IT-SICHERHEIT UND RESILIENZ IM

ENERGIE-KONTEXT

Wiederherstellung Normalbetrieb

*ggf. verbessert

Versorgungsleistung / %

Zeit

Störereignis

0 20 40 60 80 100

Absorbieren der Störung

RESILIENTES SYSTEM

NICHT RESILIENTES SYSTEM

Stabilisierung Normalbetrieb

Abbildung 1: Vergleich zwischen resilientem (blau) und nicht resilientem (rot) System Quelle: nach Babazadeh et al. (2018)

4 / Studie zum exemplarischen Anwenden von Gefährdungsszenarien in der Energiedomäne

gegenüber Belastungen mit potenziell großen Schäden absichern (Hirschl et al. 2018), die sich sowohl schlecht quantifizieren und prognostizieren lassen als auch überraschend eintreffen. Für die Resilienz gilt nach Mayer et al. (2018) Folgendes:

:// Unter Resilienz eines Systems wird die Reaktionsfähigkeit des Systems auf seltene oder unerwartete gravierende Stör-ereignisse verstanden. Man be-zeichnet ein System als resilient, wenn seine Funktionsfähigkeit bei diesen Störungen möglichst wenig beeinträchtigt wird, es zu keinen größeren Schäden kommt und nach der Störung so schnell wie möglich wieder die volle Leistung zur Verfügung steht.

⁴

//

Für die bessere Veranschaulichung ist in → Abbil-dung 1 (aus (Babazadeh et al. 2018)) der Vergleich zwischen einem resilienten System in Türkis und einem nicht­resilienten System in Orange bei der Wiederherstellung der Funktionsfähigkeit eines Systems nach einer Störung anhand der Versor­

gungsleistung in Prozent graphisch dargestellt. Dort ist zu erkennen, dass bereits in der ersten Phase nach der Störung bei einem resilienten System eine geeignete Reaktion erfolgt und somit das Absor­

bieren der Störung besser erfolgt. Daher steht hier dauerhaft eine höhere Versorgungsleistung trotz Störung als bei einem nicht­resilienten System zur Verfügung. Auch die Stabilisierungsphase kann mit einer höheren Versorgungsleistung erfolgen und auch die komplette Wiederherstellung der Funktionsfähigkeit erfolgt deutlich früher, wenn Maßnahmen für die Resilienz ergriffen wurden.

wird zwischen dem IT­Sicherheitskatalog für Betrei­

ber von Strom- und Gasnetzen nach §11 Abs. 1a EnWG² und dem IT­Sicherheitskatalog für Betreiber von Energieanlagen nach §11 Abs. 1b EnWG, die nach BSI­Kritisverordnung als KRITIS eingeordnet wurden und an ein Energieversorgungsnetz ange­

schlossen sind, unterschieden. Der IT­Sicherheits­

katalog für Betreiber von Energieanlagen nach §11 Abs. 1b EnWG³ wurde im Jahr 2018 ergänzt, damit ein umfassender Schutz für den Netzbetrieb inklusive der Energieanlagen gewährleistet ist. „Betreiber von Energieanlagen, die mit dem öffentlichen Versor­

gungsnetz verbunden sind, werden verpflichtet, dort, wo eine Gefährdung für den Netzbetrieb mög­

lich ist, ebenfalls Sicherheitsmaßnahmen zu ergrei­

fen, um die Vorteile moderner IKT auch in Zukunft sicher nutzen zu können.“ Laut diesen beiden Katalo­

gen müssen die entsprechenden Betreiber in ihrem System ein Informationssicherheitsmanagement­

system (ISMS) implementieren und zertifizieren, das den Anforderungen der ISO / IEC 27001 in der aktuell geltenden Fassung entspricht, um IT­sicher­

heitstechnische Mindeststandards zu erfüllen. Beide Sicherheitskataloge sind insgesamt sehr ähnlich angelegt, um einen gleichartigen Schutz für beide Bereiche umsetzen zu können.

Um solch eine KRITIS – neben den gesetzlichen Anforderungen – möglichst stabil und robust zu halten, wird zusätzlich versucht diese so resilient wie möglich zu konstruieren. Im zukünftigen Strom­

versorgungssystem ist Resilienz der effektivste Weg, um Ausfallsicherheit zu erreichen, denn die bis­

herige Robustheit lässt sich aufgrund der veränder­

ten Struktur nicht eins zu eins fortführen. Außerdem kann hiermit die Geschäftskontinuität eines Unternehmens sichergestellt werden. Resilienz kann daher die Energieversorgung der Zukunft

2 Siehe https://www.bundesnetzagentur.de/SharedDocs/Down­

loads/DE/Sachgebiete/Energie/Unternehmen_Institutionen/

Versorgungssicherheit/IT_Sicherheit/IT_Sicherheitskata­

log_08­2015.pdf.

3 Siehe https://www.bundesnetzagentur.de/SharedDocs/Down­

loads/DE/Sachgebiete/Energie/Unternehmen_Institutionen/

Versorgungssicherheit/IT_Sicherheit/IT_Sicherheitskata­

4 / Studie zum exemplarischen Anwenden von Gefährdungsszenarien in der Energiedomäne

eigenständig wiedererlangt, so dass sich die Folgen etwaiger Störungen auf ein Minimum begrenzen.

Für diese Selbstorganisation ist es notwendig, die IKT als integralen Bestandteil des Stromsystems zu begreifen und das Potenzial der Digitalisierung für die Erhöhung seiner Resilienz voll auszuschöpfen (Witte 2020). Nach Mayer et al. (2018) bedeutet Cyber­Resilienz folgendes:

:// Ein System ist dann cyber- resilient, wenn die IKT-Kompo-nenten und die auf IKT basieren-den Prozesse zusammen mit basieren-den energietechnischen Komponen-ten die Resilienz des Gesamt-systems erhöhen. Dazu gehören die Möglichkeiten, ein genaues Lagebild zu erzeugen und die Auswirkungen von Maßnahmen besser prognostizieren zu können. Ganz besonders leistet die Cyber-Resilienz auch eine Abschätzung, inwieweit sich Risiken durch ein Ereignis ändern, etwa indem nun andere Ereignisse deutlich wahrschein-licher (etwa ein Erdschluss, da Leitungen aufgrund hoher Be-lastung stärker durchhängen) oder deutlich gefährlicher werden (etwa da aufgrund von IKT-Problemen nicht mehr aus-reichend reagiert werden kann). //

In Abbildung 2 ist eine cyber­resiliente Vorgehens­

weise zur „System Restauration“ in den ungestör­

ten Betrieb beispielhaft dargestellt: Während Pfad (A) einen klassischen Blackout z. B. durch Ausfall von Primärtechnik (beispielsweise der Ausfall eines Transformators) repräsentiert, werden in Pfad (B) und (C) Blackouts durch IKT Ausfälle dargestellt. Hier erfolgte in Pfad (B) nach dem Ausfall der Primärtechnik ein zusätzlicher Ausfall des IKT­Systems und in Pfad (C) nach dem Ausfall Weiterhin schließt nach VDE 0175­110 Resilienz

:// Sicherheitsmaßnahmen ein, mit denen Auswirkungen verringert werden können, und zwar nicht nur im Vorfeld von Zwischen-fällen (feststellen und verhindern), sondern auch während dieser Zwischenfälle (erkennen und reagieren), sowie nach Behebung und deren Auswirkungen

(wiederherstellen). //

Dies bezieht sich auch auf den weiteren Begriff in diesem Themenfeld: die Cyber­Resilienz, die sich auf die Absicherung von IT­gestützten Prozessen fokussiert. Das cyber­resiliente Energiesystem soll damit auf unvorhergesehene Störungen in der Informations­ und Kommunikationstechnik (IKT) in der Art reagieren, dass es dennoch seine grundle­

gende Funktionsfähigkeit erhält oder sie zumindest

Klassischer elektrischer Ausfall des Stromnetzes / Blackout

Blackout inkl. Ausfall des IKT Systems Durch IKT bewirkter Blackout

Abhängiger optimierter Wiederherstellungspfad

Stati des Stromversorgungsnetzes

HOCH QoS Status Klassifikation

Blackout

Abbildung 2: Resilienz und Cyber-Resilienz in der Stromversorgung übersetzt aus (Fischer 2018) Quelle: Fischer (2018)

4 / Studie zum exemplarischen Anwenden von Gefährdungsszenarien in der Energiedomäne

der Messtechnik, der Verlust der Überwachung

*und letztendlich der Verlust der Steuerbarkeit, was in beiden Fällen (B) und (C) letztendlich ein Blackout des Stromversorgungsnetzes bewirkte und zu nicht vorhandener Verfügbarkeit der IKT führte. Pfad (D) stellt danach den Wiederherstel­

lungspfad durch entsprechende Cyber­Resilienz­

Maßnahmen dar. Die jeweiligen Pfade repräsentie­

ren auf der x­Achse die IKT­Verfügbarkeit von hoch bis niedrig und auf der y­Achse die einzelnen Zustände des Stromversorgungsnetzes: Normal, Alarm, Notfall und Blackout.

Das heißt also ein resilientes System hat eine hohe Widerstandsfähigkeit gegenüber technischem oder menschlichem Versagen, aber auch höherer Gewalt oder gezielten Angriffen. Hierzu gehört auch das

Aufdecken von Schwachstellen⁵ (Vulnerabilitäten des (Gesamt­) Systems und seiner individuellen Kompo­

nenten), damit Angreifer entsprechende Lücken nicht ausnutzen können. Und auch das Analysieren von (Cyber­)Gefährdungen / Bedrohungen, wie beispiels­

weise Distributed­Denial­of­Service­Angriff, Viren, Phishing oder Man­in­the­middle­Attacken.

Dies, also eine Gefährdungsanalyse für die Energie­

domäne, wird Fokus dieses Dokuments sein.

5 „Eine Schwachstelle (englisch „vulnerability“) ist ein sicher­

heitsrelevanter Fehler eines IT­Systems oder einer Institu­

tion.“, vgl. https://www.bsi.bund.de/DE/Themen/ITGrund­

schutz/ITGrundschutzKompendium/vorkapitel/Glossar_.html.

Solch ein Fehler eines IT­Systems kann beispielsweise ein Fehler im Programmiercode sein. Entsprechende Schwach­

stellen können durch Angreifer (z. B. Hacker) ausgenutzt werden, um das System zum Erliegen zu bringen (Angriff auf die Verfügbarkeit), Daten abzugreifen (Angriff auf die Vertrau­

lichkeit) oder Daten zu manipulieren (Angriff auf die Integrität).

EXKURS

Im Dokument Digitalisierung, Daten und Sicherheit: Herausforderungen für Unternehmen in der EnergiewirtschaftBerlin, Mai 2021Kompendium (Seite 116-119)