Smart Grids

„100-prozentige Sicherheit gibt es nicht“

Elmar Geese, COO bei Greenbone, erläutert im Interview, welche Gefahren für die IT-Sicherheit mit der Digitalisierung der Energieversorgung einher geht.

„100-prozentige Sicherheit gibt es nicht“

„Um Kundendaten zu stellen oder Ransomware zu platzieren, muss ich nicht digital ins Kernkraftwerk oder Umspannwerk eindringen“, betont Elmar Geese.

ITD: Herr Geese, wie würden Sie den derzeitigen Digitalisierungsgrad des deutschen Energiesektors einordnen?
Elmar Geese: Digitalisierung ist ein sehr dynamischer Prozess. Aussagen über den aktuellen Reifegrad des deutschen Energiesektors sind daher schwierig zu treffen. Vieles wurde bereits digitalisiert und viel mehr wird noch passieren. Wir können dabei die Bereiche Systembalance, Prozessoptimierung und Kundenorientierung unterscheiden, die sich wiederum in Digitalisierungsgrad und Risikobewertung gliedern. Die ungewöhnlich große Zahl der Energieversorger in Deutschland ist dabei nachvollziehbarer Weise kein beschleunigender Faktor für die Digitalisierung.

ITD: Wo gibt es Vorreiter und wo besteht noch Nachholbedarf?
Geese: Die kleineren Versorger haben natürlich Nachholbedarf, weil dort die Ressourcen für die entsprechenden Digitalisierungsprojekte oft fehlen. Allgemein ist zu erwarten, dass sich im Endkundengeschäft viel breiter aufgestellt wird. Der Stromlieferant von gestern liefert heute und morgen Services von Smart Home bis E-Mobility. Grundsätzlich sind die Büronetzwerke der Versorger sicherlich die Stellen, an denen Nachholbedarf besteht. Um Kundendaten zu stellen oder Ransomware zu platzieren, muss ich nicht digital ins Kernkraftwerk oder Umspannwerk eindringen. Da reicht vielleicht auch schon ein Microsoft-Word-Dokument und die dazu passende vorhandene Office Suite, die nicht durch entsprechende Policies abgesichert ist.

ITD: Welche neuen Gefahren bringen intelligente Stromnetze und die damit einhergehenden Technologien wie das Smart Metering konkret mit sich?
Geese: Hier gibt es zwei Kategorien von Gefahren: Einerseits dringen diese Technologien in die Privatsphäre der Privatkunden ein. Hier gibt es Risiken, die man unterschiedlich bewerten kann. Mein Stromanbieter weiß dann etwa, wann ich wasche oder in Urlaub bin. Manche Menschen finden das schrecklich. Anderen ist das völlig egal. Wenn der Anbieter dann schlecht auf meine Daten aufpasst, können Cyberkriminelle aus diesen Informationen zusammen mit weiteren Daten Personenprofile erstellen. 

Zum anderen bieten diese Technologien natürlich auch Angriffspunkte, da die Daten aller Nutzer für die Steuerung und Prognose der Netze verwendet werden. Hier könnten geschickte Saboteure ansetzen, um Netze durch Manipulation der Daten zu irritieren. 

Die Möglichkeiten, die sich Anbietern durch Smart Grids und Smart Markets eröffnen, sind jedoch zu verlockend, um darauf zu verzichten. Sie ermöglichen die datengesteuerte Überwachung, Steuerung und Prognose. Damit bedienen sie eine Köngisdisziplin, nämlich die Erzeugung und den Verbrauch aktiv auszubalancieren.

ITD: Wie können Energieversorger ihre digitalen Infrastrukturen vor potenziellen Angriffen schützen?
Geese: Durch robuste Ingenieurskunst und vorrausschauendes Handeln. Neue Lösungen müssen nach dem Grundsatz „Security by Design“ gebaut werden. Das heißt: Sicherheit wird nicht im Nachhinein um eine Lösung herumgebaut, sondern ist integraler Bestandteil. Eine 100-prozentige Sicherheit gibt es nicht. Aber die meisten Angriffe sind vorhersehbar, weil die genutzten Schwachstellen bekannt sind. Deswegen ist es wichtig, ständig über die aktuellen Schwachstellen informiert zu sein, und diese dann natürlich zeitnah zu schließen. Elementar ist auch die Trennung von vertrauenswürdigen Netzen (wie den eigenen) und nicht vertrauenswürdigen (wie dem Internet). Wer nicht vernetzt ist, bietet weniger Angriffsfläche, verliert aber auch alle Vorteile der Vernetzung. Hier wird man natürlich abwägen. Die Steuerung eines Kernkraftwerkes wird dann nicht unbedingt aus einem öffentlichen Netz erreichbar sein. Das wollen wir jedenfalls hoffen.

ITD: Wie wirkt sich der KRITIS-Status der Energieversorger auf die Anforderungen an die IT-Sicherheit aus?
Geese: Das Bundesamt für Sicherheit in der Informationstechnik hat die Kriterien zur Beurteilung der Informationssicherheit bei den Betreibern kritischer Infrastrukturen konkretisiert. Die Anforderungen sind an den „Cloud Computing Compliance Criteria Catalogue“ (C5) angelehnt. Die bisherigen Anforderungen werden dadurch standardisiert. Dies macht das Management und die Einhaltung letztlich einfacher, da auf erprobte Grundsätze, Verfahren und Maßnahmen zurückgegriffen werden kann. Wer eine ISO-2700x oder vergleichbare Zertifizierung hat – und bei einem Energieversorger möchte man davon ausgehen – ist da schon einmal gut aufgestellt. 

ITD: Welche Motivation steckt hinter Cyberattacken auf Energieversorger?
Geese: Bei den Angriffen auf die Technischen Werke in Ludwigshafen in diesem Frühjahr waren offensichtlich Kundendaten das Ziel, hier liegt die Motivation in der Vermarktung dieser sensiblen Informationen. Beim Ransomware-Angriff auf den größten Energieversorger Portugals wurden 10 Millionen Euro Lösegeld gefordert.

Aber nicht immer ist die Motivation klar. Es gibt Angriffe, die vermuten lassen das es sich um größere Organisationen handelt, die nicht auf den schnellen Erpressungseuro zielen. Der Angriff auf die Stromnetze in der Ukraine 2015, der zu einigen Stunden Ausfall derselben führte, wurde etliche Monate vorbereitet und sehr kontrolliert durchgeführt. Dafür kommt sicherlich nicht der Klischeehacker mit Kapuzenpullover in Frage, wie wir ihn immer wieder auf Symbolbildern in den Medien sehen. 

Bildquelle: Greenbone

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok