Die Attacke, die in der Ukraine Ende 2015 die Lichter ausgehen liess, rückte die Cybersicherheit in der Energiewirtschaft in den Fokus. Für Energieunternehmen gehören solche Angriffe schon lange fast zum Alltag, mittlerweile aber arbeiten die Hacker immer systematischer und professioneller.Mit zunehmender Integration und Intelligenz werden die Systeme und Prozesse in den Energieunternehmen immer lohnendere Ziele für Cyberattacken. Das Risiko, das von unvorhergesehen Sicherheitslücken ausgeht, beschränkt sich nicht allein auf Umsatzeinbussen oder geringere Kundenzufriedenheit, sondern gefährdet letztlich die Privatsphäre der Kunden und die Stabilität des Stromnetzes.
„Aus unseren AMI-Projekten mit Kunden aus der gesamten EMEA-Region wissen wir, dass Sicherheitsbewusstsein und -anforderungen in den einzelnen Ländern unterschiedlich stark ausgeprägt sind. Aber unabhängig vom jeweiligen Markt wird Sicherheit immer wichtiger,“ sagt Peter-Georg Koller, VP Product Management von Landis+Gyr. „Länder wie Estland, Grossbritannien, Deutschland oder Österreich führen den ‚Global Cyber Security Index’ an, der ein Indikator für das Bemühen von Ländern um Cybersicherheit ist. Es ist nicht überraschend, dass in diesen Ländern die strengsten Anforderungen an die AMI Security gestellt werden.“
Seit Jahren arbeitet Landis+Gyr mit seinen Kunden an der Verbesserung der AMI-Cybersicherheit. „Es geht nicht einfach um ein einmaliges Investment oder singuläre Massnahmen,“ so Koller, „Security ist ein andauernder Prozess der eine ständige technische Entwicklung sowie Schulung und Bewusstsein aller Beteiligten und langfristiges Commitment des Senior Managements erfordert.“
Der wichtigste Schritt
Cybersicherheit im AMI Umfeld betrifft mehr als die technische Sicherheit der Lösung - also physische Sicherheit der Geräte, sichere Kommunikation, Software und Datenspeicherung. Sie verlangt nach einem ganzheitlichen Ansatz, der die Planung der gesamten IT-Infrastruktur aus der Perspektive der Security genauso umfasst wie die damit verbundenen Menschen, Routinen und Prozesse.
„Der erste und wichtigste Schritt in Richtung Cybersicherheit ist es, Bewusstsein dafür zu schaffen. Alle Beteiligten müssen der Risiken gewahr sein und das Unternehmen muss definieren, welche Massnahmen ergriffen werden, um diese Risiken auf eine realistische und kosteneffiziente Weise soweit wie möglich zu begrenzen“, erläutert Peter-Georg Koller.
Risk Management im Bereich der Cybersecurity dreht sich um das Erkennen und Verstehen potenzieller Risiken, die Bewertung der Auswirkungen auf den Betrieb und das Aufsetzen von Prozessen, um diese zu kontrollieren. Die nötigen Investitionen müssen gegen die möglichen Risiken abgewogen werden. Eine absolut sichere Lösung lässt sich möglicherweise finanziell sinnvoll nicht realisieren, daher ist es wichtig, eine bestmögliche Lösung im Rahmen der betrieblichen Möglichkeiten zu finden.
EU-Vorschriften in Vorbereitung
Ein weiterer Anstoss für ein grösseres Sicherheitsbewusstsein kommt von der regulatorischen Seite. Die erste EU-weite Rechtssprechung zum Thema Cybersecurity wurde im Dezember 2015 verabschiedet. Bevor die Direktive zur „Netz- und Informationssicherheit“ offiziell in Kraft tritt, muss sie vom Europäischen Parlament und dem Europäischen Rat verabschiedet werden. Mit dem Inkrafttreten wird im August 2016 gerechnet. Danach haben die Mitgliedsstaaten 21 Monate Zeit, die Richtlinie in nationales Recht umzusetzen. Als „Betreiber wesentlicher Dienste“ haben manche Marktteilnehmer aus der Energiewirtschaft geeignete Sicherheitsmassnahmen zu ergreifen und müssen ernste Zwischenfälle an die zuständigen staatlichen Stellen melden. Diese Unternehmen werden jeweils von den Mitgliedsstaaten bestimmt.
Arbeit an einem gemeinsamen AMI-Sicherheitskonzept
Während die Direktive zur Netz- und Informationssicherheit auf dem Weg durch die Institutionen ist, arbeiten eine Reihe von Verbänden und Arbeitsgruppen an Richtlinien, um die Direktive in Produkte umzusetzen. Eine dieser Gruppen, die „ESMIG Security and Privacy Group“, hat eine Liste der Mindestanforderungen an die Sicherheit der AMI-Komponenten aufgesetzt. Dies erfolgte in Zusammenarbeit mit der Smart Metering Coordination Group (SM-CG), der Europäischen Normenorganisationen (CEN, CENELEC und ETSI). Die daraus entstandene Liste allgemeiner Mindestanforderungen, die alle AMI-Komponenten vom Smart Meter bis zum Head End System abdeckt, wird von der SM-CG veröffentlicht.
ESMIG konzentriert sich auf die Arbeit an den technischen Aspekten der Komponenten und die Kommunikations-schnittstellen der AMI. Die Basis bildet eine Sammlung aller relevanten europäischen Sicherheitsanforderungen an die AMI, speziell der Niederlande, Grossbritannien, Deutschland und Österreich. Zudem wurden die Spezifikationen des US-amerikanischen NIST (National Institute of Standards and Technology) berücksichtigt. Die Sammlung enthält mehr als 300 Vorschriften, die in sieben Clustern zusammengefasst wurden, welche in einem direkten Zusammenhang mit funktionalen Anforderungen stehen. Das Ergebnis enthält 11 übergeordnete Anforderungen wie „Protokollieren von Sicherheitsvorfällen“, „Upgrade-Fähigkeit der AMI-Komponenten mit neuen Sicherheitsfunktionen“, und „Einhaltung bewährter Standards bei der Verschlüsselung und dem Management der kryptografischen Schlüssel“.
Landis+Gyr hat sich aktiv in die Entwicklung der europäischen Mindestanforderungen mit Industriepartnern und Spezialisten für Cybersicherheit in der ESMIG-Arbeitsgruppe eingebracht. Infolgedessen haben wir Gridstream®- unsere End-to-End Smart Metering Lösung - mit neuen Sicherheitsfunktionalitäten ausgestattet und übertreffen mit diesen die Anforderungen sogar.
Der Einstieg
„Das Beste, was ein Unternehmen tun kann, um seine AMI-Sicherheit zu verbessern, ist die Stärkung des Sicherheitsbewusstseins und die Einführung übergeordneter Richtlinien zur IT-Security,“ so Peter-Georg Koller.
Der Prozess setzt bei der Evaluation des aktuellen Sicherheitsstatus, der Identifikation von Schwachstellen und der Planung von Optimierungsmassnahmen an. In den meisten Fällen kann ein externes Consulting den Prozess optimieren. AMI-Security hat technische und strukturelle Aspekte. Verbesserungen sind in verschiedenen Bereichen wie z.B. den folgenden möglich:
Mitarbeiter und Prozesse
- Dies ist der am meisten gefährdete Bereich und das schwächste Glied in der Cybersecurity. Hier ist kontinuierlich Aufmerksamkeit gefragt, zugleich kann die Sicherheit in diesem Bereich am einfachsten verbessert werden – etwa durch die Einführung allgemeiner Sicherheitspraktiken sowie Ratgeber in Fragen zu Rollen und Verantwortungen, Klassifizierung von Daten oder im Umgang mit Passwörtern. Regeln zu Backup und Wiederherstellung oder Updates im AMI spielen ebenfalls eine wichtige Rolle.
- Eine angemessen gesichere IT-Umgebung ist die absolute Basis für Cybersecurity. Durch Segmentierung des Netzwerks lässt sich die IT-Sicherheit hinsichtlich des Schutzes sensibler Daten und kritischer Dienste schnell verbessern. Ein gutes Beispiel ist die Trennung der AMI-Umgebung vom Büro Netzwerk.
- Als Anbieter von End-to-End Lösungen verfolgt Landis+Gyr einen ganzheitlichen Sicherheitsansatz. Alle Gridstream®-Komponenten sind unter Sicherheitsaspekten konzipiert, von der physischen Sicherheit der Hardware (z. B. Manipulationserkennung) bis zur Unterstützung von sicherer Geräteinstallation und Wartungsprozessen. Die Kommunikation zwischen allen Komponenten der Lösung ist abgesichert. Der Zugriff auf Daten und Funktionen wird basierend auf Benutzer-Rollen sicher verwaltet und mittels ‚Audit Trails‘ ausführlich dokumentiert.
Letzen Endes ist es eine Tatsache, dass jedes Unternehmen seine individuelle Umgebung, spezifische Sicherheitsanforderungen, Risiken und Schwachstellen hat – wie auch unterschiedliche Ressourcen und Kompetenzen im Management der Cybersecurity. Was jedoch alle Unternehmen gemeinsam haben, ist die Notwendigkeit, sich ständig zu verbessern. Der Austausch von Information und eine enge Zusammenarbeit zwischen Energieunternehmen, Technologielieferanten und Behörden ist daher eine wichtige Säule der Cybersecurity. Auch auf diesem Weg geht Landis+Gyr voran.
