Energie.Digital: IT-Sicherheit für dezentrale Energiesysteme

... hat zum Auftakt in seiner Präsentation „Im Fadenkreuz der Hacker“ anschaulich verschiedene Gefährdungen aufgezeigt, die durch "Social Engineering" ausgelöst werden können. Dieses Ausnutzen von sozialem Verhalten erfordert wenig Aufwand, da sich die meisten Menschen bei entsprechendem Auftreten des Angreifers als hilfsbereit, auskunftsfreudig, obrigkeitshörig oder vertrauensselig verhalten. Auch allzu offenherzige Preisgabe persönlicher Informationen über soziale Netzwerke wird von potentiellen Cyberkriminellen ausgenutzt, um mit Angestellten eines Unternehmens in Kontakt zu treten und durch die scheinbaren Vorkenntnisse als glaubwürdig zu gelten, da korrekte Referenzinformationen vom Angreifer dargelegt werden. Im praktischen Teil seines Vortrags – der Live Demonstration – hat er verschiedene Möglichkeiten aufgezeigt, wie man in Betriebssysteme eindringen kann, wie man Anmeldeinformationen (Benutzername, Passwort) abgreift oder über den Browser Zugriff auf ein PC-System erhält.

... berichtete unter dem Motto „Informationen, Energie und Sicherheit“ über Möglichkeiten den Energiehandel an der Strombörse privatwirtschaftlich – aber nicht netzdienlich oder kooperativ – zu nutzen, dadurch dass Geräte oder Smart-Home- Installationen von außen kontrolliert und zu geeigneten preisabhängigen Zeiten ein- oder ausgeschaltet werden. Im weiteren Teil des Vortrags beschrieb Schmid Zustände in Netzabschnitten der Verteilnetzbetreiber, die in vielen Fällen schwer zu erkennen sind, nämlich dann, wenn sich die dezentrale Einspeisung und der Verbrauch nahezu ausgleichen. Zur Verbesserung des Betriebs dezentraler Energieerzeugungsanlagen arbeiten verschiedene Arbeitsgruppen im VDE am zellularen Energiesystem (siehe dazu die Webseite des VDE AK EV 4.0 Link). An der Trafostation sind solche Situationen kaum von einer lastfreien Leitung zu unterscheiden. Zur Lösung sind zusätzliche Messeinrichtungen an Verzweigungen in den Leitungszweigen notwendig oder einzelne Messgeräte bei den Verbrauchern zu installieren, die regelmäßig Daten an den Versorger senden. Dies wäre z.B. mit einem Smart Meter möglich, das über ein Smart-Meter-Gateway (SMGW) die Daten an den Versorger sendet. Da seit Dezember 2018 das erste SMGW vom BSI zertifiziert ist, erläuterte Schmid in einem kurzen weiteren Teil des Vortrags die Sicherheits-Zertifizierung gemäß Common Criteria und dessen Grundkonzept.

... begann seinen Vortrag „Aktuelle Fördermöglichkeiten für die IT Sicherheit“ mit der Vorstellung und der Darlegung der Rolle der VDI/VDE Innovation + Technik GmbH, für die er bei der Veranstaltung eingeladen wurde. Er erläuterte sowohl das Förderprogramm Informations- und Kommunikationstechnik Bayern des Bayerischen Staatsministeriums für Wirtschaft, Landesentwicklung und Energie (StMWi) als auch das Förderprogramm KMU-innovativ: IT-Sicherheit / Kommunikationssysteme des Bundesministeriums für Bildung und Forschung (BMBF). Insbesondere zur Förderung von Innovationen hat Yilmaz jeweils die Adressaten, die Themen, die Konditionen und die Förderverfahren beschrieben. An Hand konkreter Beispiele hat Yilmaz die Möglichkeiten und Schritte zur Förderung unterschiedlicher Projekte wie z.B. IT-Sicherheit oder sichere Kommunikationssysteme dargelegt.

... und sein Doktorand Sebastian Renner - beide vom Laboratory for Safe and Secure Systems (LaS³) - referierten über „The Seven Habits of Secure Software Engineers in the Smart Grid“ mit dem Ziel diese „7 Regeln zur sicheren Software“ auch im Energiebereich zu vermitteln und zu verbreiten. Nach der Vorstellung des LaS³, das u.a. mit dem Bayerischen IT-Sicherheitscluster e.V. [www.it-sicherheitscluster.de/] und dem ZD.B [zentrum-digitalisierung.bayern/] kooperiert präsentierte Mottok den Weg von den Embedded Systems hin zu Cyber Physical Systems an Hand eines Energy Safe and Secure System Modules. Mit der Darlegung der Abhängigkeiten und Beziehungen zwischen funktionaler Sicherheit und IT-Security begannen Mottok und Renner abwechselnd die verschiedenen Regeln im Einzelnen zu erklären und zu verdeutlichen. Die Regeln beschreiben verschiedene Aspekte der IT-Sicherheit, wie z.B. verlässliche Kryptoalgorithmen zu verwenden, sich an Standards und anerkannte Leitlinien zu orientieren, eine an die Sicherheitsvorgaben angepasste Bedrohungsanalyse durchzuführen und eine ausgereifte Sicherheitskultur in der Entwicklung zu etablieren.

... und sein Doktorand Sebastian Renner - beide vom Laboratory for Safe and Secure Systems (LaS³) - referierten über „The Seven Habits of Secure Software Engineers in the Smart Grid“ mit dem Ziel diese „7 Regeln zur sicheren Software“ auch im Energiebereich zu vermitteln und zu verbreiten. Nach der Vorstellung des LaS³, das u.a. mit dem Bayerischen IT-Sicherheitscluster e.V. [www.it-sicherheitscluster.de/] und dem ZD.B [zentrum-digitalisierung.bayern/] kooperiert präsentierte Mottok den Weg von den Embedded Systems hin zu Cyber Physical Systems an Hand eines Energy Safe and Secure System Modules. Mit der Darlegung der Abhängigkeiten und Beziehungen zwischen funktionaler Sicherheit und IT-Security begannen Mottok und Renner abwechselnd die verschiedenen Regeln im Einzelnen zu erklären und zu verdeutlichen. Die Regeln beschreiben verschiedene Aspekte der IT-Sicherheit, wie z.B. verlässliche Kryptoalgorithmen zu verwenden, sich an Standards und anerkannte Leitlinien zu orientieren, eine an die Sicherheitsvorgaben angepasste Bedrohungsanalyse durchzuführen und eine ausgereifte Sicherheitskultur in der Entwicklung zu etablieren.

„Die Dezentralisierung von Energiesystemen stellt die betroffenen Akteure vor neue Herausforderungen im IT Bereich. Vor allem die zunehmende Komplexität durch eine Vielzahl an Einspeisepunkten, insbesondere hervorgerufen durch neue Marktteilnehmer, stellt hohe Ansprüche an das Verteilernetz. In Verknüpfung mit der steigenden Volatilität durch die zunehmende Einspeisung aus Erneuerbaren Energien, wird in Zukunft immer mehr IT gestützte Regeltechnik und Internet of Things Technologie zum Netzmanagement nötig. Dazu ist es unerlässlich die Kommunikation zwischen einzelnen Energiesystemen sicher zu gestalten. Dies betrifft sowohl den Datenschutz als auch das Verhindern von interner und externer Manipulation.“

Quelle: ENERGIEregion Nürnberg e.V.; Einladung zur Veranstaltung