Smart und sicher – das scheinen tatsächlich zwei Konzepte zu sein, die sich nicht ohne weiteres unter einen Hut bringen lassen. Der folgende Beitrag unternimmt den Versuch, den Leser mit den grundlegenden Aspekten von Informationssicherheit im Kontext Smart Grid/Smart Market vertraut zu machen.
In den Abschnitten „Smart …“ sowie „… und sicher“ werden die grundlegenden Begriffe und Konzepte eingeführt und die unterschiedliche Priorisierung der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit durch die Corporate IT und die Operational IT im Smart Grid diskutiert.
Im Kern geht es bei Sicherheitsthemen immer um das Erkennen, das Bewerten und das Begrenzen von Risiken. Die im Kontext Informationssicherheit gebräuchlichen Risikomodelle werden in einem eigenen Abschnitt diskutiert. Dabei wird neben dem klassischen Risikomodell, wie es in der Versicherungswirtschaft zum Einsatz kommt, insbesondere auf das logische Risikomodell der Informationssicherheit eingegangen.
Breiten Raum nimmt danach die Behandlung von Informationssicherheitsschwachstellen und Angriffsvektoren auf diese ein. Am Beispiel aktueller Fälle wird deutlich, dass unsere Anlagen, Netze und Geschäftsprozesse über ganz konkrete Schwachstellen ganz realen Bedrohungen ausgesetzt sind. Ein kurzer Streifzug über die öffentlich zugängliche Einschätzung zur Lage der Informationssicherheit im Energiesektor in Deutschland und den USA schließt sich an.
Worin liegen nun die Ursachen, die für die gestiegene Verletzlichkeit des Smart Grids und des Smart Markets verantwortlich sind? Dieser Frage geht der Abschnitt „Die neue Qualität des Smarten“ nach.
Auf die Anstrengungen der Politik, der Behörden, der Unternehmen und der Branchenverbände, den neuen Herausforderungen zu begegnen, wird im darauf folgenden Abschnitt eingegangen.
Ein kurzes Streiflicht auf die Forschungsaktivitäten und die noch zu bearbeitende Forschungsagenda zur Informationssicherheit im Energiesektor mit Schwerpunkt Smart Grid und Smart Market zeigt, dass noch längst nicht alle wesentlichen Fragen beantwortet sind.
Die Reduktion von Sicherheitsschwachstellen ist eine zentrale Forderung der Informationssicherheit. Klassische Sicherheitskonzepte, wie z. B. „Defense in Depth“ sind an der Prosumer-Schnittstelle teils aus Kostengesichtspunkten, teils aus der Rollen- und Verantwortungstrennung heraus nicht in dem gewünschten Maße realisierbar. Daher gilt die Forderung, die ITK- Komponenten an diesen Stellen mit dem Ansatz „Security by Design“ möglichst resistent gegenüber Angriffen zu machen. Was „Security by Design“ im Kontext der Softwarearchitektur von Cybergateways bedeutet, wird im folgenden Abschnitt betrachtet.
Sicherheit zum Nulltarif gibt es nicht. Im Abschnitt „Kosten der Sicherheit“ werden die relevanten Kostenarten und Kostenträger identifiziert. Ein grober Kostenbenchmark, der kürzlich für die kanadischen Verhältnisse veröffentlicht wurde, soll eine Idee zur Höhe der Sicherheitskosten vermitteln.
Das abschließende Resümee fasst den Beitrag zusammen und wagt den Versuch, die Eingangsfrage zu beantworten.
