Ob ein Cybersecurity-Vorfall schwerwiegend oder vernachlässigbar ist, liegt künftig stärker in der Bewertungshoheit der Bundesnetzagentur. So sieht es die Umsetzung der NIS-2-Richtlinie vor. Um diese Einordnung belastbar vornehmen zu können, braucht es eine systematische Bewertungsgrundlage. Eine derartige Methodik hat nun das Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung-Institutsteil Angewandte Systemtechnik (IOSB-AST) im Auftrag der Behörde vorgelegt.
Hintergrund ist die wachsende Relevanz von Cybersicherheit im Energiesystem. Mit der zunehmenden Digitalisierung, der steigenden Zahl vernetzter Anlagen und der stärkeren Rolle von Herstellern und Cloudanbindungen wächst die potenzielle Angriffsfläche. In der Branche wird seit längerem diskutiert, welche systemischen Risiken etwa von fernsteuerbaren Wechselrichtern oder kommunikationsfähigen Energiemanagementsystemen ausgehen können und wie sich diese begrenzen lassen.
Bislang ermöglichen Meldungen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor allem eine erste Einschätzung einzelner Vorfälle. Eine systemweite Bewertung der Auswirkungen solcher Vorfälle auf Versorgungssicherheit und Energiemärkte war dagegen kaum möglich. Hier setzt die Studie an.
Cybersicherheit für Solar- und Speichersysteme: Lernen Sie aus realen Angriffen
Möchten Sie die Cybersicherheit Ihrer Solarenergieanlagen stärken und sich besser vor neuen Bedrohungen schützen?
Nehmen Sie am 29. April am pv magazine Webinar+ teil (kostenpflichtig/ Webinar auf Englisch):
„Decoding the first massive cyberattack on Europe’s solar energy infrastructure – The Poland case and lessons learned“
Branchenexperten analysieren reale Angriffsszenarien, zeigen potenzielle Schwachstellen in Solar- und Speichersystemen auf und diskutieren konkrete Strategien zum Schutz Ihrer Anlagen.
Erfahren Sie, wie Betreiber und Projektentwickler Cyberrisiken im schnell wachsenden Solarenergiesektor frühzeitig erkennen, verhindern und darauf reagieren können.
Sie beschreibt erstmals eine strukturierte Vorgehensweise, mit der die Bundesnetzagentur Sicherheitsmeldungen ganzheitlich auswerten kann. Ausgangspunkt sind einheitliche Datenformate und Kommunikationsprozesse zwischen Netzbetreibern, Anlagenbetreibern, Herstellern und Behörden. Darauf aufbauend entwickelt die Studie eine Klassifikation von Vorfällen sowie ein dreistufiges, risikobasiertes Bewertungsmodell.
Der Ansatz reicht von der initialen Erfassung von Angriffstyp, betroffenen Akteuren und ersten Auswirkungen über eine vertiefende Voranalyse bis hin zu einer umfassenden Auswirkungsanalyse. In letzterer werden auch systemische und wirtschaftliche Effekte berücksichtigt. Ziel ist es, belastbar zu beurteilen, welche Folgen ein einzelner Vorfall für das Energiesystem insgesamt haben kann und ob er als schwerwiegend einzustufen ist.
Methodisch orientiert sich die Studie unter anderem an bestehenden europäischen Ansätzen, etwa der Cyberangriff-Klassifizierung von der europäischen Vereinigung der Stromübertragungsnetzbetreiber (ENTSO-E) und nutzt das Marktstammdatenregister als zentrale Datengrundlage.
Die Methodik soll nun von der Bundesnetzagentur implementiert und erprobt werden. Perspektivisch könnte sie auch auf nachgelagerte Ebenen übertragen werden, etwa in operative Prozesse von Netzbetreibern, um Risiken entlang der gesamten Wertschöpfungskette konsistenter zu bewerten.
Dieser Inhalt ist urheberrechtlich geschützt und darf nicht kopiert werden. Wenn Sie mit uns kooperieren und Inhalte von uns teilweise nutzen wollen, nehmen Sie bitte Kontakt auf: redaktion@pv-magazine.com.
Mit dem Absenden dieses Formulars stimmen Sie zu, dass das pv magazine Ihre Daten für die Veröffentlichung Ihres Kommentars verwendet.
Ihre persönlichen Daten werden nur zum Zwecke der Spam-Filterung an Dritte weitergegeben oder wenn dies für die technische Wartung der Website notwendig ist. Eine darüber hinausgehende Weitergabe an Dritte findet nicht statt, es sei denn, dies ist aufgrund anwendbarer Datenschutzbestimmungen gerechtfertigt oder ist die pv magazine gesetzlich dazu verpflichtet.
Sie können diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. In diesem Fall werden Ihre personenbezogenen Daten unverzüglich gelöscht. Andernfalls werden Ihre Daten gelöscht, wenn das pv magazine Ihre Anfrage bearbeitet oder der Zweck der Datenspeicherung erfüllt ist.
Weitere Informationen zum Datenschutz finden Sie in unserer Datenschutzerklärung.