Sicherheitsaspekte der intelligenten Stromversorgung Best Practices aus IT-Sicherheit und Datenschutz auf Smart Grids anwenden

Autor / Redakteur: Stefan Blum, (ISC)²-zertifizierter CISSP / Stephan Augsten

Der Ausbau intelligenter Stromnetze, sogenannter Smart Grids wird derzeit stark vorangetrieben. Damit sollen Ressourcen eingespart und eine bessere Überwachung und Optimierung elektrischer Geräte ermöglicht werden. Smart Grids stellen allerdings auch attraktive Angriffsziele für Hacker dar. Dazu sind bewährte Methoden aus IT-Sicherheit und Datenschutz auf Smart Grids zu übertragen.

Firmen zum Thema

Intelligent vernetzt: Bewährte Maßnahmen der IT-Sicherheit lassen sich auch auf Smart Grids übertragen. Bild: © E-Energy Begleitforschung
Intelligent vernetzt: Bewährte Maßnahmen der IT-Sicherheit lassen sich auch auf Smart Grids übertragen. Bild: © E-Energy Begleitforschung
( Archiv: Vogel Business Media )

Durch Smart Grids (Vernetzung von Stromerzeugern und Haushalten) fließen Daten über Stromnetze von Energieversorgern zu den Verbrauchsstellen und zurück. Dezentrale Komponenten wie Zähler melden in diesem Szenario über private oder öffentliche Netzwerke die aktuellen Zählerstände an den Energieversorger. Umgekehrt erhalten die intelligenten Zähler und Elektrogeräte zeitnah Informationen über den aktuellen Stromtarif.

Mit Smart Grids soll die Optimierung des Lastmanagements und die intelligente Einbeziehung fluktuierender Einspeisepunkte (z.B. Solaranlagen in Haushalten) erfolgen. Allerdings gehen mit der neuen Technologie auch neue Herausforderungen an die IT-Sicherheit und den Datenschutz einher.

Die Aufgabe besteht darin kritische Infrastrukturen zu schützen, die nicht nur die klassischen Stromnetzkomponenten beinhalten, sondern auch Software- und Hardwarekomponenten mit optimierender und steuernder Funktion. Beispielsweise ist der intelligente Stromzähler (Smart Meter) nicht nur ein Messgerät mit Anzeige des Verbrauchs, sondern zugleich auch eine IT-Netzkomponente, die aktuelle Zählerdaten sendet und Informationen empfängt.

Damit ergeben sich neue Risiken für die IT-Sicherheit:

  • Versorgungssicherheit im Sinne einer kritischen Infrastruktur: Im Informationszeitalter ist mit organisierten Cyber-Crime-Angriffen auf Strom- und IT-Netzinfrastrukturen zu rechnen. Ferner können Ausfälle bei der Energieversorgung auch durch menschliches Versagen (Fehlbedienung) oder böswillige Mitarbeiter hervorgerufen werden.
  • Authentizität und Integrität der Sensordaten: Zähler-, Verbrauchs- und Abrechungsdaten können manipuliert werden, was zu erheblichem finanziellen Schaden auf Seiten der Energieversorger führen kann.

Seite 2: Rechtliche Vorgaben und Datenschutz-Aspekte

Rechtliche Vorgaben und Datenschutz-Aspekte

Mit dem Gesetz über die Elektrizitäts- und Gasversorgung (EnWG) gibt es seit Anfang des Jahres zahlreiche rechtliche Änderungen, die den Einsatz von Smart Metern und Smart Grids erforderlich machen. So sind Messstellenbetreiber seit 01.01.2010 verpflichtet, bei Neubauten und umfänglich sanierten bzw. renovierten Gebäuden Messeinrichtungen einzubauen, die den tatsächlichen Energieverbrauch und Nutzungsdauer anzeigen, soweit dies technisch machbar und wirtschaftlich zumutbar ist (§ 21 b Absatz 3a EnWG).

Auf Wunsch muss der Messstellenbetreiber außerdem allen Strom- und Gasverbrauchern auf Wunsch die Umstellung auf Smart Meter anbieten (§ 21 b Absatz 3b EnWG). Darüber hinaus müssen die Energieversorger last- oder tageszeitvariable Stromtarife anbieten, soweit dies technisch machbar und wirtschaftlich zumutbar ist (§ 40 Absatz 3 EnWG). Endverbraucher haben durch ein neues Gesetz das Recht, eine monatliche, viertel- oder halbjährliche Abrechnung für Strom- und Gaslieferungen einzufordern (§ 40 Absatz 2 EnWG).

Weitere Vorgaben kommen aus dem Eichrecht. Messgeräte wie Smart Meter müssen den gesetzlichen Anforderungen aus dem Eichrecht entsprechen, dabei sind die Normen und technischen Vorgaben der Physikalisch-Technischen Bundesanstalt maßgeblich.

Im Sinne des Datenschutzes ist es darüber hinaus erforderlich, dass Verbrauchsdaten abgesichert werden müssen. Denn in Verbindung mit der Information, zu welchem Haushalt sie gehören, erlauben die Daten Rückschlüsse auf das Verhalten von Personen in diesem Haushalt und damit auf die Privatsphären. Falls dies nicht geschieht und die Daten in falsche Hände geraten, wird es beispielsweise einem Einbrecher möglich, aufgrund des konstant niedrigen Stromverbrauches festzustellen, dass niemand vor Ort ist.

Mit dem Aufbau von Smart Grids hält die Informationstechnologie Einzug in die Energieversorgungsnetze. Daher sind bewährte Methoden und Best Practices aus den Bereichen IT-Sicherheit und Datenschutz auf die spezifischen Gegebenheiten eines Smart Grids zu übertragen. Die Best Practices sollten bereits beim Design und vor allem vor dem Betrieb des Smart Grids berücksichtigen werden.

Seite 3: Das Smart Grid clever absichern

Das Smart Grid clever absichern

Die Sicherheit von Smart Grids wird durch das Zusammenspiel verschiedener Maßnahmen adressiert. Dabei liegt der Fokus auf präventive Maßnahmen. Gleichzeitig sollten schnell wirkende reaktive Maßnahmen zur Verfügung stehen, wenn Beeinträchtigungen der Verfügbarkeit des Smart Grids erkennbar werden. Folgende Aspekte machen die Sicherheit eines Secure Smart Grids aus:

  • Authentifizierung der Netzkomponenten (u.a. intelligente Zähler, dezentrale Komponenten in den Verteilstellen);
  • Einsatz von Verschlüsselung, gerade wenn Information über öffentliche Netze wie das Internet übertragen werden;
  • Einsatz von digitalen Signaturen von Sensordaten, sodass die Herkunft und Integrität der Zählerstände nachprüfbar ist;
  • Überwachung der Funktionsfähigkeit der Komponenten des Smart Grid, um frühzeitig bei Ausfällen reagieren zu können;
  • Definition, Umsetzung und Test von Disaster Recovery Strategien, um das Smart Grid bei Ausfällen schnell wiederherstellen zu können. Dabei sind die Rahmenbedingen der Energieversorgung zu beachten – man kann nicht einfach testweise den Strom abstellen.
  • Maßnahmen zur Verfügbarkeit und Abschottung von Netzwerken (Firewalls, Redundanz, Failover-Mechanismen) müssen mit dem Betrieb des Stromnetzes vereinbar sein;
  • Herstellen der operationellen IT-Sicherheit auf Basis anerkannter Best Practices (Patch Management, Etablierung von Sicherheitsstandard, Health Check, etc.);
  • Einsatz von Intrusion Detection / Prevention Systemen, um Netzangriffe zeitnah zu erkennen und automatisiert Gegenmaßnahmen einzuleiten;
  • Erweiterung der Datenschutzvereinbarung mit den Kunden: Datensätze, die Rückschlüsse aus dem Verhalten von Haushalten bzw. Personen zulassen, sollten mit Einwilligung des Kunden und nur im Rahmen eines vorher definierten Zweckes verarbeitet werden dürfen.
  • Maßnahmen bei Umgang mit persönlichen Angaben: Best Pratices wie Anonymisierung und Sparsamkeit sollten bei der Datenverarbeitung eingesetzt werden.

Die ersten drei Punkte sind nur dann umsetzbar, wenn kryptografische Schlüssel für dezentrale Komponenten wie Smart Meter flächendeckend verteilt werden. Aufgrund der großen Anzahl ist der Einsatz asymmetrischer Verfahren wie RSA in diesem Zusammenhang empfehlenswert. Hohe Sicherheit wird erreicht, wenn die privaten Schlüssel der Komponenten in zertifizierte kryptographische Module gespeichert sind, die mit Algorithmen zum Einsatz qualifizierter elektronischer Signaturen nach den Vorgaben der Bundesnetzagentur arbeiten.

Bei der technischen Umsetzung von Signaturen ist neben den Ergebnissen der diversen laufenden Normungsinitiativen auch die Wirtschaftlichkeit zu beachten. Für die detaillierte Auseinandersetzung mit IT-Sicherheit in Smart Grids ist die Studie „E-Energy Modellstadt Mannheim Security“ empfehlenswert, die im Rahmen des E-Energy-Projekts des Bundesministeriums für Wirtschaft und Technologie entstanden ist.

Dr. Stefan Blum

Dr. Stefan Blum ist Managing Consultant bei IBM Global Business Services und (ISC)²-zertifizierter CISSP.

(ID:2044116)