Workshop IT-Sicherheit und robustes Regelverhalten in Smart Grids

Transkript

1 Ergebnispapier Workshop IT-Sicherheit und robustes Regelverhalten in Smart Grids 1 Bedeutung einer robusten Stromversorgung vor dem Hintergrund der Energiewende. Eine zuverlässige, stabile und sichere Versorgung mit Strom ist von zentraler Bedeutung für Gesellschaft und Wirtschaft. Wesentliche Voraussetzungen für die Versorgungssicherheit sind die Verfügbarkeit und der stabile Betrieb der für die Stromerzeugung, -übertragung und -verteilung benötigten Infrastrukturen. Es ist daher von besonderer Bedeutung, diese vor Störungen aufgrund von menschlichem oder technischem Versagen zu schützen. Um die Verfügbarkeit der Infrastruktur auch in hohen Belastungssituationen zu gewährleisten, werden die einzelnen Betriebsmittel so dimensioniert, dass sie Überlastungen kurzfristig standhalten können. Für das Gesamtsystem werden Planungs- und Betriebsgrundsätze angewendet, die ein robustes Regelverhalten gegenüber Störungen und auch bei dem Ausfall von einzelnen Komponenten der Stromversorgung einen fehlerfreien Betrieb des Gesamtsystems gewährleisten. Im ersten Halbjahr 2014 lieferten die erneuerbaren Energien bereits mehr als 28 Prozent des in Deutschland verbrauchten Stroms. Bis 2025 möchte die Bundesregierung den Anteil von erneuerbaren Energien am Stromverbrauch auf 40 bis 45 Prozent erhöhen. Der weitere Ausbau erfolgt vorrangig durch Windenergie- und Photovoltaik-Anlagen, die nur bei verfügbarem Dargebot einspeisen können. Ein deutlicher Ausbaubedarf der Netze sowie die Erfordernis zur Flexibilisierung der Erzeugung aus konventionellen Kraftwerken und der Nachfrage ist die Folge. Optimierung durch den Einsatz von IKT. Um hohe Anteile fluktuierend einspeisender erneuerbarer Energien effektiv und effizient in das System integrieren zu können, werden vermehrt Informations- und Kommunikationstechnologien (IKT) eingesetzt. Ziel des sukzessiven Umbaus hin zu einem Smart Grid ist es, die Netzinfrastruktur effizienter ausnutzen zu können, um übermäßigen Ausbaubedarf zu vermeiden, die Überwachung und Steuerung dezentraler Erzeuger, Speicher und Lastmanagementpotenziale zu ermöglichen sowie den Einsatz von Flexibilität am Strommarkt und für Systemdienstleistungen zu optimieren. Für die Gewährleistung einer zuverlässigen, sicheren und stabilen Stromversorgung ergeben sich vor diesem Hintergrund deutliche Herausforderungen. Am 27. November 2014 fand hierzu im Rahmen des dena-projekts Effiziente Energiesysteme Information und Dialog für eine zukunftsfähige Energieversorgung der Workshop IT-Sicherheit und robustes Regelverhalten in Smart Grids statt. Die Ergebnisse der Vorträge und Diskus- Seite 1 von 8

2 sionen des Workshops sind in diesem Ergebnispapier zusammengefasst, es wird aber nicht der Anspruch auf eine umfängliche Erfassung der Fragestellung erhoben. Als wesentliche Handlungsbereiche, die sich aus der Weiterentwicklung der Stromversorgung zu einem Smart Grid ergeben, wurden identifiziert: Beherrschung der deutlichen Zunahme an Komplexität, IT-Sicherheit sowie Verfügbarkeit von Kommunikationsinfrastruktur. Die in dem Workshop diskutierten Herausforderungen in diesen drei Handlungsbereichen werden im Folgenden benannt und eingeordnet. 2 Handlungsfeld Komplexitätsbeherrschung. Die Erhöhung des Anteils erneuerbarer Energien im Stromsystem führt aufgrund vielfältiger Faktoren zu einer steigenden Komplexität im Stromnetz, u. a. Komplexere Betriebsführung: Die Mehrheit der Erneuerbare-Energien-Erzeugungsanlagen in Deutschland liefert eine fluktuierende, vom Wetter abhängige Einspeisung, deren Prognose zudem mit Unsicherheiten behaftet ist. Dies führt zu häufig wechselnden und teilweise extremen Erzeugungs- und Lastflusssituationen im Übertragungs- und Verteilnetz, die aktuell durch die Netzbetreiber nur mit deutlicher Zunahme gezielter Systemeingriffe beherrscht werden können. Anzahl der Anlagen und Akteure: Da Anlagen, die in niedrige Spannungsebenen einspeisen, auch in die Betriebsführung mit eingebunden werden müssen, steigt der Aufwand zur Koordination zwischen den Netzbetreibern untereinander und zwischen Netz- und Anlagenbetreibern. Außerdem führt die wachsende Anzahl von Erzeugungsanlagen (statt vergleichsweise weniger großer Kraftwerke insb. im Übertragungsnetz wird der Strom an einer Vielzahl von Netzknoten durch dezentrale Energieanlagen eingespeist) zu einer steigenden Komplexität im Betrieb des Stromsystems. Einsatz intelligenter Komponenten: Um die Infrastruktur sowie deren Betrieb und Wartung zu optimieren, werden verstärkt Komponenten mit Mess-, Steuer- und Regelungstechnik in Verbindung mit Informations- und Kommunikationssystemen eingesetzt, die z. B. ein parametrierbares Regelungsverhalten, Fernsteuer- und Fernwartbarkeit ermöglichen. Hierdurch spielen Herausforderungen aus der Informatik, wie z. B. Versions- und Variantenmanagement sowie Kompatibilitätsfragen eine zunehmende Rolle. Angestrebte Optimierung zwischen Markt und Netz: Eine weitere Komplexitätssteigerung entsteht durch die angestrebte stärkere Koordinierung zwischen dem Agieren am Strommarkt, der Berücksichtigung von Engpässen im Netz und dem gezielten netzdienlichen Einsatz von Flexibilitätsoptionen (Netzampelkonzept). Auch für den internationalen Handel ist es das Ziel, im Zuge der Marktkopplungsmechanismen eine optimierte Auslastung der Netzkapazitäten zu erreichen. Vermittlung zwischen verschiedenen Disziplinen: Für die Ausgestaltung des Smart Grids wird ein tiefes gegenseitiges Verständnis und ein sehr enges Zusammenwirken der Disziplinen Elektrotechnik, Energiewirtschaft und Informationstechnik benötigt. Seite 2 von 8

3 Grenzen der Test- und Simulierbarkeit: Das Stromsystem muss zu jedem Zeitpunkt voll funktionsfähig sein. Die Herausforderung besteht darin, dass größere Störungen und der Versorgungswiederaufbau nicht getestet, sondern nur simuliert werden können. Simulationen können jedoch nie die gesamte Komplexität der Realität und alle möglichen Wechselwirkungen erfassen. Aufgrund der steigenden Komplexität wird das Stromsystem ohne entsprechende Gegenmaßnahmen grundsätzlich fehleranfälliger hinsichtlich konzeptionellen Fehlern bei der Planung und Auslegung von Anlagen und Prozessen (z. B. Übersehen von Konstellationen und Effekten), Ausführungsfehlern bei der Realisierung (z. B. Softwarefehler) sowie Fehlern beim Betrieb von Netzen und Anlagen (z. B. Fehleinschätzungen). Handlungsoptionen. Bei der Systemgestaltung gilt es von Anfang an sorgsam abzuwägen, in welchem Maße weitere Komponenten mit zusätzlichen Abhängigkeiten und Fehlerquellen integriert werden können, sodass die Komplexität auch mit Blick auf die Kompetenzen und Prozesse der beteiligten Akteure noch beherrschbar und das Gesamtverhalten robust bleibt. Ein Beispiel ist die Frage des Einsatzes von dezentralen oder zentralen Automatisierungslösungen für Netzbetriebsmittel im Verteilnetz. Für lokal begrenzte Problemstellungen genügen dezentrale Automatisierungslösungen. Diese haben den Vorteil geringer Einstiegskosten. Es sind keine Änderungen an der Netzleitstelle erforderlich und aufgrund der Einfachheit ist eine schnelle Realisierung und Inbetriebnahme möglich. Nachteile dezentraler Automatisierungslösungen sind jedoch u. a. unkoordinierte Regelentscheidungen und komplexe Versionsverwaltung (lokale Datenhaltung/Parametrierung, herstellerspezifische Werkzeuge, Updates schwer automatisierbar). Bei der Einführung von modernen, zentralen Automatisierungslösungen für netzweite Optimierungen, ggf. unter Einbindung von virtuellen Kraftwerken, sollten bei den lokalen Anlagen entsprechende Notfallfunktionen implementiert werden, sodass sich diese bei Ausfall der zentralen Steuerung möglichst systemverträglich verhalten. Bei den betroffenen Unternehmen ist es eine zentrale Managementaufgabe, die Prozesse geeignet zu gestalten und für ausreichende Kompetenzen der Mitarbeiter zu sorgen, sodass mit der steigenden Komplexität umgegangen werden kann und Risiken beherrscht werden. Auf übergeordneter Ebene kann Komplexität sowie damit verbundene Kosten und Risiken durch einheitliche Leitlinien und Standards bezüglich technischen Anforderungen, Abläufen und Prozessen reduziert werden. Ein Beispiel hierfür sind die ENTSO-E Network Codes, die die Leitlinien für den Netzanschluss und -betrieb in ganz Europa vereinheitlichen. Seite 3 von 8

4 3 Handlungsfeld IT-Sicherheit. Angriffe auf die Informations- und Kommunikationstechnik in der Stromversorgung sind kein Zukunftsszenario, sondern finden bereits heute statt. Angriffe können an fast allen Punkten der Wertschöpfungskette erfolgen. Sie sind von besonderer Relevanz, weil durch die zunehmende Verstrickung von Strom- und Kommunikationsnetz Hackerangriffe weitreichende Folgen (Stromausfall) haben können. Beispiele für bereits erfolgte Angriffe auf das Stromversorgungssystem sind Sabotageversuche einer Hackergruppe namens Dragonfly, die Infektion von Erzeugungsanlagen v. a. im Iran mit dem Virus Stuxnet oder aber ein Trojaner namens Havex, der SCADA-Systeme infiziert. Das U.S. Department of Homeland Security meldete im November 2014, dass eine Vielzahl der SCADA-Systeme, die in den USA kritische Infrastrukturen steuern, von einer Variante des Schadprogramms BlackEnergy infiltriert sind. Darunter befinden sich Steuerungssysteme von Öl- und Gaspipelines, der Wasserversorgung und des Stromnetzes. Das Schadprogramm wurde bereits vor längerem injiziert, aber noch nicht aktiviert. Die Bundesregierung reagiert mit dem Entwurf des IT-Sicherheitsgesetzes auf die Bedrohungslage und strebt branchenspezifische Sicherheitsstandards für kritische Infrastrukturen u. a. des Energiesektors an. Im 11 Abs. 1a des Energiewirtschaftsgesetzes (EnWG) werden die Bundesnetzagentur (BNetzA) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) verpflichtet, einen Katalog von Sicherheitsanforderungen zu erstellen. Der Entwurf dieses Sicherheitskatalogs wurde Anfang 2014 zur Konsultation veröffentlicht. Ziel der Maßnahmen des Sicherheitskatalogs ist ein angemessener Schutz gegen Bedrohungen für Telekommunikationsund elektronische Datenverarbeitungssysteme, die dem Netzbetrieb dienen. Als wesentliche Maßnahme wird im Sicherheitskatalog die Einführung und Zertifizierung eines Informationssicherheits-Managementsystems (ISMS) nach ISO gefordert, um geeignete Strukturen und Prozessabläufe zur Gewährleistung eines angemessenen IT-Sicherheitsniveaus zu realisieren. Der IT-Sicherheitskatalog konkretisiert dabei, welche Anforderungen bei der Umsetzung der Norm zu beachten sind. Zur ISO27001 gehören nicht nur direkt auf die IT bezogene Vorgaben. Sie umfasst auch verbundene Fragestellungen, u. a. Sicherheitsleitlinien, Organisation der Informationssicherheit, Sicherheit des Personals, Wertemanagement, Zugriffskontrolle, Kryptographie, Schutz vor physischem Zugang und Umwelteinflüssen, Betriebssicherheit, Sicherheit in der Kommunikation, Anschaffung, Entwicklung und Instandhaltung von Systemen sowie Lieferantenbeziehungen. Grundsätzlich haben die Diskussionen des Workshops gezeigt, dass es bei der Weiterentwicklung hin zu einem intelligenteren Stromnetz wichtig ist, die Herausforderungen, die sich für die Gewährleistung der IT- Sicherheit ergeben, von vornherein bei der Auslegung mit zu beachten. Nur so kann erreicht werden, dass der notwendige Schutz des Systems technisch, organisatorisch und kostenmäßig realisierbar ist. Es wurde zudem deutlich, dass für unterschiedliche Spannungsebenen, Netzregionen und verwendete Technologien andere IT-Sicherheitsanforderungen vorliegen können. Eine hundertprozentige Sicherheit ist generell nicht möglich, sondern es ist notwendig, zwischen dem eingesetzten Budget für Sicherheit und möglichen Folgen eines Angriffs auf die IT-Infrastruktur abzuwägen. Auf Hoch- und Höchstspannungsebene existieren Angriffspunkte, die mit hohem Aufwand geschützt werden müssen, da ein erfolgreicher Angriff weitreichende Folgen haben kann. Auf tieferen Spannungsebenen (Mittel- und Niederspannungsnetz) nimmt die Anzahl der Knoten, aber auch die Anzahl der Akteure und die Heterogenität von Lösungen zu. Sie bieten damit ten- Seite 4 von 8

5 denziell leichtere Angriffsziele, gleichzeitig sind die Folgen von Ausfällen wegen des begrenzteren Wirkungskreises geringer. Darüber hinaus hat der Workshop deutlich gemacht, dass es beim Thema IT-Sicherheit nicht nur um die Entwicklung geeigneter Software und Schutzalgorithmen geht, sondern dass der Faktor Mensch eine wesentliche Rolle spielt. Mitarbeiter von Netzbetreibern müssen in der Breite zur IT-Sicherheit sensibilisiert und geschult werden. Darüber hinaus werden für den Betrieb eines ISMS spezielle IT-Sicherheitsbeauftragte mit entsprechenden Kompetenzen und Befugnissen im Unternehmen benötigt. 4 Verfügbarkeit der Kommunikationsinfrastruktur. Die Informationssicherheit zielt auf die Integrität, die Vertraulichkeit und die Verfügbarkeit der zum Einsatz kommenden Systeme ab. Mit Blick auf die Verfügbarkeit ist ein besonderes Augenmerk auf die gegenseitige Abhängigkeit der Verfügbarkeit von IKT-Systemen und der Verfügbarkeit der Stromversorgung zu legen insbesondere auch im Rahmen der Versorgungswiederaufbaukonzepte. Für die Steuerung des Stromnetzes und von Erzeugungsanlagen wird auf verschiedene Kommunikationssysteme (Rundsteuerung, Mobilfunk, Internet) zurückgegriffen. Mit der Umsetzung von Smart-Grid-Konzepten wird die Bedeutung dieser Kommunikationsmöglichkeiten tendenziell weiter zunehmen. Generell ist zu prüfen, wie sich der Ausfall von Kommunikationssystemen auf das Stromnetz auswirkt und die im Stromnetz als Grundprinzip geforderte (n-1)-sicherheit auch hinsichtlich der Verfügbarkeit der verwendeten IKT-Systeme anwenden lässt, oder ob andere, beispielsweise probabilistische Ansätze als Grundlage verwendet werden müssen. Der IKT-Sektor weist eine im Vergleich zur Energiewirtschaft deutlich höhere Entwicklungsgeschwindigkeit auf. Es besteht daher die Möglichkeit, dass Kommunikationswege, die dem Stand der Technik entsprechend heute als sicher gelten, zukünftig und ggf. mit einer kurzen Frist als nicht mehr ausreichend sicher zu erachten sind. Dies ist mit Blick auf ggf. in dezentralen Energieanlagen in der Breite eingesetzte Technologien zu beachten, die dann ausgetauscht oder abgesichert werden müssten. Bei der Weiterentwicklung der Versorgungswiederaufbaukonzepte ist das Zusammenspiel zwischen Netzund Kommunikationsinfrastruktur besonders zu beachten. Öffentliche Kommunikationssysteme wie z. B. Mobilfunk stehen bei einem Stromausfall, wenn überhaupt, nur für eine begrenzte Zeit zur Verfügung. Der Systemwiederaufbau muss daher auch ohne sie erfolgen können. Auch zukünftig wird ein grundlegender Versorgungswiederaufbau auf Basis von großen konventionellen Kraftwerken und Pumpspeicherwerken sowie unter Mithilfe benachbarter Netzgebiete erfolgen. Beim sukzessiven Zuschalten von Netzabschnitten während des Versorgungswiederaufbaus ist es notwendig, dass sich diese in einem definierten Zustand befinden. Es müssen daher technische Lösungen zur Verfügung stehen, dezentrale Energieanlagen auch ohne öffentliche Kommunikationsnetze gezielt abregeln zu können. Alternativ muss sichergestellt sein, dass sich die Anlagen nach einem Blackout von sich aus geeignet für einen kontrollierten Versorgungswiederaufbau verhalten. Seite 5 von 8

6 5 Fazit. Der Workshop IT-Sicherheit und robustes Regelverhalten in Smart Grids hat deutlich die Herausforderungen aufgezeigt, die sich mit zunehmender intelligenter Steuerung im Stromnetz ergeben. Dabei sind v. a. die Handlungsfelder Komplexitätsbeherrschung, IT-Sicherheit und die gegenseitige Abhängigkeit der Verfügbarkeit der Stromversorgung und der Kommunikationsnetze zu berücksichtigen. Wesentlich für die Beherrschung der zunehmenden Komplexität und die Gewährleistung der Informationssicherheit ist es, bei der Planung von Lösungen zur Weiterentwicklung des Stromnetzes zum einen zwischen dem Nutzen durch Optimierungsmöglichkeiten und den entstehenden Risiken abzuwägen. Zum anderen gilt es, robuste Rückfalllösungen zu realisieren, die im Fehlerfall eine Netzverträglichkeit des Betriebsmittels mittels lokaler Steuerung sicherstellen. Im Bereich Informationssicherheit sind durch den IT-Sicherheitskatalog der BNetzA und des BSI sowie durch das geplante IT-Sicherheitsgesetz wichtige Rahmenbedingungen in Vorbereitung, um sicherzustellen, dass die Netzbetreiber in angemessenem Maße die Voraussetzungen zur Gewährleistung der Informationssicherheit in ihrem Handlungsbereich treffen. Es ist zu prüfen, ob durch das Zusammenspiel der den Einzelakteuren auferlegten Pflichten auch die Sicherheit und Robustheit des Gesamtsystems in ausreichendem Maße gewährleistet wird. Die Netzbetreiber sind dafür verantwortlich, die notwendigen Strukturen und Prozesse in ihren Unternehmen zu implementieren sowie die benötigten Kompetenzen und die grundsätzliche Sensibilität für Informationssicherheit bei ihren Mitarbeitern aufzubauen. Es gilt, die Konzepte für die Sicherheit der IKT und die Konzepte für robuste Stromnetze zusammenzubringen, um zu schlüssigen Gesamtlösungen zu kommen. Seite 6 von 8

7 Die dena veranstaltete den Workshop im Rahmen des Projekts Effiziente Energiesysteme - Information und Dialog für eine zukunftsfähige Energieversorgung. Weitere Informationen zu dem Projekt finden Sie unter Kooperationspartner Workshop: Gefördert durch: Kooperationspartner Effiziente Energiesysteme: Medienpartner: Seite 7 von 8

8 Bei Interesse oder Rückfragen wenden Sie sich bitte an: Deutsche Energie-Agentur GmbH (dena) Hannes Seidl Energiesysteme und Energiedienstleistungen Chausseestraße 128 a Berlin Tel: +49 (0) Fax: +49 (0) seidl@dena.de Internet: Seite 8 von 8