Studie: Gesamtkonzept zur IT-Sicherheit im Smart Grid fehlt
Der VDE kommt in einer Studie zu dem Ergebnis, dass die Energiewende in Deutschland gefährdet sei, weil es kein Gesamtkonzept zur IT-Sicherheit in intelligenten Netzen gebe.
- Barbara Lange
Bislang existiert noch kein integriertes Gesamtkonzept zur IT-Sicherheit in intelligenten Stromnetzen (Smart Grids). Eine Vielzahl von Detailregelungen und “Sonderwegen Made in Germany” wie das BSI-Schutzprofil führen zu Doppelbelastungen von Entwicklern und Marktbarrieren für ausländische Hersteller. Zu diesem Ergebnis kommt der Verband der Elektrotechnik Elektronik und Informationstechnik (VDE) in seiner Studie ITK-Sicherheit, die sich auf die Funktions- und Informationssicherheit in Smart Grids konzentriert.
Die Existenz eines solchen Gesamtkonzepts, das von der Definition der Anforderungen über Normen und Standards bis hin zur Prüfung und Zertifizierung von Sicherheitssystemen reicht, sei Voraussetzung für den Erfolg der Energiewende. Sicherheit muss bei der Architekturentwicklung für ein Smart Grid als Kernthema betrachtet werden, betont der Verband.
Am Beispiel von Funk-Sensor-Netzwerken (FSN) benennen die Studienautoren Angriffsszenarien, die vom Mitlesen des Datenverkehrs über Manipulation bis hin zum Lahmlegen des Netzes reichen. An Lösungen müsse verstärkt gearbeitet werden, vor allem bei der Weiterentwicklung der Protokolle, bei Verschlüsselungsverfahren und bei der Hardware.
Auch an die intelligenten Stromzähler (Smart Meter) seien besondere Sicherheitsanforderungen zu stellen, besonders in Bezug auf die Manipulationssicherheit, Verfügbarkeit, Vertraulichkeit der Daten und Erstellung von Verbraucherprofilen. Aus der Sicht des VDE ist ein flächendeckendes Roll-Out von Smart Metern bis 2015 nicht mehr zu schaffen – realistischer sei das Jahr 2020.
Bislang existieren laut Studie, die es für 250 Euro beim VDE gibt, noch sehr wenige Normen für Planung, Betrieb und Management von Informationssicherheit in der Energieversorgung. Außerdem überlappen sich die vorhandenen Normen vielfach. Defizite gebe es weiterhin bei der Risikoabschätzung und der Definition von Sicherheitsniveaus. Außerdem sei das Thema Informationssicherheit noch zu wenig in Methoden der funktionalen Sicherheit integriert. (ck)
