Newsletter


Ich habe die Datenschutzerklärung gelesen und akzeptiert.

Newsletter abmelden

Silber-Label für Exzellentes Clustermanagement



Gestalter der Energiewende 2014



Mitglied bei

go-cluster: Exzellent vernetzt



IT-Systeme als Risikofaktor für die Energieversorgung?

Ein Nachbericht zur ENERGIEregion-Veranstaltung "Energie.Digital: IT-Sicherheit für dezentrale Energiesysteme".

Referenten und Organisatoren der ENERGIEregion-Veranstaltung "Energie.Digital: IT-Sicherheit für dezentrale Energiesysteme"; Foto: VDE Nordbayern / Werner Battke

"Die Dezentralisierung von Energiesystemen stellt die betroffenen Akteure vor neue Herausforderungen im IT-Bereich." Auf dieser Feststellung basierte die Dialog- und Impulsveranstaltung „Energie.Digital: IT-Sicherheit für dezentrale Energiesysteme“am 27. März 2019 in Nürnberg.

Die Kompetenzinitiative ENERGIEregion Nürnberg e.V. vermittelte mit der
Veranstaltung umfangreiche Informationen und facettenreiche Neuigkeiten an die rund 40 interessierten Teilnehmer*innen. Viele Impulse zu Wissen, Technologie und Förderungen, sowie Erfahrungen aus der Praxis zu aktuellen Entwicklungen im Bereich zwischen Energieversorgung und Informationstechnologie wurden von den engagierten und kompetenten Referenten präsentiert:

Prof. Dr. Andreas Aßmuth von der OTH Amberg-Weiden hat zum Auftakt in seiner Präsentation „Im Fadenkreuz der Hacker“ anschaulich verschiedene Gefährdungen aufgezeigt, die durch "Social Engineering" ausgelöst werden können. Dieses Ausnutzen von sozialem Verhalten erfordert wenig Aufwand, da sich die meisten Menschen bei entsprechendem Auftreten des Angreifers als hilfsbereit, auskunftsfreudig, obrigkeitshörig oder vertrauensselig verhalten. Auch allzu offenherzige Preisgabe persönlicher Informationen über soziale Netzwerke wird von potentiellen Cyberkriminellen ausgenutzt, um mit Angestellten eines Unternehmens in Kontakt zu treten und durch die scheinbaren Vorkenntnisse als glaubwürdig zu gelten, da korrekte Referenzinformationen vom Angreifer dargelegt werden. Im praktischen Teil seines Vortrags – der Live-Demonstration – zeigte Aßmuth verschiedene Möglichkeiten, wie man in Betriebssysteme eindringen, Anmeldeinformationen (Benutzername, Passwort) abgreifen oder über den Browser Zugriff auf ein PC-System erhalten kann.

Lutz Josef Schmid, Geschäftsführer der Schmid Datensicherheit GmbH, berichtete unter dem Motto „Informationen, Energie und Sicherheit“ über Möglichkeiten den Energiehandel an der Strombörse privatwirtschaftlich – aber nicht netzdienlich oder kooperativ – zu nutzen, dadurch dass Geräte oder Smart-Home-Installationen von außen kontrolliert und zu geeigneten preisabhängigen Zeiten ein- oder ausgeschaltet werden. Im weiteren Teil des Vortrags beschrieb Schmid Zustände in Netzabschnitten der Verteilnetzbetreiber, die in vielen Fällen schwer zu erkennen sind, nämlich dann, wenn sich die dezentrale Einspeisung und der Verbrauch nahezu ausgleichen. Zur Verbesserung des Betriebs dezentraler Energieerzeugungsanlagen arbeiten verschiedene Arbeitsgruppen im VDE am zellularen Energiesystem. An der Trafostation sind solche Situationen kaum von einer lastfreien Leitung zu unterscheiden. Zur Lösung sind zusätzliche Messeinrichtungen an Verzweigungen in den Leitungszweigen notwendig oder einzelne Messgeräte bei den Verbrauchern zu installieren, die regelmäßig Daten an den Versorger senden. Dies wäre z.B. mit einem Smart Meter möglich, das über ein Smart-Meter-Gateway (SMGW) die Daten an den Versorger sendet. Da seit Dezember 2018 das erste SMGW vom BSI zertifiziert ist, erläuterte Schmid in einem kurzen weiteren Teil des Vortrags die Sicherheits-Zertifizierung gemäß Common Criteria und dessen Grundkonzept.

Dr. Selami Yilmaz begann seinen Vortrag „Aktuelle Fördermöglichkeiten für die IT Sicherheit“ mit der Vorstellung der VDI/VDE Innovation + Technik GmbH als Projektträger für diverse Förderprogramme. Er erläuterte sowohl das Förderprogramm "Informations- und Kommunikationstechnik Bayern" des Bayerischen Staatsministeriums für Wirtschaft, Landesentwicklung und Energie als auch das Förderprogramm "KMU-innovativ: IT-Sicherheit / Kommunikationssysteme" des Bundesministeriums für Bildung und Forschung. An Hand konkreter Beispiele legte Yilmaz die Möglichkeiten und Schritte zur Förderung unterschiedlicher Projekte wie z.B. IT-Sicherheit oder sichere Kommunikationssysteme dar.

Prof. Dr. Jürgen Mottok von der OTH Regensburg und sein Doktorand Sebastian Renner - beide vom Laboratory for Safe and Secure Systems (LaS³) - referierten über „The Seven Habits of Secure Software Engineers in the Smart Grid“ mit dem Ziel diese „7 Regeln für sichere Software“ auch im Energiebereich zu verbreiten. Nach der Vorstellung des LaS³, das u.a. mit dem Bayerischen IT-Sicherheitscluster e.V. und dem ZD.B kooperiert präsentierte Mottok den Weg von den Embedded Systems hin zu Cyber Physical Systems an Hand eines "Energy Safe and Secure System Modules". Mit der Darlegung der Abhängigkeiten und Beziehungen zwischen funktionaler Sicherheit und IT-Security begannen Mottok und Renner abwechselnd die verschiedenen Regeln im Einzelnen zu erklären und zu verdeutlichen. Die Regeln beschreiben verschiedene Aspekte der IT-Sicherheit, wie z.B. verlässliche Kryptoalgorithmen zu verwenden, sich an Standards und anerkannte Leitlinien zu orientieren, eine an die Sicherheitsvorgaben angepasste Bedrohungsanalyse durchzuführen und eine ausgereifte Sicherheitskultur in der Entwicklung zu etablieren.

Werner Dippold von der infra fürth GmbH beschrieb in seinen Ausführungen zum Thema „Smart Metering aus Sicht des Datenschutzes“ die relevanten Aspekte, die sich für Energieversorger aus den Anforderungen der europäischen Datenschutz-Grundverordnung ergeben. Er ging insbesondere auf die Datenkommunikation ein, die neben der DS-GVO auch noch weiteren Bundes- und Landesgesetzen und im Speziellen dem Messstellenbetriebsgesetz (MsbG) unterliegt. Versorgungsunternehmen müssen die Grundsätze der Verarbeitung personenbezogener Daten beachten, wobei Maßnahmen zu ergreifen sind, welche den Datenschutz durch Technikgestaltung (data privacy by design) und das Erfordernis der datenschutzfreundlichen Voreinstellungen (data privacy by default) umsetzen. Des Weiteren müssen auch die Anforderungen an die Informationssicherheit bei der Datenerhebung und Datenkommunikation sowohl hinsichtlich der DS-GVO als auch der Kritis-Verordnung beachtet werden. In seinen weiteren Ausführungen betrachtete Dippold die Auftragsverarbeitung, der gemäß DS-GVO besondere Beachtung zu schenken ist. Im Hinblick auf die nach wie vor bestehenden Widersprüche zwischen der DS-GVO und dem MsbG, ergeben sich besondere Herausforderung für einen Energieversorger darin, die zahlreichen Regelungen zum Datenschutz in der Praxis umzusetzen.

Die erfolgreiche Veranstaltung wurde mit einem kleinen Imbiss und vielen Gesprächen zwischen den zahlreichen Gästen und den Referenten beendet.

Ermöglicht wurde die Veranstaltung durch die Unterstützung des Wirtschaftsreferats der Stadt Nürnberg, des Bezirksvereins Nordbayern des Verbands der Elektrotechnik Elektronik
Informationstechnik e.V., der Nürnberger Initiative für die
Kommunikationswirtschaft e.V., des Energie Campus Nürnberg und des Zentrums Digitalisierung.Bayern.

 

Text in Anlehnung an Lutz J. Schmid (VDE Nordbayern)

zurück


Kompetenzinitiative für Energie & Umwelt in der

Europäische Metropolregion Nürnberg