Hauptsache Sicherheit

Titelstory

Ende Januar 2018 müssen Netzbetreiber per Zertifikat belegen, dass sie den Vorschriften des IT-Sicherheitsgesetzes genügen. Im Zuge dessen müssen Unternehmen auch das Whitepaper des BDEW in die Tat umsetzen. Die Anforderungen an sichere Steuerungs- und Telekommunikationssysteme sind eine Herausforderung für Netzbetreiber und deren Zulieferer gleichermaßen.

21. Juli 2017

Die Firma A. Eberle aus Nürnberg hat frühzeitig damit begonnen das Thema IT-Security ernst zu nehmen, um damit zukünftig alle Kriterien des BDEW-Whitepapers pünktlich zu erfüllen. »Intention war einerseits interne Entwicklungskapazitäten in Ruhe einplanen zu können, andererseits den Kunden, vorwiegend den Energieversorgern, den Stadtwerken und der Großindustrie, entsprechend Investitionssicherheit zu geben«, sagt Geschäftsführer Till Sybel.

Soft- und Firmware

Nach seinen Worten gebe es schon seit mehr als zwei Jahren regelmäßig Anpassungen in der Soft- und Firmware der heutigen Gerätefamilie ›REGSys‹, die die Themen Spannungsregelung von Stufentransformatoren, Petersenspulenregelung und Erdschlussortung, Spannungsqualität mit Störschreiberfunktion, Netzdynamik und Niederspannungsregelung funktional behandelt.

Sicher ab Werk

Die heutige Produktpalette würde im Nachhinein sogar komplett rückwärts kompatibel diesen Anforderungen genügen können, so Sybel. Das ist wichtig, weil es diese Geräte und Systeme, die Erfolgsgeschichte geschrieben haben, natürlich auch weiterhin über das nächste Jahrzehnt oder länger geben wird.« Das Unternehmen möchte als Hersteller natürlich allen Standardisierungen, die zum Teil sehr viel Know-how enthalten, auch weiterhin genügen.

Für die neuen Produkte wie der Spannungsregler REG-DN oder der Störschreiber Multisense, wird das kein Thema mehr sein. Diese Geräte erfüllen nach Unternehmensangaben zukünftig ab Werk alle IT-Anforderungen.

Seit einiger Zeit gibt es selbst gegründete Anwenderkreise zwischen Hersteller und Endkunde, um insbesondere die Forderungen des BDEW-Whitepapers im beidseitigen Einvernehmen korrekt umsetzen zu können. Hierbei ist es sehr wichtig, dass sich Hersteller und Endkunde einig sind. Heute existiert bereits ein fertiger Fahrplan, an welchem stetig und vehement gearbeitet wird.

Regelwerke

»Dabei ist es auch wichtig, dass neben der Erfüllung aller Kriterien immer noch die Praxisnähe gegeben ist«, sagt Wolfgang Borchers, Produktmanager Leittechnik bei A. Eberle. Das heißt, dass der Anwender vor Ort handlungsfähig ist; sei es bei der Inbetriebnahme, sei es im operativen Betrieb, sei es im Servicefall. Gemäß der Sicherheitsanforderungen aus dem IT-Sicherheitsgesetz (BSI) und des IT-Sicherheitskatalogs (BNetzA) sind Netzbetreiber von Stromnetzen dazu verpflichtet, die Zertifizierung im Rahmen der DIN ISO 27001 und DIN ISO 27019 durchzuführen.

Um dieser Verantwortung gerecht zu werden, werden hohe Anforderungen in Bezug auf IT-Sicherheit an die Schutz-und Leittechnik gestellt. Diese müssen nach anerkanntem Stand der Technik in der Informationssicherheit entwickelt, in Betrieb genommen und betrieben werden.

»Daher haben wir uns im Innogy-Konzern mit unseren Lieferanten beraten, um die teilweise allgemeinen Anforderungen aus dem BDEW-Whitepaper und der IEC 62351 für die Schutz- und Leittechnik zu konkretisieren und umzusetzen«, so Henning Sprenger, Assetmanagement Hochspannung von Syna in Frankfurt am Main.

Hauptsache flexibel

Moderne Stromnetze müssen hochflexibel sein. Die Zahl intelligenter und vernetzter Geräte und Systeme, vorwiegend in der Sekundärtechnik, steigt daher schon seit Jahren stetig an.

Dass mit dem zunehmenden Vernetzungsgrad auch die Angriffsfläche für Cyberkriminelle größer wird, hat der Gesetzgeber längst erkannt. Um die sogenannten Kritis-Sektoren zu schützen, haben Politik und Energiewirtschaft denkbar hohe Hürden errichtet.

Mit dem IT-Sicherheitsgesetz sind Sicherheitsmindeststandards für kritische Infrastrukturen formuliert und erstmals in Form eines Gesetzes erfasst worden.

Ferner wurden Meldepflichten für erhebliche IT-Sicherheitsvorfälle gegenüber dem Bundesamt für Sicherheit in der Informationstechnik eingeführt.

Der BDEW hat in einem gleichnamigen Whitepaper Anforderungen an sichere Steuerungs- und Telekommunikationssysteme definiert.

Großprojekte im Netz

Bedingt durch die Energiewende und den dadurch notwendigen Ausbau des bundesweiten Stromnetzes müssen Netzbetreiber und Versorger quasi zeitgleich zwei Großbaustellen bewältigen.

Einerseits Ausbau und Modernisierung der Infrastruktur, hin zu einem intelligenten Netz. Andererseits müssen alle denkbaren Vorkehrungen getroffen werden, damit das Stromnetz weiterhin sicher vor Hackerangriffen ist.

Mit anderen Worten: Die Vorteile der Digitalisierung dürfen nicht auf Kosten der Betriebssicherheit, sprich der Versorgungssicherheit erkauft werden. Die Netzbetreiber legen daher größten Wert auf die Qualität der Netzkomponenten in Sachen IT-Sicherheit. Bis zum 31.1.2018 müssen alle Komponentenhersteller ihre Produkte an die Normen und Gesetze angepasst haben. Andernfalls brauchen sie nicht mehr mit Aufträgen deutscher Netzbetreiber rechnen – sei es bei Nachrüstung, sei es bei Ausschreibungen für Neuanlagen.

BDEW-Whitepaper

Bereits die allgemeinen Vorgaben des Whitepapers bedeuten für Hersteller viel Arbeit. »Das Gesamtsystem muss auf einen sicheren Betrieb hin entworfen und entwickelt werden«, heißt es in der Ausarbeitung des BDEW.

Zu den Prinzipen eines sicheren Systemdesigns gehören demnach das Minimal-/Need-to-know-Prinzip, das Defence-in-depth-Prinzip sowie das Redundanz-Prinzip.

Der Auftragnehmer muss einen Ansprechpartner definieren, der während der Angebotsphase, der Systementwicklung und während des geplanten Betriebszeitraumes für den Bereich der IT-Sicherheit verantwortlich ist.

Hersteller in der Pflicht

Alle Komponenten des Gesamtsystems müssen patchfähig sein. Ferner muss der Auftragnehmer Sicherheitsupdates für alle Systemkomponenten während des gesamten Betriebszeitraums, der vertraglich geregelt wird, zur Verfügung stellen. Außerdem muss er sicherstellen, dass für die nicht von ihm entwickelten Systemkomponenten wie Betriebssystem oder Datenbank-Managementsystem innerhalb des geplanten Betriebszeitraums, der vertraglich geregelt wird, Herstellersupport und Sicherheitsupdates zur Verfügung stehen.

Für die Anwendung der Systemkomponenten definieren die Autoren des BDEW-Papiers insgesamt sieben Normen, für Entwicklung, Test und Rollout der Produkte weitere sieben.

Last but not least, müssen die Hersteller die Konformität ihre Produkte mit den Anforderungen des BDEW-Whitepapers nachweisen. »Alles in allem eine Menge Holz«, sagt Till Sybel. »Aber wir nehmen es als sportliche Herausforderung.« Kunden können nach seinen Worten zu Recht erwarten, dass das Unternehmen alle Maßnahmen ergreife, um bei Cyber Security neue Maßstäbe zu setzen. A. Eberle begnüge sich nicht damit, Sicherheitsstandards einzuhalten.

Patchalgorithmus

»Wir haben auch darüber nachgedacht, wie wir Kunden die Ersteinführung der neuen Sicherheitsstandards und deren wiederkehrende Pflege so einfach wie möglich machen können.« Für die möglichst komfortable Wartung von Netzkomponenten habe das Unternehmen einen über Skripte automatisierbaren Patchalgorithmus entwickelt; damit ist es möglich, mit einem Klick alle Geräte zu patchen.

Das erleichtert vor allem Versorgern und Netzbetreibern mit vielen Geräten im Feld die Arbeit. Für Einzel- und Systemkomponenten werden laut Wolfgang Borchers unter anderem folgende Sicherheitsmerkmale neu beziehungsweise weiterentwickelt: sichere Gerätekommunikation durch verschlüsseltes VPN-Tunneling und VLAN-Unterstützung, Einsatz von Sicherungsverfahren wie SHA2 und TLS 1.2, Blockierung nicht autorisierter Geräte etwa bei der IEC 60870-5-104 sowie die Patchfähigkeit der Firmware. »Wir kommunizieren neu gefundene Lücken über feste Kanäle und unterstützen die Kunden bei der Ausrollung von Sicherheits-Updates auf ihrenA.-Eberle-Komponenten«, so Borchers. Gemäß BDEW-Whitepaper hat das Nürnberger Unternehmen einen Mitarbeiter zum Sicherheitsbeauftragten bestellt.

Er informiert im Falle eines Falles die Kunden über aktuelle Bedrohungen, Gegenmaßnahmen und eventuell verfügbare Patches.

Zugangssicherung

Für die Zugangssicherung setzt das Unternehmen auf Defense-in-depth. »Wir gewährleisten Systemintegrität durch den Einsatz von gesicherten Servicezugängen via TLS und SSL auf den Webservern und unserem Engineeringtool Winconfig«, heißt es in einem Infobrief zur IT-Sicherheit. (hd)

IT-sicherheitsgesetz

• Das IT-Sicherheitsgesetz beinhaltet unter anderem Änderungen am BSI-Gesetz und am EnWG (§ 11, Absatz 1a bis 1c). Unternehmen kritischer Infrastrukturen, also auch Energieversorger, müssen damit veränderten Anforderungen gerecht werden. Energieanlagenbetreiber sowie Gas- und Stromnetzbetreiber sind nach § 11 Absatz 1c EnWG verpflichtet, Störungen der IT-Systeme gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.

• Welche Betreiber unter die Neuregelungen fallen und ab welcher Größenklasse (»Schwellenwerten«) Anlagen oder Infrastrukturen als kritisch einzustufen sind, ist in der KRITIS-Verordnung festgelegt. Sie trat am 3. Mai 2016 in Kraft. Die aktuell gültige Meldepflicht wurde damit auch für den Energiesektor verbindlich. Die Meldepflicht bezieht sich auf Sicherheitsvorfälle, die als ›außergewöhnliche IT-Störung‹ klassifiziert werden.

• Neben Kontaktstellen für die Meldung von Sicherheitsvorfällen an das BSI ist das Einführen eines Informationssicherheitsmanagementsystems (ISMS) und die regelmäßige Durchführung von Audits ein zentraler Aspekt der Anforderungen.

• Die Verantwortung liegt dabei bei der Geschäftsleitung der Unternehmen. Gerade durch die neue ISO-27001-Norm erhält die Managementbewertung ein besonders starkes Augenmerk. Eine weitere wichtige Anforderung aus dem IT-Sicherheitsgesetz ist ein sicherer Betrieb der Prozessleittechnik.

• Die größten Herausforderungen für die Energieversorger liegen im Aufbau von Know-how, im Aufbau eines Managementsystems inklusive Audit, Management Review und Zertifizierung und vor allem in der Prozess- und Risikoanalyse sowie Maßnahmenplanung, so Experten.

• Die wichtigste Anforderung ist wohl zeitlicher Natur: Energienetzbetreiber müssen Ende Januar 2018 ein Zertifikat liefern.

Erschienen in Ausgabe: 06/2017

Schlagworte