Letzte Aktualisierung am 23. Oktober 2015.

Quelle: http://industr.com – 09.01.2015 Schutz für En­er­gie­ver­sor­gungs­net­ze vor Hackern und Fehl­be­die­nung

Pro­zess­steue­rungs­sys­te­me wachsen immer mehr mit IT-Netz­wer­ken zu­sam­men, da mit zu­neh­men­der Dezentralisie­rung die Ge­schäfts­an­for­de­run­gen an Strom­net­ze steigen. So kann über das In­ter­net auf viele Systeme zu­ge­grif­fen werden, etwa um sie aus der Ferne zu warten. Die Hard­ware-Kom­po­nen­ten sind jedoch meist ver­al­tet und nicht mit Blick auf IT-Si­cher­heit ent­wor­fen worden. Damit sind sie zum einen Sa­bo­teu­ren aus­ge­setzt, zum anderen steigt das Risiko durch Fehl­be­die­nung.

Anmerkung F. Hein: Bisher waren die Fernwirksysteme gänzlich und die Prozessleitsysteme weitgehend von der sonstigen Informations- und Kommunikationstechnik getrennt. Sie nutzten zudem fast ausschließlich eigene Nachrichtenwege, waren in abgeschlossenen, in der Regel für Betriebsfremde unzugänglichen Räumen untergebracht und wurden von betriebseigenen Mitarbeitern betreut. Das ändert sich grundlegend und muss sich auch grundlegend ändern, damit die Herausforderungen der Energiewende gemeistert werden können. Dazu ist das Mitwirken aller Energienutzer erforderlich. Dass die Netzstabilität zu sichern, weiterhin nur den Übertragungsnetzbetreibern obliegt, muss ad acta gelegt werden.

Die wesentlichste Änderung dabei ist, dass die Energiebevorratung in den konventionellen Kraftwerken in Form von fossilen Rohenergien (Kohlehaufen, Öltanks, Gasspeicher) nach dem Gelingen der Energiewende nicht mehr existiert, da dann die gesamte Energieversorgung auf regenerative Energien und damit auf den Energiezufluss von der Sonne umgestellt ist (sein muss!). Dann muss die Sicherstellung des Leistungsgleichgewichts (real-time power balancing) als netzdienliches Verhalten in vielen Energiezellen, gleich in welcher Netzebene, also auch und vermutlich sogar vorrangig in der untersten Netzebene geleistet werden. In diese Ebene verlagert sich durch die generelle Umstellung auch die Energieeinspeisung, die bisher überwiegend in konventionellen und meist gut regelbaren Kraftwerken erfolgte.

In den Energiezellen (besonders in der untersten Netzebene) ist endgültig die bisherige Trennung zwischen Energieversorgung und IT nicht mehr aufrecht zu erhalten, vielmehr muss durch Vernetzung mit der „home automation“ eine möglichst effizente Energieverwendung erreicht werden. Noch wichtiger allerdings ist eine Vernetzung mit möglichst vielen, flächenhaft verteilt im Netz befindlichen Energiebevorratungsmöglichkeiten notwendig. Nur durch eine Pufferung der Energie für die Unterstützung der Netzregelung zur Beherrschung der starken Fluktuationen sind die extrem zeitkritischen Aufgaben der Sicherung des Leistungsgleichgewichts erreichbar. Dazu kommt noch die Langfristbevorratung von Energie zur Überbrückung saisonaler Schwankungen im Energiedargebot.

Die in dieser Unterlage von Rohde & Schwarz aufgeführten Maßnahmen innerhalb der IT sind zwar richtig, hilfreich und auch notwendig. Sie sind aber nicht hinreichend, um die Herausforderung des Umbruches in der Energieversorgung zu bewältigen. Vielmehr müssen in den Energiezellen meist automatisch wirkende Einrichtungen (also so etwas wie Energieassisstenzsysteme) autonom in allererster Linie die Netzstabilität sichern und in zweiter Linie für eine ausreichende Energiebevorratung sorgen. Die Versorgungssicherheit zu gewährleisten, ist die größte Herausforderung des unausweichlich nötigen Umstiegs auf erneuerbare Energien als künftig einzigste Grundlage der gesamten Energieversorgung. Die Energieassistenzsysteme, ihre Vernetzungen mit weiteren Systemen über Nachrichtenwege sowie die Vernetzungen mit den Komponenten der Energietechnik, besonders der Messeinrichtungen und der Aktoren bilden dann zusammen mit den Leittechniken ein  Energieinformationssystem, das letztlich eine Symbiose beider Technikbereiche darstellt.

Blackout durch falsche und fremde Bedienung

Bereits 2013 legte eine ein­fa­che Abfrage der Zäh­ler­stän­de ex­em­pla­risch die Schwach­stel­len der En­er­gie­ver­sor­gungs­net­ze offen: Ein Steue­rungs­be­fehl aus einer re­gio­na­len Gas­ver­sor­gung wurde un­be­ab­sich­tigt in das eu­ro­päi­sche Strom­kon­troll­netz ein­ge­lei­tet. Diese ei­gent­lich simple Zäh­ler­ab­fra­ge an ein paar Dutzend Kom­po­nen­ten des Erd­gas­net­zes wurde vom Strom­leit­sys­tem als Steue­rungs­be­fehl ak­zep­tiert. Die Folge: Eine Da­ten­flut, die das eu­ro­päi­sche Steue­rungs­sys­tem in einem ganzen Land lahm­leg­te. Weder konnten In­for­ma­tio­nen über den Status die Netz­kno­ten pas­sie­ren, noch kamen Steue­rungs­be­feh­le an. Das System wurde über Tage im Blind­flug be­trie­ben.

Anmerkung F. Hein: Der Vorfall war im Mai 2013 und wurde durch einen Befehl „Abfrage an alle Zähleinrichtungen“ zusammen mit den Rückmeldungen der Zähleinrichtungen ausgelöst. Das war Teil einer Inbetriebnahme in einem Gasversorgungssystem in Süddeutschland. Dadurch gelangten auf irgendeine Weise entsprechende Fernwirkinformationen in Fernwirksysteme von österreichischen Stromnetzbetreibern und pflanzten sich dort bis zur höchsten Netzebene fort. Nur durch den Einsatz von Personal in einer ganzen Reihe von Schaltanlagen, durch telefonische Übermittlung von Messwerten und Regeleingriffen sowie durch eine Netzregelung „von Hand“ konnte eine Ausweitung der Störung verhindert werden. Damals war das gesamte europäische Energieversorgungssystem auf das Höchste gefährdet, weil die Einhaltung des Leistungsgleichgewichts nicht mehr ellein durch automatisch wirkende Regler gesichert war.

Funk­tio­nie­ren­de Strom­net­ze sind auf In­for­ma­ti­ons­über­mitt­lung in Echt­zeit an­ge­wie­sen: Kommen Steuerungs­befehle nicht an und wird in Folge dessen auf Ab­wei­chun­gen nicht re­agiert, brechen die Strom­net­ze bereits bei zwei bis drei Prozent Ab­wei­chun­gen zu­sam­men. Mit den mo­der­nen Steue­rungs­mög­lich­kei­ten sind En­er­gie­ver­sor­gungs­net­ze jedoch über­for­dert. Ein er­neu­ter Black­out ist je­der­zeit möglich. Hin­ter­grund ist das in den neuen „in­tel­li­gen­ten“ En­er­gie­net­zen ein­ge­setz­te Kom­mu­ni­ka­ti­ons­pro­to­koll IEC-60870-5-104, das einen zu großen Spiel­raum für spe­zi­fi­sche Ap­pli­ka­tio­nen lässt. Not­wen­dig ist deshalb eine Pro­to­koller­ken­nung, die auch die im Pro­to­koll ent­hal­te­nen Nach­rich­ten­ty­pen sowie die IEC-Ab­sen­der und die Emp­fän­ge­r­adres­se un­ter­schei­den kann.

Anmerkung F. Hein: Diese Schlussfolgerung mit dem Verweis auf das erwähnte Protokoll muss noch geprüft werden. Richtig auf alle Fälle ist, dass vom Leistungsgleichgewicht nicht zu stark (und nicht zu lange!) abgewichen werden darf, sonst kann ein „Umkippen“ und damit ein Blackout nicht mehr vermieden werden.

Die kri­ti­schen Systeme können aber nicht nur durch Fehl­be­die­nun­gen lahm­ge­legt werden: Durch ko­or­di­nier­te At­ta­cken auf die En­er­gie­net­ze können Hacker die Kon­trol­le über die Technik über­neh­men und kri­ti­sche Systeme blo­ckie­ren. Cy­ber-At­ta­cken der Grup­pie­rung „Dra­gon­fly“ zeigen, mit welch hohem Aufwand und wie sys­te­ma­tisch An­grei­fer vor­ge­hen. Dem haben die in den Pro­duk­ti­ons­netz­wer­ken ein­ge­setz­ten in­dus­tri­el­len Leit- und Steue­rungs­kom­po­nen­ten kaum etwas ent­ge­gen­zu­set­zen. Denn die meisten Kom­po­nen­ten der Steue­rungs- und Manage­menttechnologie wurden mit Blick auf Zu­ver­läs­sig­keit und Ver­füg­bar­keit ent­wi­ckelt. Solange die Pro­zess­net­ze von der übrigen IT-In­fra­struk­tur ge­trennt waren, gab es deut­lich weniger An­griffs­mög­lich­kei­ten.

Anmerkung F. Hein: Die enorme Gefährdung berücksichtigen derzeitige Gesetzgebungen, Vorschriften und behördliche Handlungen nicht. Vielmehr wird sogar vorgeschrieben, dass Einrichtungen für eine Steuerung aus der Ferne „ertüchtigt“ werden, was eine geradezu extreme Gefährdung des gesamten Energieversorgungssystems zur Folge hat. Die Fiktion, dass ein koordiniertes und gesetzlich angeordnetes Abschalten von Netzgebieten bei einem Leistungsmangel das Netz „retten“ kann, wird inzwischen als „Systemsicherheitskaskade“ regelrecht gelehrt. Eine größere Ignoranz gegenüber den Eigenheiten und den Gefahren der Informations- und Kommunikationstechnik (IKT) ist kaum mehr vorstellbar.

Um ein Smart Grid zu schüt­zen und gleich­zei­tig die Vor­tei­le mo­der­ner IP-Tech­no­lo­gie zu nutzen, ist eine neue und ge­stuf­te Si­cher­heits­ar­chi­tek­tur nötig. Bisher wurden Pro­zess- und Steue­rungs­net­ze haupt­säch­lich durch die Pe­ri­me­ter-Fire­walls ge­schützt, die auch das Fir­men­netz­werk im Ganzen vor An­grif­fen von außen sichern (First line of defense). Diese Port-ba­sier­te Tech­no­lo­gie ist aber nur ein­ge­schränkt in der Lage, den in Pro­zess­net­zen not­wen­di­gen Schutz zu ge­währ­leis­ten. Denn die klas­si­sche Fil­te­rung ist zu ungenau, kom­ple­xe An­grif­fe können sie über­win­den. Zudem folgen die ver­füg­ba­ren Zu­satz­lö­sun­gen dem Black­lis­ting-Kon­zept – dazu zählen Anti Virus, An­ti-Spy­wa­re oder Web­fil­ter. Black­list-Lö­sun­gen schüt­zen aber aus­schließ­lich vor be­kann­ten Be­dro­hun­gen. Neue Viren oder Spyware müssen immer erst zur Black­list hin­zu­ge­fügt werden, bevor sie als Be­dro­hung iden­ti­fi­ziert und blo­ckiert werden können. Deshalb sind derart ge­schütz­te Netz­wer­ke an­fäl­lig für „Ze­ro-Day-At­ta­cken“. Diese An­grif­fe er­fol­gen, bevor die Schwach­stel­le ent­deckt und ge­schlos­sen wurde.

Anmerkung F. Hein: Die aufgeführten Maßnahmen innerhalb der IKT sind sicherlich nützlich. Leider sind sie nicht ausreichend. Es muss grundsätzlich verhindert werden, dass durch irgendwelche Maßnahmen (und wenn es ein über soziale Netzwerke herbeigeführtes gleichzeitiges Einwirken der Energienutzer ist) die Auslenkung bei dem Leistungsgleichgewicht zu groß wird und/oder zu lange andauert. Ein ausreichend geringer Gleichzeitigkeitsfaktor ist entscheidend wichtig. Das kann nur durch ein Zusammenwirken von Einrichtungen der IKT mit denen des Energiesystems erreicht werden. Keines der beiden Systeme kann in Zukunft mehr die Stabilität für sich alleine sichern. Die nachfolgend beschriebenen Maßnahmen in der IKT sind nützlich, allerdings leider – siehe oben – immer noch nicht ausreichend.

Weitere Informationen
Whi­te­pa­per unter: www.​rohde-​schwarz.​com/​smartgrid
http://www.customer.rohde-schwarz.com/live/rs/internet/campaigns/SIT_Energy/