Sicherheit Und Datenschutz Im Smart Grid
Total Page:16
File Type:pdf, Size:1020Kb
Sicherheit und Datenschutz im Smart Grid Bachelor-Thesis im Studiengang Medieninformatik vorgelegt von Kristian Antic Matrikelnummer: 20177 am 8. März 2012 an der Hochschule der Medien Stuttgart Erstprüfer: Prof. Dr. Joachim Charzinski Zweitprüfer: Christoph Lindenmüller Bearbeitungszeitraum: 08. Dezember 2011 bis 8. März 2012 Erklärung Hiermit erkläre ich, dass ich die vorliegende Arbeit selbständig angefertigt habe. Es wurden nur die in der Arbeit ausdrücklich benannten Quellen und Hilfsmittel benutzt. Wörtlich oder sinngemäß übernommenes Gedankengut habe ich (mit Ausnahme dieser Erklärung) als solches kenntlich gemacht.1 Ort, Datum Unterschrift 1Riekert: Eine Dokumentvorlage für Diplomarbeiten und andere wissenschaftliche Arbeiten (2002), [83], S. 42. Kurzfassung Der vermehrte Einsatz von erneuerbaren Energien, welche nicht ständig verfügbar und nur begrenzt speicherbar sind, erschweren die Steuerung der Stromnetze. Zur Anpassung der Energieerzeugung an den tatsächlichen Bedarf werden Smart Grids („intelligente Stromnetze“) aufgebaut, die eine Steuerung des Energieverbrauchs in Abhängigkeit von der Verfügbarkeit ermöglichen. Die bereits vorhandenen Stromnetzte werden hierzu um Kommunikationsnetze erweitert. Smart Meter („intelligente Stromzähler“) die beim Verbraucher eingesetzt werden, senden über die Kommunikationsnetze Messdaten zyklisch an die jeweiligen Stromnetzbetreiber. In Zukunft soll auch eine Steuerung von Haushaltsgeräten möglich werden. Daraus ergeben sich neue Herausforderungen in Bezug auf Sicherheit und Datenschutz. Die hier vorliegende Arbeit bietet eine kurze Einführung in die Grundlagen zum Thema Smart Grid. Es wird eine Referenzarchitektur definiert und die einzelnen Bestandteile des Smart Grids werden vorgestellt. Eine Auseinandersetzung mit den rechtlichen und regulatorischen Rahmenbedingungen sowie ein Überblick über den Stand der Entwicklungen intelligenter Stromnetze, insbesondere der Verbreitung von Smart Metern, vervollständigt die Grundlagen. Zusätzlich werden wesentliche Aspekte von Sicherheit und Datenschutz angesprochen. Darauf aufbauend wird die Sicherheit in Smart Grids untersucht. Hierzu werden die Ursachen für Bedrohungen im Rahmen einer Bedrohungsanalyse anhand eines Szenarios analysiert. Abgeleitet von den Ergebnissen der Bedrohungsanalyse werden Risiken innerhalb einer Risikoanalyse evaluiert und Maßnahmen empfohlen, um die festgestellten Risiken zu bewältigen. Stichwörter: Smart Grid, Sicherheit, Datenschutz, Risikoanalyse Abstract The increased use of renewable energy sources, which are not constantly available and only limited storable complicate the management of power grids. Smart Grids allowing control of energy consumption depending on availability will be built up in order to adapt energy generation on the actual demand of energy. For this purpose existing power grids are extended by communications networks. Smart meters located at the customer are used to send data periodically to the respective power company via communication networks. For the future there are also plans to control household appliances. This results in new challenges in terms of security and privacy. The following thesis provides a brief introduction to the basics of smart grids. A reference architecture will be defined and individual components of the Smart Grid are presented. A discussion of the legal and regulatory framework as well as an overview about the the current state of development with already installed smart meters completes the Smart Grid basics. In addition, key aspects of security and privacy are addressed. On this basis the security of smart grids is investigated. For this purpose the causes of threats will be analyzed in a threat analysis based on a scenario. Derived from the findings of the threat analysis, risks are evaluated within a risk analysis. Finally measures are recommended to address the identified risks. Keywords: Smart Grid, security, privacy, risk analysis Inhaltsverzeichnis Abkürzungsverzeichnis vii Abbildungsverzeichnisx Tabellenverzeichnis xi 1 Einleitung1 2 Grundlagen3 2.1 Elektrizitätsversorgung..............................3 2.1.1 Heutige Elektrizitätsversorgung......................3 2.1.2 Zukünftige Elektrizitätsversorgung....................4 2.1.3 Rollen in der Elektrizitätswirtschaft....................5 2.2 Smart Grid.....................................6 2.2.1 Referenzarchitektur............................6 2.2.2 Industrielle Steuerungssysteme und Feldgeräte..............9 2.3 Smart Metering.................................. 10 2.3.1 Smart Meter................................ 10 2.3.2 Smart Meter Gateway........................... 11 2.3.3 Online-Dienste............................... 12 2.4 Rechtliche und regulatorische Rahmenbedingungen............... 12 2.4.1 International................................ 12 2.4.2 National.................................. 13 2.4.3 Standards und Normen.......................... 15 2.5 Realisierungsstand................................. 16 2.5.1 International................................ 17 2.5.2 National.................................. 19 3 Sicherheit und Datenschutz 20 3.1 Sicherheitsarten.................................. 20 3.1.1 Informationssicherheit........................... 21 3.1.2 Datenschutz................................ 21 3.2 Schutzziele..................................... 23 3.3 Schutzmaßnahmen................................. 24 3.4 Bewertungskriterien von Sicherheit........................ 25 3.4.1 Common Criteria............................. 25 3.4.2 Schutzprofil................................ 25 3.5 Risiko....................................... 27 3.6 Risikoentstehungsfaktoren............................. 30 3.6.1 Schwachstelle und Verwundbarkeit.................... 30 3.6.2 Bedrohung................................. 30 3.6.3 Angriff................................... 31 3.6.4 Angreifer.................................. 32 4 Angriffe und Bedrohungsszenarien 34 4.1 Mögliche Angreifer................................ 34 4.2 Mögliche Angriffsziele und Bedrohungen..................... 34 4.2.1 Szenario.................................. 36 4.2.2 Bedrohungsanalyse............................ 37 4.2.3 Risikoanalyse............................... 45 4.2.4 Maßnahmen................................ 62 4.3 Überprüfung der Angriffsziele und Bedrohungen................. 69 4.3.1 Bedrohungsanalyse............................ 69 4.3.2 Risikoanalyse............................... 73 4.3.3 Maßnahmen................................ 91 5 Zusammenfassung und Ausblick 94 Anhang 95 A Smart Grid Referenzarchitektur 95 A.1 Entities & Networks................................ 95 A.2 Reference Points.................................. 97 B Angriffe und Bedrohungsszenarien 99 B.1 Bedrohungsbäume................................. 99 B.2 Bedrohungsanalyse................................ 106 C Ausdruck von Quellen 119 Quellenverzeichnis 120 Danksagungen 137 Abkürzungsverzeichnis Abkürzungsverzeichnis Abb. Abbildung AES Advanced Encryption Standard AG Aktiengesellschaft ALARP As Low As Reasonably Practicable AMI Advanced Metering Infrastructure Anm. Anmerkung ARP Address Resolution Protocol BDSG Bundesdatenschutzgesetz BfDI Bundesbeauftragter für den Datenschutz und die Informationsfreiheit BMU Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit BMWi Bundesministerium für Wirtschaft und Technologie BNetzA Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen BPL Broadband over power line BSI Bundesamt für Sicherheit in der Informationstechnik CC Common Criteria CEN Europäisches Komitee für Normung CENELEC Europäisches Komitee für elektrotechnische Normung CLS Controllable Local Systems CVE Common Vulnerabilities and Exposures DCS distributed control system, dt. verteiltes Prozessleitsystem DIN Deutsches Institut für Normung DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik DMS Distribution Management System, dt. Verteilungsmangementsystem DNP3 Distributed Network Protocol DNS Domain Name System DoS Denial-of-Service DSL Digital Subscriber Line dt. Deutsch EAL Evaluation Assurance Level, dt. Evaluierungsstufen EEG Gesetz für den Vorrang Erneuerbarer Energien (Erneuerbare-Energien- Gesetz) EEX European Energy Exchange EMS Energiemanagementsystem EN Europäische Norm engl. Englisch EnWG Gesetz über die Elektrizitäts- und Gasversorgung (Energiewirtschaftsge- setz) vii Abkürzungsverzeichnis ETSI European Telecommunications Standards Institute EU Europäische Union EVG Evaluierungsgegenstand EVU Elektrizitätsversorgungsunternehmen FAN Field Area Network FERC Federal Energy Regulatory Commission FIPS Federal Information Processing Standard Gateway PP Protection Profile for the Gateway of a Smart Metering System, dt. Schutzprofil für die Kommunikationseinheit eines intelligenten Messsys- tems für Stoff- und Energiemengen GmbH Gesellschaft mit beschränkter Haftung GPRS General Packet Radio Service HAN Home Area Network HGÜ Hochspannungs-Gleichstrom-Übertragung HMI Human Machine Interface, dt. Mensch-Maschine-Schnittstelle HTML Hypertext Markup Language HTTP Hypertext Transfer Protocol HTTPS Hypertext Transfer Protocol Secure ICS Industrial Control System, dt. Industrielles Steuerungssystem IEC International Electrotechnical Commission IED Intelligent Electronic Device IEEE Institute of Electrical and Electronics Engineers IKT Informations- und Telekommunikationstechnologie IP Internet Protocol ISO International Organization for Standardization k Kilo LMN Local Metrological Network MAC Message