From 92aa2932f28dfd8196e83cb5629baa07e957efa6 Mon Sep 17 00:00:00 2001 From: vollkorn Date: Wed, 12 Feb 2014 07:54:00 +0000 Subject: committing page revision 1 --- updates/2014/BNetzA.md | 53 ++++++++++++++++++++++++++++++++++++++++++++++++++ 1 file changed, 53 insertions(+) create mode 100644 updates/2014/BNetzA.md diff --git a/updates/2014/BNetzA.md b/updates/2014/BNetzA.md new file mode 100644 index 00000000..8d5e9363 --- /dev/null +++ b/updates/2014/BNetzA.md @@ -0,0 +1,53 @@ +title: Stand der Technik nicht genug: CCC fordert unabhängige Risikobewertung für Sicherheit im Stromnetz +date: 2014-02-09 19:16:00 +updated: 2014-02-12 07:54:00 +author: vollkorn +tags: update, pressemitteilung + +Am kommenden Freitag endet die Konsultationsphase zum IT-Sicherheitskatalog [0], der Vorschriften der Bundesnetzagentur (BNetzA) für die Betreiber von Stromnetzen beinhaltet. Ziel des Kataloges ist es, die für den Betrieb unseres Stromnetzes notwendigen IT-Systeme gegen Angriffe abzusichern. Die vorgeschlagenen Maßnahmen sind allerdings eher dafür geeignet, den Geldbeutel der Stromnetzbetreiber zu schonen. Die Risikoeinschätzung wird den Netzbetreibern selbst überlassen - fatal, denn hier sind Interessenskonflikte vorprogrammiert. Nicht die finanziellen Interessen der Netzbetreiber, sondern der volkswirtschaftliche Schaden eines Stromausfalls muss als Maßstab für die Notwendigkeit von Sicherheitsmaßnahmen herangezogen werden. Der Chaos Computer Club (CCC) fordert daher die Einrichtung einer unabhängigen, nicht den finanziellen Interessen der Betreiber unterworfene Stelle zur Beurteilung der Risiken und der Überwachung der Sicherheitsmaßnahmen. + + + +Der Sicherheitskatalog der BNetzA stellt hingegen die Interessen der +Netzbetreiber in den Vordergrund. Ein Beispiel: Altsysteme, also ein +Großteil der gegenwärtig installierten Anlagen, können im Rahmen einer +Risikobewertung analysiert und "so gut wie möglich" abgesichert werden. +Altsysteme auszunehmen ist jedoch naiv: Improvisierte Maßnahmen helfen +nur, Vorgaben auf dem Papier zu erfüllen. Privatanwender müssen sich +permanent um die Sicherheit ihrer Computer kümmern - warum soll dies +nicht auch für die Stromversorger gelten? Wenn Computersysteme das +Stromnetz kontrollieren, müssen sie erheblich höheren Anforderungen +gerecht werden: Letztlich genügt eine Schwachstelle, um Angreifern eine +Manipulation des Stromnetzes zu ermöglichen. + +Ebenso naiv geht die Bundesnetzagentur mit dem Schutz der Kommunikation +um. Während Heimanwender ihre WLANs verschlüsseln müssen, können +Netzbetreiber sich um derart grundlegende Maßnahmen drücken. Lediglich +die Gefährdung auf dem Papier zu prüfen ist nicht ausreichend. Egal wo +Daten versendet werden: Diese müssen durch aktuelle +Verschlüsselungsverfahren geschützt werden. Auch die Möglichkeit, alte +Steuergeräte mit schwachen oder gar keinen Passwörtern weiter zu +betreiben, zeugt von einem mangelnden Problembewusstsein. Der Sparwille +der Netzbetreiber darf nicht zur Folge haben, dass Ampeln nicht +funktionieren, kein Wasser aus der Leitung kommt und Tankstellen kein +Benzin verkaufen können. + +Neben einer unabhängigen Beurteilung der Risiken fordert der CCC, dass +alle sicherheitsrelevanten Vorfälle in einem öffentlich einsehbaren +Register dokumentiert werden. Durch das Register wird nachvollziehbar, +welche Zwischenfälle bei den Netzbetreibern vorkommen. Diese +Informationen sind für die Einschätzung der Gefährdung des Stromnetzes +unabdingbar und helfen letztlich bei der Koordination auch unter den +Netzbetreibern selbst. Nur so kann sichergestellt werden, dass die +umgesetzten Sicherheitsmaßnahmen wirklich wirksam sind und wo +nachgebessert werden muss.\ +Der CCC beteiligt sich im Rahmen des Konsultationsverfahrens mit einer +Stellungnahme \[1\]. + +Referenzen: + +- \[0\] Bundesnetzagentur: "[Kon­sul­ta­ti­on des Ent­wurfs ei­nes + "IT-Si­cher­heits­ka­ta­log" zu § 11 Ab­satz 1a + En­WG](https://www.bundesnetzagentur.de/cln_1912/DE/Sachgebiete/ElektrizitaetundGas/Unternehmen_Institutionen/Versorgungssicherheit/IT_Sicherheit/IT_Sicherheit_node.html)", +- \[1\] [Kommentar des CCC zum + Konsultationsentwurf](/system/uploads/142/original/BNetzA-Konsultation-ITSicherheit-Stromnetz.pdf) -- cgit v1.2.3