Swissgrid powers up Cybersecurity

Kunde

Als wichtiger strategischer Marktteilnehmer im europäischen Stromversorgungsnetz muss Swissgrid die höchsten Cybersecurity-Standards erfüllen. Gemeinsam mit CSC hat Swissgrid seine Betriebsstätten bewertet und dies in einem Benchmark-Test mit den kritische US-amerikanischen Infrastrukturschutzstandards verglichen.

"Jedes Unternehmen muss sich heutzutage die Frage stellen: Wie sicher sind wir eigentlich?'", so Rajesh Nair, Leiter Strategie und Architektur bei Swissgrid. "Das ist so, als ob man einen Menschen fragen würde: Wie gut bist Du?. Es gibt keine klare Antwort darauf, aber wenn man einen Benchmark-Test durchführt, weiß man, wo man steht und wie man seine Investitionen gestalten muss."

Seit mehr als 50 Jahren spielt die Schweiz eine maßgebliche Rolle im europäischen Stromversorgungsnetz. Nach der Liberalisierung der Strommärkte durch die Europäische Union übernahm Swissgrid 2006 die Verantwortung für das schweizerische Stromversorgungsnetz. Bis 2013 wird Swissgrid die vollständige Kontrolle über das 6.700 Kilometer lange Hochspannungsnetz bei Swissgrid haben.

Swissgrid gewährleistet die Stromversorgung des Landes. Ebenso koordiniert sie die Stromverteilung und verwaltet die Nutzung des Netzes durch ausländische Energieversorgungsunternehmen, die Strom durch Europa in andere Länder transportieren.

"Die Schweiz koordiniert eine enorme Energiemenge", sagte Hank Hensel, technischer Sicherheitsexperte bei CSC. "Wenn das Schweizer Netz zusammenbricht, gehen die Lichter in ganz Europa aus."

Schutz der Infrastrukturstabilität

Neben den allgemeinen Komplikationen der Stromversorgung im eigenen Land stellen Cybeattaken eine zunehmende Herausforderung an die Netzstabilität dar.

In einer Umfrage, die das CSC-Partnerunternehmen McAfee 2011 gemeinsam mit dem Center for Strategic and International Studies (Zentrum für strategische und internationale Studien) mit 200 IT-Sicherheitsexperten bei den wichtigsten Strominfrastrukturunternehmen in 14 Ländern durchführte, meinten 40 Prozent der Befragten, dass die Sicherheitsmängel in ihrer Branche zugenommen hätten.

Mehr als 40 Prozent dieser Führungskräfte sagten, dass sie im Verlauf des nächsten Jahres einen großen Cyber-Angriff erwarteten, der zu einem schweren Versorgungsausfall von mindestens 24 Stunden, Todesfällen oder Personenschäden und Betriebsstörungen führen wird.

Um die Stromversorgung der Schweiz auf diese Cyber-Realitäten vorzubereiten, hat Swissgrid den in den USA existierenden Critical Infrastructure Protection (CIP)-Standard der North American Electric Reliability Corp. (NERC) implementiert.

NERC-CIP, von dem in diesem Jahr Version 4 freigegeben werden soll, ist der einzige vollwertige Standard für Hochspannungsübertragungen und die in kritischen Infrastrukturen eingesetzten Supervisory Control and Data Acquisition (SCADA)-Systeme," sagte Meir Shargal, Utilities Strategy Leader bei CSC.

Aufgrund der Fachkompetenz und Expertise von CSC im Bereich NERC-CIP sowie dem Know-hows zur Umsetzung des Standards bei Energieversorgungsunternehmen, entschied sich Swissgrid dazu den Benchmark gemeinsam mit CSC durchzuführen.

Die Wahl fiel auch deshalb auf CSC, weil wir in der Vergangenheit internationale Versorgungsunternehmen bei der Einhaltung der aufsichtsrechtlichen Anforderungen des U.S. Department of Energy (US-Bundesbehörde für Energieversorgung) für klassifizierte und nicht-klassifizierte industrielle Steuerungsnetze und bei der Definition und Prüfung von Cybersecurity-Infrastrukturstandards unterstützt haben.

Durchführung des Cybersecurity-Benchmarktests

CSC unterstützte mit Beratungsleistungen, Fachexperten und Fachwissen in Bezug auf US-amerikanische und internationale aufsichtsrechtliche Anforderungen, um die Swissgrid Sicherheitsstandards, Verfahren und Prozesse gegen NERC-CIP zu vergleichen. CSC-Experten bewerteten die Sicherheitsmaßnahmen des Unternehmens und führten gleichzeitig mit dem Cybersecurity Evaluation Tool der U.S. Department of Homeland Security (DHS) eine Risiko- und Gap-Analyse durch.

"Wir haben auch DHS-Tools verwendet, die speziell darauf ausgelegt sind, den Stand eines Unternehmens in Bezug auf den NERC-CIP-Standard zu bestimmen", sagte Hensel. "Abschließend haben wir Swissgrid Vergleichsdaten geliefert, die dem Unternehmen Aufschluss darüber geben, wo es in Bezug auf den Standard steht. Zudem haben wir einen Planungsrahmen für eine zukunftssichere Cybersecurity bereitgestellt."

Heute agiert Swissgrid gemäß den Empfehlungen und Umsetzungsprozessen und -initiativen von CSC, um die Risiken, die während des Vergleichstests ermittelt worden sind, zu mindern. Gleichzeitig plant das Unternehmen eine halbjährliche NERC-CIP-Prüfung, um Verbesserungen zu verfolgen und um eine nachhaltige Sicherheit zu gewährleisten.

"Wenn künftig immer mehr Smart-Grid-Technologien und andere Geräte mit IP-Adressen ans Netz gehen, müssen die Versorgungsunternehmen diese Verbindungspunkte sicher kontrollieren", sagte Shargal. "Wenn Swissgrid das bereits jetzt berücksichtigt, muss das Unternehmen seine Sicherheitsinfrastruktur nicht neu gestalten, wenn die Anzahl der Anbindungen steigt und die Sicherheitsmängel und Risken zunehmen."