Sicherer Energiehandel im Stromnetz der Zukunft

Erhöhtes Angriffspotenzial durch Smart Grids. Durch die Energiewende und die damit verbundene steigende Anzahl an privaten Energieanlagen mit gleichzeitig sinkender Anzahl von großen Kraftwerken verschiebt sich der Fokus der Netzstabilität immer mehr von der Hoch- und Mittelspannungsebene auf die Niederspannungsebene. Um die Energiebilanz jederzeit bewahren zu können, werden Systeme benötigt, die die Einspeisungen und Lasten miteinander bilanzieren und nur den Energieausgleich auf die nächsthöhere Spannungsebene übertragen. Dies erfolgt hier durch eine Peer-to-Peer Handelsplattform für Prosumer (ieee.org). Durch die hierfür notwendigen IT-Systeme und die Kommunikation zwischen den einzelnen Komponenten eröffnen sich allerdings auch zahlreiche neue Flächen für potenzielle Cyberangriffe.

Absicherung durch Security-by-Design. Da die Stromversorgung einen existenziell wichtigen Teil des Alltags darstellt, ist sie Teil der sogenannten kritischen Infrastruktur und unterliegt als solche auch besonderen Gesetzen bezüglich des Schutzes gegen Cyberangriffe. In Deutschland ist dies durch das BSI-Gesetz sowie das EnWG (bundesnetzagentur.de) geregelt, europaweit kommt noch die NIS-2 Verordnung der EU hinzu. Diese Gesetze geben zwar einen gewissen Rahmen vor und heben die Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität hervor, allerdings werden kaum konkrete Maßnahmen vorgegeben, mit denen das Stromnetz aktiv gesichert werden soll. Hierfür bietet sich der Ansatz Security-by-Design (oeffentliche-it.de) an, was bedeutet, dass für das System von Anfang an die wichtigsten, schützenswerten Elemente festgelegt und aktiv gegen Angriffe abgesichert werden.

Hierzu wurden drei Angriffe identifiziert, die das Netz besonders gefährden und überprüft, welche Schutzziele diese verletzen: 

1. die Denial-of-Service (DoS) Attacke, die darauf abzielt, Server wie z.B. die Handelsplattform durch eine erhöhte Menge an Anfragen außer Betrieb zu setzen
2. der False-Data-Injection-Angriff (FDIA), bei dem das System mit gefälschten Daten beaufschlagt wird, um damit bewusst die Netzstabilität zu gefährden
3. der Man-in-the-Middle-Angriff (MitM), bei dem Kommunikation wie zum Beispiel beim Einstellen eines Energiegebots abgefangen und entweder verändert oder unverändert wiedergegeben wird

Die DoS-Attacke (bund.de) zielt auf simple Art und Weise darauf ab, die Verfügbarkeit des Systems zu beeinträchtigen, in dem sie die zuständigen Server mit Anfragen überlastet. Um dies zu verhindern, können Intrusion Detection Systeme verwendet werden, die unberechtigte Anfragen verhindern und Nutzer sperren, die auffällig viele Anfragen stellen. Weiterhin kann ein verteiltes System, beispielsweise auf Blockchain-Basis, gewählt werden, sodass der Ausfall eines Servers nicht gleich einen Ausfall des ganzen Systems bedeutet.

Bei der FDI-Attacke wird vor allem die Integrität des Systems geschädigt, da falsche Informationen in das System eingespeist werden. Diese kann verhindert werden, indem sichergestellt wird, dass nur autorisierte Nutzerinnen und Nutzer am Energiemarkt teilnehmen können. Hierfür wurde im Rahmen des Forschungsprojekts PEAK (peak-plattform.de) ein Authentifizierungsprozess auf der Basis von Self-Sovereign Identity (SSI) entwickelt, bei dem mithilfe von verifizierbaren Zertifikaten, die über verschlüsselte Kanäle an Haushalte ausgestellt werden können, die Authentizität von Energieanlagen, Hausanschluss und Handelserlaubnis nachgewiesen werden kann. In einer Referenzimplementierung  wurde das System außerdem mit einem Handelsautorisierungsprozess auf der Basis von attributbasierter Zugriffskontrolle (ABAC) erweitert, das die Einspeisung von falschen Daten noch weiter erschwert. 

Die MitM-Attacke (europa.eu) versucht, durch das Abhören und Wiedergeben von Nachrichten die Authentizität von Nutzerinnen und Nutzern für sich selbst auszunutzen. Hierdurch werden sowohl die Vertraulichkeit als auch die Integrität des Systems angegriffen. Durch die verschlüsselten Kommunikationskanäle, über die der SSI-Authentifizierungsprozess durchgeführt wird, ist es für Angreifende jedoch nahezu unmöglich, die Kommunikation abzuhören. Bei der Autorisierung werden nur noch vereinzelte Daten der Haushalte übertragen, die nicht dazu genügen, sich als regulärer Marktteilnehmer auszugeben, da die Zertifikate zur Handelserlaubnis über einen Zero-Knowledge Proof gegenüber dem zugehörigen SSI-Verzeichnis verifiziert werden.

Sichere Autorisierung durch SSI und ABAC. Die Autorisierung eines Haushalts, der Energie auf dem P2P-Energiemarkt anbieten möchte, erfolgt bei jedem Handelsvorgang. Der Haushalt sendet ein Handelsangebot an die Peer-to-Peer-Plattform, die eine Präsentation der Handelslizenz anfordert. Diese wird noch einmal über das zugehörige Register des SSI-Dienstes überprüft. Nach erfolgreicher Verifikation werden die Informationen mit dem Handelsangebot an das ABAC-System gesendet, welches die Entscheidung basierend auf Attributen des Haushalts, der Umgebung und der angebotenen Energiemenge trifft. So kann ein detailliertes Regelwerk zur Handelsautorisierung erstellt und jederzeit überprüft werden. Diese Richtlinien stellen sicher, dass der Haushalt authentifiziert ist, die Netzbelastung Energiehandel zulässt und die Energieangebote plausibel sind. Zudem wird verhindert, dass ein Haushalt mehr als ein Angebot pro Zeitperiode abgibt. 

Durch die Verwendung des Frameworks aus SSI-Authentifizierung und ABAC-Autorisierung wird die Integrität und die Vertraulichkeit des Energiehandels geschützt, während ein Intrusion Detection System und verteilte Systeme Angriffe auf die Verfügbarkeit der Handelsplattform verhindern. 

Dieser Text wurde beigesteuert von Moritz Volkmann. Sein Beitrag zu dem Thema wurde beim 20. IT-Sicherheitskongress des Bundesamts für Sicherheit in der Informationstechnik (BSI) mit dem Best Student Award ausgezeichnet. Er studiert im hochschulübergreifenden Masterstudiengang Wirtschaftsingenieurwesen in Hamburg und ist als wissenschaftlicher Mitarbeiter am FTZ CyberSec der HAW Hamburg tätig. Der Text erschien zuerst in unserem Newsletter GI-Radar. Alle Ausgaben gibt es hier zum Nachlesen. Der komplette Kongressbeitrag von Moritz Volkmann steht online zur Verfügung (bund.de).