English (Aktiv: Deutsch)

Calendar

Stand der Technik nicht genug: CCC fordert unabhängige Risikobewertung für Sicherheit im Stromnetz

2014-02-09 19:16:00, vollkorn

Am kommenden Freitag endet die Konsultationsphase zum IT-Sicherheitskatalog [0], der Vorschriften der Bundesnetzagentur (BNetzA) für die Betreiber von Stromnetzen beinhaltet. Ziel des Kataloges ist es, die für den Betrieb unseres Stromnetzes notwendigen IT-Systeme gegen Angriffe abzusichern. Die vorgeschlagenen Maßnahmen sind allerdings eher dafür geeignet, den Geldbeutel der Stromnetzbetreiber zu schonen. Die Risikoeinschätzung wird den Netzbetreibern selbst überlassen - fatal, denn hier sind Interessenskonflikte vorprogrammiert. Nicht die finanziellen Interessen der Netzbetreiber, sondern der volkswirtschaftliche Schaden eines Stromausfalls muss als Maßstab für die Notwendigkeit von Sicherheitsmaßnahmen herangezogen werden. Der Chaos Computer Club (CCC) fordert daher die Einrichtung einer unabhängigen, nicht den finanziellen Interessen der Betreiber unterworfene Stelle zur Beurteilung der Risiken und der Überwachung der Sicherheitsmaßnahmen.

Der Sicherheitskatalog der BNetzA stellt hingegen die Interessen der Netzbetreiber in den Vordergrund. Ein Beispiel: Altsysteme, also ein Großteil der gegenwärtig installierten Anlagen, können im Rahmen einer Risikobewertung analysiert und "so gut wie möglich" abgesichert werden. Altsysteme auszunehmen ist jedoch naiv: Improvisierte Maßnahmen helfen nur, Vorgaben auf dem Papier zu erfüllen. Privatanwender müssen sich permanent um die Sicherheit ihrer Computer kümmern - warum soll dies nicht auch für die Stromversorger gelten? Wenn Computersysteme das Stromnetz kontrollieren, müssen sie erheblich höheren Anforderungen gerecht werden: Letztlich genügt eine Schwachstelle, um Angreifern eine Manipulation des Stromnetzes zu ermöglichen.

Ebenso naiv geht die Bundesnetzagentur mit dem Schutz der Kommunikation um. Während Heimanwender ihre WLANs verschlüsseln müssen, können Netzbetreiber sich um derart grundlegende Maßnahmen drücken. Lediglich die Gefährdung auf dem Papier zu prüfen ist nicht ausreichend. Egal wo Daten versendet werden: Diese müssen durch aktuelle Verschlüsselungsverfahren geschützt werden. Auch die Möglichkeit, alte Steuergeräte mit schwachen oder gar keinen Passwörtern weiter zu betreiben, zeugt von einem mangelnden Problembewusstsein. Der Sparwille der Netzbetreiber darf nicht zur Folge haben, dass Ampeln nicht funktionieren, kein Wasser aus der Leitung kommt und Tankstellen kein Benzin verkaufen können.

Neben einer unabhängigen Beurteilung der Risiken fordert der CCC, dass alle sicherheitsrelevanten Vorfälle in einem öffentlich einsehbaren Register dokumentiert werden. Durch das Register wird nachvollziehbar, welche Zwischenfälle bei den Netzbetreibern vorkommen. Diese Informationen sind für die Einschätzung der Gefährdung des Stromnetzes unabdingbar und helfen letztlich bei der Koordination auch unter den Netzbetreibern selbst. Nur so kann sichergestellt werden, dass die umgesetzten Sicherheitsmaßnahmen wirklich wirksam sind und wo nachgebessert werden muss.
Der CCC beteiligt sich im Rahmen des Konsultationsverfahrens mit einer Stellungnahme [1].

Referenzen: