Herausfordernd, aber lösbar: IT-Sicherheit für Smart Metering

Smart Meter eröffnen neue Möglichkeiten, um Energie effizient bereitzustellen. Doch fordern sie von Energieversorgern gleichzeitig auch neues Security-Knowhow. Denn sie werden auch zu Betreibern von hochkomplexen und stark miteinander verknüpften IT-Netzen und -Systemen. [...]

Die sichere Energieversorgung hat höchste Priorität bei Politik, Industrie und Verbrauchern. Daher ist die Energiebranche eine der am meisten regulierten Industrien weltweit. Mit dem technischen Fortschritt gehen aber ganz neue, bisher nicht gelöste sicherheitsrelevante Fragestellungen einher: Es geht nicht mehr „nur“ um die flächendeckende Sicherstellung der Energieversorgung. Vielmehr werden Energieversorger zukünftig auch zu Betreibern von hochkomplexen und stark miteinander verknüpften IT-Netzen und -Systemen. Nur so lassen sich neben dem Smart Meter Einsatz auch Smart Grids, intelligente Stromnetze der Zukunft, steuern. Das Thema der Datensammlung, durch die umfassende Speicherung von Informationen zu Nutzern und deren Verhalten, über Smart Meter ist damit nur ein kritischer Aspekt.

„Nutzungsdaten durch Smart Meter werden für verschiedene ‚datenhungrige‘ Gruppen interessant: Angreifer, die entweder das Ziel von Sabotage verfolgen oder aber – ähnlich dem Markt für Kreditkartendaten – die von ihnen gesammelten Informationen massenweise über das Internet weiterverkaufen“, so Harald Reisinger, Sicherheitsexperte und Geschäftsführer von RadarServices. Das Wiener Unternehmen ist spezialisiert auf die Sicherheits-überwachung von IT bei kritischen Infrastrukturen.

„Daneben kann es auch sein, dass sich zum Beispiel Kunden von Energieversorgern selbst daran versuchen, ihre Verbrauchsdaten mit dem Ziel geringerer Energiekosten zu manipulieren. Und zuletzt wissen wir nicht erst seit Edward Snowden, wie fortgeschritten die IT-technischen Fähigkeiten von Staaten sind, um großflächig bei anderen auch mal das Licht an und aus zu knipsen“, so Reisinger weiter.

„Beim millionenfachen Einsatz von datenbasierenden Geräten verteilt in Haushalten und Unternehmen gibt es eine wesentlich höhere Zahl von Einfallstoren für Schaden und Störungen an der IT von Energieversorgern“, mahnt Reisinger. „Gleichzeitig werden diese Versorger verpflichtet, den Schutz ihrer IT und der darin verarbeiteten Daten zu jeder Zeit sicherzustellen – und das ohne Kostenexplosion zu Lasten der Verbraucher. Aus IT-Sicht gibt es nur einen realistischen Weg, das Problem zu lösen: Eine rund um die Uhr stattfindende, sicherheitsseitige Überprüfung  der Hard- und Software aller im Einsatz befindlichen Smart Meter muss gewährleistet sein. Zudem muss der technisch korrekte Datenfluss von jedem Smart Meter hin zum Energieversorger genauso kontinuierlich überprüft werden, wie die Betriebsbereitschaft sämtlicher IT-Systeme beim Energieversorger selbst. So sollten beispielsweise Häufigkeiten der Netztrennungsbefehle, sofern verwendet, überwacht werden. Unregelmäßigkeiten werden durch diese engmaschige Überprüfung in kürzester Zeit entdeckt und bilden die Grundlage für eine schnelle, zielgerichtete Behebung.“

Der Aufbau eines möglichst hohen Abwehrschutzes durch Firewalls führe in IT-Landschaften, bei denen physisch im ganzen Land verteilte Geräte miteinander kommunizieren, zu keinem ausreichendem Schutz. „Einzelne Sicherheitsprodukte decken immer ganz bestimmte, sehr eng definierte Sicherheitsthemen ab. Angreifer konzentrieren sich aber gerade auf das Auffinden von neuen Sicherheitslücken oder Fehler in der Konfiguration. Und so laufen Unternehmen den immer komplexer werdenden Angriffsstrategien regelrecht hinterher“, so Reisinger.

Der Sicherheitsexperte empfiehlt, den Fokus hin zum Aufbau einer kontinuierlichen Erkennung von Schwachstellen und Angriffen zu legen. „Ist der Energieversorger in der Lage, die große IT-Landschaft kontinuierlich auf mögliche Einfallstore für Angriffe und auf Auffälligkeiten hin zu überprüfen, kann er blitzschnell und zielgerichtet auf tatsächliche Gefahren reagieren. Er begrenzt so besonders effektiv einen möglichen Schaden und behält gleichzeitig seine Kosten für IT-Sicherheit am besten im Griff. Wir arbeiten mit dieser Herangehensweise sehr erfolgreich für Betreiber kritischer Infrastrukturen genauso wie für Unternehmen mit einem großen Aufkommen an besonders sensiblen, personenbezogenen Daten, wie Banken und Versicherungen. Dabei setzen wir sehr umfangreiche Korrelationsmechanismen ein, die innerhalb der Kundenunternehmen und deren IT-Systemen rund um die Uhr sicherheitsrelevante Informationen zusammenführen und analysieren. Sobald dabei eine Unregelmäßigkeit erkannt wird oder Schwachstellen gefunden werden, bekommen wir ein Alarmsignal und können unsere Kunden warnen. So werden sie in kürzester Zeit Herr der Lage und komplexe IT-Landschaften wie die beim Einsatz von Smart Meter tatsächlich sicherer. Die Herausforderungen für Energieversorger in Bezug auf IT-sicherheitsrelevante Fragestellungen werden so zu lösbaren Aufgaben“, so Reisinger abschließend. (pi)


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*