Weltkugel mit Begriffen Hacked, Attack
peshkov / stock.adobe.com
22.07.2024 Fachinformation

Cybersecurity für erneuerbare Energiesysteme

Erneuerbare Energiesysteme gelten zunehmend als die Schwachstelle im Netz. Die IEC macht Cyberkriminellen mit einer Kombination aus Normen und Konformitätsbewertung einen Strich durch die Rechnung.

Ein Beitrag von Catherine Bischofberger für IEC e-Tech.

Kontakt
Christian Seipel

Das erwartet Sie in diesem Artikel:

  • Cybersecurity-Normen für das Smart Grid
  • Cybersecurity mit IEC 62243 und IECEE
  • Erneuerbare Energien als Schwachstelle im System?

Cybersecurity wird ein immer wichtigeres Thema für Energieanlagen weltweit. Die IEC arbeitet deshalb daran, ein Konformitätsbewertungssystem zu entwickeln, das erneuerbare Energiesysteme, die an Stromübertragungs- und -verteilungsnetze angeschlossen sind, im Hinblick auf ihre Cybersecurity zertifiziert.

Alistair Mackinnon, Leiter von IECRE bestätigt: „Anbieter von erneuerbaren Energien sind sich der Risiken von Cyberangriffen sehr wohl bewusst. Im Rahmen der IEC-Konformitätsbewertungssysteme prüfen wir, wie sich ein Cybersecurity-System für erneuerbare Energiesysteme am besten umsetzen lässt.“ IECRE steht für das IEC-System zur Zertifizierung nach Normen für Geräte zur Verwendung in Anwendungen für erneuerbare Energien.

Cyberangriffe sind eine zunehmende Bedrohung für das Netz

Der Krieg in der Ukraine hat Ländern bewusst gemacht, wie wichtig es ist, ihre Energieversorgung zu schützen. Besonders bei europäischen Anlagen hat die Angst vor Cyberangriffen auf kritische Infrastruktur, wie Energieversorgungssysteme, deutlich zugenommen. Einem Artikel von Politico zufolge fanden seit dem russischen Angriff auf die Ukraine tausende von Cyberangriffen auf das europäische Stromnetz statt. Ein vor kurzem von der Internationalen Energieagentur veröffentlichter Bericht kommt zu dem Schluss, dass sich die durchschnittliche Anzahl von Cyberangriffen auf Energieversorgungsunternehmen zwischen 2020 und 2022 pro Woche weltweit mehr als verdoppelt hat.

Die EU hat zu Beginn des Jahres im Rahmen der NIS-2-Richtlinie neue Cybersecurity-Anforderungen an Unternehmen, die in kritischen Branchen wie dem Energiesektor tätig sind, festgelegt. Diese werden im Oktober 2024 zur Anwendung kommen.


Ingenieure verfolgen Produktprozess im Werk mit Hilfe eines SCADA-Systems und Industrie 4.0
leonidkos / stock.adobe.com

Verhinderung von Cyberangriffen auf kritische Infrastrukturen

Kritische Infrastrukturen (KRITIS) erstrecken sich von der Versorgung über Medien und Kultur bis hin zur Gesundheit – und sind für unser tägliches Leben von größter Bedeutung. Vor allem auch deshalb sind sie ein beliebtes Ziel für Angriffe durch Kriminelle.

Ein wichtiger Aspekt beim Schutz sind die SCADA-Systeme. Die internationale Normung zeigt mit den Normenreihen IEC 62443 und IEC 62351 auf, wie kritische Infrastrukturen geschützt werden können.

Mehr erfahren

Cybersecurity-Normen für das Smart Grid

Frances Cleveland ist Leiterin Cybersecurity innerhalb des technischen Komitees IEC/TC 57, das Grundnormen für das Smart Grid veröffentlicht. Ihr zufolge sind fünf Dinge wesentlich, wenn es um kritische Infrastruktur wie die Stromversorgung und deren Cybersecurity geht:

  1. Resilienz
  2. Security by Design
  3. Verstehen des Unterschieds zwischen IT (Information Technology) und OT (Operational Technology)
  4. Risikobewertung, Risikominderung und kontinuierliche Aktualisierung von Prozessen
  5. die Rolle internationaler Normen.

„Die Notwendigkeit von Cybersecurity betrifft das gesamte Stromnetz, inklusive Verteilnetze, Übertragungsnetze und die daran angeschlossenen erneuerbaren Energieträger. Wir müssen sämtliche Akteure, und das sind einige, von den Herstellern über die Anbieter, Monteure bis zu den Aggregatoren und Regulierungsbehörden, von dieser Notwendigkeit überzeugen“, erklärt Cleveland.

Die von ihr in IEC/TC 57 geleitete Gruppe hat die Normenreihe IEC 62351 entwickelt, die neben Cybersecurity-Anforderungen auch Leitlinien für die Berücksichtigung von Sicherheitsanforderungen in Systemen und Betriebsabläufen schon während der Entwicklungsphase enthält, sodass Sicherheitsmaßnahmen nicht erst dann zum Einsatz kommen, wenn die Systeme bereits in Betrieb sind.

Zu den verschiedenen Sicherheitszielen dieser Cybersecurity-Anforderungen gehören

  • die Authentifizierung der Datenübermittlung mittels digitaler Signaturen,
  • die Sicherstellung eines authentifizierten Zugangs,
  • die Verhinderung von Abhörversuchen,
  • die Verhinderung von Playback und Spoofing,
  • sowie die Erkennung von Angriffen.

„Ziel ist es, die Beteiligten im Bereich der dezentralen Energieversorgung (en: distributed energy resources, DER) dazu zu bringen, diese DER-Systeme so herzustellen und miteinander zu verbinden, dass die Cybersecurity-Maßnahmen und -Technologien gleich von Beginn an berücksichtigt werden, also dass die DER-Systeme „secure by design“ sind. Wird sich erst über Cybersecurity Gedanken gemacht, wenn das System bereits auf dem Markt ist, dann wäre es in etwa so, als ob man ein Pflaster auf eine lebensbedrohliche Verletzung klebt“, erläutert Cleveland.


Ein Ingenieur, welcher in der elektrischen Leitwarte arbeitet
khampiranon / stock.adobe.com

Cybersecurity für die Kommunikationsprotokolle in der Energieversorgung

Ein Blackout führt bereits nach kurzer Zeit zu Panik in der Bevölkerung, denn ohne Elektrizität ist unser alltägliches Leben nicht mehr möglich. Den Grund für einen Blackout sehen Fachleute aber weniger in der Bereitstellung von Energie als vielmehr durch Angriffe auf Energieversorger durch Hacker.

Cybersecurity spielt bei Kommunikationsprotokollen somit eine zentrale Rolle. Auf internationaler Ebene erarbeiten Fachleute deshalb spezifische Normen und Standards, die sich in der Arbeit von nationalen Gremien widerspiegelt.

Mehr erfahren

Cybersecurity mit IEC 62243 und IECEE

Elektrische Anlagen und Kraftwerke sind Teil der kritischen Infrastruktur eines Landes. SCADA-Systeme (Supervisory Control and Data Acquisition) und Human-Machine-Interfaces (HMIs) sind in Elektrizitätswerken inzwischen weit verbreitet, da letztere eine zunehmende Zahl von Aufgaben automatisieren. SCADA-Systeme basieren auf großen Kommunikationsnetzen, die direkt oder indirekt in tausende Anlagen reichen. Sie werden dazu genutzt, Stromnetze sowie Maschinen und Geräte in Industrieanlagen zu überwachen. Die Herausforderung für viele SCADA-Systeme ist die Unterscheidung zwischen normalen und möglicherweise infizierten Daten, die Schäden anrichten können.

Die von IEC/TC 65 veröffentlichte Normenreihe IEC 62443 kann in jeder kritischen Infrastruktureinrichtung zur Anwendung kommen wie beispielsweise bei Stromversorgern, öffentlichen Verkehrsbetrieben oder Gesundheitseinrichtungen. Diese horizontalen Normen etablieren effiziente Sicherheitsprozesse und -verfahren, die die gesamte Wertschöpfungskette, von den Herstellern von Automatisierungstechnologien über die Monteure bis zu den Betreibern, abdecken. Sie beheben bzw. verringern aktuelle Sicherheitsschwachstellen und beugen zukünftigen vor.

Das industrielle Cybersecurity-Programm von IECEE, das IEC System of Conformity Assessment Schemes for Electrotechnical Equipment and Components, prüft und zertifiziert Cybersecurity im industriellen Automatisierungssektor. IECEE beinhaltet ein Programm, das Zertifizierungen nach den Normen der Normenreihe IEC 62443 zur Verfügung stellt. Es ist allerdings nicht speziell auf erneuerbare Energiesysteme ausgerichtet.

Aktuell wird auf verschiedenen Ebenen an der Entwicklung von Cybersecurity-Normen für DER-Systeme gearbeitet, darunter IEEE Std 1547.3:2022: Guide for Cybersecurity of Distributed Energy Resources Interconnected with Electric Power Systems, UL 2941: Outline of Investigation for Cybersecurity of Distributed Energy and Inverter-Based Resources, und die Cybersecurity Baselines for Electric Distribution Utilities and DER der US-Energiebehörde. Es gibt auch den Plan, relevante Teile von IEC 62443 in Bezug auf DER-Cybersecurity im Rahmen der Entwicklung einzelner Profile von IEC 62443 zu horizontalen Normen zu aktualisieren. Eine Koordinierung all dieser Bemühungen ist wichtig, um konsistente und interoperable Cybersecurity über das gesamte Stromversorgungssystem sicherzustellen.


DKE Newsletter-Seitenbild
sdx15 / stock.adobe.com

Mit unserem DKE Newsletter sind Sie immer top informiert! Monatlich ...

  • fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
  • berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
  • informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen
Ich möchte den DKE Newsletter erhalten!

Erneuerbare Energien – die Schwachstelle im System?

Die Anbindung der Anbieter von erneuerbaren Energien an das Stromnetz macht diese zu einem potentiellen Ziel von Cyberangriffen, insbesondere da hier viele verschiedene Beteiligte mit begrenztem Fachwissen in Bezug auf Cybersecurity involviert sind und DER-Systeme meist das öffentliche Internet zur Kommunikation nutzen. Potentielle Angreifer, die fortschrittliche Technologien nutzen, suchen vermehrt nach Schwachstellen in der Betriebstechnologie (OT) von Unternehmen, die vielleicht nicht direkt Teil des Stromversorgungssystems, aber damit verbunden sind. Angreifer konzentrieren sich auf die „Schwachstellen in der Kette“, die eventuell nicht ausreichend in die Sicherheit ihrer OT-Umgebung investiert haben. Erneuerbare Energiesysteme werden mitunter als eine solche Schwachstelle betrachtet.

Dem Steuer- und Versicherungsberatungsunternehmen CohnReznick zufolge haben neue Unternehmen im Sektor erneuerbare Energien häufig keinen Chief Information Security Officer bzw. die dafür zuständige Person muss jemand anderem im Unternehmen Bericht erstatten. Das Cybersecurity-Risiko ist allerdings derart groß, dass CohnReznick Unternehmen im Bereich erneuerbare Energien nachdrücklich rät, einen eigenen Security Officer einzustellen, der die Befugnis hat, die notwendigen Strategien, Verfahren und Kontrollen umzusetzen, um nicht nur die IT- und OT-Umgebungen, sondern auch die Aufrechterhaltung der Betriebsfähigkeit, die finanzielle Stabilität und die Reputation des Unternehmens zu schützen. Dies ist nur eine der Empfehlungen, die Teil der neuen IEC-Konformitätsbewertung hinsichtlich Cybersecurity für erneuerbare Energiesysteme sein könnten.

Wolfram Zeitz, Executive Secretary von IECRE und IECEE, erklärt: „Der Schlüssel zu einem umfassenden und erfolgreichen Cybersecurity-Angebot für erneuerbare Energiesysteme ist die Nutzung der Erfahrung aus dem IECEE Industrial Cyber Security-Programm und dem fundierten Wissen der IECRE-Fachleute in Bezug auf erneuerbare Energiesysteme. Durch die Zusammenarbeit der beiden Gruppen können wir eine für den Markt enorm wichtige Leistung anbieten, die für alle Beteiligten einen echten Mehrwert darstellt.“


Interessiert an weiteren Inhalten zu Cybersecurity?

Fokusbild Cybersecurity

Die starke Vernetzung unserer Infrastrukturen ruft einige Bedrohungen der Informationssicherheit und des Datenschutzes bei Systemen hervor. Innerhalb der DKE werden im Arbeitsfeld Cybersecurity wichtige Sicherheitsfragen behandelt, die sich über die gesamte Laufzeit eines Systems bzw. einer Systemkomponente erstrecken. Ein Hauptziel aus Normungssicht ist dabei, Cybersecurity als Innovationsthema zu verstehen und in den relevanten Bereichen ganzheitlich zu adressieren.

DKE Arbeitsfeld Cybersecurity

Relevante News und Hinweise zu Normen