1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
|
title: Stand der Technik nicht genug: CCC fordert unabhängige Risikobewertung für Sicherheit im Stromnetz
date: 2014-02-09 19:16:00
updated: 2014-02-12 18:48:45
author: vollkorn
tags: update, pressemitteilung
Am kommenden Freitag endet die Konsultationsphase zum IT-Sicherheitskatalog [0], der Vorschriften der Bundesnetzagentur (BNetzA) für die Betreiber von Stromnetzen beinhaltet. Ziel des Kataloges ist es, die für den Betrieb unseres Stromnetzes notwendigen IT-Systeme gegen Angriffe abzusichern. Die vorgeschlagenen Maßnahmen sind allerdings eher dafür geeignet, den Geldbeutel der Stromnetzbetreiber zu schonen. Die Risikoeinschätzung wird den Netzbetreibern selbst überlassen - fatal, denn hier sind Interessenskonflikte vorprogrammiert. Nicht die finanziellen Interessen der Netzbetreiber, sondern der volkswirtschaftliche Schaden eines Stromausfalls muss als Maßstab für die Notwendigkeit von Sicherheitsmaßnahmen herangezogen werden. Der Chaos Computer Club (CCC) fordert daher die Einrichtung einer unabhängigen, nicht den finanziellen Interessen der Betreiber unterworfene Stelle zur Beurteilung der Risiken und der Überwachung der Sicherheitsmaßnahmen.
<!-- TEASER_END -->
Der Sicherheitskatalog der BNetzA stellt hingegen die Interessen der
Netzbetreiber in den Vordergrund. Ein Beispiel: Altsysteme, also ein
Großteil der gegenwärtig installierten Anlagen, können im Rahmen einer
Risikobewertung analysiert und "so gut wie möglich" abgesichert werden.
Altsysteme auszunehmen ist jedoch naiv: Improvisierte Maßnahmen helfen
nur, Vorgaben auf dem Papier zu erfüllen. Privatanwender müssen sich
permanent um die Sicherheit ihrer Computer kümmern - warum soll dies
nicht auch für die Stromversorger gelten? Wenn Computersysteme das
Stromnetz kontrollieren, müssen sie erheblich höheren Anforderungen
gerecht werden: Letztlich genügt eine Schwachstelle, um Angreifern eine
Manipulation des Stromnetzes zu ermöglichen.
Ebenso naiv geht die Bundesnetzagentur mit dem Schutz der Kommunikation
um. Während Heimanwender ihre WLANs verschlüsseln müssen, können
Netzbetreiber sich um derart grundlegende Maßnahmen drücken. Lediglich
die Gefährdung auf dem Papier zu prüfen ist nicht ausreichend. Egal wo
Daten versendet werden: Diese müssen durch aktuelle
Verschlüsselungsverfahren geschützt werden. Auch die Möglichkeit, alte
Steuergeräte mit schwachen oder gar keinen Passwörtern weiter zu
betreiben, zeugt von einem mangelnden Problembewusstsein. Der Sparwille
der Netzbetreiber darf nicht zur Folge haben, dass Ampeln nicht
funktionieren, kein Wasser aus der Leitung kommt und Tankstellen kein
Benzin verkaufen können.
Neben einer unabhängigen Beurteilung der Risiken fordert der CCC, dass
alle sicherheitsrelevanten Vorfälle in einem öffentlich einsehbaren
Register dokumentiert werden. Durch das Register wird nachvollziehbar,
welche Zwischenfälle bei den Netzbetreibern vorkommen. Diese
Informationen sind für die Einschätzung der Gefährdung des Stromnetzes
unabdingbar und helfen letztlich bei der Koordination auch unter den
Netzbetreibern selbst. Nur so kann sichergestellt werden, dass die
umgesetzten Sicherheitsmaßnahmen wirklich wirksam sind und wo
nachgebessert werden muss.\
Der CCC beteiligt sich im Rahmen des Konsultationsverfahrens mit einer
Stellungnahme \[1\].
Referenzen:
- \[0\] Bundesnetzagentur: "[Konsultation des Entwurfs eines
"IT-Sicherheitskatalog" zu § 11 Absatz 1a
EnWG](https://www.bundesnetzagentur.de/cln_1912/DE/Sachgebiete/ElektrizitaetundGas/Unternehmen_Institutionen/Versorgungssicherheit/IT_Sicherheit/IT_Sicherheit_node.html)",
- \[1\] [Kommentar des CCC zum
Konsultationsentwurf](/system/uploads/143/original/BNetzA-Konsultation-ITSicherheit-Stromnetz.pdf)
|