonderen datenschutzrechtlichen Risiken des                Messstationen,    Energiemanagementsyste-
Energieinformationsnetzes nicht mehr realisier-            men und -administrationen,
bar. Zudem greifen sie in der Schutzintensität für   •     Energiemanagementsysteme zur dezentralen
die informationelle Selbstbestimmung zu kurz.              Steuerung (z.B. in einem Unternehmen oder
Zur Unterstützung und Ergänzung einer daten-               privaten Haushalt) sowie zur übergeordneten
schutzgerechten Gestaltung des Energieinforma-             Gesamtsteuerung,
tionsnetzes sollte der Gesetzgeber Rahmenrege-       •     Verfahren zur Sicherstellung eines ungestör-
lungen vorsehen, die die Chancen der informati-            ten Betriebsablaufs bei Teilausfall, vor-
onellen Selbstbestimmung trotz der beschriebe-             sätzlichen Angriffen oder Katastrophen-
nen Risiken erhöhen. Die besondere Schutz-                 szenarien.
bedürftigkeit der Energiedaten könnte durch die
Einführung eines Energieinformationsgeheimnis-
                                                     Ein wichtiges Elemente in der zukünftigen IKT-
ses, eine strenge Zweckbindung, die durch zu-
                                                     Landschaft der Energiebranche ist die kommuni-
sätzliche Transparenzanforderungen gestützt
                                                     kationstechnische Vernetzung, also ein Kommu-
wird, sowie gesetzlich manifestierte Anforderun-
                                                     nikationsnetz [Orl2009], das parallel zum Ener-
Seite 10



gienetz für die Übermittlung von z.B. Mess- und        täten gesetzt [Li2010]. Benötigt werden Empfeh-
Steuerdaten sowie Tarifinformationen sorgen            lungen und Handlungsanleitungen für charakte-
soll.                                                  ristische Einsatzszenarien.
Dabei sind zwei Bereiche für die Kommunikation         Der zweite Bereich betrifft die Kommunikations-
von großem Interesse:                                  netze zwischen dem Energieinformations-Gate-
(1) der lokale Bereich beim Kunden, der auch Teil      way beim Kunden und einer zentralen Instanz
einer Heimautomatisierung sein kann, und               des Versorgers, dem Energieinformationsmana-
                                                       gementsystem. Auch hier gibt es eine Reihe von
(2) der Bereich zwischen dem Kunden und dem
                                                       Optionen wie das Telefonnetz (PSTN, ISDN), DSL-
Versorger.
                                                       Anschluss, Kabelnetz, oder aber auch den Mobil-
Das Kommunikations-Gateway stellt das Binde-           funk. Auch neue oder heute noch selten einge-
glied zwischen diesen beiden Bereichen dar. Es         setzte Techniken sind mögliche Kandidatenwie
wird als Protokollwandler die Kommunikation            Powerline-Übertragung (Nutzung der Stromlei-
über diese Grenze hinweg erlauben, gleichzeitig        tung), drahtloser Festnetzanschluss (Wireless Lo-
aber auch als Filter agieren und die Bereiche ge-      cal Loop WLL, WiMAX), Glasfaser direkt in die Nä-
geneinander abschotten. Weiterhin könnte dieses        he oder ins Haus (Fiber to the X FTTX). Wie für
Gateway auch als Plattform für zukünftige Dien-        den Heimbereich müssen auch hier Empfehlun-
ste dienen. Je nach Gegebenheiten und Erforder-        gen und Handlungsanleitungen erarbeitet wer-
nissen sind unterschiedliche Architekturen mög-        den, um unter Berücksichtigung der jeweiligen
lich. So kann ein solches Gateway dediziert einen      vorhandenen anlagenspezifischen Eigenschaften
Kunden, aber auch mehreren Kunden bedienen,            und den Anforderungen eine geeignete Auswahl
z.B. in einem Mehrfamilienhaus, oder sogar in ei-      und Kombination von Technologien zu treffen.
ner Vorfeldeinrichtung untergebracht sein, wie
der Trafostation des Energieversorgers, um dann
mehrere Häuser abzudecken. Ein solches Gate-           3.3   Organisatorische Rahmenbedingungen
way lässt sich zudem nicht nur für den Bereich               und Sicherheitsmanagement
der Stromversorgung einsetzen, sondern kann im
Sinne einer „Multi-Utility Unit“ auch für die Berei-   Umfassende Sicherheit ist kein unveränderbarer
che Gas, Wasser und Fernwärme zuständig sein.          Zustand, der einmal erreicht wird und sich nicht
                                                       wieder ändert. Insbesondere in sich noch entwi-
Die Vernetzung im Heimbereich, also zwischen
                                                       ckelnden Bereichen wie einem Smart Grid wird
Verbrauchsmessung mittels elektronischer Mess-
                                                       der Betrieb der Netzwerke und IKT-Systeme
technik, dem Gateway und eventuellen weiteren
                                                       ständigen dynamischen Veränderungen unter-
Elementen einer Heimautomatisierung, kann mit-
                                                       worfen sein. Viele dieser Veränderungen betref-
tels unterschiedlicher Technologien erfolgen. Zur
                                                       fen neben Änderungen der Geschäftsprozesse,
Auswahl stehen bereits heute verschiedene
                                                       der IKT, von Fachaufgaben, Infrastruktur und Or-
drahtgebunden Technologien, wie M-Bus, Kon-
                                                       ganisationsstrukturen auch die IT-Sicherheit und
nex, LON, oder aber auch die Mitbenutzung der
                                                       den Datenschutz. Dies gilt insbesondere für die
Stromleitung (z.B. Digitalstrom, X10, PLC auf
                                                       Energieversorgung als nationale kritische Infra-
OFDM-Basis), sowie verschiedenste Funktechni-
                                                       struktur, die angemessene Sicherheitsstandards
ken wie Bluetooth, Zigbee, WLAN, Wireless-M-
                                                       für die nachhaltige, weitere Verbesserung des Si-
Bus, oder aber auch Glasfaser (POF) und Frei-
                                                       cherheitsmanagements der Systeme aller betei-
raumoptik (IrDA). Alle diese Techniken haben ihre
                                                       ligten Parteien benötigt.
spezifischen Vor- und Nachteile und in jedem eu-
ropäischen Land werden andere Auswahlpriori-
Seite 11



Um dauerhaft ein einmal erreichtes bzw. festge-     Smart Grid eingesetzt werden können (z.B. Lage-
legtes Sicherheitsniveau aufrecht zu erhalten,      bild und Health-Monitoring). Zudem werden in
muss das Sicherheitsmanagement aktiv betrie-        den bisherigen Ansätzen die domänenspezifi-
ben werden. Ein mögliches Vorgehensmodell           schen Standards wie IEC 62351, ISA SP99, NERC
hierzu wird beispielsweise in den IT-Sicherheits-   CIP oder domänenspezifische Normen für das Si-
prozessen des „PLAN-DO-CHECK-ACT“- Regelkrei-       cherheitsmanagement wie VDI/VDE 2182, IEC
ses (ISO 27001) beschrieben. Die Umsetzung der      6244 nur unzureichend in die Betrachtung mit
Sicherheitsprozesse erfolgt heute unter Berück-     einbezogen.
sichtigung des Best Practice-Standards ITIL V3
und ist die Basis für das Managementsystem für
Informationssicherheit (ISMS) nach ISO 27001. In    4 Stand der Technik
der Planungsphase des Sicherheitsmanagements
werden Sicherheitsmaßnahmen definiert und           Forschung und Entwicklung zur Gewinnung und
vorbereitet und ihre konkreten Sicherheitsmaß-      Speicherung erneuerbarer Energien erfolgen be-
nahmen werden in der Ausführungsphase den           reits seit Jahren. Diese Entwicklungen sind nicht
jeweiligen systemischen Anforderungen ange-         abgeschlossen, werden aber im Folgenden nicht
passt bzw. durch neue Maßnahmen bereichert.         weiter ausgeführt, da sich das Papier auf IKT-
Hier wird entschieden, welche Maßnahmen an-         Aspekte beschränkt. Mit der Einführung von IKT-
gemessen und für den konkreten Fall effektiv        Lösungen für die vernetzten Teilsysteme der
wirksam sind. Um derartige Fragen zu beantwor-      Energieversorgung wurden und werden den rein
ten, werden die Methoden aus dem Risikomana-        betrieblichen Anforderungen nach Betriebs-
gement verwendet, um letztlich Gegenmaßnah-         sicherheit und Systemverfügbarkeit neue Anfor-
men zu definieren und Entscheidungen unter          derungen hinzugefügt. Wie in vielen anderen Fäl-
Abwägung des verbleibenden Restrisikos treffen      len überwogen häufig Time to Market-Ziele, und
zu können.                                          es wurden durch die neuen Technologien verän-
                                                    derte Anforderungen übersehen und IT-
Die heute verwendeten Methoden des Risikoma-
                                                    Sicherheit eher vernachlässigt [SP2010]. Spätes-
nagements basieren auf Best Practice-Vorge-
                                                    tens seit dem Ausfall der elektrischen Fernver-
hensmodellen und stellen ein Rahmenwerk dar,
                                                    sorgung im Westen der Vereinigten Staaten von
um die Sicherheit und Verfügbarkeit in Energiein-
                                                    1996 ist die Notwendigkeit von Sicherungsmaß-
formationsnetzen nachhaltig zu gewährleisten.
                                                    nahmen und der Schutz vor kaskadierenden Ef-
Ob diese Normen und Vorgehensweisen auch im
                                                    fekten allen Betreibern vor Augen geführt wor-
Smart Grid anwendbar sind, ist jedoch noch zu
                                                    den, und die Gesellschaft konnte von der Abhän-
klären. So werden durch neue Geschäftsmodelle
                                                    gigkeit von kritischen Infrastrukturen erfahren
Abhängigkeiten, Verantwortungsbereiche und
                                                    [KO2003].
Schnittstellen und damit auch das jeweilige Risi-
komanagement neu zugeschnitten. Zusätzlich          Welche Konsequenzen ein gezielter Angriff für
entstehen im Smart Grid durch die Kommunikati-      den Betrieb schutzloser Anlagen haben kann,
onsinfrastrukturen und Energiemanagementsys-        zeigt das durch das US-amerikanische Aurora-
teme ganz neue und bisher im Risikomanage-          Projekt bereits im Jahr 1977 ausgeführte Experi-
ment noch nicht erfasste und berücksichtigte        ment eines Hacking-Angriffs, der eine gezielte
Abhängigkeiten und Anforderungen. Die Metho-        Überlastung eines Generators herbeiführte3. Stu-
den des Risikomanagements und die dabei ver-
                                                    3
wendeten Werkzeuge müssen erweitert werden,
so dass sie auch im laufenden Betrieb eines             http://www.cnn.com/2007/US/09/26/power.at.ri
                                                        sk/index.html
Seite 12



dien wie [Lu2009] zeigen, dass auch europäische      trieautomation, zwei wichtige Dokumente5, die
Betreiber ihre Anlagen mittlerweile entsprechend     Grundlagen beschreiben und Bewertungsverfah-
untersuchen und Konsequenzen ableiten. So            ren für IT-Sicherheit in Industrieanlagen vor-
sieht ENEL, ein in Italien ansässiger und multi-     schlagen. Mit einem weiteren Dokument6 wird
national operierender Energieerzeuger, einen         versucht, Betreibern Möglichkeiten zur Sicherung
deutlichen Handlungsbedarf, die eigenen Anla-        der IT-Infrastrukturen ihrer Anlagen an die Hand
gen besser gegen                                     zu geben. Sie berücksichtigen jedoch nicht die
                                                     Problematik der Rückeinspeisung durch Prosu-
•     Denial of Service-Angriffe auf ihre Internet   mer, also von Nutzern, die sowohl Energie-
      Gateways und das interne Netzwerk der          verbraucher als auch -lieferanten sind. Ebenso
      Produktionsanlagen,                            wenig werden in diesen Dokumenten die neuen
                                                     Anforderungen, die sich durch Elektrofahrzeuge
•     Übernahme von Anlagenteilen durch An-
      greifer, mittels eingeschleuster Trojaner,     und deren Consumer- (Batterie aufladen) und
                                                     Producer- Verhalten (Batterieleistung zur Verfü-
•     Manipulation interner Infrastrukturdienste
                                                     gung stellen) ergeben, oder aber nationale Nor-
      (z.B. DNS Poisining) ,
                                                     men berücksichtigt.
•     Ausnutzen bisher unentdeckter Schwach-
      stellen (zero day exploits) sowie
•     Angriffe auf das SCADA-Kommunikations-         4.1      Smart Meter und Messtechnik
      protokoll
                                                     Durch die Nutzung intelligenter Stromnetze und -
                                                     zähler soll eine effizientere Energieversorgung
zu schützen. Dass derartige Sorgen berechtigt        sowie ein transparenteres Abrechnungsmodell
sind, hat Mitte 2010 Stuxnet aufgezeigt, ein         für die Verbraucher geschaffen werden. Intelli-
Wurm, der die Computer von SCADA-Systemen            gente Stromzähler sind über öffentliche Netze an
(Leitwarten-Technologie) befallen kann, Teilsys-     die Kommunikationsnetze der Energieversorger
teme gezielt übernahm und außer Betrieb setzte       angeschlossen und ermöglichen so einen elek-
[Fa2010], [Br2010].                                  tronischen Datenaustausch. Zudem bieten sie
Es kann seit geraumer Zeit beobachtet werden,        dem Nutzer eine transparente Verbrauchsanzei-
dass eine Reihe von neuen Anstrengungen, so-         ge, auf deren Basis er seinen Energieverbrauch
wohl national als auch auf europäischer Ebene,       steuern und beeinflussen kann. Daher müssen
getroffen werden, um neue Lösungen für den in-       Smart Meter hohen sicherheitsrelevanten An-
novativen und zuverlässigen Betrieb von Anlagen      sprüchen genügen.
zur Energieversorgung zu entwickeln. Nationales      Intelligente Zähler erfassen den Stromverbrauch
Beispiel ist das BMWi-Programm E-Energy: IKT-        und bereiten die gewonnenen Messwerte zur di-
basiertes Energiesystem der Zukunft mit seinen       gitalen Verarbeitung und für die Übertragung
über Deutschland in Modellregionen verteilten        zum Messstellenbetreiber auf. Von dort aus kön-
Projekten4.                                          nen sie auch dem Nutzer, beispielsweise mittels
In den USA ist diese Entwicklung ebenfalls zu be-    Webzugriff, wieder zur Verfügung gestellt wer-
obachten. 2007 veröffentlichte die ISA (Internati-   den. Dabei werden folgende Informationen von
onal Society of Automation), eine der führenden
non-profit Organisationen im Bereich der Indus-
                                                     5
                                                         ANSI/ISA-99.00.01-2007, ANSI/ISA-TR99.00.01-2007
4                                                    6
    http://www.e-energy.de/                              ANSI/ISA-99.02.01-2009
Seite 13



der Messung bis zur Abrechnung verarbeitet (vgl.   Rechnung tragen. Für die Datenverarbeitungs-
[Sch2010]):                                        systeme ist zudem ein integriertes Datenschutz-
                                                   und Sicherheitsmanagementsystem aufzubau-
•   Verbrauchsdaten, die von der Messstelle er-    en.“7
    fasst und zum Messstellenbetreiber zum         Die Sicherheit und Vertrauenswürdigkeit dieser
    Zwecke der Abrechnung übertragen werden,       elektronischen Zähler, die in Deutschland gemäß
•   Gerätedaten, die zur Erstellung und Über-      dem geltenden Energiewirtschaftsgesetz bei
    mittlung der Verbrauchsdaten notwendig         Neubauten und bei Totalsanierungen bereits seit
    sind und den Nutzer für die Abrechnung         Januar 2010 eingebaut werden müssen, ist eben-
    eindeutig identifizieren,                      falls noch nicht zufriedenstellend geklärt. So sind
•   Nutzerdaten, die den Verbraucher kenn-         diese Komponenten beispielsweise bidirektional
    zeichnen und für die Abwicklung der Abrech-    mit ihrer Umgebung verbunden. Das heißt, dass
    nung erforderlich sind oder ihn einen Zugang   sie nicht nur die erfassten Daten der von ihnen
    zu einem möglichen Webinterface beim Be-       überwachten Einheiten (Einzelhaushalte, Gebäu-
    treiber der Messstelle gestatten und           de, Liegenschaften) zur Weiterverarbeitung zu
•   Daten, die Informationen über das zur          den Betreibern senden, sondern selber auch di-
    Abrechnung genutzte System liefern, wie z.B.   rekt via Fernzugriff durch die Betreiber gesteuert
    Verbrauchsumsätze, Systemzustand und To-       und beeinflusst (z.B. Stromabschaltung) werden
    pologie, Zulieferer des Wirksystems oder       können.
    einzelner Geräte, Ausbreitung und geogra-
                                                   Um sicherzustellen, dass bei der Nutzung von in-
    phische Verteilung des Systems.
                                                   telligenten Stromzählern verbindliche Daten-
Der Betrieb eines solchen verteilten Abrech-       schutz- und Datensicherheitsstandards greifen,
nungssystems liegt in der Verantwortung des        wurde das Bundesamt für Sicherheit in der In-
Betreibers. Verschiedene Untersuchungen haben      formationstechnik (BSI) im September 2010 vom
gezeigt, dass marktgängige intelligente Zähler     Bundesministerium für Wirtschaft und Technolo-
ganz erhebliche Sicherheitsprobleme aufweisen.     gie (BMWi) damit beauftragt, ein entsprechendes
Sie sind nicht manipulationssicher und können      Schutzprofil (Protection Profile) zu erstellen. Am
aus der Ferne kontrolliert abgeschaltet werden     28. Januar 2011 wurde eine erste Version des
[An2010]. Bei den smarten Zählern sind noch ei-    Schutzprofils für die Kommunikationseinheit (Ga-
nige weitere Grundsatzfragen unbeantwortet.        teway) des Messsystems vorgestellt. Kern des
Dazu gehören die Fragen nach der Häufigkeit        Schutzprofils des BSI ist eine Bedrohungsanalyse
und Frequenz der Messungen oder aber nach der      sowie eine Beschreibung von Anforderungen zur
Granularität der zu erfassenden Parameter.         Abwehr dieser Bedrohungen. Derzeit ist geplant,
Die 80. Konferenz der Datenschutzbeauftragten      das Schutzprofil noch im Jahr 2011 fertig zu stel-
des Bundes und der Länder hat auf ihrer Sitzung    len. In die Entwicklung eingebunden sind unter
im November 2010 eine gesetzliche Regelung für     anderem der Bundesbeauftragte für den Daten-
die Erhebung, Verarbeitung und Nutzung der         schutz und die Informationsfreiheit, die Bundes-
durch digitale Zähler erhobenen Verbrauchsin-      netzagentur sowie die Physikalisch-Technische
formationen gefordert. Die Konferenz der Daten-    Bundesanstalt.
schutzbeauftragten fordert weiter: „Die Anforde-
rungen an den technischen Datenschutz und die
IT-Sicherheit sind durch verbindliche Standards    7

festzuschreiben, die der Sensitivität der Daten        http://www.datenschutz.hessen.de/k80.htm#ent
und den zu erwartenden Missbrauchsrisiken              ry3316
Seite 14



Multi-Utility, Heimautomatisierung                           zungsregler, Sonnenkollektoren, aber auch zu-
Der digitale Stromzähler ist eine Komponente,                künftige Komponenten der Heimautomatisierung
deren Einführung vom deutschen Gesetzgeber                   Daten austauschen können.
verpflichtend vorgeben ist. Das angesprochene,               Aus der An- und Einbindung der Geräte der
in Entwicklung befindliche Protection Profile für            Heimautomatisierung versprechen sich die Ex-
den Zähler, deckt die Bereiche ab, die durch den             perten ein breites Feld für neue Geschäftsmodel-
Gesetzgeber zu regulieren sind. Dazu gehört der              le und Dienstleistungsangeboten, nicht nur durch
Zähler an sich, der eichrechtliche Anforderungen             Energienetzbetreiber, sondern auch durch Anbie-
zu erfüllen hat, sowie seine Schnittstellen (Gate-           ter von Telekommunikationsdiensten, Wasser-
way) nach außen und den Sicherheitsanker                     versorger, etc. Um diese Vielzahl von Geräten zu
(Hardware-Modul). Der Zähler besitzt eine                    unterstützen (multi-utility) sowie zur Anpassung
Schnittstelle zu einem Kommunikations-Gateway,               von Protokollen, werden Multi-Utility-Controller
an das, wie weiter oben bereits ausgeführt, wei-             bzw. Gateways eingesetzt. Das Protection Profile
tere lokale Geräte der Heimautomatisierung an-               bezieht sich nicht auf diese Geräte, die beispiels-
geschlossen werden können. Das Smart Metering                weise zu komplexeren Energiemanager-Kom-
IKT-Gateway (MUC), das vom VDE spezifiziert                  ponenten erweitert werden können. Beispiele für
wird, ist eine solche Gateway-Komponente, mit                solche Energiemanager werden derzeit in den E-
der, wie in Abbildung 4 aufgezeigt, vorhandene               Energy-Projekten des BMWi erarbeitet.
Zähler und Sensoren wie Gas-, Wasserzähler, Hei-




  Abbildung 4: Multi-Utility bzw. Smart Metering Gateway (MUC) (Quelle: RWE)
Seite 15



4.2      Kommunikationsinfrastrukturen                      oder PROFIBUS (Process Fieldbus), die keine Si-
                                                            cherheitsmaßnahmen wie beispielsweise Ver-
Die erforderlichen Kommunikationsinfrastruktu-              schlüsselung anbieten. SCADA-Systeme haben
ren müssen nicht komplett neu konzipiert wer-               sich von ursprünglich sehr stark isoliert betriebe-
den. Hier kann auf den existierenden vergleichs-            nen Netzen zu offenen Systemen weiterentwi-
weise technologisch hohen Stand der Kommuni-                ckelt, die mit Standard Soft- und Hardware, so-
kationstechnik aufgebaut werden wie z.B. digi-              genannte COTS9-Produkte, betrieben werden,
tale Anschlussnetze (DSL-Techniken), Mobilfunk-             über offene Kommunikationsstandards kommu-
netze der 2. und 3. Generation, lokale Funknetze,           nizieren und an das Internet angeschlossen sind.
Sensornetze, lokale Rechnernetze (LAN) und das              Für die Internet-Anbindung werden spezielle Ga-
Internet.                                                   teway-Komponenten verwendet, die die Schnitt-
Demgegenüber sind Neuentwicklungen erforder-                stelle zwischen den Feldbus-basierten SCADA-
lich zur Vernetzung der (Strom)verbrauchenden               Protokollen und dem Internet-Protokoll (IP) reali-
Geräte (z.B. über das Stromnetz selbst, die so ge-          sieren. Zu ihren Aufgaben gehört die Umsetzung
nannte “Powerline Communication”) und für die               zwischen den unterschiedlichen Protokollfamilien
Übertragung von Steuerdaten in den bestehen-                (Feldbus, IP) sowie auch die Zwischenspeicherun-
den Kommunikationsinfrastrukturen, damit die                gen der Daten, um die Performanz der Gateways
Übertragung sicher und robust ist und die erfor-            zu erhöhen. Durch diese Ankopplung an IP-
derlichen Steuerungsaufgaben vertrauenswürdig               basierte Netze sind SCADA-Systeme damit den
und zeitgerecht erfolgen können. Dies zielt insbe-          üblichen Gefährdungen derartiger Netze ausge-
sondere auf die Absicherung von SCADA-                      setzt.
Systemen ab, die wichtige Bestandteile eines                Da SCADA-Netze ursprünglich in isoliert betriebe-
Smart Grid sind (siehe Abbildung 3).                        nen Kontrollbereichen zum Einsatz kamen, wo
                                                            weniger die Sicherheit als die Echtzeit- und Leis-
                                                            tungsfähigkeit der Systeme eine Rolle spielte,
SCADA-Netze
                                                            wurde weitestgehend auf die Integration von Si-
SCADA-Netze werden in der Leittechnik zur                   cherheitsmaßnahmen in derartige Systeme ver-
Überwachung von Anlagen, Versorgungsleitun-                 zichtet. Klassische Sicherheitskonzepte, wie man
gen etc. eingesetzt. Dazu werden Sensoren und               sie in der herkömmlichen Business-IT findet, wie
Aktoren so vernetzt, dass diese über das Feldbus-           starke Zugangs- und Zugriffskontrollen, Firewalls
basierte SCADA-Netz8 mittels eines PCs oder Pro-            und Einbruchserkennungsverfahren (Intrusion
grammable Logic Controller (PLC) gesteuert und              Detection) oder aber auch Logging- und Monito-
kontrolliert werden. Derartige Systeme müssen               ring-Verfahren, kommen in SCADA-Systemen
häufig Daten in Echtzeit verarbeiten, sind in der           nicht oder nur sehr eingeschränkt zum Einsatz.
Regel ressourcenbeschränkt (wenig Speicher,                 Da die Daten in Echtzeit verarbeitet werden müs-
wenig CPU-Leistung) und werden in hochsicher-               sen, führen Filterungen und aufwändige Kontrol-
heitskritischen Umgebungen betrieben. Die                   len oder Ver- und Entschlüsselungsoperationen
SCADA-Systeme verwenden eigene Protokollfa-                 zu Verzögerungen, die wiederum für die Be-
milien zur Kommunikation, wie CAN (Controller               triebssicherheit der Systeme problematisch sind
Area Network), CIP (Common Industrial Protocol)             und deshalb in der Regel nicht eingesetzt wer-
                                                            den. Häufig wird zudem ganz bewusst auf starke
                                                            Maßnahmen zur Authentisierung des Bedienper-
8
    Es gibt über 150 meist proprietäre Protokolle in die-
      sem Bereich, jedoch werden zunehmend offene
                                                            9
      Protokollstandards eingesetzt.                            Commercial of the Shelf
Seite 16



sonals an den Kontroll-Systeme verzichtet, und       digitalen Zähler bereits ausgeführt haben. Eine
es werden Passwort-basierte Verfahren einge-         ausführliche Taxonomie möglicher Angriffe auf
setzt, um den gefürchteten Lock-out-Effekten zu      SCADA-Netze findet sich u.a. in [Igu2006].
begegnen. Diese Effekte beziehen sich auf opera-
tive Notsituationen, in denen das Bedienpersonal
                                                     4.3   IKT-gestützte Energiemanagement-
sehr schnell eingreifen und mit entsprechenden
                                                           systeme
Steuerungskommandos die in Echtzeit betriebe-
nen Anlagen abschalten oder andere Notfallmaß-
                                                     Im Gegensatz zur Kommunikationsinfrastruktur
nahmen vornehmen muss. Das Personal muss
                                                     existieren Energiemanagementsysteme, wie sie
sehr schnell einen direkten Zugriff auf die Anlage
                                                     in einem Smart Grid notwendig sind, bislang
haben; Verzögerungen durch vergessene lange
                                                     nicht. Erste systemische Lösungen werden der-
Passworte, nicht verfügbare Zugangstoken wie
                                                     zeit im Rahmen des BMWi E-Energy-Programms
Smartcards, versagende biometrische Authenti-
                                                     erstellt. Ein solches Management findet auf ver-
sierungen etc. werden häufig als zu hohe Risiken
                                                     schiedenen Ebenen statt. Bereits in den einzelnen
eingestuft. Verbesserte Authentisierungsverfah-
                                                     Privathaushalten sind lokale Managementsyste-
ren, die auch in den sehr zeitkritischen Notsitua-
                                                     me erforderlich (vgl. Abbildung 5), um die Ener-
tionen zuverlässig funktionieren, werden also
                                                     gie-Ströme im Haushalt zu steuern und ressour-
dringend benötigt.
                                                     censparend einzusetzen.
Verzögerungen werden auch durch Firewalls, die
                                                     Die Privathaushalte werden in lokalen Manage-
Daten filtern, verursacht. Darüber hinaus müss-
                                                     ment-Zentren zusammengeführt und koordi-
ten sie auch noch auf die oben genannten spe-
                                                     niert. Diese regionalen Zentren müssen unterein-
ziellen SCADA-Protokolle zugeschnitten werden
                                                     ander sowie mit überregionalen Zentren koordi-
und kontinuierlich, z.B. per Fernadministration,
                                                     niert zusammen arbeiten. Noch schwieriger und
aktualisiert werden. Dies eröffnet wiederum An-
                                                     komplexer wird das Szenario, wenn das Ener-
griffsmöglichkeiten. SCADA-Systeme erfordern
                                                     giemanagement über Landesgrenzen hinweg
Echtzeitfähigkeit und verfügen in den beteiligten
                                                     funktionieren muss. Auf europäischer Ebene
Sensoren häufig nur über sehr geringe Speicher-
                                                     muss dafür die bereits bestehende Vielzahl ver-
und Rechenressourcen sowie über geringe Da-
                                                     schiedener Arten der Energieerzeugung geeignet
tenraten bei der Übertragung, so dass auf eine
                                                     eingebunden werden. So verwendet Norwegen
Datenver- und Datenentschlüsselung in der Regel
                                                     vorwiegend Wasserkraft, Deutschland setzt einen
verzichtet wird. Es werden also keine gesicherten
                                                     hohen Anteil erneuerbarer Energien ein10, Frank-
Kommunikationskanäle zwischen den Kompo-
                                                     reich besitzt einen hohen Anteil an Atomenergie,
nenten eines SCADA-Netzes etabliert, so dass
                                                     während Polen ausschließliche fossile Brennstof-
keine Komponentenidentifizierung stattfindet
                                                     fe nutzt. Die komplexen Systemstrukturen, aber
und Daten abgehört, verändert oder auch neue
                                                     auch die unterschiedlichen Anforderungen an die
Daten eingeschleust werden können. Darüber
                                                     Erfassung, Auswertung sowie Speicherung von
hinaus fehlen auch Lösungen für ein effizientes,
                                                     Daten, der Umfang der Datenflüsse und ihre
automatisiert durchführbares Schlüsselmanage-
                                                     Echtzeitanforderungen sowie die erforderlichen
ment. Die Sensorik eines SCADA-Systems wird
                                                     Regelkreise erfordern ein überaus umfangreiches
häufig in Umgebungen eingesetzt, in denen ein
potentieller Angreifer physischen Zugriff auf die
                                                     10
Komponenten erhält. Somit ergeben sich hier            Vgl. http://www.erneuerbare-
                                                     energien.de/files/pdfs/allgemein/application/pdf/ee
analoge Anforderungen an die Sicherheit derar-
                                                     _in_deutschland_update_bf.pdf
tiger Sensoren, wie wir sie im Speziellen für die
Seite 17



verteiltes System. An dieses Managementsystem             den sind. Obwohl es in verwandten Anwen-
werden höchste Anforderungen gestellt, die nicht          dungsgebieten ähnliche Systeme bereits gibt,
nur technischer Natur sind. Zu dessen Entwick-            wie z.B. integrierte Produktionssteuersysteme,
lung werden detaillierte Kenntnisse der Informa-          Verkehrsmanagementsysteme (Luftfahrt, Bahn-
tik, Informationsverarbeitung, Steuerungs- und            systeme, Flottenmanagement) oder Logistiksys-
Regelungstechnik sowie der Hardware- und Soft-            teme (Supply Chain Management, Event Mana-
ware-Systemtechnik erforderlich sein.                     gement), stellt das Smart Grid sehr viel komple-
Ebenfalls spielen juristische und ökonomische             xere und weitreichendere Anforderungen, so
Fragestellungen eine große Rolle, so dass Juristen        dass die bekannten Systeme nicht direkt nutzbar
und Wirtschaftsinformatiker bzw. Betriebswirte            sein werden.
frühzeitig in den Prozess der Entwicklung der             Insbesondere im Bereich der Sicherheit und des
Managementsysteme des Smart Grid einzubin-                Datenschutzes ergeben sich höhere Anforderun-




 Abbildung 5: Energiemanagementsysteme in Privathaushalten (Quelle: Siemens AG)
Seite 18



gen als in den oben genannten verwandten Sze-           Die IKT-Infrastruktur und die Managementsys-
narien. Grund sind die Charakteristika des Smart        teme des Smart Grid müssen deshalb frühzeitig
Grid wie Heterogenität und Vielzahl der beteilig-       auch auf solche Anwendungsszenarien vorberei-
ten Parteien, die Dezentralität der Verwaltung,         tet werden und Maßnahmen vorsehen, um äu-
die Sensibilität der erfassten Daten etc.. Gleichzei-   ßerst sicherheitskritische und datenschutzrele-
tig müssen Sicherheit und Datenschutz die be-           vante Mehrwertdienste in Zukunft unterstützen
sonderen betrieblichen Anforderungen von tradi-         zu können. Neben der klaren Trennung von Da-
tionell autark betriebenen Anlagenteilen berück-        ten, die für unterschiedliche Dienstleistungen er-
sichtigen.                                              hoben, übermittelt und verarbeitet werden
Bestandteil der Energiemanagementsysteme sind           (Zweckbindungs- und Datensparsamkeitsprinzi-
die Energiemarktplätze, über die im zukünftigem         pien des Datenschutzes), dem Einsatz starker En-
Smart Grid Mehrwertdienste angeboten werden.            de-zu-Ende-Verschlüsselungskonzepte für die
Mehrwertdienste werden in Zukunft nicht nur             vertrauliche Übermittlung der Daten, werden
flexible Tarifmodelle umfassen, sondern sehr viel       insbesondere auch starke Verfahren zur wechsel-
weiter reichende Dienste bzw. ganze Dienstleis-         seitigen Identifizierung der Akteure und nicht-
tungsbündel (Packages) abdecken. Über die Mul-          umgehbare, auditierbare, rollenbasierte Zugriffs-
ti-Utility Gateways kann die gesamte Heimauto-          kontrollen erforderlich sein. Die Identifizierung
matisierung in die Entwicklung neuer Geschäfts-         und Authentisierung der Akteure bezieht sich
modelle u. a. für Telekommunikationsanbieter            dabei sowohl auf die so genannte Maschine-zu-
einbezogen werden, so dass beispielsweise eine          Maschine-Kommunikation (M2M), bei der sich Ge-
Fernsteuerung der heimischen Geräte über Mo-            räte, Dienste, Plattformen identifizieren und als
biltelefone ermöglicht wird.                            korrekt ausweisen müssen, als auch auf die Iden-
                                                        tifizierung der agierenden natürlichen Personen
Ein sehr großes Potential wird im Bereich der Ge-
                                                        bzw. der Rollen, in denen sie aktiv sind. Digitale
sundheitsversorgung und der IKT-gestützten
                                                        Ausweisdokumente mit integrierten Identifizie-
Pflege bei der Unterstützung von älteren und
                                                        rungsfunktionen wie der neue Personalausweis
mobilitätseingeschränkten Personen im Sinne
                                                        (nPA) oder die elektronische Gesundheitskarte
des Ambient Assisted Living gesehen. Zum Hin-
                                                        (eGK) und der Heilberuflerausweis (HBA) (vgl.
tergrund: In Deutschland ereignen sich mehr als
                                                        [Eck2009]), wie sie in Deutschland entwickelt und
70% aller medizinischen Zwischenfälle und Unfäl-
                                                        zum Teil bereits ausgerollt werden, könnten hier-
le im eigenen Haushalt. In der Gruppe der Betrof-
                                                        für eine Vorreiterrolle einnehmen und die euro-
fenen sind mehr als die Hälfte über 65 Jahre alt,
                                                        päische Standardisierung prägen. Konkrete
die in privaten Haushalten häufig alleine leben.
                                                        Schritte in dieser Richtung sind den Autoren des
Das Smart Grid zusammen mit seinen Marktplät-
                                                        Papiers jedoch bislang nicht bekannt.
zen wird eine umfassende und flächendeckende
IKT-Infrastruktur zur Verfügung stellen, die in ei-
nem weiteren Schritt auch für medizinische Un-          4.4   Normungsaktivitäten
terstützungsdienstleistungen genutzt werden
könnte. In solchen Szenarien werden eine Viel-          Das NIST-Papier [EPR2009] hat unter anderem 14
zahl hochsensibler Daten ausgetauscht. Über z.B.        zentrale Themenbereiche identifiziert, in denen
Fernzugriffe durch medizinisches Personal, wie          neue oder überarbeitete Standards benötigt
Notfallpraxen, könnten darüber hinaus auch di-          werden. Der Bereich IT-Sicherheit wird hierbei
rekte Eingriffe in die Abläufe in einem Privat-         besonders hervorgehoben. Dies greift das DKE-
haushalt vorgenommen werden, indem spezielle            Papier [DKE2010] auf und entwickelt Empfehlun-
Sensoren an- und abgeschaltet werden etc..              gen für eine Normungsroadmap für die Themen
Seite 19




 Abbildung 6: Referenzarchitektur der Smart Meters Coordination Group (Quelle [DKE2010])



IT-Sicherheit und Datenschutz. Hierbei wird                 Mit den Common Criteria steht ein solcher inter-
ebenfalls auf die entstehenden Zielkonflikte zwi-           national anerkannter Bewertungskatalog bereits
schen dem Datenschutz mit dem Ziel der Daten-               zur Verfügung.
sparsamkeit einerseits und den Stakeholdern an-             Weltweit wird bereits jetzt mit hohem Druck an
dererseits, die möglichst viele Informationen zur           der Entwicklung von Roadmaps und Frameworks
Bereitstellung von Mehrwertdiensten benötigen,              für Smart Grid-Systeme und -Infrastrukturen ge-
hingewiesen. Weiterhin wird gefordert, dass IT-             arbeitet. Der Fokus der bislang vorangetriebenen
Sicherheit als Kernthema bei der Architekturent-            Aktivitäten lag auf der Entwicklung funktionaler
wicklung betrachtet werden muss.                            IKT-Infrastrukturen und Komponenten [Jav2010].
Wesentliche Themen, die identifiziert werden, be-           Die Frage der Sicherheit, Robustheit und Verläss-
treffen rollenbasierte Zugriffskontrolle, Identi-           lichkeit einer solchen Infrastruktur spielte bis-
tätsmanagementfragen sowie die sichere Kom-                 lang, auch international, nur eine untergeordnete
munikation. Zudem wird ein Bewertungssystem                 Rolle. Angesichts der immer stärker zu Tage tre-
gefordert, so dass die Vergleichbarkeit und An-             tenden Risiken durch Angriffe auf solch ein Ener-
wendbarkeit von Sicherheitslösungen möglich ist.            gieinformationsnetz werden aber u.a. in den USA
Seite 20



bereits massive Anstrengungen unternommen,          te Chancen für die deutsche Wirtschaft gesehen,
um die Sicherheit der Energienetze zu gewähr-       die kommenden Standards mit zu prägen.
leisten. So befassen sich verschiedene Standardi-   Der skizzierte Stand der Technik hat gezeigt, dass
sierungsgremien (wie das US National Institute of   im Bereich der Sicherheit und des Datenschutzes
Standards and Technology NIST) derzeit haupt-       noch ein erheblicher Nachholbedarf besteht. Bei
sächlich mit der Erarbeitung von Anforderungs-      der Konzipierung und Umsetzung eines Smart
spezifikationen [Lee2009], [NIST2010], [Mc2009],    Grid müssen Sicherheits- und Datenschutzfrage-
[Khu2010].                                          stellungen von Anfang an einbezogen werden,
                                                    da eine Nachbesserung nur Stückwerk erzeugt,
Europäische Standardisierung                        mit hohen Kosten verbunden ist und lückenhaft
                                                    bleiben wird.
Um einen Europaweit einheitlichen Standard für
Smart Metering-Infrastrukturen zu erhalten, hat
die Europäische Union den Organisationen ETSI,
                                                    5 Ausgewählte Angriffsszenarien
CEN und CENELEC ein Mandat zur Ausarbeitung
von Standards erteilt11. Die diesen Standardisie-   Das Smart Grid der Zukunft wird vielfältigen Be-
rungsbemühungen zugrunde liegende Referenz-         drohungen und Angriffen ausgesetzt sein (vgl.
architektur ist in Abbildung 6 dargestellt (vgl.    u.a. auch [Mc2009, Khu2010, Bee2010]). Eine US-
[DKE2010]). Das Ziel der Standardisierung ist es,   amerikanische Studie aus dem Jahr 2008 kommt
Normen festzulegen, um eine Interoperabilität zu    zu dem Ergebnis „the energy sector is most vul-
gewährleisten. Die Normungsarbeiten werden          nerable to cyberattack“. Nachfolgend werden ei-
sich auf sechs Bereiche beziehen:                   nige allgemeine Angreiferklassen skizziert. Die
(1) Das Auslesen von Messwerten,                    offenen, dezentralen Architekturen der zukünfti-
(2) die bidirektionale Kommunikation zwischen       gen Smart Grids vergrößern die potentiellen IT-
Zähler und Marktteilnehmer,                         Angriffsflächen und eröffnen Angreifern neue
                                                    und „attraktivere“ Möglichkeiten des direkten
(3) die Unterstützung unterschiedlicher Tarifmo-
                                                    Manipulierens und Eingreifens.
delle und Zahlungssysteme,
                                                    Angriffspunkte und Schwachstellen ergeben sich
(4) die Zählerfernabschaltung und der Versor-
                                                    unter anderem durch eine Vielzahl von ungenü-
gungsstart und das -ende,
                                                    gend abgesicherten Smart Metern [Hei2009,
(5) die Kommunikation mit Geräten der Heimau-       Law2010], die als Massenprodukte in Haushalten,
tomatisierung und                                   Gebäuden, Anlagen ausgerollt werden. Das dritte
(6)das Display zum Anzeigen der Zählerstände in     Energiepaket, das das Europäische Parlament im
Echtzeit.                                           April 2009 verabschiedet hat, empfiehlt, dass
                                                    80% aller Energiekunden bis 2020 Smart Meter
Diese Normierungsaktivitäten stecken noch in
                                                    haben sollen. Durch die Vernetzung, mit der
den Anfängen. Mit zeitnahen Entwicklungen von
                                                    Möglichkeit der Fernzugriffe auf Komponenten
deutschen Referenzaktivitäten, wie dem Protec-
                                                    und Systeme (die z.B. zur kostengünstigen und
tion Profile für Smart Meter, könnte Deutschland
                                                    effizienten Fernwartung sehr erwünscht sind),
in dieser Phase starken Einfluss auf die europäi-
                                                    ergibt sich eine Vielzahl mangelhaft abgesicher-
schen Normierung nehmen. Hier werden sehr gu-
                                                    ter offener Zugangspunkte, wodurch sicherheits-
                                                    kritische Zugriffe auf die Netze/Komponenten
                                                    des Smart Grid möglich werden. Drittanbieter
11                                                  können ihre Mehrwertdienste in die Energie-
     EU Mandat M/441
Seite 21



marktplätze einbringen, jedoch fehlen derzeit Si-     rechnung, Mehrwertdienste etc.) gekoppelt. Es
cherheits-APIs, einfache Test-Suiten etc., mit de-    besteht die Gefahr, dass die bekannt anfälligen
nen die Qualität der Dienste, insbesondere deren      Business-IT-Systeme durch mangelhafte Über-
Vertrauenswürdigkeit, technisch geprüft werden        wachungen und Isolierungen den gesicherten
kann. Die Bereitstellung unsicherer Mehrwert-         Betrieb von Versorgungsnetzen und Energiema-
dienste, bei deren Nutzung sensitive Kundenda-        nagementsystemen bedrohen.
ten verarbeitet werden, birgt die Gefahr des Da-      Schwachstellen und Bedrohungen werden durch
tenmissbrauchs und der unberechtigten Weiter-         Angreifer ausgenutzt, die versuchen, ihre jeweili-
gabe von Daten (Data Leakage), so dass sich           gen Ziele zu erreichen. Ein Smart Grid stellt ein
Gefährdungen der Vertraulichkeit und der Pri-         attraktives Angriffsziel dar, so dass zu erwarten
vatheit sowie Compliance und Haftungsprobleme         ist, dass insbesondere terroristische und kriminell
ergeben können.                                       motivierte Angriffe zunehmen werden. Nachfol-
Es ist aus Kostengründen naheliegend, dass man        gend sind einige mögliche Angreifer-Klassen
für die Kommunikationsinfrastruktur zumindest         aufgelistet.
in Teilen auf das bestehende Internet zurückgrei-
fen wird und dass man zur durchgängigen und
                                                      (1) Cyber-Terrorist
effektiven Verarbeitung von Energiedaten in dem
komplex vernetzten System versuchen wird, die         Die Palette der möglichen Angriffe ist vielfältig.
Internet-Protokoll Familie IP als gemeinsame Pro-     Das nachfolgende Zitat verdeutlicht das Potential,
tokollschicht zu etablieren. Den Vorteilen einer      auch wenn die skizzierten Szenarien so in
einheitlichen Vorgehensweise stehen zum einen         Deutschland derzeit nicht auftreten: "Plant
die bekannten Sicherheitsschwächen der Internet       control networks (and their programmable logic
Protokolle (IP Protokolle) gegenüber. Hierfür gibt    controllers) should be disconnected from the In-
es aber einige Lösungsansätze, die auch im Smart      ternet," said Peter Zatko, technical director of the
Grid verwendbar sind. Besondere Bedrohungen           national intelligence research unit at BBN Tech-
ergeben sich zum anderen aus der IP-basierten         nologies. "These are the things lifting and lower-
„Monokultur“, die eine schnelle, ungehinderte         ing the plutonium rods into the water to make
Ausbreitung von Schadenssoftware (Malware)            steam...It's on the Internet. This is terrifying."
wie Würmer und Viren begünstigt, so dass die          Die möglichen Angriffspunkte für terroristische
Verfügbarkeit von Diensten und Komponenten            Angreifer sind bereits Gegenstand internationa-
beeinträchtigt, gefälschte Daten in Umlauf oder       ler Fachkonferenzen, wie der erste Cyber-
aber auch gezielte Sabotage-Aktionen durchge-         Security Gipfel in 2010 verdeutlicht. Auf dem Gip-
führt werden können.                                  fel haben Experten realistische Angriffe disku-
Das Smart Grid wird IKT-basierte Systeme mit          tiert, bei denen Angreifer versuchen, gezielt ge-
physikalischen Komponenten zu den so genann-          fälschte Daten einzuschleusen, um z.B. die Ener-
ten Cyber-Physical Systems verbinden. An der          gieversorgung bei sicherheitskritischen Anlagen
Schnittstelle zwischen physischen und IKT-            zu stören. Überwachungsnetze (z.B. SCADA
gestützten Systemen werden neue Schwachstel-          [Igu2006]) können manipuliert werden, um die
len und Verwundbarkeiten auftreten, die für ge-       Weitergabe von Daten zu verzögern, oder durch
zielte Angriffe, wie Denial-of-Service, terroristi-   falsche Daten Notfallszenarien wie das Abschal-
sche Attacken etc. ausgenutzt werden können.          ten oder Herunterfahren von Anlagen auszulö-
Mit dem Smart Grid werden Energieversor-              sen. Die Verfügbarkeit von Diensten kann gezielt
gungsnetze und Netze, die vordringlich zur Ab-        gestört werden durch so genannte Denial of Ser-
wicklung von Business-IT verwendet werden (Ab-        vice-Angriffe, z.B. durch das Etablieren von Bot-
Seite 22




 Abbildung 7 Angriffspfad des Stuxnet-Virus


Netzen [Sto2009], um gezielte Stromausfälle mit      steme zunehmend gefährdet sind. Der Stuxnet-
hohen volkswirtschaftlichen Schäden herbei zu        Angriff verlief in mehreren Stufen, wobei in der
führen. Bereits 2009 hatte der Sicherheitsspezia-    ersten Stufe unter Ausnutzung klassischer An-
list Mike Davis auf der Black Hat Konferenz mit      griffsmethoden Schwachstellen in Windows-PCs
einer Simulation demonstriert, dass innerhalb        ausgenutzt und diese PCs mit dem Virus infiziert
von 24 Stunden 15 000 Smart Meter von einem          wurden. Auf diesem Weg wurden dann auch PCs
Wurmprogramm infiziert werden und damit auch         infiziert, die zur Programmierung von PLCs (Pro-
von dem Angreifer kontrolliert werden können.        cess Control Systems) verwendet werden. Da mit
Ferngesteuerte Smart Meter, die in einer Größen-     derartigen PCs Kontrollprogramme für Steuerge-
ordnung von tausenden Geräten durch einen sol-       räte (PCLs) erstellt werden, deren Programmcode
chen Angriff zu einem Zeitpunkt an- oder abge-       dann auf die eigentlichen Steuergeräte geladen
schaltet werden, können die Stabilität eines gro-    und ausgeführt wird, ist hier der kritische Schritt
ßen Bereichs des Versorgungsnetzes massiv            erfolgt. Beim Stuxnet-Angriff wurden die Steuer-
beeinträchtigen und damit die Versorgungssi-         geräte, wie eine SIMATIC, also nicht selbst infi-
cherheit ganzer Regionen gefährden.                  ziert, sondern es wurde ein Programmcode auf
Die IT-Systeme können somit ihrerseits als „Tat-     die Rechner geladen, der Steuerbefehle enthielt,
waffen“ genutzt werden, um Sabotage-Angriffe         die die Betriebssicherheit der durch die PCs ge-
durchzuführen, die zum Beispiel die physikalische    steuerten Anlagen gefährdet haben. Eine detail-
Zerstörung von Komponenten durch Steuerungs-         lierte Darstellung des Angriffs und seiner Konse-
Komponenten (z.B. Überhitzen, Fluten etc.) zum       quenzen für Energieversorgungsnetze und ähnli-
Ziel haben können. Der Stuxnet-Wurm (vgl. Ab-        cher Netze ist in dem technischen Bericht [Br10]
bildung 7), der im Sommer 2010 iranische Atom-       zu finden.
kraftwerke bedroht hat, war ein markantes Sig-
nal dafür, dass sicherheitskritische Infrastruktu-
ren wie industrielle Kontrollsysteme, PCSs
(Process Control Systems) oder auch SCADA-Sy-
Seite 23



(2) Endkunde/Bürger als Täter                         kontrollieren und um auf dieser Basis erpresseri-
                                                      sche Geldforderungen zu stellen. Weitere Beispie-
Digitale Zähler und andere Komponenten des
                                                      le kriminell motivierter Angriffe sind das wider-
Smart Grid werden direkten physischen Angrif-
                                                      rechtliche Akquirieren von sensitiven Verbrau-
fen ausgesetzt sein, da sie leicht zugänglich sind.
                                                      cherinformationen und deren Verkauf.
Zählerkomponenten und Vernetzungsinfrastruk-
turen können zum einen Ziel von Manipulations-        Neben diesen direkten Angriffen auf die ITK-
angriffen durch die Kunden des Smart Grid sein.       Infrastruktur mit den unmittelbaren Problemen
Zum anderen können sie von den Endkunden ge-          für die Versorgungssicherheit etc. können krimi-
zielt dazu missbraucht werden, um andere Betei-       nelle Angriffe, die nicht direkt gegen die Infra-
ligte zu schädigen. So können digitale Zähler, die    struktur gerichtete sind, negative Auswirkungen
in Privathaushalten direkt physisch zugreifbar        auf das globale Energieversorgungssystem ha-
sind, von deren Besitzern gezielt manipuliert         ben. So haben die im Januar 2011 publik gewor-
werde, um die eigenen Verbrauchsdaten zu ver-         denen Angriffe, bei denen Kriminelle durch einfa-
ändern. Die Energieinformations-Infrastrukturen,      che Phishing-artige Angriffe bis zu zwei Millionen
können zudem gezielt genutzt werden, um Ener-         Emissionsberechtigungen im Wert von 28 Millio-
giedaten und Nutzungsprofile Dritter (Mieter,         nen Euro gestohlen haben sollen, dazu geführt,
Nachbarn etc.) auszuspähen. Angreifer können          dass der Handel mit diesen Rechten vorüberge-
aber auch versuchen, sich geldwerte Vorteile (Be-     hend ausgesetzt wurde. Dies hatte erhebliche fi-
trug) zu verschaffen, indem sie beispielsweise        nanzielle Schäden zur Folge. Mangelnde Identi-
manipulierte Daten, die eine Energieeinspeisung       tätsüberprüfungen und andere mangelhafte Si-
vorgeben, in das Netz einbringen. Denkbar sind        cherheitsvorkehrungen sowie fehlendes Sicher-
auch Angriffe, wie das „Umleiten“ von Ver-            heitsbewusstsein bei den verantwortlichen Stel-
brauchsdaten auf andere Nutzer, so dass deren         len (aufgrund einer manipulierten E-Mail haben
Konto belastet wird. Das sind Ausprägungen von        sie sich beispielsweise massenhaft bei einem ge-
Angriffen, die auf einen Identitätsdiebstahl hin-     fälschten Server mit ihren jeweiligen Zugangsda-
aus laufen. Da die Kommunikationsverbindung           ten neu registriert) waren die Ursache dieser
zwischen den Zählern und den Managementsys-           massiven Diebstähle.
temen bidirektional ist, kann man auch versu-
chen, von außen die Zähler fremder Personen zu        (4) Mitarbeiter/Dienstleister
manipulieren, z.B. durch eine gezielte Sabotage
                                                      Mitarbeiter von Infrastrukturbetreibern oder de-
durch Missbrauch der Infrastruktur, um beispiels-
                                                      ren Dienstleister könnten beispielsweise klassi-
weise unautorisiert eine Stromabschaltung bei
                                                      schen Social Engineering-Angriffen ausgesetzt
Dritten herbei zu führen.
                                                      werden. Über USB-Sticks, E-Mail-Attachements
                                                      oder manipulierte Web-Seiten könnte versucht
(3) Organisierte Kriminalität                         werden, Schadsoftware auf PCs/Notebooks und
Da ein Smart Grid eine Vielzahl von geldwerten        anderen Endgeräten von Service-Mitarbeitern
Objekten und Informationen verwaltet, wird es         einzuschleusen. So hat ein Experte auf der RSA
ein lukratives Angriffsziel für die organisierte      Conference 2009 einen Einbruch in ein Kraftwerk
Kriminalität werden. Beispiele für Angriffe, mit      demonstriert, indem ein Kernkraftwerks-Mitar-
denen sich Geld verdienen lässt, umfassen den         beiter durch Social Engineering dazu gebracht
Diebstahl von Leistungen wie zum Beispiel die         wurde, einen Link in einer E-Mail anzuklicken, so
kostenlose Energienutzung, die preiswerte Ein-        dass Schadsoftware auf den PC des Mitarbeiters
richtung von Bot-Netzen, um das Smart Grid zu         geladen wurde. Durch diese Manipulation erlang-
Seite 24



te der Angreifer Zugriffsrechte an Kernkraft-         lichen Gründen ideal, widerspricht aber dem Be-
werks-internen Wartungsdiensten, die dem Mit-         darf von Betreibern an möglichst vielen Informa-
arbeiter zugänglich waren.                            tionen über Verbrauchs- bzw. Nutzungsprofilen,
Durch Phishing-Angriffe könnten Angreifer ver-        um diese in Mehrwertdienstleistungen zu ver-
suchen, sich Zugangsdaten von Mitarbeitern an-        markten.
zueignen und sich unter der gefälschten Identität
des Mitarbeiters einen nicht-autorisierter Zugang
zu beschaffen. Der oben bereits angesprochene         6 Forschungsbedarf
Diebstahl von Passwörtern für Emissionskonten
                                                      Wie dargestellt, umfasst ein Smart Grid eine Viel-
deutscher Unternehmen12 ist ein weiteres Beispiel
                                                      zahl von Sensoren wie Smart Metern zur Daten-
von Social Engineering-Angriffen. Unsicher kon-
                                                      erfassung und zur Überwachung, die in nicht-
figurierte Remote-Zugänge für die Fernwartung
                                                      vertrauenswürdigen Umgebungen sowohl in Pri-
von Netzen eröffnen für Angreifer die Möglich-
                                                      vathaushalten als auch in gewerblich betriebe-
keit, unter der Identität des berechtigten Mitar-
                                                      nen Gebäuden und Liegenschaften als Massen-
beiters den Fernzugriff z.B. auf Privathaushalte
                                                      produkt zum Einsatz kommen werden. Die Geräte
oder aber auch auf Service-Einrichtungen durch-
                                                      sind in der Regel unbeschränkt zugänglich, so
zuführen und beispielsweise Daten zu manipulie-
                                                      dass erhebliche Probleme durch diesen direkten
ren.
                                                      physischen Zugriff auftreten. Durch die starke
Die skizzierten Angriffe stellen lediglich einen      Dezentralisierung durch die Anbindung von Mik-
Ausschnitt der möglichen Bedrohungen dar. Die-        ro BHKWs, Elektro- und Hybridfahrzeugen, er-
se sind in systematischer Weise zu erfassen und       neuerbaren Energiequellen etc. kommt es zu
zu bewerten. Dazu ist es erforderlich, charakte-      Kontrollverlusten der Netzbetreiber. Die Ener-
ristische Einsatzszenarien und Systemarchitek-        giemanagementplattformen sind offene Markt-
turen zu identifizieren und anhand derer eine         plätze, in die Mehrwertdienste durch Dritte dy-
Bedrohungs- und Risikoanalyse durchzuführen.          namisch eingebunden werden und über Cloud-
Weiterführende, vertiefende Arbeiten sind erfor-      Dienste IT-Dienstleistungen durch Dritte erbracht
derlich, um anhand charakteristischer Szenarien       werden.
derartige Analysen durchzuführen, Sicherheits-
                                                      Die Problembereiche im Smart Grid sind sehr
konzepte zur Absicherung der Architekturen zu
                                                      vielschichtig. Es müssen unterschiedliche, skalie-
entwerfen und Handlungsempfehlungen für de-
                                                      rende und auf die jeweiligen Anforderungen zu-
ren Umsetzung in realen Einsatzszenarien zu ge-
                                                      geschnittenen Lösungskonzepte entwickelt, in ih-
ben. Für derartige Szenarien sind die unter-
                                                      rem Zusammenspiel analysiert und in eine Ge-
schiedlichen Interessen der beteiligten Parteien
                                                      samtsystem-Lösung sicher integriert werden. Es
zu erfassen, und es sind Architekturausprägun-
                                                      gibt zwar bereits eine Vielzahl von Einzellösun-
gen zu entwerfen, die den zum Teil widersprüch-
                                                      gen und Schutzmechanismen, die jedoch noch
lichen Anforderungen der Marktteilnehmern
                                                      nicht so nahtlos in die Systeme des Smart Grid in-
Rechnung tragen. So ist beispielsweise eine de-
                                                      tegrierbar sind, dass das gewünschte, durchge-
zentrale Lösung, bei der die Verarbeitung der
                                                      hend hohe Sicherheitsniveau nachhaltig gewähr-
personenbeziehbaren Verbrauchsdaten vollstän-
                                                      leistet werden kann. Hier sind noch weitere For-
dig in der Hand des Kunden, also in einem Endge-
                                                      schungs- und Entwicklungsarbeiten notwendig.
rät beim Kunden verbleibt, aus datenschutzrecht-
                                                      Nachfolgend werden für die in diesem Papier an-
12
                                                      gesprochenen Themenbereiche Smart Meter,
      http://www.zeit.de/wirtschaft/2010-02/hacker-
                                                      Kommunikationsinfrastruktur und Energiemana-
     emissionshandel-datendiebstahl
Seite 25



gementsysteme einige offenen Forschungsfra-           weise leichtgewichtige Hardware-Sicherheits-
gen skizziert. Diese müssten in einem nächsten        module für sichere Schlüsselspeicher versehen
Schritt systematisch erarbeitet und in einer For-     werden. Sie müssen in der Lage sein, Nachweise
schungsagenda zur Sicherheit im Smart Grid ih-        über die Integrität ihrer Soft- und Hard-ware so
ren Niederschlag finden.                              zu erstellen, dass diese Nachweise von dritter
                                                      Seite überprüft werden können (z.B. leichtge-
                                                      wichtige Attestierung von Sensoren und Akto-
6.1   Smart Meters, Gateways, Sensorik
                                                      ren).

Derzeit fehlt es noch an geeigneten Maßnahmen         Die beteiligten Komponenten müssen sich zudem
für den Manipulationsschutz von Smart Metern          effizient wechselseitig identifizieren und authen-
und Gateways. Das angesprochene Protection            tisieren können. Dementsprechend sind skalie-
Profile des BSI sieht den Einsatz von Hardware-       rende Identifikations- und Authentisierungs-
Sicherheitsmodulen im Gateway vor. Noch ist of-       schemata für Komponenten zu entwickeln, wie
fen, in welcher Weise derartige Sicherheitsmodu-      beispielsweise leichtgewichtige PKI13-Lösungen
le in das Gateway eingebunden sein werden (z.B.       für ressourcenschwache Sensoren und Geräte
als Chipkarte, die einfach ersetzt werden kann,       und deren Schlüsselmanagement, oder neuartige
wenn sich die Rahmenbedingungen ändern, oder          Lösungen, die eine Identifikation auf der Basis
als fest integrierter Chip). Die Gewährleistung ei-   der eindeutigen physischen Objekteigenschaften
ner sehr langen operativen Laufzeit derartiger        ermöglichen.
Gateways, die Fernwartung, sichere System-
Updates und sicheres Nachrüsten von zusätzli-         Test-Methoden und -Werkzeuge
chen Sicherheitsfunktionen umfassen muss, sind
                                                      Die in sicherheitskritischen Domänen eingesetz-
noch zu klärende Fragen.
                                                      ten Geräte müssen Sicherheitstests durchlaufen.
Heutige Gerätetechnologie muss somit konse-           Hierfür wird derzeit vom BSI das Protection Profi-
quent weiterentwickelt werden. Erforderlich sind      le für Smart Meters festgelegt. Technische Richt-
zum einen zugeschnittene Sicherheitsmechanis-         linien zur Entwicklung und Validierung von intel-
men wie Verschlüsselungsfunktionen, Schlüssel-        ligenten Zählern werden im nächsten Schritt si-
managementdienste, Zugriffskontrollmechanis-          cherlich folgen. Weitere Testszenarien fehlen
men, Datenfilterungskonzepte, die zur Härtung         jedoch noch. So sollten nach den jetzigen Stand
bestehender Komponenten eingesetzt werden             der Technik die eingesetzten Komponenten resis-
können. Zum anderen sind innovative Produkte          tent gegenüber Seitenkanal-Angriffen sein, die es
und Sicherheitstechnologien zu entwickeln, die        ermöglichen, sensitives Schlüsselmaterial aus
als vertrauenswürdige Kommunikationsend-              eingebetteten Komponenten, wie Chips, zu ex-
punkte im Energieinformationsnetz eingesetzt          trahieren. Entsprechende Untersuchungen und
werden können. Es werden Sicherheitslösungen          Testmethoden werden unter anderem vom
benötigt, die unterschiedliche Grade an Sicher-       Fraunhofer-Institut SIT in München angeboten
heit unterstützen, jeweils zugeschnitten auf die      (vgl. Abbildung 8) und in Projekten, wie dem
Einsatzszenarien. Erforderlich sind somit Techno-     BMBF-Konsortialprojekte RESIST mit Firmen wie
logien zusammen mit integrierten Kontroll- und        Infineon, Giesecke&Devrient oder aber auch Rho-
Überwachungsdiensten, so dass die eingesetzten        de und Schwarz (vgl. http://www.resist-
Systemkomponenten besser gegen Manipulati-            projekt.de) weiter entwickelt. Im SIT-Testlabor
onsversuche geschützt und gehärtet werden
(Manipulationsresistenz). Die Komponenten müs-
                                                      13
sen mit zusätzlichen Fähigkeiten wie beispiels-            Public-Key Infrastruktur
Seite 26



werden derzeit auch Smart Meter Komponenten
in Bezug auf ihre Sicherheit getestet. Neben den
reinen Sicherheitstests werden Interoperabili-
tätstests notwendig; hierfür sind ebenfalls Test-
rahmen zu erstellen und Testumgebungen auf-
zusetzen.


6.2    Kommunikationsinfrastruktur

Das Energieinformationsnetz der Zukunft um-
fasst eine Vielzahl von Messwertgebern, Feldsen-
soren und (drahtlosen) Netzen, um bestehende
Systeme und Prozesse der Energieversorger aus
Leitwarten heraus zu steuern und zu regeln
(SCADA) oder mittels Fernwartung zu prüfen und
ggf. sogar zu reparieren. Die entsprechenden
Steuerungssysteme greifen in die Abläufe der
Energieversorger ein. Dabei eröffnet die Fern-
wartung Zugänge zu sicherheitskritischen Kom-
ponenten und Diensten, so dass hier besondere
Schutz- oder Isolationsmaßnahmen integriert
werden müssen. In Zukunft werden diese Aufga-
ben aufgrund der zunehmend dezentralen Ener-
gieerzeugung komplexer. Gleichzeitig müssen
diese Aufgaben durch die absehbare Deregulie-
rung der Märkte im Kontext einer größeren or-
ganisatorischen Heterogenität bewältigt werden.
Die Frage, welche Sicherheitslösungen für die
Kommunikation zwischen verteilten Anlagentei-
len für die Übertragung von Informationen über
drahtlose, mobile oder Festnetzverbindungen ge-
eignet sind, ist noch nicht vollständig geklärt. Aus
technischer Perspektive sind besonders die Naht-
stellen zwischen unterschiedlichen Technologien
problematisch. So ist durch geeignete Maßnah-
men sicherzustellen, dass ein gewünschtes Maß
an Sicherheit durchgängig und nahtlos über ver-
schiedene Technologien und Betreiberdomänen
hinweg garantiert wird. Die Vergangenheit hat
                                                       Abbildung 8: EM-Sonde zum Messen der elektro-
gezeigt, dass es gerade an den Nahtstellen unter-      magnetischen Abstrahlung auf einem geöffneten
schiedlicher Technologien und an den Nahtstellen       Chip (Mitte), Messplatz zur Poweranalyse eines Mik-
zwischen unterschiedlichen Betreibern zu erheb-        rocontrollers und FPGA-Platine zu dessen Steue-
lichen Sicherheitsproblemen kommt, wie z.B. bei        rung (oben und unten) im Testlabor des Fraunhofer
                                                       SIT-München
der Kopplung von GSM/UMTS und WLAN-Netzen.
Seite 27



Ferner müssen gemeinsam genutzte IKT-Infra-            Isolierung von Teilbereichen und für kontrollierte
strukturdienste (z.B. DNS) besondere Sicherheits-      Bereichsübergänge. Notwendig werden ferner
sowie Zuverlässigkeitsanforderungen erfüllen           Betriebskonzepte zur Angriffs- und Ausfalltole-
und Migrationsmöglichkeiten zulassen.                  ranz durch geeignete Isolierungs- und Redun-
Die Sicherheitsimplikationen, die sich aus der zu-     danzmaßnahmen.
nehmenden Vernetzung für SCADA-Netze erge-
ben, werden von den aktuellen SCADA-Lösungen           6.3   Energiemanagementsysteme
noch nicht geeignet erfasst (vgl. u.a. [St2003,
Igu2008]]. Die Einbettung echtzeitfähiger Sicher-      Das Smart Grid erfordert komplexe Manage-
heitskonzepte in SCADA-Netze und Gateways, die         mentsoftware, um die Fülle der erhobenen Daten
Unterstützung einer effizienten und sicheren Ma-       auf dezentralen Serversystemen bei Stromunter-
schine-zu-Maschine-Kommunikation (M2M) in              nehmen, aber auch bei Dienstleistern (z.B. über
derartigen Steuerungssystemen sowie die Ein-           Cloud-Services) zu verarbeiten. Neue digitale
bettung effizienter Verschlüsselungs- und Ent-         Marktplätze entstehen mit neuen Dienstleistun-
schlüsselungsmaßnahmen zusammen mit einem              gen und Geschäftsmodellen, um Energie kosten-
effizienten Schlüsselmanagement fehlt. Ansätze         günstig und sparsam zu produzieren und zu nut-
hierzu könnten Varianten von leichtgewichtigen         zen.
PKI-Lösungen sein, die auf die Einsatzdomäne
                                                       Für die zu entwickelnden Energiemarktplätze
zuzuschneiden sind. Die Schlüssel müssen ver-
                                                       bzw. Energie-Clouds und die Mehrwertdienste,
trauenswürdig in den ressourcenschwachen Ge-
                                                       basierend auf der Smart Grid IKT-Infrastruktur,
räten gespeichert werden, so dass sich hier wie-
                                                       sollte soweit wie möglich und anwendbar auf be-
derum der Bedarf an angriffsresistenten, ver-
                                                       stehende Standards im Bereich der Web-Services,
trauenswürdigen leichtgewichtigen Hardware-
                                                       der Service-orientierten Architekturen etc. zu-
basierten Sicherheitsanker ergibt. Hoch perfor-
                                                       rückgegriffen werden. Um mandantenfähige,
mante Überwachungs- und Filterungskomponen-
                                                       vertrauenswürdige Services über eine gemein-
ten, wie beispielsweise integrierte Micro-Fire-
                                                       same Plattform anzubieten, sind die gleichen Si-
walls in ressourcenbegrenzte SCADA-Netze wer-
                                                       cherheitsfragestellungen zu lösen, wie sie derzeit
den ebenso benötigt wie effiziente, echtzeit-
                                                       auch in einem allgemeineren Kontext beim
fähige Überwachungsfunktionen, zur frühzeiti-
                                                       Cloud-Computing bearbeitet werden. Die Lösun-
gen Erkennung und Abwehr von Angriffs-
                                                       gen des Cloud-Computing sollten in die Energie-
versuchen auf und in SCADA-Netzen. Für die
                                                       Domäne übertragen werden. Zentrale Sicher-
sichere Einbindung von Bedienpersonal werden
                                                       heitsherausforderungen betreffen die sichere
verbesserte Authentisierungsverfahren benötigt,
                                                       und vertrauenswürdige Identifizierung und Au-
die auch in zeitkritischen Notsituationen zuver-
                                                       thentisierung der Marktteilnehmer und die rol-
lässig funktionieren.
                                                       len- und aufgabenbasierte Zugriffs- bzw. Nut-
Für das Smart Grid ist zudem die Entwicklung de-       zungskontrollen. In Deutschland werden mit dem
dizierter, in nahe Echtzeit agierender Überwa-         neuen Personalausweis (nPA) flächendeckend si-
chungsprotokolle im Sinne kooperativer Früh-           chere Identifizierungstokens ausgerollt. Daneben
warnsysteme erforderlich, um aufkommende               gibt es eine Vielzahl anderer Authentisierungs-
Probleme frühzeitig zu erkennen und rechtzeitig        techniken, so dass ein umfassender Dienst im
geeignete Abwehrmaßnahmen einzuleiten. Be-             Sinne von Identity-as-a-Service wünschenswert
nötigt werden technische Lösungen (u. a. Scha-         wäre, der ein einheitliches Identitätsmanage-
lenmodelle, Stufenmodelle) mit abgestuften Kon-        ment z.B. in der Energy-Cloud ermöglicht.
trollen (Identität, Zugriffskontrolle) zur gezielten
Sicherheit im Smart Grid
Sicherheit im Smart Grid
Sicherheit im Smart Grid
Sicherheit im Smart Grid
Sicherheit im Smart Grid
Sicherheit im Smart Grid
Sicherheit im Smart Grid
Sicherheit im Smart Grid
Sicherheit im Smart Grid
Sicherheit im Smart Grid
Sicherheit im Smart Grid
Sicherheit im Smart Grid
Sicherheit im Smart Grid

Weitere ähnliche Inhalte

Ähnlich wie Sicherheit im Smart Grid

Fraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC
 
EN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
EN 6.3: 1 IT-Sicherheit und Technischer DatenschutzEN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
EN 6.3: 1 IT-Sicherheit und Technischer DatenschutzSven Wohlgemuth
 
Netzneutralität - Eine Einführung in das Thema
Netzneutralität - Eine Einführung in das ThemaNetzneutralität - Eine Einführung in das Thema
Netzneutralität - Eine Einführung in das ThemaDaniel Haller
 
Digitale Kommunikation in Fertigungsnetzwerken neu gedacht
Digitale Kommunikation in Fertigungsnetzwerken neu gedachtDigitale Kommunikation in Fertigungsnetzwerken neu gedacht
Digitale Kommunikation in Fertigungsnetzwerken neu gedachtGeorg Guentner
 
Intelligente Messsysteme für die Energiewende
Intelligente Messsysteme für die EnergiewendeIntelligente Messsysteme für die Energiewende
Intelligente Messsysteme für die EnergiewendeIsabell_Echemendia_Camejo
 
BITKOM_Präsentation Data Intelligence Hub -Schwarz-Kouril
BITKOM_Präsentation Data Intelligence Hub -Schwarz-KourilBITKOM_Präsentation Data Intelligence Hub -Schwarz-Kouril
BITKOM_Präsentation Data Intelligence Hub -Schwarz-KourilStefan Schwarz
 
Studien und Experimentalplattform für das Internet der Zukunft
Studien und Experimentalplattform für das Internet der Zukunft Studien und Experimentalplattform für das Internet der Zukunft
Studien und Experimentalplattform für das Internet der Zukunft Marc Manthey
 
Kabinettschef Andreas Achatz, BA, MA
Kabinettschef Andreas Achatz, BA, MAKabinettschef Andreas Achatz, BA, MA
Kabinettschef Andreas Achatz, BA, MAAgenda Europe 2035
 
Dezentralisierung der Stromversorgung: Was ist darunter zu verstehen?
Dezentralisierung der Stromversorgung: Was ist darunter zu verstehen?Dezentralisierung der Stromversorgung: Was ist darunter zu verstehen?
Dezentralisierung der Stromversorgung: Was ist darunter zu verstehen?Oeko-Institut
 
Wachstumsfelder und Chancen mit smarten Technologien
Wachstumsfelder und Chancen mit smarten TechnologienWachstumsfelder und Chancen mit smarten Technologien
Wachstumsfelder und Chancen mit smarten TechnologienThomas Link
 
Intégration des productions décentralisées: du projet au produit
Intégration des productions décentralisées: du projet au produitIntégration des productions décentralisées: du projet au produit
Intégration des productions décentralisées: du projet au produitThearkvalais
 
Fernmonitoring und Fernsteuerungslösung für Immobilienareale
Fernmonitoring und Fernsteuerungslösung für ImmobilienarealeFernmonitoring und Fernsteuerungslösung für Immobilienareale
Fernmonitoring und Fernsteuerungslösung für ImmobilienarealeLemonbeat GmbH
 
Servicemanagementsysteme in der Kältetechnik (Dipl.-Ing. Gunter Schill, Dresd...
Servicemanagementsysteme in der Kältetechnik (Dipl.-Ing. Gunter Schill, Dresd...Servicemanagementsysteme in der Kältetechnik (Dipl.-Ing. Gunter Schill, Dresd...
Servicemanagementsysteme in der Kältetechnik (Dipl.-Ing. Gunter Schill, Dresd...co2online gem. GmbH
 
Die IT-Trends der kommenden Jahre
Die IT-Trends der kommenden JahreDie IT-Trends der kommenden Jahre
Die IT-Trends der kommenden JahrePeter Welchering
 
Thomas Ott (Christof Electrics)
Thomas Ott (Christof Electrics)Thomas Ott (Christof Electrics)
Thomas Ott (Christof Electrics)Praxistage
 
JCON 2020: CQRS und Event Sourcing unter Strom: Lessons Learned mit Spring un...
JCON 2020: CQRS und Event Sourcing unter Strom: Lessons Learned mit Spring un...JCON 2020: CQRS und Event Sourcing unter Strom: Lessons Learned mit Spring un...
JCON 2020: CQRS und Event Sourcing unter Strom: Lessons Learned mit Spring un...Frank Scheffler
 

Ähnlich wie Sicherheit im Smart Grid (20)

Fraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativ
 
EN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
EN 6.3: 1 IT-Sicherheit und Technischer DatenschutzEN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
EN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
 
Netzneutralität - Eine Einführung in das Thema
Netzneutralität - Eine Einführung in das ThemaNetzneutralität - Eine Einführung in das Thema
Netzneutralität - Eine Einführung in das Thema
 
TUEV SUED_IEC 61850 Conformance.pdf
TUEV SUED_IEC 61850 Conformance.pdfTUEV SUED_IEC 61850 Conformance.pdf
TUEV SUED_IEC 61850 Conformance.pdf
 
Digitale Kommunikation in Fertigungsnetzwerken neu gedacht
Digitale Kommunikation in Fertigungsnetzwerken neu gedachtDigitale Kommunikation in Fertigungsnetzwerken neu gedacht
Digitale Kommunikation in Fertigungsnetzwerken neu gedacht
 
Intelligente Messsysteme für die Energiewende
Intelligente Messsysteme für die EnergiewendeIntelligente Messsysteme für die Energiewende
Intelligente Messsysteme für die Energiewende
 
BITKOM_Präsentation Data Intelligence Hub -Schwarz-Kouril
BITKOM_Präsentation Data Intelligence Hub -Schwarz-KourilBITKOM_Präsentation Data Intelligence Hub -Schwarz-Kouril
BITKOM_Präsentation Data Intelligence Hub -Schwarz-Kouril
 
Studien und Experimentalplattform für das Internet der Zukunft
Studien und Experimentalplattform für das Internet der Zukunft Studien und Experimentalplattform für das Internet der Zukunft
Studien und Experimentalplattform für das Internet der Zukunft
 
Kabinettschef Andreas Achatz, BA, MA
Kabinettschef Andreas Achatz, BA, MAKabinettschef Andreas Achatz, BA, MA
Kabinettschef Andreas Achatz, BA, MA
 
Datacenter-Markt im Umbruch
Datacenter-Markt im Umbruch Datacenter-Markt im Umbruch
Datacenter-Markt im Umbruch
 
Dezentralisierung der Stromversorgung: Was ist darunter zu verstehen?
Dezentralisierung der Stromversorgung: Was ist darunter zu verstehen?Dezentralisierung der Stromversorgung: Was ist darunter zu verstehen?
Dezentralisierung der Stromversorgung: Was ist darunter zu verstehen?
 
Wachstumsfelder und Chancen mit smarten Technologien
Wachstumsfelder und Chancen mit smarten TechnologienWachstumsfelder und Chancen mit smarten Technologien
Wachstumsfelder und Chancen mit smarten Technologien
 
Intégration des productions décentralisées: du projet au produit
Intégration des productions décentralisées: du projet au produitIntégration des productions décentralisées: du projet au produit
Intégration des productions décentralisées: du projet au produit
 
Fernmonitoring und Fernsteuerungslösung für Immobilienareale
Fernmonitoring und Fernsteuerungslösung für ImmobilienarealeFernmonitoring und Fernsteuerungslösung für Immobilienareale
Fernmonitoring und Fernsteuerungslösung für Immobilienareale
 
Servicemanagementsysteme in der Kältetechnik (Dipl.-Ing. Gunter Schill, Dresd...
Servicemanagementsysteme in der Kältetechnik (Dipl.-Ing. Gunter Schill, Dresd...Servicemanagementsysteme in der Kältetechnik (Dipl.-Ing. Gunter Schill, Dresd...
Servicemanagementsysteme in der Kältetechnik (Dipl.-Ing. Gunter Schill, Dresd...
 
Big data - smart grid
Big data - smart gridBig data - smart grid
Big data - smart grid
 
Die IT-Trends der kommenden Jahre
Die IT-Trends der kommenden JahreDie IT-Trends der kommenden Jahre
Die IT-Trends der kommenden Jahre
 
Thomas Ott (Christof Electrics)
Thomas Ott (Christof Electrics)Thomas Ott (Christof Electrics)
Thomas Ott (Christof Electrics)
 
Innovationen bei der Stromversorgung in Rechenzentren
Innovationen bei der Stromversorgung in RechenzentrenInnovationen bei der Stromversorgung in Rechenzentren
Innovationen bei der Stromversorgung in Rechenzentren
 
JCON 2020: CQRS und Event Sourcing unter Strom: Lessons Learned mit Spring un...
JCON 2020: CQRS und Event Sourcing unter Strom: Lessons Learned mit Spring un...JCON 2020: CQRS und Event Sourcing unter Strom: Lessons Learned mit Spring un...
JCON 2020: CQRS und Event Sourcing unter Strom: Lessons Learned mit Spring un...
 

Mehr von Fraunhofer AISEC

Fraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vornFraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vornFraunhofer AISEC
 
Produktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische GeräteProduktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische GeräteFraunhofer AISEC
 
Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013Fraunhofer AISEC
 
Native Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on AndroidNative Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on AndroidFraunhofer AISEC
 
An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition Fraunhofer AISEC
 
Marktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitMarktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitFraunhofer AISEC
 
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityCybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityFraunhofer AISEC
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITFraunhofer AISEC
 
Tech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on AndroidTech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on AndroidFraunhofer AISEC
 
PEP - Protecting Electronic Products
PEP - Protecting Electronic ProductsPEP - Protecting Electronic Products
PEP - Protecting Electronic ProductsFraunhofer AISEC
 
Firmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote UpdateFirmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote UpdateFraunhofer AISEC
 
Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftFraunhofer AISEC
 
IKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealthIKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealthFraunhofer AISEC
 
Innovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht ForschungInnovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht ForschungFraunhofer AISEC
 
40 Jahre Informatik Hamburg
40 Jahre Informatik Hamburg40 Jahre Informatik Hamburg
40 Jahre Informatik HamburgFraunhofer AISEC
 

Mehr von Fraunhofer AISEC (20)

Fraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vornFraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vorn
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
 
App Ray: 10000 Apps
App Ray: 10000 AppsApp Ray: 10000 Apps
App Ray: 10000 Apps
 
Produktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische GeräteProduktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische Geräte
 
Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013
 
Native Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on AndroidNative Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on Android
 
An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition
 
Marktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitMarktchancen mit IT-Sicherheit
Marktchancen mit IT-Sicherheit
 
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityCybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der IT
 
Tech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on AndroidTech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on Android
 
PEP - Protecting Electronic Products
PEP - Protecting Electronic ProductsPEP - Protecting Electronic Products
PEP - Protecting Electronic Products
 
Firmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote UpdateFirmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote Update
 
Infografik Produktschutz
Infografik ProduktschutzInfografik Produktschutz
Infografik Produktschutz
 
Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der Wissenschaft
 
Produktschutz Infografik
Produktschutz InfografikProduktschutz Infografik
Produktschutz Infografik
 
IKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealthIKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealth
 
Innovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht ForschungInnovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht Forschung
 
Alan Turing
Alan Turing Alan Turing
Alan Turing
 
40 Jahre Informatik Hamburg
40 Jahre Informatik Hamburg40 Jahre Informatik Hamburg
40 Jahre Informatik Hamburg
 

Sicherheit im Smart Grid

  • 1. Sicherheit im Smart Grid Eckpunkte für ein Energieinformationsnetz Claudia Eckert 1101 1110 1010 1101 1011 1110 1110 1111 Stiftungs-Verbundkolleg 90
  • 2. Seite 1 Sicherheit im Smart Grid Eckpunke für ein Energieinformationsnetz Inhaltsverzeichnis 1 Einleitung 3 2 Herausforderungen durch das Smart Grid 4 Impressum 3 Sicherheit und Datenschutz 8 Stiftungsreihe 90 3.1 Rechtliche Rahmenbedingungen 8 Redaktion 3.2 Technische Rahmenbedingungen 9 Dr. Dieter Klumpp 3.3 Organisatorische Rahmenbedingungen und (Leitung) Petra Bonnet M.A. Sicherheitsmanagement 10 4 Stand der Technik 11 4.1 Smart Meter und Messtechnik 12 4.2 Kommunikationsinfrastrukturen 15 4.3 IKT-gestützte Energiemanagementsysteme 16 4.4 Normungsaktivitäten 18 5 Ausgewählte Angriffsszenarien 20 Druck der Broschüre 6 Forschungsbedarf 24 DCC Kästl GmbH & Co. KG 6.1 Smart Meters, Gateways, Sensorik 25 Alle Rechte vorbehalten Alcatel-Lucent Stiftung 6.2 Kommunikationsinfrastruktur 26 Stiftungsverbundkolleg e.V. 6.3 Energiemanagementsysteme 27 © 2011 7 Erstellen einer Roadmap „IT-Sicherheit im Smart Grid“ 29 7.1 Handlungsempfehlungen zur Erstellung einer nationalen Sicherheits-Roadmap 30 Postadresse 7.2 Entwicklung einer Forschungsagenda 33 Alcatel-Lucent Stiftung 8 Zusammenfassung 34 Lorenzstraße 10 70435 Stuttgart Telefon Projekt NEWISE 37 (0711) 821-45002 Telefax (0711) 821-42253 E-Mail office@stiftungaktuell.de www.stiftungaktuell.de ISSN 0932-156x
  • 4. Seite 3 Sicherheit im Smart Grid - Eckpunke für ein Energieinformationsnetz Claudia Eckert, Christoph Krauß, Peter Schoo Das Energieinformationsnetz ist eine sicherheits- 1 Einleitung kritische Infrastruktur, deren Ausfall oder (par- Energie gehört zu den Lebensadern der interna- tielle) Störung gravierende gesellschaftliche und tionalen Wirtschaft. Während die fossilen Ener- volkswirtschaftliche Schäden nach sich zieht. Ne- gieträger zunehmend knapper werden, steigt in ben den erforderlichen Netzen, um Daten recht- Folge der fortschreitenden Industrialisierung der zeitig, korrekt, Privatsphären-bewahrend, ver- Energiebedarf gewaltig mit gravierenden Konse- traulich und vollständig (aus Sicht des Dienstes, quenzen für den Klimaschutz. Die Verknappung der die Daten benötigt) zwischen allen beteiligten der fossilen Energiequellen und die ungelöste Parteien auszutauschen, werden insbesondere Umweltproblematik der Nuklearenergie erfor- auch dezentral betriebene, kooperative Mana- dern nachhaltig wirkende Lösungen, um den gementsysteme und verteilte Service-Plattfor- steigenden Energiebedarf zu befriedigen und men benötigt, um Angebot- und Nachfrage so- gleichzeitig die Umwelt zu schonen. Notwendig wohl auf einer mikroskopischen Ebene (räumli- sind Energie-Systeme zur breitflächigen Nutz- cher Nahbereich) als auch auf einer makros- barmachung erneuerbarer Energien und die sys- kopischen Ebene (zwischen Energieversorgern, tematische Umsetzung von Energiesparmaß- Länder- und Kontinent-übergreifend) zu koordi- nahmen. Im Gegensatz zu konventionellen Ener- nieren. Im Folgenden bezeichnen wir ein solches giequellen weisen aber erneuerbare Energie- komplexes System von Systemen bestehend aus quellen wie Wind, Sonne oder Wasserkraft ein IKT-Infrastrukturen und Energieinformations- stark zeitvariantes Verhalten auf und können nur managementsystemen als Energieinformations- gekoppelt mit Energiespeicherverfahren zum netz bzw. in Übernahme der englisch sprachli- Einsatz kommen. Die klassische Lösung eines Ver- chen Beschreibung als Smart Grid. bundes von Grundlast- und zugeschalteten Spit- Abbildung 1 veranschaulicht ein solches System. zenlast-Kraftwerken mit einer hierarchischen Die European Technology Platform Smart Grids Verteilung von Energie zur Verteilnetzebene (vgl. [ETPS2008]) definiert ein Smart Grid wie muss strukturell verändert werden, da erneuer- folgt: “A Smart Grid is an electronically network bare Energien beispielsweise durch Photovoltaik- that can intelligently integrate actions of all users anlagen auch auf Verteilnetzebene eingespeist connected to it – generators, consumers and werden und damit die Energiegewinnung nicht those that do both – in order to efficiently deliver mehr hierarchisch sondern dezentral ist. Dies er- sustainable, economic and secure electricity sup- fordert eine geeignete IKT-Infrastruktur zur plies.“ Das National Institute of Standards and Steuerung des Energietransports. Technology (NIST) in den USA nimmt eine etwas Durch ein dezentrales Management der Ver- erweiterte Sicht auf das Smart Grid ein, die auch brauchs- und Angebotsdaten ermöglicht die diesem Papier zugrunde liegt. Das Smart Grid steuernde IKT-Infrastruktur, den Stromverbrauch gemäß NIST (vgl. [EPR2009]) ist: „… moderniza- nachhaltig zu senken und dabei gleichzeitig die tion of the electricity delivery system so it moni- Energiekosten zu reduzieren, aber dennoch die tors, protects and automatically optimizes the Versorgungssicherheit zu gewährleistet. Dies operation of its interconnected elements, from dient letztlich auch dem Klimaschutz. the central and distributed generator through
  • 5. Seite 4 Abbildung 1: Komponenten eines Smart Grid the high-voltage transmission network and the gesteuert, betrieben und gewartet. Sie bestehen distribution system, to industrial users and build- aus einer Vielfalt heterogener Systeme und sind ing automation systems, to energy storage in- komplex vernetzte Systeme. Steuernde, einge- stallations and to end-use consumers and their bettete Systeme wie Sensoren und Aktoren und thermostats, electric vehicles, appliances and physikalische und betriebliche Prozesse (Physical other household devices.” System) werden integriert und über vielfältige Vernetzungstechnologien unter Einbeziehung des Internets zu einem übergreifenden, vernetz- 2 Herausforderungen durch das Smart Grid ten System, dem Cyber-Physical System (u.a. [Wolf09]) verbunden. Derartige Systeme kombi- Während die Energieverteilnetze bereits verhält- nieren autonome, ressourcenschwache physikali- nismäßig gut ausgebaut sind, ist ein Großteil der sche Geräte, wie u. a. digitale Zähler (Smart Me- Informations- und Kommunikationsinfrastruktur ter) mit ressourcenstarken Backend- und Infor- und der Software-Plattformen neu zu gestalten mationsmanagement-Systemen. Die verschiede- bzw. sind bestehende Infrastrukturen entspre- nen Komponenten kommunizieren über draht- chend auszubauen. Das Energieinformationsnetz lose oder drahtgebundene Vernetzungstechnolo- der Zukunft ist charakterisiert durch eine dezen- gien, wie WLAN, UMTS oder auch Powerline. Die trale Struktur (vgl. Abbildung 1). Die Verbrauchs- Systeme sind zudem durch eine hohe Dynamik daten werden dezentral erfasst und abgerechnet, charakterisiert. Mobile Stromverbraucher und und die Systeme werden vollständig dezentral Stromerzeuger in Form von Elektrofahrzeugen
  • 6. Seite 5 Abbildung 2: Vernetzungsszenarien zukünftiger Smart Grids (Elektromobilitätsszenarien) und private Strom- gebot zu erfassen, und es muss Steuermöglich- Erzeuger, die dynamisch ihren erzeugten Strom keiten zur Verfügung stellen, zur Aktivierung/De- in die Netze einspeisen, erfordern ein adaptives, aktivierung von Energieverbrauchern und zur dynamisches Management (Demand Side Mana- Nutzung gespeicherter Energie. Um diese Aufga- gement), das in der Lage ist, Lastspitzen zu ver- ben zu erfüllen, ist die Einführung einer IKT- meiden, Energie zwischenzuspeichern und ab- gestützten Erfassung des dezentralen Energie- rufbar zu halten etc.. Der Markt ist dereguliert verbrauchs und ggf. der dezentralen Energieer- und muss als ein offener Dienstleistungsmarkt- zeugung zur Einspeisung in das Energienetz platz für Anbieter und Verbraucher konzipiert durch Smart Meter erforderlich. und umgesetzt sein. Um Interessenskonflikte zu vermeiden, müssen Abbildung 2 visualisiert eine Vision dieser zu- die Zuständigkeiten für die Wahrnehmung der künftigen Energieinformationsnetze bzw. Smart Aufgaben von Erzeugung, Messung, Transport Grids. und Abrechnung von Energieeinheiten entkop- Das zu entwickelnde Smart Grid muss die Ge- pelt werden. Gleichzeitig erfordert ein globales samtheit aller zentralen und dezentralen Ener- Funktionieren eines solch komplexen Systems, giequellen und -senken sicher und zuverlässig dass die beteiligten Parteien Daten austauschen miteinander verbinden. Es muss Komponenten und kooperieren. und Dienste anbieten, um den momentanen Energiebedarf und das momentane Energiean-
  • 7. Seite 6 Im zukünftigen Smart Grid werden die Funkti- und Vollständigkeit der Daten, die für das Last- onsbereiche wie das Erzeugen der Energie1, der management benötigt werden, für die Netz- Transport und die Verteilung der Energie, das betreiber essentiell, während für den privaten Messen des Verbrauchs, das Übermitteln der Endkunden die Vertraulichkeit seiner Verbrauchs- Messdaten oder das Erstellen der Rechnungen, und Abrechnungsdaten und deren Korrektheit si- die früher in der Regel in einer Hand lagen, von cherlich vordringliche Schutzbedarfe darstellen. unterschiedlichen Geschäftspartnern (legal un- Das konzeptuelle Modell liefert darüber hinaus bundling) ausgeübt. Damit erlangen die Ge- einen guten Ansatzpunkt, um Abhängigkeiten schäftsbeziehungen zwischen den verschiedenen zwischen Subsystemen zu identifizieren und Do- Teilnehmern am Markt einen immer wichtigeren mänen gegeneinander abzugrenzen. So werden Stellenwert. Das resultierende Smart Grid ist ein beispielsweise im Bereich der Steuerung der komplexes IKT-System, bestehend aus einer Viel- Energieübertragung vielfach SCADA2-Netze ein- zahl heterogener Subsysteme (Hardware und gesetzt, die in Smart Grid-Szenarien nicht mehr Software), die dezentral verwaltet werden, teil- wie bislang noch üblich isoliert betrieben wer- weise nach Bedarf hinzu- und wieder abgeschal- den, sondern vermehrt an das Internet angebun- tet werden und sehr unterschiedliche Anforde- den und darüber mit anderen Subsystemen ge- rungen an die zu gewährleistende Sicherheit be- koppelt sind. Ein Angriff auf ein verwundbares sitzen (mehrseitige Sicherheit). SCADA-System kann sich damit kaskadierend in Abbildung 3 verdeutlicht die Komplexität der In- die angeschlossenen Netzsegmente ausbreiten, frastruktur und die Abhängigkeiten zwischen den bzw. über diese Netze können gezielt Angriffe Subsystemen. Ein solches Smart Grid stellt hohe auf verwundbare SCADA-Systeme durchgeführt Anforderungen an die Qualität der verarbeiteten werden. Die Abbildung veranschaulicht auch, Daten, die zur Steuerung der gesamten Strom- dass die digitalen Zähler (im Bild im Kasten rechts versorgung und der Abrechnung der Leistungen unten als eine Komponente im Bereich der Heim- verwendet werden. Die Abbildung beschreibt das automatisierung) lediglich ein Baustein in dem von der NIST (vgl. [Lee2009]) entwickelte konzep- Gesamtsystem eines Smart Grid sind. Die Abbil- tuelle Modell einer Referenzarchitektur für das dung verdeutlich zudem, dass die Sensoren, Zäh- Smart Grid. Die Abbildung verdeutlicht die ver- ler oder aber auch lokalen Energieerzeugungs- schiedenen Akteure in einem solchen Grid. Bei- Komponenten eines Haushaltes (rechter Kasten spiel für Akteure sind Kunden, Energieversorger, unten) zum einen miteinander mittels Kommuni- Energielieferanten, Energie-Erzeuger, Service- kationstechnologie wie WLAN vernetzt sind und Anbieter, Marktplatzanbieter etc.. Diese Akteure zum anderen über verschiedene Netze an die repräsentieren Rollen, die ähnliche Ziele, einen Außenwelt angekoppelt sind. Ein bidirektionaler ähnlichen Schutzbedarf sowie ähnliche Rechte Datenverkehr ist möglich wie beispielsweise ein und Pflichten haben. Diese konzeptuelle Bünde- Fernzugriff über ein IKT-Netz auf einen Sensor. lung von Aktivitäten zu Rollen ist für eine Sicher- heitsbetrachtung sehr nützlich. Sie ermöglicht es, Schutzbedarfe aus Sicht der unterschiedlichen Akteure zu erfassen. So ist beispielsweise eine hohe Verfügbarkeit, hohe Integrität, Aktualität 1 Mit Energie-Erzeugung ist hier und im Folgenden die Umwandlung von Primärenergie in Nutzenergie 2 gemeint. SCADA: Supervisory Control And Data Acquisition
  • 8. Seite 7 Abbildung 3: Konzeptuelles Modell des Smart Grid (Quelle [Bee2010, Lee2009])
  • 9. Seite 8 3 Sicherheit und Datenschutz teien, Daten kooperativ auszutauschen. Die gel- tenden Datenschutzgesetze verbieten bereits Die Integration von geeigneten Sicherheitsmaß- heute eine Profilbildung des Endverbrauchers nahmen [Eck2009] zur Wahrung der Vertraulich- hinsichtlich seiner Lebensgewohnheiten. Ein keit der ausgetauschten Daten und des Schutzes Smart Grid erfordert somit Lösungskonzepte und der Privatsphäre, aber auch zur Sicherstellung Architekturen, um diese rechtlichen Auflagen zu der Korrektheit, der Vollständigkeit der außer- erfüllen. Dazu ist zu klären, welche Daten über- halb des eigenen Kontrollbereichs verarbeiteten haupt sinnvoll zu erheben sind, wie eine geeigne- Daten sowie die Rechtzeitigkeit der Erbringung te Aggregierung und Anonymisierung zu gestal- der gewünschten Dienstleistungen sind eine un- ten ist und wie durch dezentrale Verarbeitungs- abdingbare Voraussetzung dafür, dass ein sol- schritte eine Profilbildung systematisch verhin- ches Smart Grid funktionsfähig und nutzbar ist. dert werden kann. Für das kooperative Manage- Dies ist notwendig, um von den Verbrauchern ment sind Maßnahmen zu entwickeln, so dass auch akzeptiert zu werden und damit die ge- kritische Daten auch zwischen konkurrierenden wünschten Effekte hinsichtlich Energieeinspa- Unternehmen vertrauensvoll ausgetauscht wer- rung und Umweltschutz erfüllen zu können. den können, um globale Lagebilder zu erstellen, Das Smart Grid muss von Anfang an so konzipiert ohne den Datenschutz zu gefährden. werden, dass es angriffsresistenter als bisherige Infrastrukturen ist, da ein Smart Grid in besonde- 3.1 Rechtliche Rahmenbedingungen rer Weise eine schützenswerte kritische Infra- struktur darstellt, die vielfältige Angriffsziele bie- Das Datenschutzrecht hat bei der Stromversor- tet. Mit der zunehmenden Abhängigkeit von ei- gung bisher eine eher untergeordnete Rolle ge- nem zuverlässigen und robusten Smart Grid für spielt [Ro2010]. Für die Durchführung und Ab- die Versorgungssicherheit steigt die Verletzlich- rechnung der Stromversorgungsverträge wur- keit und Verwundbarkeit durch gezielte Angriffe den nur wenige personenbezogene Daten ver- (Terroranschläge, Hackeraktivitäten, Manipulati- wendet. Insbesondere wurde der Energiever- onsversuche). brauch in der Regel nur einmal jährlich erfasst. Eine Herausforderung ist zudem die systemati- Die Einführung des Smart Grid verursacht jedoch sche Integration von geeigneten Maßnahmen, vielfältige Risiken für die informationelle Selbst- um auch in Ausnahme- und Notfällen das kom- bestimmung sowie für die Entscheidungs- und plexe, vielparametrige System noch zu beherr- die Entfaltungsfreiheit [Cav2010], so dass sich die schen. Die dezentrale Infrastruktur erfordert ko- Bedeutung des Datenschutzrechts enorm erhö- operative Konzepte und eine Kombination aus hen wird [Ro2010b]. Insbesondere die Einführung lokalen und globalen Maßnahmen, deren jeweili- tageszeit- und lastvariabler Tarife und die für die ge Abhängigkeiten und Auswirkungen verstan- Optimierungsbestrebungen erforderliche detail- den und beherrscht werden müssen. Um ein genaue Erfassung der Energieverbrauchswerte rechtzeitiges und teilautonomes Handeln zu er- führen dazu, dass der Umfang der Erhebung möglichen, werden zudem in stärkeren Maß (personenbezogener) Daten erheblich steigen selbstorganisierenden Prinzipien eingesetzt wer- wird. Die Daten werden eine neue Qualität auf- den müssen. weisen, die vor allem in der inhaltlichen und zeit- Der Datenschutz steht häufig im Konflikt zum Be- lichen Nähe zum realen Geschehen sowie in der darf an Daten für die Steuerbarkeit des Energie- Dichte der Angaben liegt, so dass ihnen bei einer verbrauchs. Mangelhafter Datenschutz behindert Auswertung eine erhöhte Aussagekraft zukommt andererseits die Bereitschaft der beteiligten Par- und damit das Risiko der Erstellung von Persön-
  • 10. Seite 9 lichkeitsprofilen steigt. Da die Stromversorgung gen an die Datensicherheit entsprechend dem zudem zu den elementaren Lebensbedürfnissen jeweiligen Stand der Technik normativ gewähr- gehört und praktisch jeder Haushalt, jedes Un- leistet werden. Der verfassungsrechtliche Auftrag ternehmen, jede Behörde und jede öffentliche des Staates erfordert es, die Interessen der All- Einrichtung ständig und dauerhaft Energie be- gemeinheit an einer zukunftssicheren Energie- zieht, wird nahezu jeder Lebensbereich von den versorgung und dem Schutz der Umwelt zu för- Datenerhebungen erfasst. dern und gleichzeitig das individuelle Grundrecht Die Anzahl der beteiligten Akteure, zwischen de- auf informationelle Selbstbestimmung angemes- nen ein Datenaustausch stattfindet, wird vor al- sen zu berücksichtigen. Inzwischen fordern die lem aufgrund der gesetzlichen Vorgaben zur Ent- Datenschutzbeauftragten des Bundes und der flechtung der Energieversorgungsbetriebe und Länder eine gesetzliche Regelung für die Erhe- zur Öffnung des Messwesens anwachsen. bung der Verbrauchsdaten. Schließlich werden aufgrund der Vervielfältigung der Zwecke, für die die Daten zukünftig benötigt 3.2 Technische Rahmenbedingungen werden, die Anzahl der Datenverarbeitungsvor- gänge erheblich zunehmen. Die wesentlichen technischen Rahmenbedingun- Die datenschutzrechtlichen Risiken können nur gen lassen sich wie folgt klassifizieren: durch eine datenschutzkonforme, technische und organisatorische Gestaltung des Energieinforma- • Energiegewinnung aus erneuerbaren Quellen tionsnetzes vermieden oder zumindest gemin- und Energiespeicherung, dert werden. Um eine möglichst hohe Effektivität • Messtechnik zur Online-Erfassung von Ener- zu erreichen, muss diese datenschutzkonforme gieflüssen einschließlich zugehöriger Daten- Technikgestaltung bereits im Entwicklungspro- verarbeitung (zeitliche Verläufe, Statistiken, zess vorgenommen werden. Eine datenschutz- Speicherung), rechtliche Bewertung auf der Grundlage gesetzli- • Kommunikationsinfrastrukturen zur Verbin- cher Einzelfallprüfungen bei gleichzeitig klarer dung von Energieerzeugern, Energieverbrau- Rollenverteilung zwischen verarbeitender Stelle chern (inklusive der Web-Schnittstellen zum und Betroffenen ist vor dem Hintergrund der be- Zugriff auf die persönlichen Energiedaten), sonderen datenschutzrechtlichen Risiken des Messstationen, Energiemanagementsyste- Energieinformationsnetzes nicht mehr realisier- men und -administrationen, bar. Zudem greifen sie in der Schutzintensität für • Energiemanagementsysteme zur dezentralen die informationelle Selbstbestimmung zu kurz. Steuerung (z.B. in einem Unternehmen oder Zur Unterstützung und Ergänzung einer daten- privaten Haushalt) sowie zur übergeordneten schutzgerechten Gestaltung des Energieinforma- Gesamtsteuerung, tionsnetzes sollte der Gesetzgeber Rahmenrege- • Verfahren zur Sicherstellung eines ungestör- lungen vorsehen, die die Chancen der informati- ten Betriebsablaufs bei Teilausfall, vor- onellen Selbstbestimmung trotz der beschriebe- sätzlichen Angriffen oder Katastrophen- nen Risiken erhöhen. Die besondere Schutz- szenarien. bedürftigkeit der Energiedaten könnte durch die Einführung eines Energieinformationsgeheimnis- Ein wichtiges Elemente in der zukünftigen IKT- ses, eine strenge Zweckbindung, die durch zu- Landschaft der Energiebranche ist die kommuni- sätzliche Transparenzanforderungen gestützt kationstechnische Vernetzung, also ein Kommu- wird, sowie gesetzlich manifestierte Anforderun- nikationsnetz [Orl2009], das parallel zum Ener-
  • 11. Seite 10 gienetz für die Übermittlung von z.B. Mess- und täten gesetzt [Li2010]. Benötigt werden Empfeh- Steuerdaten sowie Tarifinformationen sorgen lungen und Handlungsanleitungen für charakte- soll. ristische Einsatzszenarien. Dabei sind zwei Bereiche für die Kommunikation Der zweite Bereich betrifft die Kommunikations- von großem Interesse: netze zwischen dem Energieinformations-Gate- (1) der lokale Bereich beim Kunden, der auch Teil way beim Kunden und einer zentralen Instanz einer Heimautomatisierung sein kann, und des Versorgers, dem Energieinformationsmana- gementsystem. Auch hier gibt es eine Reihe von (2) der Bereich zwischen dem Kunden und dem Optionen wie das Telefonnetz (PSTN, ISDN), DSL- Versorger. Anschluss, Kabelnetz, oder aber auch den Mobil- Das Kommunikations-Gateway stellt das Binde- funk. Auch neue oder heute noch selten einge- glied zwischen diesen beiden Bereichen dar. Es setzte Techniken sind mögliche Kandidatenwie wird als Protokollwandler die Kommunikation Powerline-Übertragung (Nutzung der Stromlei- über diese Grenze hinweg erlauben, gleichzeitig tung), drahtloser Festnetzanschluss (Wireless Lo- aber auch als Filter agieren und die Bereiche ge- cal Loop WLL, WiMAX), Glasfaser direkt in die Nä- geneinander abschotten. Weiterhin könnte dieses he oder ins Haus (Fiber to the X FTTX). Wie für Gateway auch als Plattform für zukünftige Dien- den Heimbereich müssen auch hier Empfehlun- ste dienen. Je nach Gegebenheiten und Erforder- gen und Handlungsanleitungen erarbeitet wer- nissen sind unterschiedliche Architekturen mög- den, um unter Berücksichtigung der jeweiligen lich. So kann ein solches Gateway dediziert einen vorhandenen anlagenspezifischen Eigenschaften Kunden, aber auch mehreren Kunden bedienen, und den Anforderungen eine geeignete Auswahl z.B. in einem Mehrfamilienhaus, oder sogar in ei- und Kombination von Technologien zu treffen. ner Vorfeldeinrichtung untergebracht sein, wie der Trafostation des Energieversorgers, um dann mehrere Häuser abzudecken. Ein solches Gate- 3.3 Organisatorische Rahmenbedingungen way lässt sich zudem nicht nur für den Bereich und Sicherheitsmanagement der Stromversorgung einsetzen, sondern kann im Sinne einer „Multi-Utility Unit“ auch für die Berei- Umfassende Sicherheit ist kein unveränderbarer che Gas, Wasser und Fernwärme zuständig sein. Zustand, der einmal erreicht wird und sich nicht wieder ändert. Insbesondere in sich noch entwi- Die Vernetzung im Heimbereich, also zwischen ckelnden Bereichen wie einem Smart Grid wird Verbrauchsmessung mittels elektronischer Mess- der Betrieb der Netzwerke und IKT-Systeme technik, dem Gateway und eventuellen weiteren ständigen dynamischen Veränderungen unter- Elementen einer Heimautomatisierung, kann mit- worfen sein. Viele dieser Veränderungen betref- tels unterschiedlicher Technologien erfolgen. Zur fen neben Änderungen der Geschäftsprozesse, Auswahl stehen bereits heute verschiedene der IKT, von Fachaufgaben, Infrastruktur und Or- drahtgebunden Technologien, wie M-Bus, Kon- ganisationsstrukturen auch die IT-Sicherheit und nex, LON, oder aber auch die Mitbenutzung der den Datenschutz. Dies gilt insbesondere für die Stromleitung (z.B. Digitalstrom, X10, PLC auf Energieversorgung als nationale kritische Infra- OFDM-Basis), sowie verschiedenste Funktechni- struktur, die angemessene Sicherheitsstandards ken wie Bluetooth, Zigbee, WLAN, Wireless-M- für die nachhaltige, weitere Verbesserung des Si- Bus, oder aber auch Glasfaser (POF) und Frei- cherheitsmanagements der Systeme aller betei- raumoptik (IrDA). Alle diese Techniken haben ihre ligten Parteien benötigt. spezifischen Vor- und Nachteile und in jedem eu- ropäischen Land werden andere Auswahlpriori-
  • 12. Seite 11 Um dauerhaft ein einmal erreichtes bzw. festge- Smart Grid eingesetzt werden können (z.B. Lage- legtes Sicherheitsniveau aufrecht zu erhalten, bild und Health-Monitoring). Zudem werden in muss das Sicherheitsmanagement aktiv betrie- den bisherigen Ansätzen die domänenspezifi- ben werden. Ein mögliches Vorgehensmodell schen Standards wie IEC 62351, ISA SP99, NERC hierzu wird beispielsweise in den IT-Sicherheits- CIP oder domänenspezifische Normen für das Si- prozessen des „PLAN-DO-CHECK-ACT“- Regelkrei- cherheitsmanagement wie VDI/VDE 2182, IEC ses (ISO 27001) beschrieben. Die Umsetzung der 6244 nur unzureichend in die Betrachtung mit Sicherheitsprozesse erfolgt heute unter Berück- einbezogen. sichtigung des Best Practice-Standards ITIL V3 und ist die Basis für das Managementsystem für Informationssicherheit (ISMS) nach ISO 27001. In 4 Stand der Technik der Planungsphase des Sicherheitsmanagements werden Sicherheitsmaßnahmen definiert und Forschung und Entwicklung zur Gewinnung und vorbereitet und ihre konkreten Sicherheitsmaß- Speicherung erneuerbarer Energien erfolgen be- nahmen werden in der Ausführungsphase den reits seit Jahren. Diese Entwicklungen sind nicht jeweiligen systemischen Anforderungen ange- abgeschlossen, werden aber im Folgenden nicht passt bzw. durch neue Maßnahmen bereichert. weiter ausgeführt, da sich das Papier auf IKT- Hier wird entschieden, welche Maßnahmen an- Aspekte beschränkt. Mit der Einführung von IKT- gemessen und für den konkreten Fall effektiv Lösungen für die vernetzten Teilsysteme der wirksam sind. Um derartige Fragen zu beantwor- Energieversorgung wurden und werden den rein ten, werden die Methoden aus dem Risikomana- betrieblichen Anforderungen nach Betriebs- gement verwendet, um letztlich Gegenmaßnah- sicherheit und Systemverfügbarkeit neue Anfor- men zu definieren und Entscheidungen unter derungen hinzugefügt. Wie in vielen anderen Fäl- Abwägung des verbleibenden Restrisikos treffen len überwogen häufig Time to Market-Ziele, und zu können. es wurden durch die neuen Technologien verän- derte Anforderungen übersehen und IT- Die heute verwendeten Methoden des Risikoma- Sicherheit eher vernachlässigt [SP2010]. Spätes- nagements basieren auf Best Practice-Vorge- tens seit dem Ausfall der elektrischen Fernver- hensmodellen und stellen ein Rahmenwerk dar, sorgung im Westen der Vereinigten Staaten von um die Sicherheit und Verfügbarkeit in Energiein- 1996 ist die Notwendigkeit von Sicherungsmaß- formationsnetzen nachhaltig zu gewährleisten. nahmen und der Schutz vor kaskadierenden Ef- Ob diese Normen und Vorgehensweisen auch im fekten allen Betreibern vor Augen geführt wor- Smart Grid anwendbar sind, ist jedoch noch zu den, und die Gesellschaft konnte von der Abhän- klären. So werden durch neue Geschäftsmodelle gigkeit von kritischen Infrastrukturen erfahren Abhängigkeiten, Verantwortungsbereiche und [KO2003]. Schnittstellen und damit auch das jeweilige Risi- komanagement neu zugeschnitten. Zusätzlich Welche Konsequenzen ein gezielter Angriff für entstehen im Smart Grid durch die Kommunikati- den Betrieb schutzloser Anlagen haben kann, onsinfrastrukturen und Energiemanagementsys- zeigt das durch das US-amerikanische Aurora- teme ganz neue und bisher im Risikomanage- Projekt bereits im Jahr 1977 ausgeführte Experi- ment noch nicht erfasste und berücksichtigte ment eines Hacking-Angriffs, der eine gezielte Abhängigkeiten und Anforderungen. Die Metho- Überlastung eines Generators herbeiführte3. Stu- den des Risikomanagements und die dabei ver- 3 wendeten Werkzeuge müssen erweitert werden, so dass sie auch im laufenden Betrieb eines http://www.cnn.com/2007/US/09/26/power.at.ri sk/index.html
  • 13. Seite 12 dien wie [Lu2009] zeigen, dass auch europäische trieautomation, zwei wichtige Dokumente5, die Betreiber ihre Anlagen mittlerweile entsprechend Grundlagen beschreiben und Bewertungsverfah- untersuchen und Konsequenzen ableiten. So ren für IT-Sicherheit in Industrieanlagen vor- sieht ENEL, ein in Italien ansässiger und multi- schlagen. Mit einem weiteren Dokument6 wird national operierender Energieerzeuger, einen versucht, Betreibern Möglichkeiten zur Sicherung deutlichen Handlungsbedarf, die eigenen Anla- der IT-Infrastrukturen ihrer Anlagen an die Hand gen besser gegen zu geben. Sie berücksichtigen jedoch nicht die Problematik der Rückeinspeisung durch Prosu- • Denial of Service-Angriffe auf ihre Internet mer, also von Nutzern, die sowohl Energie- Gateways und das interne Netzwerk der verbraucher als auch -lieferanten sind. Ebenso Produktionsanlagen, wenig werden in diesen Dokumenten die neuen Anforderungen, die sich durch Elektrofahrzeuge • Übernahme von Anlagenteilen durch An- greifer, mittels eingeschleuster Trojaner, und deren Consumer- (Batterie aufladen) und Producer- Verhalten (Batterieleistung zur Verfü- • Manipulation interner Infrastrukturdienste gung stellen) ergeben, oder aber nationale Nor- (z.B. DNS Poisining) , men berücksichtigt. • Ausnutzen bisher unentdeckter Schwach- stellen (zero day exploits) sowie • Angriffe auf das SCADA-Kommunikations- 4.1 Smart Meter und Messtechnik protokoll Durch die Nutzung intelligenter Stromnetze und - zähler soll eine effizientere Energieversorgung zu schützen. Dass derartige Sorgen berechtigt sowie ein transparenteres Abrechnungsmodell sind, hat Mitte 2010 Stuxnet aufgezeigt, ein für die Verbraucher geschaffen werden. Intelli- Wurm, der die Computer von SCADA-Systemen gente Stromzähler sind über öffentliche Netze an (Leitwarten-Technologie) befallen kann, Teilsys- die Kommunikationsnetze der Energieversorger teme gezielt übernahm und außer Betrieb setzte angeschlossen und ermöglichen so einen elek- [Fa2010], [Br2010]. tronischen Datenaustausch. Zudem bieten sie Es kann seit geraumer Zeit beobachtet werden, dem Nutzer eine transparente Verbrauchsanzei- dass eine Reihe von neuen Anstrengungen, so- ge, auf deren Basis er seinen Energieverbrauch wohl national als auch auf europäischer Ebene, steuern und beeinflussen kann. Daher müssen getroffen werden, um neue Lösungen für den in- Smart Meter hohen sicherheitsrelevanten An- novativen und zuverlässigen Betrieb von Anlagen sprüchen genügen. zur Energieversorgung zu entwickeln. Nationales Intelligente Zähler erfassen den Stromverbrauch Beispiel ist das BMWi-Programm E-Energy: IKT- und bereiten die gewonnenen Messwerte zur di- basiertes Energiesystem der Zukunft mit seinen gitalen Verarbeitung und für die Übertragung über Deutschland in Modellregionen verteilten zum Messstellenbetreiber auf. Von dort aus kön- Projekten4. nen sie auch dem Nutzer, beispielsweise mittels In den USA ist diese Entwicklung ebenfalls zu be- Webzugriff, wieder zur Verfügung gestellt wer- obachten. 2007 veröffentlichte die ISA (Internati- den. Dabei werden folgende Informationen von onal Society of Automation), eine der führenden non-profit Organisationen im Bereich der Indus- 5 ANSI/ISA-99.00.01-2007, ANSI/ISA-TR99.00.01-2007 4 6 http://www.e-energy.de/ ANSI/ISA-99.02.01-2009
  • 14. Seite 13 der Messung bis zur Abrechnung verarbeitet (vgl. Rechnung tragen. Für die Datenverarbeitungs- [Sch2010]): systeme ist zudem ein integriertes Datenschutz- und Sicherheitsmanagementsystem aufzubau- • Verbrauchsdaten, die von der Messstelle er- en.“7 fasst und zum Messstellenbetreiber zum Die Sicherheit und Vertrauenswürdigkeit dieser Zwecke der Abrechnung übertragen werden, elektronischen Zähler, die in Deutschland gemäß • Gerätedaten, die zur Erstellung und Über- dem geltenden Energiewirtschaftsgesetz bei mittlung der Verbrauchsdaten notwendig Neubauten und bei Totalsanierungen bereits seit sind und den Nutzer für die Abrechnung Januar 2010 eingebaut werden müssen, ist eben- eindeutig identifizieren, falls noch nicht zufriedenstellend geklärt. So sind • Nutzerdaten, die den Verbraucher kenn- diese Komponenten beispielsweise bidirektional zeichnen und für die Abwicklung der Abrech- mit ihrer Umgebung verbunden. Das heißt, dass nung erforderlich sind oder ihn einen Zugang sie nicht nur die erfassten Daten der von ihnen zu einem möglichen Webinterface beim Be- überwachten Einheiten (Einzelhaushalte, Gebäu- treiber der Messstelle gestatten und de, Liegenschaften) zur Weiterverarbeitung zu • Daten, die Informationen über das zur den Betreibern senden, sondern selber auch di- Abrechnung genutzte System liefern, wie z.B. rekt via Fernzugriff durch die Betreiber gesteuert Verbrauchsumsätze, Systemzustand und To- und beeinflusst (z.B. Stromabschaltung) werden pologie, Zulieferer des Wirksystems oder können. einzelner Geräte, Ausbreitung und geogra- Um sicherzustellen, dass bei der Nutzung von in- phische Verteilung des Systems. telligenten Stromzählern verbindliche Daten- Der Betrieb eines solchen verteilten Abrech- schutz- und Datensicherheitsstandards greifen, nungssystems liegt in der Verantwortung des wurde das Bundesamt für Sicherheit in der In- Betreibers. Verschiedene Untersuchungen haben formationstechnik (BSI) im September 2010 vom gezeigt, dass marktgängige intelligente Zähler Bundesministerium für Wirtschaft und Technolo- ganz erhebliche Sicherheitsprobleme aufweisen. gie (BMWi) damit beauftragt, ein entsprechendes Sie sind nicht manipulationssicher und können Schutzprofil (Protection Profile) zu erstellen. Am aus der Ferne kontrolliert abgeschaltet werden 28. Januar 2011 wurde eine erste Version des [An2010]. Bei den smarten Zählern sind noch ei- Schutzprofils für die Kommunikationseinheit (Ga- nige weitere Grundsatzfragen unbeantwortet. teway) des Messsystems vorgestellt. Kern des Dazu gehören die Fragen nach der Häufigkeit Schutzprofils des BSI ist eine Bedrohungsanalyse und Frequenz der Messungen oder aber nach der sowie eine Beschreibung von Anforderungen zur Granularität der zu erfassenden Parameter. Abwehr dieser Bedrohungen. Derzeit ist geplant, Die 80. Konferenz der Datenschutzbeauftragten das Schutzprofil noch im Jahr 2011 fertig zu stel- des Bundes und der Länder hat auf ihrer Sitzung len. In die Entwicklung eingebunden sind unter im November 2010 eine gesetzliche Regelung für anderem der Bundesbeauftragte für den Daten- die Erhebung, Verarbeitung und Nutzung der schutz und die Informationsfreiheit, die Bundes- durch digitale Zähler erhobenen Verbrauchsin- netzagentur sowie die Physikalisch-Technische formationen gefordert. Die Konferenz der Daten- Bundesanstalt. schutzbeauftragten fordert weiter: „Die Anforde- rungen an den technischen Datenschutz und die IT-Sicherheit sind durch verbindliche Standards 7 festzuschreiben, die der Sensitivität der Daten http://www.datenschutz.hessen.de/k80.htm#ent und den zu erwartenden Missbrauchsrisiken ry3316
  • 15. Seite 14 Multi-Utility, Heimautomatisierung zungsregler, Sonnenkollektoren, aber auch zu- Der digitale Stromzähler ist eine Komponente, künftige Komponenten der Heimautomatisierung deren Einführung vom deutschen Gesetzgeber Daten austauschen können. verpflichtend vorgeben ist. Das angesprochene, Aus der An- und Einbindung der Geräte der in Entwicklung befindliche Protection Profile für Heimautomatisierung versprechen sich die Ex- den Zähler, deckt die Bereiche ab, die durch den perten ein breites Feld für neue Geschäftsmodel- Gesetzgeber zu regulieren sind. Dazu gehört der le und Dienstleistungsangeboten, nicht nur durch Zähler an sich, der eichrechtliche Anforderungen Energienetzbetreiber, sondern auch durch Anbie- zu erfüllen hat, sowie seine Schnittstellen (Gate- ter von Telekommunikationsdiensten, Wasser- way) nach außen und den Sicherheitsanker versorger, etc. Um diese Vielzahl von Geräten zu (Hardware-Modul). Der Zähler besitzt eine unterstützen (multi-utility) sowie zur Anpassung Schnittstelle zu einem Kommunikations-Gateway, von Protokollen, werden Multi-Utility-Controller an das, wie weiter oben bereits ausgeführt, wei- bzw. Gateways eingesetzt. Das Protection Profile tere lokale Geräte der Heimautomatisierung an- bezieht sich nicht auf diese Geräte, die beispiels- geschlossen werden können. Das Smart Metering weise zu komplexeren Energiemanager-Kom- IKT-Gateway (MUC), das vom VDE spezifiziert ponenten erweitert werden können. Beispiele für wird, ist eine solche Gateway-Komponente, mit solche Energiemanager werden derzeit in den E- der, wie in Abbildung 4 aufgezeigt, vorhandene Energy-Projekten des BMWi erarbeitet. Zähler und Sensoren wie Gas-, Wasserzähler, Hei- Abbildung 4: Multi-Utility bzw. Smart Metering Gateway (MUC) (Quelle: RWE)
  • 16. Seite 15 4.2 Kommunikationsinfrastrukturen oder PROFIBUS (Process Fieldbus), die keine Si- cherheitsmaßnahmen wie beispielsweise Ver- Die erforderlichen Kommunikationsinfrastruktu- schlüsselung anbieten. SCADA-Systeme haben ren müssen nicht komplett neu konzipiert wer- sich von ursprünglich sehr stark isoliert betriebe- den. Hier kann auf den existierenden vergleichs- nen Netzen zu offenen Systemen weiterentwi- weise technologisch hohen Stand der Kommuni- ckelt, die mit Standard Soft- und Hardware, so- kationstechnik aufgebaut werden wie z.B. digi- genannte COTS9-Produkte, betrieben werden, tale Anschlussnetze (DSL-Techniken), Mobilfunk- über offene Kommunikationsstandards kommu- netze der 2. und 3. Generation, lokale Funknetze, nizieren und an das Internet angeschlossen sind. Sensornetze, lokale Rechnernetze (LAN) und das Für die Internet-Anbindung werden spezielle Ga- Internet. teway-Komponenten verwendet, die die Schnitt- Demgegenüber sind Neuentwicklungen erforder- stelle zwischen den Feldbus-basierten SCADA- lich zur Vernetzung der (Strom)verbrauchenden Protokollen und dem Internet-Protokoll (IP) reali- Geräte (z.B. über das Stromnetz selbst, die so ge- sieren. Zu ihren Aufgaben gehört die Umsetzung nannte “Powerline Communication”) und für die zwischen den unterschiedlichen Protokollfamilien Übertragung von Steuerdaten in den bestehen- (Feldbus, IP) sowie auch die Zwischenspeicherun- den Kommunikationsinfrastrukturen, damit die gen der Daten, um die Performanz der Gateways Übertragung sicher und robust ist und die erfor- zu erhöhen. Durch diese Ankopplung an IP- derlichen Steuerungsaufgaben vertrauenswürdig basierte Netze sind SCADA-Systeme damit den und zeitgerecht erfolgen können. Dies zielt insbe- üblichen Gefährdungen derartiger Netze ausge- sondere auf die Absicherung von SCADA- setzt. Systemen ab, die wichtige Bestandteile eines Da SCADA-Netze ursprünglich in isoliert betriebe- Smart Grid sind (siehe Abbildung 3). nen Kontrollbereichen zum Einsatz kamen, wo weniger die Sicherheit als die Echtzeit- und Leis- tungsfähigkeit der Systeme eine Rolle spielte, SCADA-Netze wurde weitestgehend auf die Integration von Si- SCADA-Netze werden in der Leittechnik zur cherheitsmaßnahmen in derartige Systeme ver- Überwachung von Anlagen, Versorgungsleitun- zichtet. Klassische Sicherheitskonzepte, wie man gen etc. eingesetzt. Dazu werden Sensoren und sie in der herkömmlichen Business-IT findet, wie Aktoren so vernetzt, dass diese über das Feldbus- starke Zugangs- und Zugriffskontrollen, Firewalls basierte SCADA-Netz8 mittels eines PCs oder Pro- und Einbruchserkennungsverfahren (Intrusion grammable Logic Controller (PLC) gesteuert und Detection) oder aber auch Logging- und Monito- kontrolliert werden. Derartige Systeme müssen ring-Verfahren, kommen in SCADA-Systemen häufig Daten in Echtzeit verarbeiten, sind in der nicht oder nur sehr eingeschränkt zum Einsatz. Regel ressourcenbeschränkt (wenig Speicher, Da die Daten in Echtzeit verarbeitet werden müs- wenig CPU-Leistung) und werden in hochsicher- sen, führen Filterungen und aufwändige Kontrol- heitskritischen Umgebungen betrieben. Die len oder Ver- und Entschlüsselungsoperationen SCADA-Systeme verwenden eigene Protokollfa- zu Verzögerungen, die wiederum für die Be- milien zur Kommunikation, wie CAN (Controller triebssicherheit der Systeme problematisch sind Area Network), CIP (Common Industrial Protocol) und deshalb in der Regel nicht eingesetzt wer- den. Häufig wird zudem ganz bewusst auf starke Maßnahmen zur Authentisierung des Bedienper- 8 Es gibt über 150 meist proprietäre Protokolle in die- sem Bereich, jedoch werden zunehmend offene 9 Protokollstandards eingesetzt. Commercial of the Shelf
  • 17. Seite 16 sonals an den Kontroll-Systeme verzichtet, und digitalen Zähler bereits ausgeführt haben. Eine es werden Passwort-basierte Verfahren einge- ausführliche Taxonomie möglicher Angriffe auf setzt, um den gefürchteten Lock-out-Effekten zu SCADA-Netze findet sich u.a. in [Igu2006]. begegnen. Diese Effekte beziehen sich auf opera- tive Notsituationen, in denen das Bedienpersonal 4.3 IKT-gestützte Energiemanagement- sehr schnell eingreifen und mit entsprechenden systeme Steuerungskommandos die in Echtzeit betriebe- nen Anlagen abschalten oder andere Notfallmaß- Im Gegensatz zur Kommunikationsinfrastruktur nahmen vornehmen muss. Das Personal muss existieren Energiemanagementsysteme, wie sie sehr schnell einen direkten Zugriff auf die Anlage in einem Smart Grid notwendig sind, bislang haben; Verzögerungen durch vergessene lange nicht. Erste systemische Lösungen werden der- Passworte, nicht verfügbare Zugangstoken wie zeit im Rahmen des BMWi E-Energy-Programms Smartcards, versagende biometrische Authenti- erstellt. Ein solches Management findet auf ver- sierungen etc. werden häufig als zu hohe Risiken schiedenen Ebenen statt. Bereits in den einzelnen eingestuft. Verbesserte Authentisierungsverfah- Privathaushalten sind lokale Managementsyste- ren, die auch in den sehr zeitkritischen Notsitua- me erforderlich (vgl. Abbildung 5), um die Ener- tionen zuverlässig funktionieren, werden also gie-Ströme im Haushalt zu steuern und ressour- dringend benötigt. censparend einzusetzen. Verzögerungen werden auch durch Firewalls, die Die Privathaushalte werden in lokalen Manage- Daten filtern, verursacht. Darüber hinaus müss- ment-Zentren zusammengeführt und koordi- ten sie auch noch auf die oben genannten spe- niert. Diese regionalen Zentren müssen unterein- ziellen SCADA-Protokolle zugeschnitten werden ander sowie mit überregionalen Zentren koordi- und kontinuierlich, z.B. per Fernadministration, niert zusammen arbeiten. Noch schwieriger und aktualisiert werden. Dies eröffnet wiederum An- komplexer wird das Szenario, wenn das Ener- griffsmöglichkeiten. SCADA-Systeme erfordern giemanagement über Landesgrenzen hinweg Echtzeitfähigkeit und verfügen in den beteiligten funktionieren muss. Auf europäischer Ebene Sensoren häufig nur über sehr geringe Speicher- muss dafür die bereits bestehende Vielzahl ver- und Rechenressourcen sowie über geringe Da- schiedener Arten der Energieerzeugung geeignet tenraten bei der Übertragung, so dass auf eine eingebunden werden. So verwendet Norwegen Datenver- und Datenentschlüsselung in der Regel vorwiegend Wasserkraft, Deutschland setzt einen verzichtet wird. Es werden also keine gesicherten hohen Anteil erneuerbarer Energien ein10, Frank- Kommunikationskanäle zwischen den Kompo- reich besitzt einen hohen Anteil an Atomenergie, nenten eines SCADA-Netzes etabliert, so dass während Polen ausschließliche fossile Brennstof- keine Komponentenidentifizierung stattfindet fe nutzt. Die komplexen Systemstrukturen, aber und Daten abgehört, verändert oder auch neue auch die unterschiedlichen Anforderungen an die Daten eingeschleust werden können. Darüber Erfassung, Auswertung sowie Speicherung von hinaus fehlen auch Lösungen für ein effizientes, Daten, der Umfang der Datenflüsse und ihre automatisiert durchführbares Schlüsselmanage- Echtzeitanforderungen sowie die erforderlichen ment. Die Sensorik eines SCADA-Systems wird Regelkreise erfordern ein überaus umfangreiches häufig in Umgebungen eingesetzt, in denen ein potentieller Angreifer physischen Zugriff auf die 10 Komponenten erhält. Somit ergeben sich hier Vgl. http://www.erneuerbare- energien.de/files/pdfs/allgemein/application/pdf/ee analoge Anforderungen an die Sicherheit derar- _in_deutschland_update_bf.pdf tiger Sensoren, wie wir sie im Speziellen für die
  • 18. Seite 17 verteiltes System. An dieses Managementsystem den sind. Obwohl es in verwandten Anwen- werden höchste Anforderungen gestellt, die nicht dungsgebieten ähnliche Systeme bereits gibt, nur technischer Natur sind. Zu dessen Entwick- wie z.B. integrierte Produktionssteuersysteme, lung werden detaillierte Kenntnisse der Informa- Verkehrsmanagementsysteme (Luftfahrt, Bahn- tik, Informationsverarbeitung, Steuerungs- und systeme, Flottenmanagement) oder Logistiksys- Regelungstechnik sowie der Hardware- und Soft- teme (Supply Chain Management, Event Mana- ware-Systemtechnik erforderlich sein. gement), stellt das Smart Grid sehr viel komple- Ebenfalls spielen juristische und ökonomische xere und weitreichendere Anforderungen, so Fragestellungen eine große Rolle, so dass Juristen dass die bekannten Systeme nicht direkt nutzbar und Wirtschaftsinformatiker bzw. Betriebswirte sein werden. frühzeitig in den Prozess der Entwicklung der Insbesondere im Bereich der Sicherheit und des Managementsysteme des Smart Grid einzubin- Datenschutzes ergeben sich höhere Anforderun- Abbildung 5: Energiemanagementsysteme in Privathaushalten (Quelle: Siemens AG)
  • 19. Seite 18 gen als in den oben genannten verwandten Sze- Die IKT-Infrastruktur und die Managementsys- narien. Grund sind die Charakteristika des Smart teme des Smart Grid müssen deshalb frühzeitig Grid wie Heterogenität und Vielzahl der beteilig- auch auf solche Anwendungsszenarien vorberei- ten Parteien, die Dezentralität der Verwaltung, tet werden und Maßnahmen vorsehen, um äu- die Sensibilität der erfassten Daten etc.. Gleichzei- ßerst sicherheitskritische und datenschutzrele- tig müssen Sicherheit und Datenschutz die be- vante Mehrwertdienste in Zukunft unterstützen sonderen betrieblichen Anforderungen von tradi- zu können. Neben der klaren Trennung von Da- tionell autark betriebenen Anlagenteilen berück- ten, die für unterschiedliche Dienstleistungen er- sichtigen. hoben, übermittelt und verarbeitet werden Bestandteil der Energiemanagementsysteme sind (Zweckbindungs- und Datensparsamkeitsprinzi- die Energiemarktplätze, über die im zukünftigem pien des Datenschutzes), dem Einsatz starker En- Smart Grid Mehrwertdienste angeboten werden. de-zu-Ende-Verschlüsselungskonzepte für die Mehrwertdienste werden in Zukunft nicht nur vertrauliche Übermittlung der Daten, werden flexible Tarifmodelle umfassen, sondern sehr viel insbesondere auch starke Verfahren zur wechsel- weiter reichende Dienste bzw. ganze Dienstleis- seitigen Identifizierung der Akteure und nicht- tungsbündel (Packages) abdecken. Über die Mul- umgehbare, auditierbare, rollenbasierte Zugriffs- ti-Utility Gateways kann die gesamte Heimauto- kontrollen erforderlich sein. Die Identifizierung matisierung in die Entwicklung neuer Geschäfts- und Authentisierung der Akteure bezieht sich modelle u. a. für Telekommunikationsanbieter dabei sowohl auf die so genannte Maschine-zu- einbezogen werden, so dass beispielsweise eine Maschine-Kommunikation (M2M), bei der sich Ge- Fernsteuerung der heimischen Geräte über Mo- räte, Dienste, Plattformen identifizieren und als biltelefone ermöglicht wird. korrekt ausweisen müssen, als auch auf die Iden- tifizierung der agierenden natürlichen Personen Ein sehr großes Potential wird im Bereich der Ge- bzw. der Rollen, in denen sie aktiv sind. Digitale sundheitsversorgung und der IKT-gestützten Ausweisdokumente mit integrierten Identifizie- Pflege bei der Unterstützung von älteren und rungsfunktionen wie der neue Personalausweis mobilitätseingeschränkten Personen im Sinne (nPA) oder die elektronische Gesundheitskarte des Ambient Assisted Living gesehen. Zum Hin- (eGK) und der Heilberuflerausweis (HBA) (vgl. tergrund: In Deutschland ereignen sich mehr als [Eck2009]), wie sie in Deutschland entwickelt und 70% aller medizinischen Zwischenfälle und Unfäl- zum Teil bereits ausgerollt werden, könnten hier- le im eigenen Haushalt. In der Gruppe der Betrof- für eine Vorreiterrolle einnehmen und die euro- fenen sind mehr als die Hälfte über 65 Jahre alt, päische Standardisierung prägen. Konkrete die in privaten Haushalten häufig alleine leben. Schritte in dieser Richtung sind den Autoren des Das Smart Grid zusammen mit seinen Marktplät- Papiers jedoch bislang nicht bekannt. zen wird eine umfassende und flächendeckende IKT-Infrastruktur zur Verfügung stellen, die in ei- nem weiteren Schritt auch für medizinische Un- 4.4 Normungsaktivitäten terstützungsdienstleistungen genutzt werden könnte. In solchen Szenarien werden eine Viel- Das NIST-Papier [EPR2009] hat unter anderem 14 zahl hochsensibler Daten ausgetauscht. Über z.B. zentrale Themenbereiche identifiziert, in denen Fernzugriffe durch medizinisches Personal, wie neue oder überarbeitete Standards benötigt Notfallpraxen, könnten darüber hinaus auch di- werden. Der Bereich IT-Sicherheit wird hierbei rekte Eingriffe in die Abläufe in einem Privat- besonders hervorgehoben. Dies greift das DKE- haushalt vorgenommen werden, indem spezielle Papier [DKE2010] auf und entwickelt Empfehlun- Sensoren an- und abgeschaltet werden etc.. gen für eine Normungsroadmap für die Themen
  • 20. Seite 19 Abbildung 6: Referenzarchitektur der Smart Meters Coordination Group (Quelle [DKE2010]) IT-Sicherheit und Datenschutz. Hierbei wird Mit den Common Criteria steht ein solcher inter- ebenfalls auf die entstehenden Zielkonflikte zwi- national anerkannter Bewertungskatalog bereits schen dem Datenschutz mit dem Ziel der Daten- zur Verfügung. sparsamkeit einerseits und den Stakeholdern an- Weltweit wird bereits jetzt mit hohem Druck an dererseits, die möglichst viele Informationen zur der Entwicklung von Roadmaps und Frameworks Bereitstellung von Mehrwertdiensten benötigen, für Smart Grid-Systeme und -Infrastrukturen ge- hingewiesen. Weiterhin wird gefordert, dass IT- arbeitet. Der Fokus der bislang vorangetriebenen Sicherheit als Kernthema bei der Architekturent- Aktivitäten lag auf der Entwicklung funktionaler wicklung betrachtet werden muss. IKT-Infrastrukturen und Komponenten [Jav2010]. Wesentliche Themen, die identifiziert werden, be- Die Frage der Sicherheit, Robustheit und Verläss- treffen rollenbasierte Zugriffskontrolle, Identi- lichkeit einer solchen Infrastruktur spielte bis- tätsmanagementfragen sowie die sichere Kom- lang, auch international, nur eine untergeordnete munikation. Zudem wird ein Bewertungssystem Rolle. Angesichts der immer stärker zu Tage tre- gefordert, so dass die Vergleichbarkeit und An- tenden Risiken durch Angriffe auf solch ein Ener- wendbarkeit von Sicherheitslösungen möglich ist. gieinformationsnetz werden aber u.a. in den USA
  • 21. Seite 20 bereits massive Anstrengungen unternommen, te Chancen für die deutsche Wirtschaft gesehen, um die Sicherheit der Energienetze zu gewähr- die kommenden Standards mit zu prägen. leisten. So befassen sich verschiedene Standardi- Der skizzierte Stand der Technik hat gezeigt, dass sierungsgremien (wie das US National Institute of im Bereich der Sicherheit und des Datenschutzes Standards and Technology NIST) derzeit haupt- noch ein erheblicher Nachholbedarf besteht. Bei sächlich mit der Erarbeitung von Anforderungs- der Konzipierung und Umsetzung eines Smart spezifikationen [Lee2009], [NIST2010], [Mc2009], Grid müssen Sicherheits- und Datenschutzfrage- [Khu2010]. stellungen von Anfang an einbezogen werden, da eine Nachbesserung nur Stückwerk erzeugt, Europäische Standardisierung mit hohen Kosten verbunden ist und lückenhaft bleiben wird. Um einen Europaweit einheitlichen Standard für Smart Metering-Infrastrukturen zu erhalten, hat die Europäische Union den Organisationen ETSI, 5 Ausgewählte Angriffsszenarien CEN und CENELEC ein Mandat zur Ausarbeitung von Standards erteilt11. Die diesen Standardisie- Das Smart Grid der Zukunft wird vielfältigen Be- rungsbemühungen zugrunde liegende Referenz- drohungen und Angriffen ausgesetzt sein (vgl. architektur ist in Abbildung 6 dargestellt (vgl. u.a. auch [Mc2009, Khu2010, Bee2010]). Eine US- [DKE2010]). Das Ziel der Standardisierung ist es, amerikanische Studie aus dem Jahr 2008 kommt Normen festzulegen, um eine Interoperabilität zu zu dem Ergebnis „the energy sector is most vul- gewährleisten. Die Normungsarbeiten werden nerable to cyberattack“. Nachfolgend werden ei- sich auf sechs Bereiche beziehen: nige allgemeine Angreiferklassen skizziert. Die (1) Das Auslesen von Messwerten, offenen, dezentralen Architekturen der zukünfti- (2) die bidirektionale Kommunikation zwischen gen Smart Grids vergrößern die potentiellen IT- Zähler und Marktteilnehmer, Angriffsflächen und eröffnen Angreifern neue und „attraktivere“ Möglichkeiten des direkten (3) die Unterstützung unterschiedlicher Tarifmo- Manipulierens und Eingreifens. delle und Zahlungssysteme, Angriffspunkte und Schwachstellen ergeben sich (4) die Zählerfernabschaltung und der Versor- unter anderem durch eine Vielzahl von ungenü- gungsstart und das -ende, gend abgesicherten Smart Metern [Hei2009, (5) die Kommunikation mit Geräten der Heimau- Law2010], die als Massenprodukte in Haushalten, tomatisierung und Gebäuden, Anlagen ausgerollt werden. Das dritte (6)das Display zum Anzeigen der Zählerstände in Energiepaket, das das Europäische Parlament im Echtzeit. April 2009 verabschiedet hat, empfiehlt, dass 80% aller Energiekunden bis 2020 Smart Meter Diese Normierungsaktivitäten stecken noch in haben sollen. Durch die Vernetzung, mit der den Anfängen. Mit zeitnahen Entwicklungen von Möglichkeit der Fernzugriffe auf Komponenten deutschen Referenzaktivitäten, wie dem Protec- und Systeme (die z.B. zur kostengünstigen und tion Profile für Smart Meter, könnte Deutschland effizienten Fernwartung sehr erwünscht sind), in dieser Phase starken Einfluss auf die europäi- ergibt sich eine Vielzahl mangelhaft abgesicher- schen Normierung nehmen. Hier werden sehr gu- ter offener Zugangspunkte, wodurch sicherheits- kritische Zugriffe auf die Netze/Komponenten des Smart Grid möglich werden. Drittanbieter 11 können ihre Mehrwertdienste in die Energie- EU Mandat M/441
  • 22. Seite 21 marktplätze einbringen, jedoch fehlen derzeit Si- rechnung, Mehrwertdienste etc.) gekoppelt. Es cherheits-APIs, einfache Test-Suiten etc., mit de- besteht die Gefahr, dass die bekannt anfälligen nen die Qualität der Dienste, insbesondere deren Business-IT-Systeme durch mangelhafte Über- Vertrauenswürdigkeit, technisch geprüft werden wachungen und Isolierungen den gesicherten kann. Die Bereitstellung unsicherer Mehrwert- Betrieb von Versorgungsnetzen und Energiema- dienste, bei deren Nutzung sensitive Kundenda- nagementsystemen bedrohen. ten verarbeitet werden, birgt die Gefahr des Da- Schwachstellen und Bedrohungen werden durch tenmissbrauchs und der unberechtigten Weiter- Angreifer ausgenutzt, die versuchen, ihre jeweili- gabe von Daten (Data Leakage), so dass sich gen Ziele zu erreichen. Ein Smart Grid stellt ein Gefährdungen der Vertraulichkeit und der Pri- attraktives Angriffsziel dar, so dass zu erwarten vatheit sowie Compliance und Haftungsprobleme ist, dass insbesondere terroristische und kriminell ergeben können. motivierte Angriffe zunehmen werden. Nachfol- Es ist aus Kostengründen naheliegend, dass man gend sind einige mögliche Angreifer-Klassen für die Kommunikationsinfrastruktur zumindest aufgelistet. in Teilen auf das bestehende Internet zurückgrei- fen wird und dass man zur durchgängigen und (1) Cyber-Terrorist effektiven Verarbeitung von Energiedaten in dem komplex vernetzten System versuchen wird, die Die Palette der möglichen Angriffe ist vielfältig. Internet-Protokoll Familie IP als gemeinsame Pro- Das nachfolgende Zitat verdeutlicht das Potential, tokollschicht zu etablieren. Den Vorteilen einer auch wenn die skizzierten Szenarien so in einheitlichen Vorgehensweise stehen zum einen Deutschland derzeit nicht auftreten: "Plant die bekannten Sicherheitsschwächen der Internet control networks (and their programmable logic Protokolle (IP Protokolle) gegenüber. Hierfür gibt controllers) should be disconnected from the In- es aber einige Lösungsansätze, die auch im Smart ternet," said Peter Zatko, technical director of the Grid verwendbar sind. Besondere Bedrohungen national intelligence research unit at BBN Tech- ergeben sich zum anderen aus der IP-basierten nologies. "These are the things lifting and lower- „Monokultur“, die eine schnelle, ungehinderte ing the plutonium rods into the water to make Ausbreitung von Schadenssoftware (Malware) steam...It's on the Internet. This is terrifying." wie Würmer und Viren begünstigt, so dass die Die möglichen Angriffspunkte für terroristische Verfügbarkeit von Diensten und Komponenten Angreifer sind bereits Gegenstand internationa- beeinträchtigt, gefälschte Daten in Umlauf oder ler Fachkonferenzen, wie der erste Cyber- aber auch gezielte Sabotage-Aktionen durchge- Security Gipfel in 2010 verdeutlicht. Auf dem Gip- führt werden können. fel haben Experten realistische Angriffe disku- Das Smart Grid wird IKT-basierte Systeme mit tiert, bei denen Angreifer versuchen, gezielt ge- physikalischen Komponenten zu den so genann- fälschte Daten einzuschleusen, um z.B. die Ener- ten Cyber-Physical Systems verbinden. An der gieversorgung bei sicherheitskritischen Anlagen Schnittstelle zwischen physischen und IKT- zu stören. Überwachungsnetze (z.B. SCADA gestützten Systemen werden neue Schwachstel- [Igu2006]) können manipuliert werden, um die len und Verwundbarkeiten auftreten, die für ge- Weitergabe von Daten zu verzögern, oder durch zielte Angriffe, wie Denial-of-Service, terroristi- falsche Daten Notfallszenarien wie das Abschal- sche Attacken etc. ausgenutzt werden können. ten oder Herunterfahren von Anlagen auszulö- Mit dem Smart Grid werden Energieversor- sen. Die Verfügbarkeit von Diensten kann gezielt gungsnetze und Netze, die vordringlich zur Ab- gestört werden durch so genannte Denial of Ser- wicklung von Business-IT verwendet werden (Ab- vice-Angriffe, z.B. durch das Etablieren von Bot-
  • 23. Seite 22 Abbildung 7 Angriffspfad des Stuxnet-Virus Netzen [Sto2009], um gezielte Stromausfälle mit steme zunehmend gefährdet sind. Der Stuxnet- hohen volkswirtschaftlichen Schäden herbei zu Angriff verlief in mehreren Stufen, wobei in der führen. Bereits 2009 hatte der Sicherheitsspezia- ersten Stufe unter Ausnutzung klassischer An- list Mike Davis auf der Black Hat Konferenz mit griffsmethoden Schwachstellen in Windows-PCs einer Simulation demonstriert, dass innerhalb ausgenutzt und diese PCs mit dem Virus infiziert von 24 Stunden 15 000 Smart Meter von einem wurden. Auf diesem Weg wurden dann auch PCs Wurmprogramm infiziert werden und damit auch infiziert, die zur Programmierung von PLCs (Pro- von dem Angreifer kontrolliert werden können. cess Control Systems) verwendet werden. Da mit Ferngesteuerte Smart Meter, die in einer Größen- derartigen PCs Kontrollprogramme für Steuerge- ordnung von tausenden Geräten durch einen sol- räte (PCLs) erstellt werden, deren Programmcode chen Angriff zu einem Zeitpunkt an- oder abge- dann auf die eigentlichen Steuergeräte geladen schaltet werden, können die Stabilität eines gro- und ausgeführt wird, ist hier der kritische Schritt ßen Bereichs des Versorgungsnetzes massiv erfolgt. Beim Stuxnet-Angriff wurden die Steuer- beeinträchtigen und damit die Versorgungssi- geräte, wie eine SIMATIC, also nicht selbst infi- cherheit ganzer Regionen gefährden. ziert, sondern es wurde ein Programmcode auf Die IT-Systeme können somit ihrerseits als „Tat- die Rechner geladen, der Steuerbefehle enthielt, waffen“ genutzt werden, um Sabotage-Angriffe die die Betriebssicherheit der durch die PCs ge- durchzuführen, die zum Beispiel die physikalische steuerten Anlagen gefährdet haben. Eine detail- Zerstörung von Komponenten durch Steuerungs- lierte Darstellung des Angriffs und seiner Konse- Komponenten (z.B. Überhitzen, Fluten etc.) zum quenzen für Energieversorgungsnetze und ähnli- Ziel haben können. Der Stuxnet-Wurm (vgl. Ab- cher Netze ist in dem technischen Bericht [Br10] bildung 7), der im Sommer 2010 iranische Atom- zu finden. kraftwerke bedroht hat, war ein markantes Sig- nal dafür, dass sicherheitskritische Infrastruktu- ren wie industrielle Kontrollsysteme, PCSs (Process Control Systems) oder auch SCADA-Sy-
  • 24. Seite 23 (2) Endkunde/Bürger als Täter kontrollieren und um auf dieser Basis erpresseri- sche Geldforderungen zu stellen. Weitere Beispie- Digitale Zähler und andere Komponenten des le kriminell motivierter Angriffe sind das wider- Smart Grid werden direkten physischen Angrif- rechtliche Akquirieren von sensitiven Verbrau- fen ausgesetzt sein, da sie leicht zugänglich sind. cherinformationen und deren Verkauf. Zählerkomponenten und Vernetzungsinfrastruk- turen können zum einen Ziel von Manipulations- Neben diesen direkten Angriffen auf die ITK- angriffen durch die Kunden des Smart Grid sein. Infrastruktur mit den unmittelbaren Problemen Zum anderen können sie von den Endkunden ge- für die Versorgungssicherheit etc. können krimi- zielt dazu missbraucht werden, um andere Betei- nelle Angriffe, die nicht direkt gegen die Infra- ligte zu schädigen. So können digitale Zähler, die struktur gerichtete sind, negative Auswirkungen in Privathaushalten direkt physisch zugreifbar auf das globale Energieversorgungssystem ha- sind, von deren Besitzern gezielt manipuliert ben. So haben die im Januar 2011 publik gewor- werde, um die eigenen Verbrauchsdaten zu ver- denen Angriffe, bei denen Kriminelle durch einfa- ändern. Die Energieinformations-Infrastrukturen, che Phishing-artige Angriffe bis zu zwei Millionen können zudem gezielt genutzt werden, um Ener- Emissionsberechtigungen im Wert von 28 Millio- giedaten und Nutzungsprofile Dritter (Mieter, nen Euro gestohlen haben sollen, dazu geführt, Nachbarn etc.) auszuspähen. Angreifer können dass der Handel mit diesen Rechten vorüberge- aber auch versuchen, sich geldwerte Vorteile (Be- hend ausgesetzt wurde. Dies hatte erhebliche fi- trug) zu verschaffen, indem sie beispielsweise nanzielle Schäden zur Folge. Mangelnde Identi- manipulierte Daten, die eine Energieeinspeisung tätsüberprüfungen und andere mangelhafte Si- vorgeben, in das Netz einbringen. Denkbar sind cherheitsvorkehrungen sowie fehlendes Sicher- auch Angriffe, wie das „Umleiten“ von Ver- heitsbewusstsein bei den verantwortlichen Stel- brauchsdaten auf andere Nutzer, so dass deren len (aufgrund einer manipulierten E-Mail haben Konto belastet wird. Das sind Ausprägungen von sie sich beispielsweise massenhaft bei einem ge- Angriffen, die auf einen Identitätsdiebstahl hin- fälschten Server mit ihren jeweiligen Zugangsda- aus laufen. Da die Kommunikationsverbindung ten neu registriert) waren die Ursache dieser zwischen den Zählern und den Managementsys- massiven Diebstähle. temen bidirektional ist, kann man auch versu- chen, von außen die Zähler fremder Personen zu (4) Mitarbeiter/Dienstleister manipulieren, z.B. durch eine gezielte Sabotage Mitarbeiter von Infrastrukturbetreibern oder de- durch Missbrauch der Infrastruktur, um beispiels- ren Dienstleister könnten beispielsweise klassi- weise unautorisiert eine Stromabschaltung bei schen Social Engineering-Angriffen ausgesetzt Dritten herbei zu führen. werden. Über USB-Sticks, E-Mail-Attachements oder manipulierte Web-Seiten könnte versucht (3) Organisierte Kriminalität werden, Schadsoftware auf PCs/Notebooks und Da ein Smart Grid eine Vielzahl von geldwerten anderen Endgeräten von Service-Mitarbeitern Objekten und Informationen verwaltet, wird es einzuschleusen. So hat ein Experte auf der RSA ein lukratives Angriffsziel für die organisierte Conference 2009 einen Einbruch in ein Kraftwerk Kriminalität werden. Beispiele für Angriffe, mit demonstriert, indem ein Kernkraftwerks-Mitar- denen sich Geld verdienen lässt, umfassen den beiter durch Social Engineering dazu gebracht Diebstahl von Leistungen wie zum Beispiel die wurde, einen Link in einer E-Mail anzuklicken, so kostenlose Energienutzung, die preiswerte Ein- dass Schadsoftware auf den PC des Mitarbeiters richtung von Bot-Netzen, um das Smart Grid zu geladen wurde. Durch diese Manipulation erlang-
  • 25. Seite 24 te der Angreifer Zugriffsrechte an Kernkraft- lichen Gründen ideal, widerspricht aber dem Be- werks-internen Wartungsdiensten, die dem Mit- darf von Betreibern an möglichst vielen Informa- arbeiter zugänglich waren. tionen über Verbrauchs- bzw. Nutzungsprofilen, Durch Phishing-Angriffe könnten Angreifer ver- um diese in Mehrwertdienstleistungen zu ver- suchen, sich Zugangsdaten von Mitarbeitern an- markten. zueignen und sich unter der gefälschten Identität des Mitarbeiters einen nicht-autorisierter Zugang zu beschaffen. Der oben bereits angesprochene 6 Forschungsbedarf Diebstahl von Passwörtern für Emissionskonten Wie dargestellt, umfasst ein Smart Grid eine Viel- deutscher Unternehmen12 ist ein weiteres Beispiel zahl von Sensoren wie Smart Metern zur Daten- von Social Engineering-Angriffen. Unsicher kon- erfassung und zur Überwachung, die in nicht- figurierte Remote-Zugänge für die Fernwartung vertrauenswürdigen Umgebungen sowohl in Pri- von Netzen eröffnen für Angreifer die Möglich- vathaushalten als auch in gewerblich betriebe- keit, unter der Identität des berechtigten Mitar- nen Gebäuden und Liegenschaften als Massen- beiters den Fernzugriff z.B. auf Privathaushalte produkt zum Einsatz kommen werden. Die Geräte oder aber auch auf Service-Einrichtungen durch- sind in der Regel unbeschränkt zugänglich, so zuführen und beispielsweise Daten zu manipulie- dass erhebliche Probleme durch diesen direkten ren. physischen Zugriff auftreten. Durch die starke Die skizzierten Angriffe stellen lediglich einen Dezentralisierung durch die Anbindung von Mik- Ausschnitt der möglichen Bedrohungen dar. Die- ro BHKWs, Elektro- und Hybridfahrzeugen, er- se sind in systematischer Weise zu erfassen und neuerbaren Energiequellen etc. kommt es zu zu bewerten. Dazu ist es erforderlich, charakte- Kontrollverlusten der Netzbetreiber. Die Ener- ristische Einsatzszenarien und Systemarchitek- giemanagementplattformen sind offene Markt- turen zu identifizieren und anhand derer eine plätze, in die Mehrwertdienste durch Dritte dy- Bedrohungs- und Risikoanalyse durchzuführen. namisch eingebunden werden und über Cloud- Weiterführende, vertiefende Arbeiten sind erfor- Dienste IT-Dienstleistungen durch Dritte erbracht derlich, um anhand charakteristischer Szenarien werden. derartige Analysen durchzuführen, Sicherheits- Die Problembereiche im Smart Grid sind sehr konzepte zur Absicherung der Architekturen zu vielschichtig. Es müssen unterschiedliche, skalie- entwerfen und Handlungsempfehlungen für de- rende und auf die jeweiligen Anforderungen zu- ren Umsetzung in realen Einsatzszenarien zu ge- geschnittenen Lösungskonzepte entwickelt, in ih- ben. Für derartige Szenarien sind die unter- rem Zusammenspiel analysiert und in eine Ge- schiedlichen Interessen der beteiligten Parteien samtsystem-Lösung sicher integriert werden. Es zu erfassen, und es sind Architekturausprägun- gibt zwar bereits eine Vielzahl von Einzellösun- gen zu entwerfen, die den zum Teil widersprüch- gen und Schutzmechanismen, die jedoch noch lichen Anforderungen der Marktteilnehmern nicht so nahtlos in die Systeme des Smart Grid in- Rechnung tragen. So ist beispielsweise eine de- tegrierbar sind, dass das gewünschte, durchge- zentrale Lösung, bei der die Verarbeitung der hend hohe Sicherheitsniveau nachhaltig gewähr- personenbeziehbaren Verbrauchsdaten vollstän- leistet werden kann. Hier sind noch weitere For- dig in der Hand des Kunden, also in einem Endge- schungs- und Entwicklungsarbeiten notwendig. rät beim Kunden verbleibt, aus datenschutzrecht- Nachfolgend werden für die in diesem Papier an- 12 gesprochenen Themenbereiche Smart Meter, http://www.zeit.de/wirtschaft/2010-02/hacker- Kommunikationsinfrastruktur und Energiemana- emissionshandel-datendiebstahl
  • 26. Seite 25 gementsysteme einige offenen Forschungsfra- weise leichtgewichtige Hardware-Sicherheits- gen skizziert. Diese müssten in einem nächsten module für sichere Schlüsselspeicher versehen Schritt systematisch erarbeitet und in einer For- werden. Sie müssen in der Lage sein, Nachweise schungsagenda zur Sicherheit im Smart Grid ih- über die Integrität ihrer Soft- und Hard-ware so ren Niederschlag finden. zu erstellen, dass diese Nachweise von dritter Seite überprüft werden können (z.B. leichtge- wichtige Attestierung von Sensoren und Akto- 6.1 Smart Meters, Gateways, Sensorik ren). Derzeit fehlt es noch an geeigneten Maßnahmen Die beteiligten Komponenten müssen sich zudem für den Manipulationsschutz von Smart Metern effizient wechselseitig identifizieren und authen- und Gateways. Das angesprochene Protection tisieren können. Dementsprechend sind skalie- Profile des BSI sieht den Einsatz von Hardware- rende Identifikations- und Authentisierungs- Sicherheitsmodulen im Gateway vor. Noch ist of- schemata für Komponenten zu entwickeln, wie fen, in welcher Weise derartige Sicherheitsmodu- beispielsweise leichtgewichtige PKI13-Lösungen le in das Gateway eingebunden sein werden (z.B. für ressourcenschwache Sensoren und Geräte als Chipkarte, die einfach ersetzt werden kann, und deren Schlüsselmanagement, oder neuartige wenn sich die Rahmenbedingungen ändern, oder Lösungen, die eine Identifikation auf der Basis als fest integrierter Chip). Die Gewährleistung ei- der eindeutigen physischen Objekteigenschaften ner sehr langen operativen Laufzeit derartiger ermöglichen. Gateways, die Fernwartung, sichere System- Updates und sicheres Nachrüsten von zusätzli- Test-Methoden und -Werkzeuge chen Sicherheitsfunktionen umfassen muss, sind Die in sicherheitskritischen Domänen eingesetz- noch zu klärende Fragen. ten Geräte müssen Sicherheitstests durchlaufen. Heutige Gerätetechnologie muss somit konse- Hierfür wird derzeit vom BSI das Protection Profi- quent weiterentwickelt werden. Erforderlich sind le für Smart Meters festgelegt. Technische Richt- zum einen zugeschnittene Sicherheitsmechanis- linien zur Entwicklung und Validierung von intel- men wie Verschlüsselungsfunktionen, Schlüssel- ligenten Zählern werden im nächsten Schritt si- managementdienste, Zugriffskontrollmechanis- cherlich folgen. Weitere Testszenarien fehlen men, Datenfilterungskonzepte, die zur Härtung jedoch noch. So sollten nach den jetzigen Stand bestehender Komponenten eingesetzt werden der Technik die eingesetzten Komponenten resis- können. Zum anderen sind innovative Produkte tent gegenüber Seitenkanal-Angriffen sein, die es und Sicherheitstechnologien zu entwickeln, die ermöglichen, sensitives Schlüsselmaterial aus als vertrauenswürdige Kommunikationsend- eingebetteten Komponenten, wie Chips, zu ex- punkte im Energieinformationsnetz eingesetzt trahieren. Entsprechende Untersuchungen und werden können. Es werden Sicherheitslösungen Testmethoden werden unter anderem vom benötigt, die unterschiedliche Grade an Sicher- Fraunhofer-Institut SIT in München angeboten heit unterstützen, jeweils zugeschnitten auf die (vgl. Abbildung 8) und in Projekten, wie dem Einsatzszenarien. Erforderlich sind somit Techno- BMBF-Konsortialprojekte RESIST mit Firmen wie logien zusammen mit integrierten Kontroll- und Infineon, Giesecke&Devrient oder aber auch Rho- Überwachungsdiensten, so dass die eingesetzten de und Schwarz (vgl. http://www.resist- Systemkomponenten besser gegen Manipulati- projekt.de) weiter entwickelt. Im SIT-Testlabor onsversuche geschützt und gehärtet werden (Manipulationsresistenz). Die Komponenten müs- 13 sen mit zusätzlichen Fähigkeiten wie beispiels- Public-Key Infrastruktur
  • 27. Seite 26 werden derzeit auch Smart Meter Komponenten in Bezug auf ihre Sicherheit getestet. Neben den reinen Sicherheitstests werden Interoperabili- tätstests notwendig; hierfür sind ebenfalls Test- rahmen zu erstellen und Testumgebungen auf- zusetzen. 6.2 Kommunikationsinfrastruktur Das Energieinformationsnetz der Zukunft um- fasst eine Vielzahl von Messwertgebern, Feldsen- soren und (drahtlosen) Netzen, um bestehende Systeme und Prozesse der Energieversorger aus Leitwarten heraus zu steuern und zu regeln (SCADA) oder mittels Fernwartung zu prüfen und ggf. sogar zu reparieren. Die entsprechenden Steuerungssysteme greifen in die Abläufe der Energieversorger ein. Dabei eröffnet die Fern- wartung Zugänge zu sicherheitskritischen Kom- ponenten und Diensten, so dass hier besondere Schutz- oder Isolationsmaßnahmen integriert werden müssen. In Zukunft werden diese Aufga- ben aufgrund der zunehmend dezentralen Ener- gieerzeugung komplexer. Gleichzeitig müssen diese Aufgaben durch die absehbare Deregulie- rung der Märkte im Kontext einer größeren or- ganisatorischen Heterogenität bewältigt werden. Die Frage, welche Sicherheitslösungen für die Kommunikation zwischen verteilten Anlagentei- len für die Übertragung von Informationen über drahtlose, mobile oder Festnetzverbindungen ge- eignet sind, ist noch nicht vollständig geklärt. Aus technischer Perspektive sind besonders die Naht- stellen zwischen unterschiedlichen Technologien problematisch. So ist durch geeignete Maßnah- men sicherzustellen, dass ein gewünschtes Maß an Sicherheit durchgängig und nahtlos über ver- schiedene Technologien und Betreiberdomänen hinweg garantiert wird. Die Vergangenheit hat Abbildung 8: EM-Sonde zum Messen der elektro- gezeigt, dass es gerade an den Nahtstellen unter- magnetischen Abstrahlung auf einem geöffneten schiedlicher Technologien und an den Nahtstellen Chip (Mitte), Messplatz zur Poweranalyse eines Mik- zwischen unterschiedlichen Betreibern zu erheb- rocontrollers und FPGA-Platine zu dessen Steue- lichen Sicherheitsproblemen kommt, wie z.B. bei rung (oben und unten) im Testlabor des Fraunhofer SIT-München der Kopplung von GSM/UMTS und WLAN-Netzen.
  • 28. Seite 27 Ferner müssen gemeinsam genutzte IKT-Infra- Isolierung von Teilbereichen und für kontrollierte strukturdienste (z.B. DNS) besondere Sicherheits- Bereichsübergänge. Notwendig werden ferner sowie Zuverlässigkeitsanforderungen erfüllen Betriebskonzepte zur Angriffs- und Ausfalltole- und Migrationsmöglichkeiten zulassen. ranz durch geeignete Isolierungs- und Redun- Die Sicherheitsimplikationen, die sich aus der zu- danzmaßnahmen. nehmenden Vernetzung für SCADA-Netze erge- ben, werden von den aktuellen SCADA-Lösungen 6.3 Energiemanagementsysteme noch nicht geeignet erfasst (vgl. u.a. [St2003, Igu2008]]. Die Einbettung echtzeitfähiger Sicher- Das Smart Grid erfordert komplexe Manage- heitskonzepte in SCADA-Netze und Gateways, die mentsoftware, um die Fülle der erhobenen Daten Unterstützung einer effizienten und sicheren Ma- auf dezentralen Serversystemen bei Stromunter- schine-zu-Maschine-Kommunikation (M2M) in nehmen, aber auch bei Dienstleistern (z.B. über derartigen Steuerungssystemen sowie die Ein- Cloud-Services) zu verarbeiten. Neue digitale bettung effizienter Verschlüsselungs- und Ent- Marktplätze entstehen mit neuen Dienstleistun- schlüsselungsmaßnahmen zusammen mit einem gen und Geschäftsmodellen, um Energie kosten- effizienten Schlüsselmanagement fehlt. Ansätze günstig und sparsam zu produzieren und zu nut- hierzu könnten Varianten von leichtgewichtigen zen. PKI-Lösungen sein, die auf die Einsatzdomäne Für die zu entwickelnden Energiemarktplätze zuzuschneiden sind. Die Schlüssel müssen ver- bzw. Energie-Clouds und die Mehrwertdienste, trauenswürdig in den ressourcenschwachen Ge- basierend auf der Smart Grid IKT-Infrastruktur, räten gespeichert werden, so dass sich hier wie- sollte soweit wie möglich und anwendbar auf be- derum der Bedarf an angriffsresistenten, ver- stehende Standards im Bereich der Web-Services, trauenswürdigen leichtgewichtigen Hardware- der Service-orientierten Architekturen etc. zu- basierten Sicherheitsanker ergibt. Hoch perfor- rückgegriffen werden. Um mandantenfähige, mante Überwachungs- und Filterungskomponen- vertrauenswürdige Services über eine gemein- ten, wie beispielsweise integrierte Micro-Fire- same Plattform anzubieten, sind die gleichen Si- walls in ressourcenbegrenzte SCADA-Netze wer- cherheitsfragestellungen zu lösen, wie sie derzeit den ebenso benötigt wie effiziente, echtzeit- auch in einem allgemeineren Kontext beim fähige Überwachungsfunktionen, zur frühzeiti- Cloud-Computing bearbeitet werden. Die Lösun- gen Erkennung und Abwehr von Angriffs- gen des Cloud-Computing sollten in die Energie- versuchen auf und in SCADA-Netzen. Für die Domäne übertragen werden. Zentrale Sicher- sichere Einbindung von Bedienpersonal werden heitsherausforderungen betreffen die sichere verbesserte Authentisierungsverfahren benötigt, und vertrauenswürdige Identifizierung und Au- die auch in zeitkritischen Notsituationen zuver- thentisierung der Marktteilnehmer und die rol- lässig funktionieren. len- und aufgabenbasierte Zugriffs- bzw. Nut- Für das Smart Grid ist zudem die Entwicklung de- zungskontrollen. In Deutschland werden mit dem dizierter, in nahe Echtzeit agierender Überwa- neuen Personalausweis (nPA) flächendeckend si- chungsprotokolle im Sinne kooperativer Früh- chere Identifizierungstokens ausgerollt. Daneben warnsysteme erforderlich, um aufkommende gibt es eine Vielzahl anderer Authentisierungs- Probleme frühzeitig zu erkennen und rechtzeitig techniken, so dass ein umfassender Dienst im geeignete Abwehrmaßnahmen einzuleiten. Be- Sinne von Identity-as-a-Service wünschenswert nötigt werden technische Lösungen (u. a. Scha- wäre, der ein einheitliches Identitätsmanage- lenmodelle, Stufenmodelle) mit abgestuften Kon- ment z.B. in der Energy-Cloud ermöglicht. trollen (Identität, Zugriffskontrolle) zur gezielten