Die Energieversorgung steht für eine kritische Infrastruktur – Störungen haben erhebliche Folgen für das Gemeinwesen. Diese Infrastruktur wird verletzlicher: Zum einen kommen immer mehr kleinere Anbieter dazu, die eigentlich dasselbe Sicherheitsniveau einhalten sollten wie die großen, zum anderen wird oft noch 20 Jahre alte Technik eingesetzt, die entsprechend angreifbar ist. Es ist deshalb dringend erforderlich, in der IT geeignete Sicherheitsvorkehrungen zu treffen.
Am 25. Juli 2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Klar ist damit bisher nur, dass die neuen Pflichten zur Meldung erheblicher IT-Sicherheitsvorfälle zunächst nur für Betreiber von Kernkraftwerken und Telekommunikationsunternehmen gelten. Für Betreiber kritischer Infrastrukturen etwa aus der Energieversorgung gilt die Meldepflicht erst dann, wenn die Rechtsverordnung in Kraft tritt, die zurzeit im Bundesministerium des Inneren vorbereitet wird. Welche Unternehmen im Sinne des Gesetzes zu den kritischen Infrastrukturen gehören, wird in der Rechtsverordnung festgelegt.
Seit einiger Zeit bereits gibt es vom Bundesverband der Energie- und Wasserwirtschaft (BDEW) ein Whitepaper zu diesem Thema – auch konkrete Umsetzungskommentare dazu sind verfügbar. De facto ist dieses Papier derzeit Standard. Die Richtlinien werden in der Praxis schon umgesetzt, auch der Verband Kommunaler Unternehmen befürwortet sie.
Zugriffskontrolle als erster Schritt
Viele Stadtwerke haben das Problem erkannt und suchen Lösungen, die sich kostengünstig in ihre vorhandenen Strukturen einbinden lassen. Mit einigen Maßnahmen kann man sofort eine viel höhere Betriebssicherheit erreichen. So lässt sich mit einer erweiterten Zugriffskontrolle sicherstellen, dass Dritte nur Lesezugriff haben. Schließlich gilt es, sich gegen Cyber-Attacken zu wappnen.
Ein weiterer wichtiger Aspekt: In der Regel wird mit heterogenen Systemen gearbeitet. Nicht zuletzt, um daraus entstehende Lücken zu schließen, sollte die Sicherheitslösung homogen sein und sich durch Logging-Mechanismen nahtlos in die bestehende IT-Infrastruktur integrieren.
Gateprotect, ein Unternehmen der Rohde&Schwarz-Gruppe, bietet Firewall-Lösungen auch für kleinere Unternehmen an. Mit Gateprotect NP lassen sich die Zentrale, lokale Trafostationen und Kleinkraftwerke gemeinsam absichern.
Dazu wird in der Zentrale eine größere, in den Substations eine kleinere Firewall eingerichtet. Dazwischen werden Virtuelle Private Netzwerke (VPN) mit verschlüsselter Kommunikation implementiert. Über die Firewalls lässt sich eine feingranulare Zugriffskontrolle realisieren, beispielsweise Vollzugriff von der Zentrale aus, aber nur die Anzeige des Status zum Beispiel für den Service-Dienstleister.
Sicherheit als Service
Über speziell angepasste Lösungen können etwa auch Steuerungsgeräte eingebunden werden, deren Protokolle vom Standard abweichen. Grafische Oberflächen, wie sie im Energiemarkt und in der Wasserwirtschaft üblich sind, sind verfügbar.
Die Bedürfnisse und Möglichkeiten unterscheiden sich je nach Unternehmensgröße. Die Produkte sind deshalb skalierbar. Kunden, die über keine entsprechend ausgestattete IT verfügen, können auf das Service-Center zurückgreifen. Zudem ist für die Zukunft geplant, den kleinsten Unternehmen eine komplette Dienstleistung anzubieten, die einem Leasing-Modell ähnelt: Security-as-a-Service.