summaryrefslogtreecommitdiff
diff options
context:
space:
mode:
authorvollkorn <vollkorn@cryptobitch.de>2014-02-12 07:54:00 +0000
committervollkorn <vollkorn@cryptobitch.de>2020-05-23 13:39:35 +0000
commit92aa2932f28dfd8196e83cb5629baa07e957efa6 (patch)
treeff75184555992ebc210d6f10b60a6d97012f59e1
parentd7ec6edca332a26b46cec642d6f38e33c3ef3777 (diff)
committing page revision 1
-rw-r--r--updates/2014/BNetzA.md53
1 files changed, 53 insertions, 0 deletions
diff --git a/updates/2014/BNetzA.md b/updates/2014/BNetzA.md
new file mode 100644
index 00000000..8d5e9363
--- /dev/null
+++ b/updates/2014/BNetzA.md
@@ -0,0 +1,53 @@
1title: Stand der Technik nicht genug: CCC fordert unabhängige Risikobewertung für Sicherheit im Stromnetz
2date: 2014-02-09 19:16:00
3updated: 2014-02-12 07:54:00
4author: vollkorn
5tags: update, pressemitteilung
6
7Am kommenden Freitag endet die Konsultationsphase zum IT-Sicherheitskatalog [0], der Vorschriften der Bundesnetzagentur (BNetzA) für die Betreiber von Stromnetzen beinhaltet. Ziel des Kataloges ist es, die für den Betrieb unseres Stromnetzes notwendigen IT-Systeme gegen Angriffe abzusichern. Die vorgeschlagenen Maßnahmen sind allerdings eher dafür geeignet, den Geldbeutel der Stromnetzbetreiber zu schonen. Die Risikoeinschätzung wird den Netzbetreibern selbst überlassen - fatal, denn hier sind Interessenskonflikte vorprogrammiert. Nicht die finanziellen Interessen der Netzbetreiber, sondern der volkswirtschaftliche Schaden eines Stromausfalls muss als Maßstab für die Notwendigkeit von Sicherheitsmaßnahmen herangezogen werden. Der Chaos Computer Club (CCC) fordert daher die Einrichtung einer unabhängigen, nicht den finanziellen Interessen der Betreiber unterworfene Stelle zur Beurteilung der Risiken und der Überwachung der Sicherheitsmaßnahmen.
8
9<!-- TEASER_END -->
10
11Der Sicherheitskatalog der BNetzA stellt hingegen die Interessen der
12Netzbetreiber in den Vordergrund. Ein Beispiel: Altsysteme, also ein
13Großteil der gegenwärtig installierten Anlagen, können im Rahmen einer
14Risikobewertung analysiert und "so gut wie möglich" abgesichert werden.
15Altsysteme auszunehmen ist jedoch naiv: Improvisierte Maßnahmen helfen
16nur, Vorgaben auf dem Papier zu erfüllen. Privatanwender müssen sich
17permanent um die Sicherheit ihrer Computer kümmern - warum soll dies
18nicht auch für die Stromversorger gelten? Wenn Computersysteme das
19Stromnetz kontrollieren, müssen sie erheblich höheren Anforderungen
20gerecht werden: Letztlich genügt eine Schwachstelle, um Angreifern eine
21Manipulation des Stromnetzes zu ermöglichen.
22
23Ebenso naiv geht die Bundesnetzagentur mit dem Schutz der Kommunikation
24um. Während Heimanwender ihre WLANs verschlüsseln müssen, können
25Netzbetreiber sich um derart grundlegende Maßnahmen drücken. Lediglich
26die Gefährdung auf dem Papier zu prüfen ist nicht ausreichend. Egal wo
27Daten versendet werden: Diese müssen durch aktuelle
28Verschlüsselungsverfahren geschützt werden. Auch die Möglichkeit, alte
29Steuergeräte mit schwachen oder gar keinen Passwörtern weiter zu
30betreiben, zeugt von einem mangelnden Problembewusstsein. Der Sparwille
31der Netzbetreiber darf nicht zur Folge haben, dass Ampeln nicht
32funktionieren, kein Wasser aus der Leitung kommt und Tankstellen kein
33Benzin verkaufen können.
34
35Neben einer unabhängigen Beurteilung der Risiken fordert der CCC, dass
36alle sicherheitsrelevanten Vorfälle in einem öffentlich einsehbaren
37Register dokumentiert werden. Durch das Register wird nachvollziehbar,
38welche Zwischenfälle bei den Netzbetreibern vorkommen. Diese
39Informationen sind für die Einschätzung der Gefährdung des Stromnetzes
40unabdingbar und helfen letztlich bei der Koordination auch unter den
41Netzbetreibern selbst. Nur so kann sichergestellt werden, dass die
42umgesetzten Sicherheitsmaßnahmen wirklich wirksam sind und wo
43nachgebessert werden muss.\
44Der CCC beteiligt sich im Rahmen des Konsultationsverfahrens mit einer
45Stellungnahme \[1\].
46
47Referenzen:
48
49- \[0\] Bundesnetzagentur: "[Kon­sul­ta­ti­on des Ent­wurfs ei­nes
50 "IT-Si­cher­heits­ka­ta­log" zu § 11 Ab­satz 1a
51 En­WG](https://www.bundesnetzagentur.de/cln_1912/DE/Sachgebiete/ElektrizitaetundGas/Unternehmen_Institutionen/Versorgungssicherheit/IT_Sicherheit/IT_Sicherheit_node.html)",
52- \[1\] [Kommentar des CCC zum
53 Konsultationsentwurf](/system/uploads/142/original/BNetzA-Konsultation-ITSicherheit-Stromnetz.pdf)