Swissgrid Powers Up Cybersecurity

Als wichtiger strategischer Marktteilnehmer im europäischen Stromversorgungsnetz muss Swissgrid die höchsten Cybersecurity-Standards erfüllen. Gemeinsam mit CSC hat Swissgrid seine Betriebsstätten bewertet und diese in einem Benchmark-Test mit den kritischen US-amerikanischen Infrastrukturschutzstandards verglichen.

"Jedes Unternehmen stellt [sich] heutzutage die gleiche Frage: 'wie sicher sind wir?'", so Rajesh Nair, Leiter Strategie und Architektur bei Swissgrid. "Das ist so, als ob man einen Menschen fragen würde, 'wie gut bist Du?'. Man kann diese Frage nicht beantworten, aber wenn man einen Benchmark-Test durchführt, weiss man, wo man steht und wie man seine Investitionen gestalten muss."

Seit mehr als 50 Jahren spielt die Schweiz eine massgebliche Rolle im europäischen Stromversorgungsnetz. Nach der Liberalisierung der Strommärkte durch die Europäische Union übernahm Swissgrid 2006 die Verantwortung für das schweizerische Stromversorgungsnetz. Bis 2013 wird Swissgrid die totale Kontrolle über das 6.700 Kilometer lange Hochspannungsnetz haben.

Swissgrid gewährleistet die Stromversorgung des Landes. Ebenso koordiniert sie die Stromverteilung und verwaltet die Nutzung des Netzes durch ausländische Energieversorgungsunternehmen, die Strom durch Europa in andere Länder transportieren.

"Die Schweiz koordiniert eine enorme Energiemenge", sagte Hank Hensel, technischer Sicherheitsexperte bei CSC. "Wenn dort die Stromversorgung zusammenbricht, könnten die Lichter in einem anderen Land ausgehen."

Schutz der Infrastrukturstabilität

Neben den allgemeinen Komplikationen der Stromversorgung im eigenen Land stellen Cyber-Angriffe eine zunehmende Herausforderung für die Netzstabilität dar.

In einer Umfrage, die das CSC-Partnerunternehmen McAfee 2011 gemeinsam mit dem Center for Strategic and International Studies (Zentrum für strategische und internationale Studien) mit 200 IT-Sicherheitsexperten bei den wichtigsten Strominfrastrukturunternehmen in 14 Ländern durchführte, meinten 40 Prozent der Befragten, dass die Sicherheitsmängel in ihrer Branche zugenommen hätten.

Mehr als 40 Prozent dieser Führungskräfte sagten, dass sie im Verlauf des nächsten Jahres einen grossen Cyber-Angriff erwarteten, der zu einem schweren Versorgungsausfall von mindestens 24 Stunden, Todesfällen oder Personenschäden und Betriebsstörungen führen wird.

Um die Stromversorgung der Schweiz auf diese Cyber-Realitäten vorzubereiten, hat Swissgrid den in den USA existierenden Critical-Infrastructure-Protection-(CIP)-Standard der North American Electric Reliability Corp. (NERC) implementiert.

"NERC-CIP, der in diesem Jahr in Version 4 freigegeben werden soll, ist der einzige vollwertige Standard für Hochspannungsübertragungen und die in kritischen Infrastrukturen eingesetzten Supervisory-Control-and-Data-Acquisition-(SCADA)-Systeme," sagte Meir Shargal, Utilities Strategy Leader bei CSC.

Aufgrund der Fachkompetenz und Expertise von CSC im Bereich NERC-CIP sowie dem Know-how zur Umsetzung des Standards bei Energieversorgungsunternehmen entschied sich Swissgrid dazu, den Benchmark gemeinsam mit CSC durchzuführen.

Die Wahl fiel auch deshalb auf CSC, weil wir in der Vergangenheit internationale Versorgungsunternehmen bei der Einhaltung der aufsichtsrechtlichen Anforderungen des U.S. Department of Energy (US-Bundesbehörde für Energieversorgung) für klassifizierte und nicht-klassifizierte Industriekontrollnetzwerke und bei der Definition und Prüfung von Cybersecurity-Infrastrukturstandards unterstützt haben.

Durchführung des Cybersecurity-Benchmarktests

CSC unterstützte mit Beratungsleistungen, Fachexperten und Fachwissen in Bezug auf US-amerikanische und internationale aufsichtsrechtliche Anforderungen, um die Swissgrid-Sicherheitsstandards, Verfahren und Prozesse mit NERC-CIP zu vergleichen. CSC-Experten bewerteten die Sicherheitsmassnahmen des Unternehmens und führten gleichzeitig mit dem Cybersecurity Evaluation Tool des U.S. Department of Homeland Security (DHS) eine Risiko- und Gap-Analyse durch.

"Wir haben auch DHS-Tools verwendet, die speziell darauf ausgelegt sind, den Stand eines Unternehmens in Bezug auf den NERC-CIP-Standard zu bestimmen", sagte Hensel. "Abschliessend haben wir Swissgrid-Vergleichsdaten geliefert, die dem Unternehmen Aufschluss darüber geben, wo es in Bezug auf den Standard steht. Zudem haben wir einen Planungsrahmen für eine zukunftssichere Cybersecurity bereitgestellt."

Heute agiert Swissgrid gemäss den Empfehlungen und Umsetzungsprozessen und -initiativen von CSC, um die Risiken, die während des Vergleichstests ermittelt worden sind, zu mindern. Gleichzeitig plant das Unternehmen eine halbjährliche NERC-CIP-Prüfung, um Verbesserungen zu verfolgen und um eine nachhaltige Sicherheit zu gewährleisten.

"Wenn künftig immer mehr Smart-Grid-Technologien und andere Geräte mit IP-Adressen ans Netz gehen, müssen die Versorgungsunternehmen diese Verbindungspunkte sicher kontrollieren", sagte Shargal. "Wenn Swissgrid das bereits jetzt berücksichtigt, muss das Unternehmen seine Sicherheitsinfrastruktur nicht neu gestalten, wenn die Anzahl der Anbindungen steigt und die Sicherheitsmängel und Risken zunehmen."