An einem kalten Februarabend geht in Italien großflächig das Licht aus. In Europa brechen die Stromnetze weitgehend zusammen, da aufgrund der plötzlich fehlenden Last die Netzfrequenz nach oben schießt. Kraftwerke schalten sich ab, Fahrstühle und U-Bahnen stecken fest. In dem Techno-Thriller „Blackout – Morgen ist es zu spät“ hat Autor Marc Elsberg ein Horrorszenario entworfen, das gar nicht so weit von der Realität entfernt ist. Hackerangriffe in Datennetzwerken nehmen in immer bedrohlicheren Ausmaßen zu. Deutschland profitierte lange von einem der zuverlässigsten Strom- und Gasversorgungssysteme der Welt. Leit- und Informationstechnik waren früher klar voneinander getrennt, die IT-Technik von Stromnetzen war nur schwer zu knacken. Doch diese komfortable Situation hat sich durch die verbreitete Integration von Informationstechnologie in Form von digital steuerbaren Komponenten in intelligente Stromnetze (Smart Grids) drastisch verändert.
In der Energiebranche erhöhen smarte Technologien schon seit einigen Jahren den Druck, professionelle IT-Sicherheitslösungen und -prozesse zu implementieren. Jetzt zwingen neue IT-Sicherheitsauflagen die Industrie zum konkreten Handeln. Der Deutsche Bundestag hat im Juli dieses Jahres den Entwurf für ein Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) verabschiedet. Betreiber kritischer Infrastrukturen aus den Bereichen Energie, aber auch aus Branchen wie Informationstechnik und Telekommunikation oder Transport und Verkehr müssen künftig einen Mindeststandard an IT-Sicherheit einhalten.
Kritische Infrastrukturen sind Institutionen und Einrichtungen, die wichtig für das staatliche Gemeinwesen sind und bei deren Ausfall oder Beeinträchtigung nachhaltige Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Diese Infrastrukturen sind vernetzt und hängen voneinander ab, was zu Risiken und Kaskadeneffekten führen kann. Das Bundesinnenministerium gliedert kritische Infrastrukturen in neun Sektionen mit entsprechenden Branchen auf, zur Energieindustrie zählen Elektrizität, Gas und Mineralöl.
Erhebliche IT-Sicherheitsvorfälle müssen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Das IT-Sicherheitsgesetz ergänzt das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz). Das neue Gesetz verpflichtet die Betreiber kritischer Infrastrukturen zu umfangreichen, ausführlich dokumentierten technischen und organisatorischen Schutzmaßnahmen ihrer IT-Systeme. Es umfasst zudem regelmäßige Sicherheitsaudits.
Die Anforderungen an die geschützte Datenübertragung zwischen dezentralen Stationen und der Leittechnik werden für die Unternehmen also erheblich höher – und komplizierter. Leitlinien geben das White-Paper des Bundesverbandes der Energie- und Wasserwirtschaft (BDEW) und der IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA) vor. Die BNetzA hat Mitte August dieses Jahres einen Katalog von Sicherheitsanforderungen für die zum sicheren Betrieb der Energieversorgungsnetze notwendigen Telekommunikations- und elektronischen Datenverarbeitungssysteme veröffentlicht.
Auf die steigenden Sicherheitsanforderungen haben sich die Ingenieure von Wago von langer Hand vorbereitet. Der Anbieter von elektrischer Verbindungstechnik und dezentralen Automatisierungskomponenten bietet Steuerungen an, die im intelligenten Stromnetz unter anderem zur Anbindung von Erneuerbare-Energien-Anlagen dienen. Im November stellt das Unternehmen auf der SPS IPC Drives, Europas führender Fachmesse für elektrische Automatisierung, den PFC200 mit integriertem Modem vor. Das Steuerungsgerät ist in der Lage, die VPN-Verschlüsselungen (Virtual Private Network) der Daten selbst zu übernehmen, bevor sie mit dem integrierten Mobilfunkmodul übertragen werden. Der Vorteil: Ein Datenklau außerhalb der Speicherprogrammierten Steuerung (SPS) ist nicht mehr möglich.
Bislang erfolgte die Datenübertragung zwischen Steuerung und Leittechnik über ein externes Mobilfunkmodem. In der neuesten PFC200-Version ist dieses Modem in die Steuerung integriert. Mit ihm wird die drahtlose Verbindung zum Beispiel über UMTS hergestellt. Darüber hinaus können auch SMS versendet oder empfangen werden.
Wago spielt das neue IT-Sicherheitsgesetz in die Hände. „Speziell für Energieunternehmen ist es wichtig, ein Betriebssystem anzubieten, das dem neuesten Stand der SecurityErkenntnissen entspricht“, sagt Jens Krake, Produktmanager Automation Controls. „Bei der Neueinstellungsgeneration sind wir zum Linux-Betriebssystem gewechselt.“ Das Unternehmen mit Sitz im ostwestfälischen Minden arbeitete zuvor mit proprietären Betriebssystemen. Das offene System Linux bot Wago bei der Entwicklung und Umsetzung zahlreiche Vorteile: „Es existiert eine große Community, für jedes Paket gibt es im Prinzip ein Sicherheitsupdate, und die Plattform bietet die Möglichkeit, neue Pakete einfach zu installieren. Diese Vorteile haben wir genutzt und dadurch in der Entwicklung einen großen Sprung gemacht“, berichtet Krake. So konnte er von dem mittlerweile geknackten Verschlüsselungsstandard TLS 1.0 problemlos auf den neuen, härteren Standard 1.2 gehen. „Wir sind froh, dass wir mit Linux die richtige Entscheidung getroffen haben, bevor der Anspruch an Sicherheitsvorkehrungen auf dem Energiemarkt zugenommen hat.“ Das Steuerungsgerät ist auch mit einer Firmware-Version verfügbar, die den Anforderungen des BDEW-Whitepapers entspricht.
Wago verspricht sich vom PFC200 einen weiteren Absatzschub. Bei dem kritischen Thema Sicherheitslücken soll eine offene Kommunikationspolitik gepflegt werden. „Wir werden für den Kunden sehr sichtbar Updates anbieten. Das Bereitstellen und Verwalten von Softwareaktualisierungen in der IT-Umgebung muss konsequent kontrolliert werden“, sagt Krake. Die Anlagenbetreiber müssten sich beim Thema Sicherheit künftig umstellen: Wer eine wirklich sichere Steuerung haben will, sollte regelmäßige Updates durchführen. „Wie oft der Kunde ein Update machen muss, hängt von seiner Applikation und den daraus resultierenden Sicherheitsansprüchen ab“, so Krake.
Es besteht auch die Möglichkeit, ein Update aus der Ferne durchzuführen, ergänzt sein Kollege Daniel Wiese, bei Wago Global-Key-Account-Manager Smart Grid (siehe Interview). „Wenn das Unternehmen über einen zentralen Server verfügt, kann es sukzessive zum Beispiel 200 Stationen von der Ferne aus updaten. Wenn jemand allerdings 200 Windräder anfahren und sich mit dem Betreiber und dem Energielieferanten abstimmen muss, sieht die Lage schon erheblich komplizierter aus.“
Die hohen Sicherheitsanforderungen erfordern neue Wege. Nicht nur in der technischen Entwicklung von Wago. Krake: „Auch der Kunde wird dem Security-Thema mehr Beachtung schenken müssen. Die Zeiten, wo er eine Steuerung hatte und vielleicht mal nach 15 Jahren kontrollieren musste, ob diese noch funktioniert – die sind vorbei.“