vgbe energy journal 5 (2022) - International Journal for Generation and Storage of Electricity and Heat

More documents

Recommendations

Info

Cyberwar in der Energiewirtschaft: Der aktuelle Stand Des Weiteren stellt Kaspersky Kunden, Partnern und Regulierern eine Software Bill of Materials (SBOM), d.h. eine Liste der Softwarekomponenten zur Verfügung. Die SBOM liefert Belege, welche die Teile beschreiben, aus denen die Software zusammengesetzt ist und offenbart, wie diese Teile zusammenarbeiten. Darüber hinaus sind so genannte Source-Code Reviews in den Transparenzzentren von Kaspersky in einer besonders abgesicherten Remote Umgebung möglich. Zahlreiche europäische und nationale Behörden haben hiervon Gebrauch gemacht, das BSI jedoch nicht. Auch hat Kaspersky bereits vor Jahren die kritischen Services in Schweizer Rechenzentren ausgelagert und zahlreiche andere europäische Cybersicherheitsbehörden (z.B. Schweiz, Frankreich, Großbritannien) sind deshalb nicht dem Weg des deutschen BSI gefolgt. Viele fragen sich, ob der wahre Grund für die Ablehnung der Kaspersky Antivirensoftware vielleicht in der Person des Eugene Kaspersky begründet, ist: Kaspersky hat 1987 seinen Abschluss in Moskau an einer KGB-Hochschule, der späteren FSB Akademie gemacht. 2013 hat er dann die Zusammenarbeit mit dem russischen Inlandsgeheimdienst FSB, aber auch mit vergleichbaren Behörden in den USA sowie der Europäischen Union bestätigt [15, 16]. Falls es zuträfe, so wäre es ehrlicher gewesen, dass man vorträgt, dass man als BSI einer Person Eugene Kaspersky nicht traut. Dieser Argumentation würden viele Menschen sicher größeren Glauben schenken als die Begründung des OVG und des BSI. Warum eine staatliche Asset- Datenbank geholfen hätte: Ein großes Problem besteht darin, dass die Hersteller kritischer Komponenten zwar die Risiken melden und veröffentlichen, es teilweise aber lange dauert, bis diese von den Betreibern kritischer Infrastrukturen zur Kenntnis genommen werden. Dann kann es wiederum eine längere Zeit dauern, bis diese dann gepatcht werden. Im Rahmen der Gestehung des IT-Sicherheitsgesetzes 2.0 war anfangs ein wesentlicher Gesichtspunkt, dass die Betreiber kritischer Infrastrukturen alle ihre relevanten Assets an das BSI melden (sollten), so dass diese dann in einem Ernstfall den Betreibern helfen können. Es war gleichwohl abzusehen, dass diese Lösung nicht umgesetzt wird, da dies systemrelevante Schwachstellen gnadenlos offengelegt hätten. Nun kann man sich natürlich fragen: Gibt es wirklich so viele CVE´s (Common Vulnerabilities and Exposures, zu Deutsch: Bekannte Schwachstellen und Anfälligkeiten). Betrachten wir uns hierzu die Zahlen von Januar bis April 2022: Vulnerabilities by Type in 2022 [17]: DoS 861 Code Execution 1.649 Overflow 741 Memory Corruption 118 SQL Injection 489 XSS 1.144 Directory Traversal 218 Bypass something 331 Gain information 286 Gain Privileges 71 CSRF 238 File Inclusion 20 CVSS Score Distribution for Products by Total Number of “Distinct” Vulnerabilities, 9+ Vulnerabilties [18]: Android 913 Internet Explorer 577 Mac Os X 562 Firefox 511 Windows Server 2008 471 MS Office 455 Iphone Os 439 Windows 7 414 Thunderbird 359 Windows Server 2012 357 Windows 10 354 Das Dilemma mit den Schwellenwerten Es liegt in der Natur der Sache, dass man in der Regel nur dann etwas tut, wenn man etwas tun muss. Im Rahmen der Cyberangriffe auf den Bereich der Stromerzeuger fällt auf, dass in letzter Zeit Windenergieanlagen viel öfter von Cyberattacken betroffen waren als klassische Großkraftwerke. Dies liegt jedoch keinesfalls, dass Großkraftwerke per se sicherer wären als Windenergieanlagen. Das Problem liegt aber darin, dass Großkraftwerke in der Regel seit Anbeginn über den Schwellenwerten liegen und sich dann stets jährlich zertifizieren lassen müssen, während Windenergieanlagen oftmals unterhalb der Schwellenwerte liegen und sich dann nicht einer (nur) alle zwei Jahre stattfindenden Prüfung nach § 8a BSI-Gesetz unterziehen müssen. Cybersecurity kostet bekanntlicher Weise sehr viel Geld und den Return on Invest sieht man erst dann, wenn eine Cyberattacke fehlgeschlagen ist. Für die meisten CISO´s und CIO´s erwächst in dem Fall aber das Problem, dass von Controllern und Wirtschaftsprüfern gerne im Nachhinein das Argument vorgetragen wird: „Hätte man das gleiche Ergebnis nicht mit sehr viel weniger Security-Invest realisieren können?“ Allein an der Diskrepanz der Anzahl der „erfolgreichen“ Cyberangriffe auf die unterschiedlichen Arten von Stromerzeugern erkennt man, dass die Definition der Betreiber kritischer Infrastrukturen nach deutschem Muster fehlgeschlagen ist. Wie volkswirtschaftlich unsinnig manche Definition der Schwellenwerte ist, kann man am KRITIS-Sektor Wasser/Abwasser erkennen. In Deutschland gab es im Jahr 2021 circa 6.000 Unternehmen der öffentlichen Wasserversorgung und Abwasserbeseitigung. Durch die Definition der Schwellenwerte im Sektor Wasser / Abwasser fielen im Jahr 2021 nur 17 von insgesamt 5.845 Unternehmen (d.h. weniger als ein Prozent) unter die Kritis-Verordnung. Wenn man solche Schwellenwerte definiert, so kann man den Schutz kritischer Infrastrukturen in manchen Sektoren auch vergessen. Das Schaubild von B i l d 5 mag dabei verdeutlichen, wie bürokratisch überbordend und unterschiedlich die IT-/OT-Security bei einem klassischen deutschen Stadtwerk betrachtet werden muss. Es bleibt zu hoffen, dass die Europäische Union hier zeitnah eingreifen wird. Informations- statt Cyberkrieg und die Antwort der EU Statt eines Cyberkriegs ist jedoch ein Informationskrieg im vollen Gange. Über alle sozialen Medien werden gefälschte Nachrichten mit Fake-Bildern und Fake-Videos verbreitet, so dass es nur schwer nachzuvollziehen ist, was stimmt und was nicht stimmt. Dem, d.h. der Verbreitung von Fake- News durch so genannte Troll-Armeen muss natürlich Einhalt geboten werden, und zwar so schnell wie möglich. Eine Antwort der Europäischen Kommission zur Bekämpfung der Troll-Armeen ist die am 11.5.2022 vorgestellte Regelung zur Chatkontrolle. Geplant ist eine AI-basierte Prüfung aller Nachrichteninhalte und Bilder von Chats direkt auf den Endgeräten. Dieses Client-Side-Scanning wäre ein Angriff auf jegliche vertrauliche Kommunikation. „Nicht nur Journalist*innen und Whistleblower*innen sind auf vertrauenswürdige Kommunikation angewiesen. Vertrauenswürdige Kommunikation ist auch ein Grundrecht und wichtiger Eckpfeiler unser aller IT-Sicherheit. Damit Kommunikation tatsächlich vertrauenswürdig ist, müssen zwei Bedingungen erfüllt sein: –– Das eigene Gerät muss integer sein und darf Inhalte nicht an Dritte ausleiten –– Die Verschlüsselung muss sicher sein, so dass man dem Netz nicht vertrauen muss. Mit 1. –– dem Fernmeldegeheimnis und –– dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme 36 | vgbe energy journal 5 · 2022
Cyberwar in der Energiewirtschaft: Der aktuelle Stand „Das Österreichische Bundesheer sowie die Österreichische Gesellschaft für Krisenvorsorge (GfKV) erwarten binnen der nächsten fünf Jahre einen europaweiten Strom-, Infrastruktur- sowie Versorgungsausfall („Blackout“). Entscheidend sind hierfür die Entwicklungen in Deutschland, wo bis Ende 2022 rund 20 GW gesicherte Leistung (8 GW Atom und 12 GW Kohle) vom Netz gehen sollen. Bereits im Januar 2021 mussten nach der ersten Teilabschaltung (~ 5 GW), Kraftwerke, die stillgelegt werden sollten, wieder reaktiviert und zum Teil in den Hot-Standby-Modus versetzt werden, um die Systemsicherheit zu gewährleisten. In Deutschland werden durch den Kraftwerksausstieg große Mengen an systemkritischen Elementen entfernt, ohne adäquate Ersatzelemente bereitzustellen. Die rotierenden Massen der Generatoren, die Momentanreserve, sind unverzichtbare Pufferelemente („Stoßdämpfer“) für die Systemsicherheit. Der deutsche Bundesrechnungshof kritisiert im März 2021: „Die Annahmen des BMWi für die Bewertung der Dimension Versorgungssicherheit am Strommarkt sind zum Teil unrealistisch oder durch aktuelle politische und wirtschaftliche Entwicklungen überholt. Zur Bewertung der Dimension Versorgungssicherheit am Strommarkt hat das BMWi kein Szenario untersucht, in dem mehrere absehbare Risiken zusammentreffen, die die Versorgungssicherheit gefährden können.“ WASSER ABWASSER IT-Sicherheitskatalog nach § 11 (1a) EnWG setzt die Chatkontrolle gleich zwei fundamentale Grundrechte außer Kraft. Nutzer*innen verlieren die Kontrolle darüber, welche Daten sie wie mit wem teilen. Sie verlieren das Grundvertrauen in ihre eigenen Geräte“[20]. Die Europäische Union würde hier einen Weg einschlagen, der noch nicht einmal von der NSA in ihren „schlimmsten Zeiten“ begangen wurde. Es stellt sich die Frage, ob wir durch diese Verordnung wirklich noch ein Vorbild für andere sein könnten. Kommen wir abschließend noch zur Frage, ob uns trotz der möglichen geringen Schäden des Cyberwars nicht doch noch ein Blackout bevorstehen könnte, denn als Nebenprodukt in Sachen Cyberwar wurde dieser Sachverhalt erneut aufgerollt. Und wieso könnte trotzdem ein Blackout bevorstehen? Somit bleibt uns also vorerst in diesem Krieg wohl ein Blackout durch eine Cyberattacke auf die Energiewirtschaft in Deutschland mit großer Wahrscheinlichkeit erspart. Interessant ist in diesem Zusammenhang aber eine am 21.4.2022 veröffentlichte Studie der Österreichischen Gesellschaft für Krisenvorsorge, deren Zusammenfassung hier auszugsweise wiedergegeben wird [19]: BSI ENERGIE- ANLAGEN IT-Sicherheitskatalog nach § 11 (1a) EnWG ENERGIE- NETZE BNetzA IT-Sicherheitskatalog nach § 109 TKG Quellen [1] www.nzz.ch/technologie/ukraine-derheimliche-cyberkrieg-russlands-begannvor-monaten-ld.1681455 TK- BETREIBER PFLICHTEN BETREIBER MELDE- UND NACHWEISPFLICHTEN Abkürzungen BNetzA = Bundesnetzagentur BSI = Bundesamt für Sicherheit in der Informationstechnik BSIG = Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) BSI-KritisV = Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung) EnWG = Gesetz über die Elektrizitäts- und Gasversorgung (Energiewirtschaftsgesetz) IKT = Informationstechnik und Telekommunikation IT-SiG = IT-Sicherheitsgesetz TKG = Telekommunikationsgesetz TMG = Telemediengesetz Bild 5. IT-Sicherheitsgesetzgebung für ein deutsches Stadtwerk Quelle: VKU. KONKRETISIERUNG Besonders gravierend sind die fehlenden Speicher, ohne welche die steigende Volatilität in der Erzeugung durch die neuen Erneuerbaren nicht beherrschbar ist. Dabei müssen mehrere Zeitdimensionen, von inhärent (Momentanreserve) bis saisonal berücksichtigt werden. In Deutschland gibt es derzeit eine Speicherkapazität von rund 40 GWh (Österreich 3.300 GWh), bei einem gleichzeitigen Verbrauch von rund 1.500 GWh pro Tag! Im vergangenen Jahrzehnt wurden in den meisten Ländern die bisher verfügbaren Kraftwerksüberkapazitäten signifikant reduziert. Hinzu kommt, dass der Infrastrukturumbau (Netze, Speicher, Betriebsmittel) nicht mit der Geschwindigkeit der Abschaltungen bzw. den neuen Kraftwerksstandorten mithalten kann und um viele Jahre verzögert ist. Bisher funktioniert das, da Deutschland wie auch Österreich im gesamteuropäischen Verbundsystem (ENTSO- E) eingebunden ist. Damit kann die Systemstabilität aufrechterhalten werden. Mitgehangen bedeutet jedoch auch mitgefangen und alle gehen gemeinsam unter, sollte etwas schiefgehen“ Fazit Deutschland ist unstrittig das Land in der Europäischen Union, welches am stärksten von Cyberangriffen betroffen ist. Dabei muss leider festgestellt werden, dass wir nicht auf staatliche Cyberangriffe auf unsere Kritischen Infrastrukturen hinreichend vorbereitet sind. Da ein systemrelevanter, erfolgreicher Angriff auf eine kritische Infrastruktur im Energiesektor das Ausrufen eines Bündnisfalls nach Artikel 5 NATO-Vertrag zur Folge hätte, wird man sich im Cyberkrieg gegen Staaten der Europäischen Union aller Voraussicht nach darauf beschränken zu zeigen, was man kann. Hinzu kommt, dass der für einen Cyberkrieg relevante Energiesektor derzeit noch nicht den hohen Automatisierungsgrad hat, denn man benötigt. Da wir aufgrund des demographischen Wandels jedoch an einer verstärkten Automatisierung nicht vorbeikommen und diese Automatisierung mit dem Einsatz künstlicher Intelligenz kombinieren werden, werden wir beim nächsten Konflikt das Niveau erreicht haben, dass eine hinreichend geplante Cyberattacke einen Blackout auslösen wird. Wir sollten gut daran tun, die jetzigen Schwachstellen schnellstmöglich zu schließen. Noch einmal werden wir nicht so viel Glück haben. vgbe energy journal 5 · 2022 | 37
Page 1 and 2: International Journal for Generatio
Page 3 and 4: Editorial Nuclear power in numbers
Page 5 and 6: KWS Energy Knowledge eG vgbe Techni
Page 7 and 8: Ms Angela Langen Content vgbe Congr
Page 9 and 10: Abstracts | Kurzfassungen Der Digit
Page 11 and 12: MembersŃews voraussichtlich 2023
Page 13 and 14: MembersŃews Fünf kommunale Verso
Page 15 and 16: Anmeldung online MembersŃews Voll
Page 17 and 18: MembersŃews den Turbinen geleitet
Page 19 and 20: MembersŃews Windkraftanlagen habe
Page 21 and 22: MembersŃews Auch das operative Er
Page 23 and 24: Industry News Siemens Energy siedel
Page 25 and 26: News fromScience & Research digkeit
Page 27 and 28: Power News Darüber hinaus wurde mi
Page 29 and 30: Power News Die von der Metropolregi
Page 31 and 32: Digital Project Twin revolutioniert
Page 33 and 34: vgbe Seminar Wasseraufbereitung 28.
Page 35 and 36: Cyberwar in der Energiewirtschaft:
Page 37: Cyberwar in der Energiewirtschaft:
Page 41 and 42: vgbe Online-Seminar Basics Wasserch
Page 43 and 44: Operating experience from ageing ev
Page 49 and 50: Assessment of loss of shutdown cool
Page 51 and 52: Assessment of loss of shutdown cool
Page 53 and 54: TRIPLE C waste container for increa
Page 63 and 64: Nuclear power plants worldwide: 202
Page 69 and 70: Nuclear power plants: Operating res
Page 83 and 84: Power and coal prospects in develop
Page 85 and 86: Power and coal prospects in develop
Page 87 and 88: vgbe Seminar Chemie im Wasser-Dampf
Page 89 and 90:
Fachzeitschrift: 2019 · CD 2019 ·
Page 91 and 92:
Media directory/Medienverzeichnis R
Page 93 and 94:
vgbe News | Personalien vgbe News |
Page 95 and 96:
vgbe News | Personalien Personalien
Page 97 and 98:
vgbe Events | Events vgbe Events 20
Page 99 and 100:
vgbe energy journal EDITORIAL SCHED
show all

vgbe energy journal 5 (2022) - International Journal for Generation and Storage of Electricity and Heat

Create successful ePaper yourself

Delete template?

Save as template?