Andreas Eicher, Redakteur beim Frankfurter Institut für Risikomanagement und Regulierung (FIRM) sowie dem Kompetenzportal RiskNET
„Is the Smart Grid Really a Smart Idea?” fragte bereits 2010 das Forum “Issues in Science & Technology” [1]. Auf alle Fälle zeigt ein Blick in die aktuelle Medienberichterstattung zu „Smart Grid“, dass das Thema en vogue ist. Deutschland- und europaweit werben Unternehmen, Politik und Wissenschaft für die „intelligenten Netze“ der Zukunft. Es hat fast den Anschein, als hänge alles am „smarten“ Faden. Vor allem der Ausbau regenerativer Energieformen sowie ein liberalisierter und zunehmend dezentralisierter Energiemarkt erfordern neue Wege in den damit zusammenhängenden Infrastrukturnetzen. Denn am Ende geht es um die Versorgungssicherheit für Unternehmen und Endverbraucher – und das vor dem Hintergrund eines fortschreitenden Klimawandels.
In diesem Zusammenhang wundert es nicht, wenn sich Berge an Positionspapieren, Gutachten und Studien zum Thema „intelligente Netze“ auftürmen und eine Heerschar von Experten aller Couleur in das Loblied digitalisierter Stromnetze der Zukunft einstimmen. Der Haupttenor lautet: innovativ, nachhaltig, intelligent. Doch Vorsicht, denn trotz aller Euphorie und Chancen drohen Risiken im Umgang mit den intelligenten Netzen der Zukunft.
Versorgung versus Investitionen
Für die Bundesregierung steht hinter Smart Grid „die Weiterentwicklung der Netze zu intelligenten Netzen“. Bei einem Smart Grid werden Stromerzeuger, -verbraucher und Netzbetriebsmittel intelligent miteinander verknüpft. Informations- und Kommunikationstechnologien (IKT) steuern das Gesamtsystem optimal [2]. Nach Aussage der Europäischen Kommission (Joint Research Centre, Institute for Energy and Transport) ist Smart Grid eine Schlüsselkomponente für die europäische Energie-Strategie [3].
Das eröffnet auf den ersten Blick viele Vorteile auf dem Weg zum Netzausbau der Zukunft und der angestrebten Energiewende unter dem Schlagwort „Industrie 4.0“. Für den IT-Sicherheitsverband TeleTrust e. V. ermöglichen Smart Grids beispielsweise „einen Übergang zur umweltfreundlichen Energieerzeugung“ und können „die Abhängigkeit von wenigen zentralen … Energiequellen bzw. Kraftwerken verringern und so die Versorgungssicherheit gewährleisten“ [4]. Darüber hinaus sehen Experten hohe Investitionskosten, die zum Ausbau der Verteilnetze investiert werden müssen [5].
Risiken: Unternehmen sind nicht vorbereitet
Bei genauerem Hinsehen zeigen sich neben hohen Kosten für den Ausbau der „intelligenten Stromtrassen“ Risiken in Bezug auf die Sicherheit im Umgang mit „smarten Systemen“. Vor allem Hacker haben es auf die neuralgischen Punkte einer eng vernetzen und durchgängig digitalisierten Industrie abgesehen. Als Zielscheibe dienen Schalt- und Steuerungseinrichtungen von Energieversorgern – sprich sensible Infrastrukturbereiche. Die Motive? Wirtschaftsspionage, Erpressung und Sabotage.
So haben Hacker im Jahr 2010 mit dem Computerwurm „Stuxnet“ das iranische Atomprogramm infiltriert und sabotiert. Als Tor in die iranischen Systeme nutzten die Saboteure USB-Schnittstellen. Im Sommer 2014 attackierte eine Hacker-Gruppe mit dem Namen „Dragonfly“ Energieversorger mit der Schadsoftware „Havex“, um explizit industrielle Steuerungssysteme von Energieanlagen anzugreifen. Und ein Hacker-Team testete 2014 einen Angriff auf die Stromversorgung der Stadtwerke Ettlingen mit dem Ergebnis, dass dadurch die Steuersoftware der Leitstelle beeinflusst werden konnte [6]. Solch ein Szenario im reellen Leben mit Erfolg durchgeführt und Kriminelle sowie Saboteure haben leichtes Spiel mit dem kappen der Energieversorgung. Auch weil vielfach veraltete Systeme zum Einsatz kommen, die für Cyberangriffe anfällig sind. Nach Einschätzung des Fraunhofer-Institut AISEC sei IKT das Nervensystem des Smart Grid. Die Verwundbarkeit dieses Systems beschreibt das Institut durch die Störung der Versorgungssicherheit, hervorgerufen unter anderem durch „manipulierte, veraltete, unvollständige Daten“. Hinzu kommt die „Störung von (Geschäfts-)Prozessen“, wie gefälschte Identitäten oder durch falsche Abrechnungen [7].
Das Bundesamt für Verfassungsschutz stellt in einer Veröffentlichung zum „Wirtschaftsschutz“ fest: „Im Vordergrund des Ausforschungsinteresses stehen vornehmlich technologieorientierte und innovative deutsche Unternehmen“ [8]. Hierzu zählen nach Verfassungsschützern Unternehmen aus dem Energie- und Umweltbereich. Michael George, Leiter des Cyber-Allianz-Zentrums Bayern beim Verfassungsschutz, sieht Stuxnet-Szenarien als eine gefährliche Entwicklung auf dem Weg zur Industrie 4.0, auf die viele Industrieunternehmen nicht vorbereitet sind: „Im Kontext von Cybersicherheit ist es wichtig, vom Gesetz des Schweigens zur Kultur des Vertrauens zu gelangen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht beim Thema Smart Grid Handlungsbedarf in Bezug auf die hohen Anforderungen an den Datenschutz und die Datensicherheit. Dies erklärt sich nach Meinung der BSI-Experten aufgrund „der Verarbeitung und Zusammenführung personenbezogener Verbrauchsdaten in Messsystemen sowie möglicher negativer Rückwirkungen auf die Energieversorgungssicherheit“.
Sicherheitsstandards und Risikokultur
Eine der Hauptgründe für erfolgreiche Angriffe besteht nach einem aktuellen Papier zu den „Security-Trends 2015“ [9] von „TÜV TRUST IT“ darin, dass wichtige Sicherheitsstandards beim „Internet der Dinge“ und der „Industrie 4.0“ bis dato nicht geklärt sind. Für die Experten des TÜV TRUST biete sich bei aktuellen technischen Entwicklungen die Chance der Mitgestaltung. Mit solch einer frühzeitigen Planung lassen sich bisherige Fehler bei technologischen Entwicklungen vermeiden und Sicherheitsfragen werden im Vorfeld geklärt.
Für Dr. Roland Franz Erben, Professor für BWL im Studiengang „Wirtschaftspsychologie“ an der Hochschule für Technik (HFT) in Stuttgart, hängt die Sicherheit und Vertrauenswürdigkeit von Smart Grid von zwei Faktoren ab: Technik und Mensch. „Derzeit fokussieren sich die Anbieter vor allem auf den technischen Bereich. Allerdings wissen wir, dass technische Maßnahmen niemals eine hundertprozentige Sicherheit bieten können.“ Und er fügt hinzu: „Insofern ist ein entsprechendes Bewusstsein der Mitarbeiter an dieser Stelle essenziell. Dieses kann allerdings nur durch die Vorbildfunktion des Managements sowie klare Handlungs- beziehungsweise Arbeitsanweisungen und eine adäquate Risikokultur geschaffen werden.“
Vom Datenschutz und dem Informationstransfer an Dritte
Ein weiterer wichtiger datenschutzrechtlicher Punkt ergibt sich aus dem Sammeln von Nutzerdaten im Rahmen eines Smart-Grid-Einsatzes. Nach § 4 Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung Absatz 1 BDGS ist „die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.“ In diesem Zuge fordern nationale Stellen (Datenschutzbeauftragte der Länder) oder supranationale Organisationen, wie beispielsweise die EU, hohe Hürden beim Thema Datenschutz und „Intelligenter Netztechnologien“.
Ein Beispiel ist der Bericht des EU-Parlaments aus dem vergangenen Jahr zum Thema Datenschutz und Smart Grid. Inhaltlich sollen nach dem Willen der EU-Politiker Anwender intelligenter Stromzähler die Kontrolle über die jeweiligen Messdaten behalten. Gefordert sind demnach Standards, die einen Informationstransfer an Dritte unterbinden. Doch die Realität dürfte indes anders aussehen. Das Datensammeln gehört seit Jahren zum Geschäftsmodell vieler Unternehmen wie Google, Facebook & Co., der schleichende Prozess einer „smarten Gesellschaft“ ist nicht zu stoppen. Am Ende geht es um den gläsernen Kunden, sein Kauf- und Lebensverhalten und vor allem darum, individuelle Profile und Muster zu erstellen, von denen in erster Linie Unternehmen profitieren.
In einem Beitrag von „Der Wert der Daten“ zeigt „Le Monde diplomatique“, dass mithilfe großer Datenmengen Erkenntnisse über Muster und Wahrscheinlichkeiten eines zukünftigen Handelns abgelesen werden können. Der Beitrag folgert: „Das können freundliche, unterstützende Eingriffe sein, die dem Nutzer jene Dinge, die er von sich aus machen möchte, erleichtern … Das können aber auch repressive Eingriffe sein, die es den Menschen schwerer machen … ihre Pläne umzusetzen“ [10] – angefangen bei Behörden, die unerkannt spitzeln, über Gesundheitskassen, die unser Konsum- und Essverhalten durchleuchten, bis zu Energieversorgern, die über den jeweiligen Stromverbrauch in Unternehmen und Privathaushalten entscheiden.
Neue Ansätze gesucht
Um die beiden Welten einer „smarten Generation“ mit Datenpreisgabe und Informationssammeln sowie „analogen Bedürfnissen“ samt Datenschutz und Individualität zu vereinen, braucht es neue Herangehensweisen, Ansichten und Ansätze. Mehr noch braucht es aufgrund der Querschnittfunktion des Themas Smart Grid einen interdisziplinären Ansatz, um viele Aspekte und Fragestellungen in den Diskurs einzubinden.
Die TSB Technologiestiftung Berlin hat hierzu die Querschnittsthemen bei Smart Grid im Rahmen einer Publikation zu „Smart City Berlin“ [11] ausgeleuchtet und kommt zu einem Geflecht an Parametern – von Applikationen und integrierten System über Energiespeicher, „Smart Home“ bis zum Cloud Computing und der Sicherheit. Im Umkehrschluss heißt das, keine Wagenburgmentalität im Umgang mit Smart Grid aufzubauen, sondern alle Akteure an einen Tisch zu bekommen. Nur so lassen sich Synergien finden und der Prozess einer zunehmenden Digitalisierung und Vernetzung im Sinne des Gesamtsystems steuern.
In Bezug auf technologische Ansätze bieten sich Gegenmaßnahmen zu Identitäts- und Verhaltensrückschlüssen an. Im Rahmen des „2. Kongress Energie + Informatik – Dezentrale Energie smart verknüpft“ im April 2014 in Karlsruhe, wurde die künstliche Erzeugung von „Rauschen“ als ein möglicher Weg vorgestellt. Die Technologie soll das illegale Datensammeln erschweren, indem übermittelte Informationen von Endverbrauchern verschleiert würden. Damit könnten „ungebetene Gäste“ keine Informationen gewinnen. Vielleicht ein vielversprechender Schritt in die richtige Richtung. Vielleicht sind Hacker, Datendiebe und Saboteure dem Ganzen abermals enteilt. Aber wer weiß das schon, in „smarten Zeiten“ wie diesen.
Quellen
[1] http://issues.org/27-1/levinson/
[3] http://ec.europa.eu/energy/sites/ener/files/documents/20120427_smartgrids_guideline.pdf
[4] https://www.teletrust.de/uploads/media/2012-TeleTrusT_IT-Sicherheit_im_Smart_Grid_01.pdf
[5] http://www.presseportal.de/pm/6556/2925546/vku-zum-investititionsplan-der-eu
[8] „Wirtschaftsspionage“, Bundesamt für Verfassungsschutz, Juli 2014
[9] https://www.it-tuv.com/news/trends-2015.html
[10] „Der Wert der Daten“, Edition, Le Monde diplomatique, 2015
Andreas Eicher, Redakteur beim Frankfurter Institut für Risikomanagement und Regulierung (FIRM) sowie dem Kompetenzportal RiskNET – The Risk Management Network. Zudem ist er freier Redakteur für die Technologiebranche sowie das Beratungs- und Managementumfeld mit den Schwerpunkten Informationssicherheit, Governance, Risk & Compliance.
Der Beitrag Intelligentes Stromnetz: smart, smarter … safe? erschien zuerst auf DOK.magazin.
