ENERGIE-KONTEXT
Wiederherstellung Normalbetrieb
*ggf. verbessert
Versorgungsleistung / %
Zeit
Störereignis
0 20 40 60 80 100
Absorbieren der Störung
RESILIENTES SYSTEM
NICHT RESILIENTES SYSTEM
Stabilisierung Normalbetrieb
Abbildung 1: Vergleich zwischen resilientem (blau) und nicht resilientem (rot) System Quelle: nach Babazadeh et al. (2018)
4 / Studie zum exemplarischen Anwenden von Gefährdungsszenarien in der Energiedomäne
gegenüber Belastungen mit potenziell großen Schäden absichern (Hirschl et al. 2018), die sich sowohl schlecht quantifizieren und prognostizieren lassen als auch überraschend eintreffen. Für die Resilienz gilt nach Mayer et al. (2018) Folgendes:
:// Unter Resilienz eines Systems wird die Reaktionsfähigkeit des Systems auf seltene oder unerwartete gravierende Stör-ereignisse verstanden. Man be-zeichnet ein System als resilient, wenn seine Funktionsfähigkeit bei diesen Störungen möglichst wenig beeinträchtigt wird, es zu keinen größeren Schäden kommt und nach der Störung so schnell wie möglich wieder die volle Leistung zur Verfügung steht.
4//
Für die bessere Veranschaulichung ist in → Abbil-dung 1 (aus (Babazadeh et al. 2018)) der Vergleich zwischen einem resilienten System in Türkis und einem nichtresilienten System in Orange bei der Wiederherstellung der Funktionsfähigkeit eines Systems nach einer Störung anhand der Versor
gungsleistung in Prozent graphisch dargestellt. Dort ist zu erkennen, dass bereits in der ersten Phase nach der Störung bei einem resilienten System eine geeignete Reaktion erfolgt und somit das Absor
bieren der Störung besser erfolgt. Daher steht hier dauerhaft eine höhere Versorgungsleistung trotz Störung als bei einem nichtresilienten System zur Verfügung. Auch die Stabilisierungsphase kann mit einer höheren Versorgungsleistung erfolgen und auch die komplette Wiederherstellung der Funktionsfähigkeit erfolgt deutlich früher, wenn Maßnahmen für die Resilienz ergriffen wurden.
wird zwischen dem ITSicherheitskatalog für Betrei
ber von Strom- und Gasnetzen nach §11 Abs. 1a EnWG2 und dem ITSicherheitskatalog für Betreiber von Energieanlagen nach §11 Abs. 1b EnWG, die nach BSIKritisverordnung als KRITIS eingeordnet wurden und an ein Energieversorgungsnetz ange
schlossen sind, unterschieden. Der ITSicherheits
katalog für Betreiber von Energieanlagen nach §11 Abs. 1b EnWG3 wurde im Jahr 2018 ergänzt, damit ein umfassender Schutz für den Netzbetrieb inklusive der Energieanlagen gewährleistet ist. „Betreiber von Energieanlagen, die mit dem öffentlichen Versor
gungsnetz verbunden sind, werden verpflichtet, dort, wo eine Gefährdung für den Netzbetrieb mög
lich ist, ebenfalls Sicherheitsmaßnahmen zu ergrei
fen, um die Vorteile moderner IKT auch in Zukunft sicher nutzen zu können.“ Laut diesen beiden Katalo
gen müssen die entsprechenden Betreiber in ihrem System ein Informationssicherheitsmanagement
system (ISMS) implementieren und zertifizieren, das den Anforderungen der ISO / IEC 27001 in der aktuell geltenden Fassung entspricht, um ITsicher
heitstechnische Mindeststandards zu erfüllen. Beide Sicherheitskataloge sind insgesamt sehr ähnlich angelegt, um einen gleichartigen Schutz für beide Bereiche umsetzen zu können.
Um solch eine KRITIS – neben den gesetzlichen Anforderungen – möglichst stabil und robust zu halten, wird zusätzlich versucht diese so resilient wie möglich zu konstruieren. Im zukünftigen Strom
versorgungssystem ist Resilienz der effektivste Weg, um Ausfallsicherheit zu erreichen, denn die bis
herige Robustheit lässt sich aufgrund der veränder
ten Struktur nicht eins zu eins fortführen. Außerdem kann hiermit die Geschäftskontinuität eines Unternehmens sichergestellt werden. Resilienz kann daher die Energieversorgung der Zukunft
2 Siehe https://www.bundesnetzagentur.de/SharedDocs/Down
loads/DE/Sachgebiete/Energie/Unternehmen_Institutionen/
Versorgungssicherheit/IT_Sicherheit/IT_Sicherheitskata
log_082015.pdf.
3 Siehe https://www.bundesnetzagentur.de/SharedDocs/Down
loads/DE/Sachgebiete/Energie/Unternehmen_Institutionen/
Versorgungssicherheit/IT_Sicherheit/IT_Sicherheitskata
4 / Studie zum exemplarischen Anwenden von Gefährdungsszenarien in der Energiedomäne
eigenständig wiedererlangt, so dass sich die Folgen etwaiger Störungen auf ein Minimum begrenzen.
Für diese Selbstorganisation ist es notwendig, die IKT als integralen Bestandteil des Stromsystems zu begreifen und das Potenzial der Digitalisierung für die Erhöhung seiner Resilienz voll auszuschöpfen (Witte 2020). Nach Mayer et al. (2018) bedeutet CyberResilienz folgendes:
:// Ein System ist dann cyber- resilient, wenn die IKT-Kompo-nenten und die auf IKT basieren-den Prozesse zusammen mit basieren-den energietechnischen Komponen-ten die Resilienz des Gesamt-systems erhöhen. Dazu gehören die Möglichkeiten, ein genaues Lagebild zu erzeugen und die Auswirkungen von Maßnahmen besser prognostizieren zu können. Ganz besonders leistet die Cyber-Resilienz auch eine Abschätzung, inwieweit sich Risiken durch ein Ereignis ändern, etwa indem nun andere Ereignisse deutlich wahrschein-licher (etwa ein Erdschluss, da Leitungen aufgrund hoher Be-lastung stärker durchhängen) oder deutlich gefährlicher werden (etwa da aufgrund von IKT-Problemen nicht mehr aus-reichend reagiert werden kann). //
In Abbildung 2 ist eine cyberresiliente Vorgehens
weise zur „System Restauration“ in den ungestör
ten Betrieb beispielhaft dargestellt: Während Pfad (A) einen klassischen Blackout z. B. durch Ausfall von Primärtechnik (beispielsweise der Ausfall eines Transformators) repräsentiert, werden in Pfad (B) und (C) Blackouts durch IKT Ausfälle dargestellt. Hier erfolgte in Pfad (B) nach dem Ausfall der Primärtechnik ein zusätzlicher Ausfall des IKTSystems und in Pfad (C) nach dem Ausfall Weiterhin schließt nach VDE 0175110 Resilienz
:// Sicherheitsmaßnahmen ein, mit denen Auswirkungen verringert werden können, und zwar nicht nur im Vorfeld von Zwischen-fällen (feststellen und verhindern), sondern auch während dieser Zwischenfälle (erkennen und reagieren), sowie nach Behebung und deren Auswirkungen
(wiederherstellen). //
Dies bezieht sich auch auf den weiteren Begriff in diesem Themenfeld: die CyberResilienz, die sich auf die Absicherung von ITgestützten Prozessen fokussiert. Das cyberresiliente Energiesystem soll damit auf unvorhergesehene Störungen in der Informations und Kommunikationstechnik (IKT) in der Art reagieren, dass es dennoch seine grundle
gende Funktionsfähigkeit erhält oder sie zumindest
Klassischer elektrischer Ausfall des Stromnetzes / Blackout
Blackout inkl. Ausfall des IKT Systems Durch IKT bewirkter Blackout
Abhängiger optimierter Wiederherstellungspfad
Stati des Stromversorgungsnetzes
HOCH QoS Status Klassifikation
Blackout
Abbildung 2: Resilienz und Cyber-Resilienz in der Stromversorgung übersetzt aus (Fischer 2018) Quelle: Fischer (2018)
4 / Studie zum exemplarischen Anwenden von Gefährdungsszenarien in der Energiedomäne
der Messtechnik, der Verlust der Überwachung
*und letztendlich der Verlust der Steuerbarkeit, was in beiden Fällen (B) und (C) letztendlich ein Blackout des Stromversorgungsnetzes bewirkte und zu nicht vorhandener Verfügbarkeit der IKT führte. Pfad (D) stellt danach den Wiederherstel
lungspfad durch entsprechende CyberResilienz
Maßnahmen dar. Die jeweiligen Pfade repräsentie
ren auf der xAchse die IKTVerfügbarkeit von hoch bis niedrig und auf der yAchse die einzelnen Zustände des Stromversorgungsnetzes: Normal, Alarm, Notfall und Blackout.
Das heißt also ein resilientes System hat eine hohe Widerstandsfähigkeit gegenüber technischem oder menschlichem Versagen, aber auch höherer Gewalt oder gezielten Angriffen. Hierzu gehört auch das
Aufdecken von Schwachstellen5 (Vulnerabilitäten des (Gesamt) Systems und seiner individuellen Kompo
nenten), damit Angreifer entsprechende Lücken nicht ausnutzen können. Und auch das Analysieren von (Cyber)Gefährdungen / Bedrohungen, wie beispiels
weise DistributedDenialofServiceAngriff, Viren, Phishing oder ManinthemiddleAttacken.
Dies, also eine Gefährdungsanalyse für die Energie
domäne, wird Fokus dieses Dokuments sein.
5 „Eine Schwachstelle (englisch „vulnerability“) ist ein sicher
heitsrelevanter Fehler eines ITSystems oder einer Institu
tion.“, vgl. https://www.bsi.bund.de/DE/Themen/ITGrund
schutz/ITGrundschutzKompendium/vorkapitel/Glossar_.html.
Solch ein Fehler eines ITSystems kann beispielsweise ein Fehler im Programmiercode sein. Entsprechende Schwach
stellen können durch Angreifer (z. B. Hacker) ausgenutzt werden, um das System zum Erliegen zu bringen (Angriff auf die Verfügbarkeit), Daten abzugreifen (Angriff auf die Vertrau
lichkeit) oder Daten zu manipulieren (Angriff auf die Integrität).
EXKURS