Letzte Aktualisierung am 23. Oktober 2015.
Quelle: http://industr.com – 09.01.2015 Schutz für Energieversorgungsnetze vor Hackern und Fehlbedienung
Prozesssteuerungssysteme wachsen immer mehr mit IT-Netzwerken zusammen, da mit zunehmender Dezentralisierung die Geschäftsanforderungen an Stromnetze steigen. So kann über das Internet auf viele Systeme zugegriffen werden, etwa um sie aus der Ferne zu warten. Die Hardware-Komponenten sind jedoch meist veraltet und nicht mit Blick auf IT-Sicherheit entworfen worden. Damit sind sie zum einen Saboteuren ausgesetzt, zum anderen steigt das Risiko durch Fehlbedienung.
Anmerkung F. Hein: Bisher waren die Fernwirksysteme gänzlich und die Prozessleitsysteme weitgehend von der sonstigen Informations- und Kommunikationstechnik getrennt. Sie nutzten zudem fast ausschließlich eigene Nachrichtenwege, waren in abgeschlossenen, in der Regel für Betriebsfremde unzugänglichen Räumen untergebracht und wurden von betriebseigenen Mitarbeitern betreut. Das ändert sich grundlegend und muss sich auch grundlegend ändern, damit die Herausforderungen der Energiewende gemeistert werden können. Dazu ist das Mitwirken aller Energienutzer erforderlich. Dass die Netzstabilität zu sichern, weiterhin nur den Übertragungsnetzbetreibern obliegt, muss ad acta gelegt werden.
Die wesentlichste Änderung dabei ist, dass die Energiebevorratung in den konventionellen Kraftwerken in Form von fossilen Rohenergien (Kohlehaufen, Öltanks, Gasspeicher) nach dem Gelingen der Energiewende nicht mehr existiert, da dann die gesamte Energieversorgung auf regenerative Energien und damit auf den Energiezufluss von der Sonne umgestellt ist (sein muss!). Dann muss die Sicherstellung des Leistungsgleichgewichts (real-time power balancing) als netzdienliches Verhalten in vielen Energiezellen, gleich in welcher Netzebene, also auch und vermutlich sogar vorrangig in der untersten Netzebene geleistet werden. In diese Ebene verlagert sich durch die generelle Umstellung auch die Energieeinspeisung, die bisher überwiegend in konventionellen und meist gut regelbaren Kraftwerken erfolgte.
In den Energiezellen (besonders in der untersten Netzebene) ist endgültig die bisherige Trennung zwischen Energieversorgung und IT nicht mehr aufrecht zu erhalten, vielmehr muss durch Vernetzung mit der „home automation“ eine möglichst effizente Energieverwendung erreicht werden. Noch wichtiger allerdings ist eine Vernetzung mit möglichst vielen, flächenhaft verteilt im Netz befindlichen Energiebevorratungsmöglichkeiten notwendig. Nur durch eine Pufferung der Energie für die Unterstützung der Netzregelung zur Beherrschung der starken Fluktuationen sind die extrem zeitkritischen Aufgaben der Sicherung des Leistungsgleichgewichts erreichbar. Dazu kommt noch die Langfristbevorratung von Energie zur Überbrückung saisonaler Schwankungen im Energiedargebot.
Die in dieser Unterlage von Rohde & Schwarz aufgeführten Maßnahmen innerhalb der IT sind zwar richtig, hilfreich und auch notwendig. Sie sind aber nicht hinreichend, um die Herausforderung des Umbruches in der Energieversorgung zu bewältigen. Vielmehr müssen in den Energiezellen meist automatisch wirkende Einrichtungen (also so etwas wie Energieassisstenzsysteme) autonom in allererster Linie die Netzstabilität sichern und in zweiter Linie für eine ausreichende Energiebevorratung sorgen. Die Versorgungssicherheit zu gewährleisten, ist die größte Herausforderung des unausweichlich nötigen Umstiegs auf erneuerbare Energien als künftig einzigste Grundlage der gesamten Energieversorgung. Die Energieassistenzsysteme, ihre Vernetzungen mit weiteren Systemen über Nachrichtenwege sowie die Vernetzungen mit den Komponenten der Energietechnik, besonders der Messeinrichtungen und der Aktoren bilden dann zusammen mit den Leittechniken ein Energieinformationssystem, das letztlich eine Symbiose beider Technikbereiche darstellt.
Blackout durch falsche und fremde Bedienung
Bereits 2013 legte eine einfache Abfrage der Zählerstände exemplarisch die Schwachstellen der Energieversorgungsnetze offen: Ein Steuerungsbefehl aus einer regionalen Gasversorgung wurde unbeabsichtigt in das europäische Stromkontrollnetz eingeleitet. Diese eigentlich simple Zählerabfrage an ein paar Dutzend Komponenten des Erdgasnetzes wurde vom Stromleitsystem als Steuerungsbefehl akzeptiert. Die Folge: Eine Datenflut, die das europäische Steuerungssystem in einem ganzen Land lahmlegte. Weder konnten Informationen über den Status die Netzknoten passieren, noch kamen Steuerungsbefehle an. Das System wurde über Tage im Blindflug betrieben.
Anmerkung F. Hein: Der Vorfall war im Mai 2013 und wurde durch einen Befehl „Abfrage an alle Zähleinrichtungen“ zusammen mit den Rückmeldungen der Zähleinrichtungen ausgelöst. Das war Teil einer Inbetriebnahme in einem Gasversorgungssystem in Süddeutschland. Dadurch gelangten auf irgendeine Weise entsprechende Fernwirkinformationen in Fernwirksysteme von österreichischen Stromnetzbetreibern und pflanzten sich dort bis zur höchsten Netzebene fort. Nur durch den Einsatz von Personal in einer ganzen Reihe von Schaltanlagen, durch telefonische Übermittlung von Messwerten und Regeleingriffen sowie durch eine Netzregelung „von Hand“ konnte eine Ausweitung der Störung verhindert werden. Damals war das gesamte europäische Energieversorgungssystem auf das Höchste gefährdet, weil die Einhaltung des Leistungsgleichgewichts nicht mehr ellein durch automatisch wirkende Regler gesichert war.
Funktionierende Stromnetze sind auf Informationsübermittlung in Echtzeit angewiesen: Kommen Steuerungsbefehle nicht an und wird in Folge dessen auf Abweichungen nicht reagiert, brechen die Stromnetze bereits bei zwei bis drei Prozent Abweichungen zusammen. Mit den modernen Steuerungsmöglichkeiten sind Energieversorgungsnetze jedoch überfordert. Ein erneuter Blackout ist jederzeit möglich. Hintergrund ist das in den neuen „intelligenten“ Energienetzen eingesetzte Kommunikationsprotokoll IEC-60870-5-104, das einen zu großen Spielraum für spezifische Applikationen lässt. Notwendig ist deshalb eine Protokollerkennung, die auch die im Protokoll enthaltenen Nachrichtentypen sowie die IEC-Absender und die Empfängeradresse unterscheiden kann.
Anmerkung F. Hein: Diese Schlussfolgerung mit dem Verweis auf das erwähnte Protokoll muss noch geprüft werden. Richtig auf alle Fälle ist, dass vom Leistungsgleichgewicht nicht zu stark (und nicht zu lange!) abgewichen werden darf, sonst kann ein „Umkippen“ und damit ein Blackout nicht mehr vermieden werden.
Die kritischen Systeme können aber nicht nur durch Fehlbedienungen lahmgelegt werden: Durch koordinierte Attacken auf die Energienetze können Hacker die Kontrolle über die Technik übernehmen und kritische Systeme blockieren. Cyber-Attacken der Gruppierung „Dragonfly“ zeigen, mit welch hohem Aufwand und wie systematisch Angreifer vorgehen. Dem haben die in den Produktionsnetzwerken eingesetzten industriellen Leit- und Steuerungskomponenten kaum etwas entgegenzusetzen. Denn die meisten Komponenten der Steuerungs- und Managementtechnologie wurden mit Blick auf Zuverlässigkeit und Verfügbarkeit entwickelt. Solange die Prozessnetze von der übrigen IT-Infrastruktur getrennt waren, gab es deutlich weniger Angriffsmöglichkeiten.
Anmerkung F. Hein: Die enorme Gefährdung berücksichtigen derzeitige Gesetzgebungen, Vorschriften und behördliche Handlungen nicht. Vielmehr wird sogar vorgeschrieben, dass Einrichtungen für eine Steuerung aus der Ferne „ertüchtigt“ werden, was eine geradezu extreme Gefährdung des gesamten Energieversorgungssystems zur Folge hat. Die Fiktion, dass ein koordiniertes und gesetzlich angeordnetes Abschalten von Netzgebieten bei einem Leistungsmangel das Netz „retten“ kann, wird inzwischen als „Systemsicherheitskaskade“ regelrecht gelehrt. Eine größere Ignoranz gegenüber den Eigenheiten und den Gefahren der Informations- und Kommunikationstechnik (IKT) ist kaum mehr vorstellbar.
Um ein Smart Grid zu schützen und gleichzeitig die Vorteile moderner IP-Technologie zu nutzen, ist eine neue und gestufte Sicherheitsarchitektur nötig. Bisher wurden Prozess- und Steuerungsnetze hauptsächlich durch die Perimeter-Firewalls geschützt, die auch das Firmennetzwerk im Ganzen vor Angriffen von außen sichern (First line of defense). Diese Port-basierte Technologie ist aber nur eingeschränkt in der Lage, den in Prozessnetzen notwendigen Schutz zu gewährleisten. Denn die klassische Filterung ist zu ungenau, komplexe Angriffe können sie überwinden. Zudem folgen die verfügbaren Zusatzlösungen dem Blacklisting-Konzept – dazu zählen Anti Virus, Anti-Spyware oder Webfilter. Blacklist-Lösungen schützen aber ausschließlich vor bekannten Bedrohungen. Neue Viren oder Spyware müssen immer erst zur Blacklist hinzugefügt werden, bevor sie als Bedrohung identifiziert und blockiert werden können. Deshalb sind derart geschützte Netzwerke anfällig für „Zero-Day-Attacken“. Diese Angriffe erfolgen, bevor die Schwachstelle entdeckt und geschlossen wurde.
Anmerkung F. Hein: Die aufgeführten Maßnahmen innerhalb der IKT sind sicherlich nützlich. Leider sind sie nicht ausreichend. Es muss grundsätzlich verhindert werden, dass durch irgendwelche Maßnahmen (und wenn es ein über soziale Netzwerke herbeigeführtes gleichzeitiges Einwirken der Energienutzer ist) die Auslenkung bei dem Leistungsgleichgewicht zu groß wird und/oder zu lange andauert. Ein ausreichend geringer Gleichzeitigkeitsfaktor ist entscheidend wichtig. Das kann nur durch ein Zusammenwirken von Einrichtungen der IKT mit denen des Energiesystems erreicht werden. Keines der beiden Systeme kann in Zukunft mehr die Stabilität für sich alleine sichern. Die nachfolgend beschriebenen Maßnahmen in der IKT sind nützlich, allerdings leider – siehe oben – immer noch nicht ausreichend.
Weitere Informationen
Whitepaper unter: www.rohde-schwarz.com/smartgrid
http://www.customer.rohde-schwarz.com/live/rs/internet/campaigns/SIT_Energy/
Trackbacks/Pingbacks