Die Digitalisierung bringt Chancen und Risiken, mit großem Potential für die Erneuerbaren Energien. Auch im Sektor der Windenergie ist Digital-technik allgegenwärtig. Längst reicht es nicht mehr aus, die reine Sicher-heit der IT-Systeme zu berücksichtigen, ebenso wichtig ist die Sicherheit der verarbeiteten Informationen – darauf weist der BWE in der neuen „Orientierungshilfe Informationssicherheit Wind“ hin. Diese soll nicht nur Betreibern und Betriebsführern mit kleinem und mittlerem Anlage-portfolio einen Mehrwert bieten, sondern auch denjenigen, die sich mit weitergehenden Anforderungen im IT-Sicherheitsbereich beschäftigen.

Wirtschaftliche Schäden in Milliardenhöhe

Laut Digitalbarometer 2020 war in Deutschland bereits jeder Vierte Opfer von Cyber-Kriminalität.1 Zu den verbreiteten Methoden und Gefahren von Cyber-Kriminalität gehören Schadprogramme, Identitätsdiebstahl durch Doxing2, Spam und Phishing sowie Botnetze. Der Branchenverband BITKOM schätzt, dass der Wirtschaft 2019 ein Schaden von über 100 Mil-liarden Euro durch Cyberangriffe entstanden ist.3 Vor allem Wirtschafts-unternehmen in Deutschland stehen im Fokus von Cyberkriminellen. Deren Ziel ist es, Daten, Informationen und Know-how zu stehlen oder mit DDoS-Attacken (eine absichtlich herbeigeführte Serverüberlastung) bereitgestellte Dienste funktionsunfähig zu machen und Unternehmen digital zu erpressen. Nur ein Thema für die Big-Player? Im Gegenteil – ins Visier geraten ebenso kleinere Unternehmen und eben auch Wind-parkbetreiber. Deswegen steht der BWE Betreibern beim komplexen Thema Digitalisierung/IT-Sicherheit mit Rat und Tat zur Seite: Mit der Broschüre „Orientierungshilfe Informationssicherheit Wind“ werden relevante Aspekte rund um das Thema digitale Sicherheit und Gefahren angesprochen und konkrete Lösungsansätze skizziert.

Know-how für die digitale Zukunft

Die primäre Zielgruppe der BWE-Broschüre zum Thema Digitalisierung & Sicherheit sind Betreiber und Betriebsführer, welche eine effiziente Ba-sisabsicherung anstreben. Eine derartige „Grundversorgung“ hinsichtlich der IT-Sicherheit bietet allerdings auch Vorteile für größere Unterneh-men, die im Rahmen ihrer geschäftlichen Aktivitäten kleinere Wind-parks im Auftragsverhältnis betreuen. Anhand der von BWE-Experten aufbereiteten Informationen wird eine allgemeine Basisabsicherung von Windparks anhand von typischen Einflussfaktoren wie Systemstruktur, Schutzziele und Bedrohungen aufgezeigt – inklusive einer spezifischen Risikoanalyse. Ebenfalls von Relevanz sind in diesem Zusammenhang die gesetzlichen Anforderungen wie beispielsweise das BSI-Gesetz, welches als IT-Sicherheitsgesetz oder KRITIS (kritische Infrastrukturen) bekannt ist. Weiterführende Informationen zu den bereits bestehenden gesetz-lichen Anforderungen befinden sich im Anhang des BWE-Leitfadens „Informationssicherheit Wind“. Die Orientierungshilfe des BWE gliedert sich in drei Teile:

Teil I: Akteure, Zugriffe und Kommunikationswege

Der erste allgemeine Teil geht zunächst auf die typischen Akteure, Zu-griffe und Kommunikationswege des digitalen Alltags ein. Zum Abschluss des allgemeinen Teils sind beispielhafte Risikoszenarien aufgeführt und werden detaillierter betrachtet.
Dabei wird deutlich: Schwachstellen bzw. Sicherheitslücken in einem Windpark aufzuspüren, kommt manchmal der Suche nach der sprich-wörtlichen „Nadel im Heuhaufen“ gleich. Das Fatale dabei: Grundsätzlich geht es oft um Schwachstellen, welche für sich gesehen nicht unmittelbar als kritisch anzusehen sind. Erst in Kombination mit einer auftretenden Bedrohung entwickelt sich hieraus ein ernstzunehmendes Risiko. So wird die vermeintlich „harmlose“ Schwachstelle zur systemrelevanten, manch-mal sogar existenziellen Gefahr.

 

 

 

Betreiber von Windparks sollten daher folgende Fragen durchgehen:

  • Ist die genutzte Hard- und Software durch Updates, Upgrades und Firmware-Aktualisierungen auf dem neusten Entwicklungsstand?
  • Werden Standardkonten/-passwörter der betrieblichen Informationssysteme kontinuierlich überwacht sowie die Vergabe von Zugangsberichtigungen für Systemintegratoren oder Servicedienstleister kontrolliert?
  • Bestehen vertraglich geregelte Sicherheitsmaßnahmen zur Kompensation des Ausfalls von Dienstleistern und Lieferanten?
  • Wird die Netzwerkstruktur im Windpark in flacher Hierarchie ausgeführt, ohne Separierungsmaßnahmen auf physikalischer oder virtueller Ebene? 
  • Können Dritte beispielsweise durch das Einschleusen von Schad-Software aktiven Zugriff auf die Systeme der Windenergieanlage, des Windparks oder einer übergeordneten Leitwarte erhalten und steuernd in die Erzeugungsanlage(n) eingreifen?

Teil II: Grundlagen eines Mindeststandards für die IT-Sicherheit

Im zweiten Teil, dem Hauptteil der Orientierungshilfe, werden hinsichtlich der Informationssicherheit innerhalb der Windenergiebranche mögliche Maßnahmen beschrieben, unterteilt in organisatorische und technische Aktionen. Konkret geht es um notwendige Anforderungen als Grundlage eines Mindeststandards für die IT-Sicherheit. Die unterschiedlichen Anforderungen werden hierbei mittels der Modalverben „muss“, „sollte“ und „kann“ verschiedenen Abstufungen zugeordnet, um der jeweiligen Bedeutsamkeit und Priorität Rechnung zu tragen.

Die obligatorischen Sicherheitsvorkehrungen

  • Es muss eine verantwortliche Person für die Informationssicherheit benannt werden.
  • Es muss ein aktueller IT-Netzplan vorhanden sein, der mindestens die relevanten IT-Systeme, Netzwerke, Automatisierungsgeräte, sowie die externen Schnittstellen abstrakt dokumentiert.
  • Die relevanten IT/ICS-Assets (z. B. IT-Systeme, SCADA-Systeme, Netzwerkkomponenten etc.) müssen in einem Inventar dokumentiert sein.
  • Der Betreiber muss eine IT-Notfallstrategie erstellen, die die grundlegende Vorgehensweise und Kommunikation bei Notfällen dokumentiert.
  • Der Betreiber muss festlegen in welchem Umfang Überprüfungen im laufenden Betrieb zur Verifikation der Integrität von Daten und Systemen sowie zur Wirksamkeit von Maßnahmen erforderlich sind.

Teil III: Vertiefende Informationen

Der letzte Teil des BWE-Leitfadens enthält Anhänge mit vertiefenden Informationen zu den jeweiligen Themen. So werden in Anhang A die relevanten gesetzlichen Regelungen mit Bezug zur Informationssicherheit vorgestellt (Aktiengesetz und Gesetz betreffend die Gesellschaften mit beschränkter Haftung, BSI-Gesetz/BSI-Kritisverordnung, Energiewirtschaftsgesetz, Produktionssicherheitsgesetz). In Anhang B wird auf Normen, Standards und Regelwerke eingegangen (ISO/IEC 27000 Familie, IT-Grundschutz, IEC 62443 Familie, ISO/IEC 6150, BSI ICS Security Kompendium, IEC 61400-25) Stufenmodell zur Vorgehensweise

Im dritten Anhang beschreibt der BWE-Leitfaden „Informationssicherheit Wind“ ein vierstufiges Modell, angefangen bei

  • der Basisabsicherung (die in der „Orientierungshilfe Informations-sicherheit Wind“ beschriebenen Mindestanforderungen), über
  • ein IT-Sicherheitskonzept, bis hin zur Einführung eines
  • Informationssicherheitsmanagementsystems (ISMS) und dessen Zertifizierung, um den verschiedenen Bedürfnissen in Bezug auf die Informationssicherheit gerecht zu werden. 

Die Stufen sind aufeinander aufbauend, ermöglichen den Einstieg an be-liebiger Stelle und bieten die Möglichkeit zur Weiterentwicklung auf die nächsthöheren Stufen.

Dieser Artikel nimmt Bezug auf die „Orientierungshilfe Informationssicherheit Wind“ – für vollumfängliche Informationen raten wir Ihnen den Download der originalen Richtlinie. Diese steht neben vielen anderen nützlichen Informationen für BWE-Mitglieder kostenlos im Mitgliederbereich zur Verfügung.

Das könnte Sie auch interessieren: