30. Juli 2014

Bedingt abwehrbereit - Smart Grids in Deutschland

Sicher, intelligent und nachhaltig soll die Stromversorgung in Deutschland sein. Doch wer schützt die Unternehmen, Verbraucher und die Infrastruktur vor Cyberangriffen auf die Energieversorgung? Smart Meter Gateways können Eindringlinge fern halten. Doch noch laufen sie nur im Probebetrieb.

Franz Krieger* ist Unternehmer und ein guter Rechner. Seine Solaranlage auf dem Dach hat er nicht aus ökologischem Bewusstsein installiert, sondern weil er Strom ins Netz einspeist und diesen vergütet bekommt – die Energiewende als Kassenschlager für den Mittelstand. Krieger bekam einen digitalen Stromzähler und der Versorger zog sich die Daten direkt über die Leitung zur Abrechnung des Verbrauchs und der Einspeisung.

Krieger sah sich lange Zeit auch als Profiteur der Pläne in Berlin. Bis Prof. Dr. Hartmut Pohl, Geschäftsführer der Softcheck GmbH und Sprecher des Arbeitskreises Datenschutz und IT-Sicherheit der Gesellschaft für Informatik, vor der Tür des Unternehmens stand und warnte. Der IT-Security-Experte sprach von intelligenten Netzen, Smart Grid, digitalen Zählern und Gefahren durch Cyberangriffe. Krieger war überrascht. Er, der seine E-Mails von seiner Frau abrufen lässt, sollte im Fokus von Angreifern stehen, sein Familienbetrieb ein Ziel für Hacker? Ja, denn als Zulieferer der OEMs ist der Bayer ein wichtiges Rad im Getriebe der Wertschöpfungskette. Steht bei ihm die Produktion, kommt auch der 1st Tier ins Schwitzen. Das ist die industrielle Logik des Just-In-Time-Prinzips.

Zehn Tage im August

Der Unternehmer wollte es wissen. Der Professor sollte einen virtuellen Angriff fahren. Zehn Tage im August, so der Plan, sollte die Aktion dauern, doch Pohls Mannschaft und Krieger wurden ausgebremst. Der Energieversorger, als Eigentümer des digitalen Stromzählers, schaltete sich ein und der Plan verzögerte sich vorerst. Die Sicherheitsprüfung war erst einmal gestorben.

Die Gefahr von Angriffen ist real. Vor wenigen Wochen veröffentlichte das Security-Unternehmen Symantec eine Studie (siehe Anhang an diesem Artikel) zu Attacken auf die Branche. Das Ergebnis: Hacker führen gezielt Angriffe über Lösungen von Drittanbietern oder Zulieferern aus. Ähnlich wie bei Stuxnet aus 2010 und dem jüngsten Nachfolger Havex konzentrierten sich die Angreifer darauf, Software von Herstellern industrieller Steuerungssysteme (Industrial Control System), die im Energiesektor häufig zum Einsatz kommen, mit einem aus dem Internet ladbaren Angriffsprogramm (Advanced Persistent Threat APT) unerkennbar zu infiltrieren. Die Hacker erhielten Zugriff auf die Netzwerke. Die Attacken liefen meist über einen längeren Zeitraum, um möglichst viele Informationen auszuspionieren, heißt es in Branchenkreisen. So waren unter anderem Stromerzeuger, Pipeline-Betreiber sowie spezielle Ausrüster für den Energiebereich aus Deutschland, Spanien, den USA, Frankreich, Italien, Türkei, Polen, Griechenland, Serbien und Rumänien Ziele der kriminellen Gruppe, die mutmaßlich aus Osteuropa stammt und im Auftrag einer Regierung handelte. Dafür sprachen wohl auch die geregelten Arbeits- und Angriffszeiten zwischen 9:00 und 17:00 Uhr. „Spionage war wohl die Triebfeder der Angriffe, unter Umständen wurden aber auch Informationen über Energievorkommen gestohlen“, erklärt Thomas Hemker, Security Strategist bei Symantec. Im Fokus, so vermutet der Fachmann, standen Informationen über Anlagen, Schaltpläne oder Betriebshandbücher.

Das Bundeskriminalamt (BKA) ist alarmiert. Gegenüber elektrotechnik INDUSTRIAL ENERGY heißt es: „Mit zunehmender digitaler Vernetzung wird das Gefährdungspotential für kritische Infrastrukturen weiter steigen.“ Der ständige Austausch zwischen Wirtschaft, Politik, Sicherheitsbehörden und Gesellschaft fördere ein angemessenes Risikobewusstsein, sind die Analysten in Wiesbaden überzeugt.

Gegenwärtig scheint dieser Diskurs aber wohl ins Stocken geraten zu sein. Momentan schützt sich jeder selbst, der so ein intelligentes System installiert. Zu der existierenden Richtlinie soll bis zum Jahresende eine Prüfrichtlinie erarbeitet werden, wie die von der Industrie entwickelten Smart Meter Gateways auf Konformität zu überprüfen sind. Bis dahin liegen die Investitionen der Industrie jedenfalls brach“, erläutert Pohl.

Nachfrage beim Bundesamt für Sicherheit in der Informationstechnik (BSI): „Zu Verhaltensweisen der Industrie äußert sich das BSI nicht, ebenso wenig, wie wir uns an Spekulationen zu möglichen Schäden beteiligen.“

Energiewende nur mit Smart Grids

Das Risiko, Opfer eines Angriffs zu werden, lauere voll beim Endkunden, so Pohl. „Der Kunde sendet Verbrauchsdaten ins Netz und in Zukunft sollen sogar Maschinen durch die Intelligenz im Stromnetz gesteuert werden. Dadurch öffnet der Kunde seine Produktion und ermöglicht ein Eindringen in seine Systeme“, legt der Bonner nach. International gibt es eine ganze Reihe schwerer Angriffe auf die nicht so hoch abgesicherten Smart Meter und die Stromnetze, wie vom BSI gefordert, behauptet der Rheinländer.

„Doch ohne Smart Grids keine Energiewende“, mahnt Stephan Kohler, Chef der Deutschen Energieagentur (Dena) auf einem Energieeffizienz-Kongress in Stuttgart. Die prominenten Firmenlenker lauschten den Ausführungen des Dena-Chefs, sprachen sich für Energieeffizienz in der Produktion aus, wollen Industrie 4.0-Ansätze implementieren und sind in der Mehrheit wohl unwissend, welche Risiken in den intelligenten Netzen lauern, die auch den Traum von der „smart factory“ bedrohen könnten. Doch Pohl beruhigt: „Es existieren Lösungen am Markt, die Schutz bieten. Fünf Anbieter arbeiten an Smart Meter Gateways auf der Basis der BSI-Richtlinie. Zertifizierte Smart Meter Gateways könnten eine starke, verbesserte Firewall sein, die das Netz schützen."

Aber es hapert noch an der Zertifizierung der Lösungen. Zwei Firmen befinden sich laut BSI zurzeit in dem Prüfungsprozess des Amts. Die Antragssteller sind die Landis + Gyr AG sowie die Openlimit Sign Cubes AG mit der Power Plus Communications AG. Der Behörde BSI den schwarzen Peter zuzuschieben ist allerdings nicht zielführend, denn im Energiewirtschaftsgesetz (EnWG) findet sich schon heute die Aufforderung, wenn Smart Meter Gateways verfügbar seien, diese dann auch einzusetzen. Das Problem, so Experten: Die Bundesregierung habe die Sicherheitsrichtlinie TR-03109 nicht zügig freigegeben und deshalb arbeite man erst seit kurzem an der Prüfrichtlinie. Bei der Power Plus Communications AG planen die Entwickler 2015 erste Proberollouts. Ein Jahr später fällt dann der Startschuss für den flächendeckenden Einbau.

Die Anforderungen an die Systeme: Der Gateway der Geräte muss drei Netzwerk-Domänen sicher miteinander verbinden können. Dafür muss am Gateway ein zusätzliches Sicherheitsmodul installiert sein, das sämtliche Messwerte signiert und kryptografisch verschlüsselt.

„Wir befinden uns in der Erprobungsphase. Gegenwärtig testen wir mit Energieversorgern den Einsatz der Smart Meter Gateways. Ziel ist es, anstehende Prozessveränderungen durch den Einsatz der neuen Technik früh zu erkennen“, erklärt Thomas Wolski, Produktmanager bei Power Plus Communications AG. Denn auf die Versorger kommen mit den Gateways neue Rollen, Prozesse und Systemlandschaften und Kosten zu. „Der Preis pro Stück liegt wohl bei unter 100 Euro“, meint Pohl. Annegret-Cl. Agricola, Bereichsleiterin Energiesysteme und Energiedienstleistungen bei der Dena rechnet bei einer Ausstattung von einer Million Messpunkten mit Investitionssummen zwischen 467 bis 837 Mio. Euro. „Die Kosten umfassen neben der Anschaffung der Endgeräte auch den Aufbau der notwendigen Infrastruktur, also auch die Anschaffung von Gateway-Technik. Inwieweit diese Kosten auf die Verbraucher umgelegt werden, ist aktuell noch in der Diskussion und hängt unter anderem auch davon ab, ob sich günstige Marktlösungen durchsetzen und den Verbrauchern durch den Einsatz von intelligenter Steuerung zukünftig auch ein Nutzen erwächst“, erklärt die Expertin. Große Energieunternehmen werden die Systeme zügig installieren, kleinere Stadtwerke wohl kaum. Die warten ab, lassen sich verklagen und handeln dann erst, vermutet ein Fachexperte, der ungenannt bleiben will.

Hinkt Europa hinterher?

Darüber hinaus will die Bundesregierung neue Standards mit dem IT-Sicherheitsgesetz einfordern. Mindeststandards bei der Sicherheit der Computersysteme sollen Hacker ausbremsen, hofft man im Bundesinnenministerium. Die Diskussion um Smart Meter Gateways hält Thomas Hemker von Symantec für richtig, aber verfrüht. Zunächst müsse man bestehende Lücken schließen, empfiehlt der IT-Experte.

Für Stefan Palm von Moxa, taiwanesischer Anbieter von Schutzlösungen vergleichbar zu Smart Meter Gateways, ist die Zertifizierung durch das BSI eine Einstiegshürde für die Industrie. Das Unternehmen entwickelt zurzeit für andere Märkte eine Cloud-Lösung, die eine Daten- und Kommunikationssicherheit garantieren soll. Aus seiner Sicht hinken die europäischen Staaten bei dem Thema intelligenter Netze und deren einfache und sichere Abschirmung hinterher. „Die Europäer sind sensibler“, erklärt Palm und macht dafür auch die NSA-Debatte mitverantwortlich. Der Plan von Moxa: Im Rest der Welt Rollout-Referenz zu etablieren und dann den europäischen Kunden ihre Lösung anzubieten.

Und die Industrie und vor allem die kleinen und mittelständischen Zulieferer? Versichern gehen Stromausfälle? Die HDI-Gerling Industrie Versicherung AG bietet Unternehmen Versicherungsschutz gegen den Ausfall öffentlicher Stromversorgung an. Den Umfang und die Bedingungen unserer Versicherungslösungen legt das Unternehmen in der Regel im Einzelfall und im Gespräch mit dem Kunden fest – ein Zukunftsprodukt? Pohl setzt eher auf Prävention: „Unternehmen sollten sich zeitnah gegen Angriffe aus dem Grid schützen und nicht warten, bis die Politik Sicherheitsmaßnahmen qua Gesetz erzwingt und Behörden Richtlinien veröffentlichen.“ Er fordert Security Tests. Allerdings: Die Überprüfungen kosten Geld und Zeit.

Franz Krieger wollte sich schützen, wollte den Test machen und stieß an die Grenzen der Energiewende und steht bei der Security erst einmal alleine. Die Verhandlungen mit dem Energieversorger für einen Test laufen wieder. Doch fest steht: Der Unternehmer wartet auf die Sicherung der Netze durch den Energieversorger – vielleicht sogar bis erst 2016. Bis dahin hofft er, dass seine Fräsmaschine läuft und er von Hackern nur aus der Tagesschau erfährt.

*Name von der Redaktion geändert.

Quelle: http://www.elektrotechnik.vogel.de/prozess/articles/454250/index3.html

Bedingt abwehrbereit - Smart Grids in Deutschland

Kontakt

 OpenLimit