Kategorien

Chefsache: IT-Sicherheit für Windenergieanlagen

ee-technik-admin / Montag, der 29. Juni 2015

Ziemlich genau 15 Jahre ist es her, dass der fatale „Love Bug“ oder „ILOVEYOU“-Wurm genannt, das Licht der Welt erblickte. Und die meisten werden sich wahrscheinlich noch gut an den vermeintlichen Liebesbrief per E-Mail erinnern. Nicht zuletzt deshalb, weil er eine Malware im Gepäck hatte, die sich schneller verbreitete als jemals eine Schadsoftware zuvor.

 

Seitdem hat sich die Internet-basierte Technologie rasant weiterentwickelt und mit ihr die potenziellen Bedrohungen. Sicherheitsschwachstellen, Datenschutzverletzungen, Hackerangriffe, Insiderbedrohungen und vielfältige Angriffsvektoren – alles Risiken, die auch sogenannte kritische Infrastrukturen wie Energieversorger und -Erzeuger betreffen.

IT-Sicherheit in Windenergieanlagen

IT-Systeme kommen vielfältig bei den Erzeugern von erneuerbaren Energien zum Beispiel in Windenergieanlagen zum Einsatz. Sämtliche dieser IT-Systeme sind potenziell denselben Risiken ausgesetzt wie andere IT-Systeme auch. Insbesondere seit WEA immer stärker untereinander, mit Leitwarten oder mit Energieversorgungsunternehmen vernetzt sind. Das macht sensible Daten und Protokolle anfällig für Datenschutzverletzungen und Cyberkriminalität.

 

Bereiche mit großem Gefährdungspotenzial sind beispielsweise:

 

  • Sensible, vertrauliche Daten, die manipuliert oder ausspioniert werden können
  • Zu weit gefasste Zugriffsberechtigungen für Dateien und Ordner
  • Der Bereich Zugangskontrolle an sich
  • Eigenarten der Netzwerktopologie und
  • die Anschlussstellen zu den IT- und IT-Sicherheitssystemen der Office-Welt

 

Den Risiken für Datenschutz und Informationssicherheit bei den Energieversorgern hat die Bundesnetzagentur bereits Rechnung getragen und den Entwurf eines IT-Sicherheitskatalogs vorgestellt. Der Entwurf sieht für Energieversorger verpflichtend vor, dass sie ein sogenanntes Informationsmanagement-Sicherheitssystem (IMS) einführen und nach ISO 27001zertifizieren müssen.

Für einen Smart Meter Gateway wie er auch in Windenergieanlagen verwendet wird, hat das Bundesamt für Sicherheit in der Informationstechnik in einem Schutzprofil die Mindestsicherheitsanforderungen festgelegt und entsprechende Schutzziele festgelegt, wie man sie auch aus dem IT-Grundschutz-Handbuch und anderen Maßnahmenkatalogen kennt. In Zukunft werden Smart Meter Gateways auf Basis der Schutzprofile geprüft und wenn das Ergebnis der Prüfung positiv ausfällt, entsprechend zertifiziert.

Die Technischen Richtlinie (BSI TR-03109) liefert dann noch die zusätzlichen Vorgaben zur Interoperabilität der Systeme und der eigentlichen technischen Umsetzung.

Die Sicherheitsempfehlungen des BDEW (Bundesverband für Energie- und Wasserwirtschaft)

Die bereits 2008 erstmalig veröffentlichten Sicherheitsempfehlungen des BDEW enthalten allgemeine Empfehlungen zu sicheren Steuerungs – und Telekommunikationssystemen inklusive einer Checkliste für den praktischen Einsatz. Der zweite Teil umfasst technische Empfehlungen für den Austausch von Daten, inklusive Verschlüsselungs- und PKI (Public Key Infrastructure) Zertifizierungsrichtlinien.

Die umfangreichen Whitepapers des BDEW befassen sich mit den Anforderungen, die an die technischen Systeme gestellt werden, mit Anwendungen und den verwendeten Komponenten, aber auch mit den zugehörigen Wartungs- und Service-Prozessen. Im Fokus des Verbandes stehen wie beim BSI und den Empfehlungen der Bundesnetzagentur die ISO 27001 als grundlegende Norm sowie die ergänzenden technischen Normen und Richtlinien der Branche.

Unterschieden wird dabei zwischen Bestandssystemen und neuen Technologien und Prozessen. Der BDEW hebt hervor, dass Betreiber gerade bei hilfreichen kommerziellen und kaufmännischen IT-Systemen und –Lösungen darauf achten müssen, Aspekte der Informationssicherheit besonders mit einzubeziehen. Gerade weil diese Tools dazu beitragen, WEA wirtschaftlicher und insgesamt sicherer zu betreiben. Trotzdem komme man nicht umhin, bekannte Sicherheitslücken und Schwachstellen zu berücksichtigen.

Einige Anforderungen im Schnell-Durchlauf

Das Verschlüsseln sensibler Daten beim Übertragen und Speichern ist immens wichtig. Es dürfen nur die anerkannten Verschlüsselungsverfahren und Schlüssellängen zugrunde gelegt werden. Und zwar solche, die nach heutiger Einschätzung auch in Zukunft noch als sicher eingestuft werden. Beim Implementieren sollten Betreiber wenn möglich auf anerkannte Verschlüsselungs-Bibliotheken zurückgreifen, um potenzielle Fehler bei der Implementierung auszuschließen. Selbst entwickelte Verschlüsselungs-Algorithmen zu verwenden ist an dieser Stelle übrigens explizit ausgeschlossen.

Wie in vielen Bereichen gilt auch bei den Erneuerbaren Energien und der Windenergiebranche, dass ein mehrstufiger Sicherheitsansatz am besten vor Datenschutzverletzungen und den Folgen schützt.

Dazu gehören beispielsweise:

  • Anti-Viren-Lösungen und Firewalls
  • Sichere VPN- und/oder SSL-/TLS-Tunnelung
  • Geeignete Tools zur Benutzerauthentifizierung
  • Ein kritischer Blick auf Netzwerkkommunikation, Kommunikationsverfahren, eingesetzte Protokolle und Technologien, vergebene Berechtigungen und Zugriffe sowie die Remote-Administration
  • Getrennte Netze für bestimmte Bereiche, Netzwerksegmentierung
  • Eine Rollen-basierte Verwaltung der Benutzer und ihrer Rechte (Administratoren, Auditoren, Operatoren und die ihnen zugewiesenen und gemäß Richtlinien definierten Rollen und Befugnisse)
  • Überprüfen von Web-Applikationen im Hinblick auf bekannte Sicherheitslücken und Schwachstellen, die noch langfristig ausgenutzt werden könnten

Es ist schon passiert

Was aber tun, wenn das Kind schon in den Brunnen gefallen ist, und man feststellt, dass eine bestehende Sicherheitslücke zu einer Datenschutzverletzung geführt hat?

Hier ist es unternehmerisch schon fast überlebensnotwendig einen entsprechenden Notfall- und Wiederherstellungsplan in der Schublade zu haben. In ihm sind in der Regel sowohl die technischen Voraussetzungen als auch die organisatorischen Prozesse und beteiligten Personen dokumentiert.

Der BDEW führt aus: „Relevante Notfall- und Krisenszenarien sollten auf Seiten des Betreibers beziehungsweise Auftraggebers im Rahmen eines bereichsübergreifenden Risiko- und Notfallmanagements identifiziert und bewertet werden. Hierbei sollte eine Klassifikation der Funktionen und Applikationen nach der Wichtigkeit der Geschäftsprozesse mit einem besonderen Augenmerk auf der gesicherten Betriebsführung in den Anlagen erfolgen.“

Kritische Infrastrukturen sind übrigens neben den erweiterten personenbezogenen Daten auch essentieller Bestandteil der neuen EU-Datenschutzgesetzgebung. Ebenso die Anforderung diese Vorfälle innerhalb von 72-Stunden nach der Datenschutzverletzung zu melden und zu dokumentieren. Bis die neuen EU-Gesetze endgültig in Kraft treten, mag noch Zeit ins Land gehen. Etliche Studien haben aber bereits nachgewiesen, dass es in allen Bereichen noch viel Beratungs- und Nachholbedarf gibt.

Fazit

In den letzten Jahren haben wir eine Reihe rasant verlaufender technologischer Entwicklungen beobachten können. Alle Arten von Sicherheits- und Datenschutzverletzungen, Cyber-Bedrohungen eingeschlossen. Im Jahr 2000 waren Anti-Viren-Lösungen und Firewalls vielfach noch böhmische Dörfer. Heute sind beide Technologien die Basis mehrstufiger Sicherheitskonzepte und oftmals schon vorinstallierter Standard. Parallel dazu haben sich beispielsweise die Autoren von Malware darauf spezialisiert, jede neu entdeckte Schwachstelle sofort auszunutzen. Deshalb ist für alle erwähnten Empfehlungen und Richtlinien der Faktor Mensch immens wichtig. Denn vom Social Engineering – also dem gezielten Ausnutzen menschlicher Schwachstellen – ist auch unsere Branche nicht ausgenommen.

Diesen Artikel teilen: