Pressemitteilungen Rhebo

News

Wie könnte Smart Grid Cybersicherheit unter Trump aussehen?

OT Security Made Simple begrüßt Marguerite Behringer, Director of Regulatory Policy & Industry Relations bei Landis+Gyr USA. Sie spricht über die Schwierigkeit US-weiter Cybersicherheitsgesetze, die Mühsal redundanter Vorschriften und warum die Cybersicherheit von Smart Metern mehr Rahmenwerke statt Gesetze braucht. 

 

Hören Sie uns auch auf:

 

 

Transkript

Klaus Mochalski 

Hallo und willkommen zu einer neuen Folge von OT Security Made Simple. Mein heutiger Gast ist Marguerite Behringer. Sie ist Director Regulatory Policy bei Landis+Gyr. Aber, Marguerite, warum stellst du dich nicht unseren Zuhörern vor und erklärst ein wenig, was deine Aufgabe bei Landis+Gyr ist? 

 

Marguerite Behringer 

Vielen Dank, dass ich heute hier sein darf. [Ich bin] Marguerite Behringer. Mein Titel bei Landis+Gyr ist Director of Regulatory Policy and Industry Relations. Ich konzentriere mich auf unseren nordamerikanischen Markt, arbeite aber auch mit unseren Kollegen auf der ganzen Welt zusammen, um eine breitere Strategie und ein besseres Verständnis für regulatorische Fragen zu entwickeln. Ich werde oft sagen, dass ich drei Hüte trage. Der erste ist die traditionelle Rolle in Regierungsangelegenheiten, bei der ich mit Gesetzgebern auf Bundes- und Landesebene und mit Leuten, die das Energieministerium und Ähnliches leiten, interagiere. In meinem zweiten Aufgabenbereich arbeite ich auch mit den staatlichen Regulierungsbehörden zusammen. Dabei handelt es sich um unsere Kommissionen für öffentliche Dienstleistungen, die Entscheidungen über Versorgungsunternehmen treffen, vor allem über solche, die sich im Besitz von Investoren befinden. Und schließlich arbeite ich mit unseren Wirtschaftsverbänden zusammen und stelle sicher, dass wir in die verschiedenen Aktivitäten eingebunden sind, indem ich bei Bedarf Stellungnahmen einreiche und - was am wichtigsten ist - unsere Kunden unterstütze und ihre Bedürfnisse gegenüber Wirtschaftsverbänden, Regulierungsbehörden, Gesetzgebern, Zuschussgebern und all denjenigen vertrete, die dazwischen liegen. 

 

Klaus Mochalski 

Das klingt nach viel Arbeit. Aber es ist sehr interessant. Wir wollen auf jeden Fall ein wenig auf den regulatorischen Teil eingehen. Wir planen, uns mit den Vorschriften zur Cybersicherheit auf dem US-Markt zu befassen. Aber bevor wir uns damit befassen, könntest du unseren Zuhörern sagen, wie du den Status quo der Cybersicherheit auf dem US-amerikanischen IoT-Markt siehst, insbesondere in Bezug auf intelligente Zähler und smarte Zählerinfrastrukturen? 

 

Marguerite Behringer 

Ganz genau. Nun, zuallererst ist es erwähnenswert, dass es im Hinblick auf intelligente Zähler tatsächlich nur begrenzte Cybersicherheitsvorschriften gibt, die derzeit auf [US-] Bundesebene umgesetzt werden, da sich die meisten Bundesvorschriften auf das Stromversorgungsnetz oder das, was als kritische Infrastruktur bekannt ist, konzentrieren. Wir alle wissen, dass das Verteilnetz eine kritische Komponente ist. Hier liefern wir die Elektrizität bis an Ihre Haustür. Wir betreiben Ihre Kühlschränke, Ihre medizinischen Geräte. Intelligente Zähler helfen uns zu verstehen, wie die Energie genutzt wird, wo es zu Ausfällen kommt und wie wir Analysen, KI und andere Kontrollsysteme nutzen können, um tatsächlich an der Verteilung, dem Management, der Nachfragereduzierung und ähnlichen Programmen zu arbeiten. 

Die meisten der Bundesprogramme, die im Zusammenhang mit der Cybersicherheit stehen, werden also eine Stufe über den intelligenten Zählern liegen. Da das Verteilnetz von staatlichen Stellen reguliert wird, gibt es individuelle Anforderungen, die von Bundesstaat zu Bundesstaat und von Versorgungsunternehmen zu Versorgungsunternehmen variieren. 

Einige dieser Anforderungen ändern sich allerdings gerade. Vor allem, weil die Bundesregierung im Rahmen des Inflation Reduction Act, des Infrastructure Investment and Jobs Act und vor allem des Chips and Science Act erhebliche Mittel in die Cybersicherheitsforschung investiert hat. Und alle diese Programme haben wirklich eine Menge Geld in verschiedene F&E-Programme fließen lassen. Wir sehen also eine verstärkte Aufmerksamkeit für das Verteilnetz. Wir sehen Leute wie die National Regulators Association und auch das Department of Energy Cybersecurity Office. Wir versuchen, Regeln und Grundlagen für die Cybersicherheit des Verteilnetzes zu definieren. Wir haben auch einige anhängige Gesetze gesehen, die darauf abzielen, einige dieser Punkte zu harmonisieren und anzugehen. 

Was den Status quo betrifft, möchte ich noch anmerken, dass die Vorschriften und Meldepflichten im Bereich der Cybersicherheit in den USA notorisch redundant und verwirrend sind. Dies wurde in diesem Jahr durch eine Studie der Government Accountability Association belegt, die sich mit der Harmonisierung der Cybersicherheit befasste. Dabei wurde festgestellt, dass vier verschiedene Bundesbehörden Anforderungen an die Bundesstaaten in Bezug auf die Datensicherheit aufgestellt haben, aber 50 bis 80 % dieser Anforderungen sind redundant. Die Bundesregierung ist also sehr daran interessiert, dass diese Vorschriften etwas klarer und präziser werden. Aber es bleibt abzuwarten, was mit der Trump-Präsidentschaft passiert und wie die Cybersicherheit behandelt wird. 

 

Klaus Mochalski 

Ja, das wäre natürlich meine nächste Folgefrage gewesen, wie wird die neue US-Regierung unter Trump mit diesem Thema umgehen? Ich verstehe natürlich, dass du davon ausgehst, dass die Regulierung klarer wird, vielleicht weniger redundant. Aber das könnte sich auch ganz anders entwickeln, denn wir wissen ja, dass die Regierung plant, den Einfluss der Bundesbehörden zu verringern. Die Frage ist, wie sich das auf die Cybersicherheit auswirken würde. Könnte es sogar eine positive Auswirkung bedeuten? 

 

Marguerite Behringer 

Ja, absolut. Ich sehe vor allem zwei Möglichkeiten mit der Trump-Regierung. Die erste ist, dass Trump sehr deutlich gemacht hat, dass er an einer Deregulierung interessiert ist. Er ist daran interessiert, die Befugnisse der Umweltschutzbehörde zu beschneiden. Er ist daran interessiert, die Befugnisse des Obersten Gerichtshofs zu erweitern und einige der Vorschriften des Energieministeriums rückgängig zu machen. Und er hat auch damit geprahlt, dass er plant, alle Mittel im Zusammenhang mit dem Inflation Reduction Act zu streichen. Und das wird sich vor allem auf Steuergutschriften für saubere Energie, Zuschussprogramme für Programme zur Kohlenstoffreduzierung, Elektrofahrzeuge und andere ähnliche Dinge auswirken. 

Einerseits könnten also einige der Gelder, die für Forschung und Entwicklung und sogar für die Ausarbeitung von Vorschriften für die Cybersicherheit bestimmt sind, gestrichen werden. Andererseits liegt ein Teil dieser Befugnisse tatsächlich beim Kongress. Der Kongress legt fest, wohin die Gelder fließen sollen. Er ist für die Steuer- und Haushaltsreform zuständig, so dass es in seinen Händen liegt, zu entscheiden, wohin diese Mittel fließen. 

Und nicht weniger als das: Cybersicherheit ist ein überparteiliches Thema. Im Amt von Trump gab es eine Durchführungsverordnung zu KI. Bei der Cybersicherheit hat sich einiges getan, und Trump vertritt eine sehr isolationistische und sozialistische Sichtweise. Wir wollen Amerika an die erste Stelle setzen und einige unserer Verbindungen zur Außenwelt oder, wie ich vermute, unsere Zuverlässigkeit und Abhängigkeit von anderen Ländern aufheben. Das könnte also bedeuten, dass wir nicht nur mehr in die Verteidigung, sondern auch in die Cybersicherheit investieren werden. Das Amt für Cybersicherheit, Energiesicherheit und Notfallmaßnahmen (Office of Cyber Security, Energy Security and Emergency Response, CESER) ist eine vom DOE (Department of Energy) finanzierte Behörde. Es könnte sein, dass sich die Art und Weise, wie die Zentren von CESER arbeiten und worauf sie sich konzentrieren, etwas ändert. Dennoch glaube ich, dass es sich um ein parteiübergreifendes Thema handelt, und ich sehe keine größeren Kürzungen kommen. Aber ich sehe, dass Veränderungen unvermeidlich sind. 

 

Klaus Mochalski 

Die politische Diskussion hier in Europa ist, würde ich sagen, dass sie im Grunde eine Antwort auf die Veränderungen geben muss, die jeder mit der Präsidentschaft erwartet. Dass Europa mehr Verantwortung übernehmen muss. Dass es sich nicht zu sehr auf die Hilfe der USA in verschiedenen Bereichen verlassen muss, z. B. bei militärischen Konflikten und anderen Dingen. Das könnte also auch gut für unsere eigene Verantwortung sein. Könnte auf dem US-Markt etwas Ähnliches passieren, wenn die Bundesstaaten mehr Verantwortung übernehmen, weil die Gesetzgebung auf Bundesebene verzögert wird oder gar nicht kommt? 

 

Marguerite Behringer 

Ich denke, das ist genau richtig. Ja. Unter einer Präsidentschaft Trumps werden wir definitiv eine Hinwendung zu den Rechten der Bundesstaaten, zur Autonomie und Verantwortung der Bundesstaaten erleben. Das hat definitiv viele Vorteile, oder? Denn jeder Staat ist anders. In meiner alten Tätigkeit als Beraterin haben wir immer gesagt, dass jeder Staat eine eigene Schneeflocke ist. Es gibt unterschiedliche Vorschriften, unterschiedliche Landschaften, unterschiedliche Wetterbedingungen, Fragen der Zuverlässigkeit, aber auch wirtschaftliche Fragen. Wir werden also auf jeden Fall eine Hinwendung zu den Rechten der Bundesstaaten erleben und eine Hinwendung zu dem Versuch, sicherzustellen, dass wir nicht von anderen Ländern abhängig sind. Ein besonderes Augenmerk liegt dabei auf den Verbindungen zu China. Präsident Trump hat gesagt, dass er daran interessiert ist, einen Zoll von 60 % auf alle aus China importierten Waren zu erheben. Und jeder, der sich mit intelligenten Stromnetzen befasst, weiß, dass diese oft über Computerchips und Computerplatinen mit Strom versorgt werden, die entweder aus China, Taiwan oder Vietnam stammen. Daher ist es wahrscheinlich, dass unsere gesamte Lieferkette davon betroffen sein wird. Nicht zuletzt werden wir auch sehen, dass alle Länder anfangen, sich mehr auf einige ihrer Cybersicherheitsansätze zu konzentrieren. 

Und ich bin froh, dass du die Reaktion Europas erwähnt hast, denn einiges von dem, worüber wir heute sprechen, hat mit dem Cyber Resilience Act der Europäischen Union zu tun, der sich insbesondere mit der mangelnden Cybersicherheit von IoT-Produkten für Verbraucher befasst und das Fehlen von Updates oder Patches zur Behebung von Schwachstellen thematisiert. Und dieses Gesetz sieht im Gegensatz zu dem Programm in den Vereinigten Staaten Geldbußen und Strafen für Verstöße vor. Das ist also etwas, das sich in der Europäischen Union selbst definitiv ändern wird. Wir können davon ausgehen, dass die einzelnen Länder ihre eigenen Ansätze haben werden, nicht wahr?  

 

Klaus Mochalski 

Das stimmt. Okay, ich denke, wir sind uns einig, dass die nächsten Monate politisch sehr interessant sein werden, und wir müssen dranbleiben und sehen, was auf uns zukommt. 

Aber lass uns einen Schritt zurücktreten und ein wenig auf die Cybersicherheit oder die regulatorische Situation schauen, mit der wir auf dem US-Markt gerade konfrontiert werden. Du hast erwähnt, dass sich die Vorschriften für das Stromnetz, für die Verteilnetze, bisher mehr auf den Kern des Netzes selbst konzentriert haben, also auf Dinge wie Umspannwerke und Leitsysteme, aber nicht so sehr auf die Randgeräte wie intelligente Zähler. 

Gab es deiner Kenntnis nach irgendwelche Vorfälle, die diese Edge Devices betrafen, entweder in Smart-Meter-Infrastrukturen oder sogar in umfassenderen IoT-Systemen wie Batteriesystemen oder PV-Systemen, die wir heute als Teil des Stromnetzes in den USA finden? 

 

Marguerite Behringer 

Heute würde ich sagen, dass es bisher keine größeren, öffentlichkeitswirksamen Infiltrationen gegeben hat. Wir sind Mitglied des E-ISAC (Electricity Information Sharing and Analysis Center), einer Organisation, die Schwachstellen und Störungen im Stromnetz aufspürt und den Beteiligten darüber Bericht erstattet, um zu verstehen, woher einige dieser Störungen kommen. Natürlich ist der Informationsaustausch ein Ziel der Vereinigten Staaten, und unser allgemeiner Ansatz besteht darin, dafür zu sorgen, dass wir mehr Informationen austauschen. 

Letztes Jahr hat die Börsenaufsichtsbehörde entschieden, dass Unternehmen, die an der US-Börse gehandelt werden, im Rahmen ihrer Jahresberichte Informationen über ihre Cybersicherheitspläne sowie Informationen über erhebliche Sicherheitsverletzungen vorlegen müssen. Und erhebliche Sicherheitsverletzungen sind etwas, das umstritten ist, oder? Was macht eine Sicherheitsverletzung wirklich bedeutend? Wie viel Störung wird verursacht, und wie detailliert wollen wir vorgehen? Oder wollen wir Bürokratie einsparen, indem wir nicht extrem detailliert werden? 

Ich denke also, dass die tatsächliche... Letzte Woche wurde ich sogar von einem Commissioner gefragt: Was ist das wahre Risiko von IoT-Geräten und WiFi-Geräten? Und gibt es tatsächlich Beispiele dafür? Und ich sagte zu ihm: Nun, das Problem ist, dass viele dieser verbraucherbasierten Geräte schwache Passwörter haben. Sie verfügen nicht über ein genaues Cybersicherheitsprotokoll, das sie befolgen müssen. Daher ist es für Hacker einfacher, über Verbrauchergeräte in das Stromnetz einzudringen. 

Das ist der Grund, warum Unternehmen wie Landis+Gyr über Cybersicherheit am Netzrand nachdenken. Aus diesem Grund arbeiten, wie ich bereits erwähnt habe, die National Association of Regulatory Utility Commissioners, NARUC, und das CESER Office an einem Grundlagenbericht zur Cybersicherheit für das Verteilnetz. Darüber hinaus werden von der Bundesregierung zweistellige Millionenbeträge für andere Programme zur Erforschung der Cybersicherheit für saubere und verteilte Energie bereitgestellt. All dies zusammen soll sicherstellen, dass wir dem Ganzen einen Schritt voraus sind, denn wir wissen, dass die Risiken weiter zunehmen, vor allem, da Quantencomputer und künstliche Intelligenz ebenfalls Fortschritte machen. 

Mir sind heute keine konkreten Verstöße bekannt. Aber es ist möglich, dass es einige gibt, die nicht gemeldet werden mussten, weil sie nicht so reguliert sind wie das Hauptstromnetz, wenn das Sinn macht. 

 

Klaus Mochalski 

Ja, absolut. Und das ist ähnlich wie die Situation hier in Europa. In den letzten Jahren gab es nur sehr wenige öffentliche oder veröffentlichte Vorfälle. Erstaunlich wenige. Die Frage ist immer, und ich hatte viele Diskussionen auch mit Gästen in diesem Podcast, warum ist das so? Weil wir aus unseren eigenen Sicherheitsbewertungen wissen und verstehen, dass es viele ausnutzbare Schwachstellen in Systemen verschiedener Art gibt. Und es wäre nicht sehr schwierig, diese Infrastrukturen anzugreifen. Aber wir sehen nicht, dass dies geschieht. 

Ich möchte hier keine Spekulationen anstellen, aber es gab einige Episoden, und ich lade die Zuhörer ein, ein wenig tiefer in der Geschichte dieses Podcasts zu graben, wo wir einige interessante Diskussionen hatten. 

Aber kommen wir zurück zur Sicherheit von IoT-Systemen. Du hast das Problem mit den Verbrauchergeräten erwähnt, und ich stimme dir vollkommen zu. Das ist ein ziemliches Durcheinander, weil es bei diesen Geräten kommerzielle Einschränkungen gibt. 

Aber wenn wir uns speziell mit intelligenten Zählern befassen - schließlich arbeitest du bei Landis+Gyr, und Landis+Gyr baut intelligente Zähler - was hältst du von einer Verbesserung oder Erhöhung der Anforderungen an die Gerätezertifizierung? Europa, insbesondere Deutschland, hat sich immer sehr für die Zertifizierung von Geräten und intelligenten Zählern eingesetzt. Das hat den Markt für intelligente Zähler hier in Deutschland über viele, viele Jahre hinweg wirklich behindert. Anders als in anderen europäischen Ländern, wo wir in den letzten 10 Jahren die Einführung von intelligenten Zählern erlebt haben, und einige befinden sich derzeit im zweiten Einführungszyklus. Und in Deutschland kämpfen wir immer noch mit dem ersten Rollout. Die Situation in den USA ist etwas anders. Ist die Gerätezertifizierung also etwas Gutes oder etwas Schlechtes, oder liegt sie irgendwo dazwischen? 

 

Marguerite Behringer 

Wenn es um die Kennzeichnung und Zertifizierung geht, gibt es in der Branche viele verschiedene Ansichten darüber, wie dies am besten zu bewerkstelligen ist. Ich habe viele Leute sagen hören, dass die Verwendung von Standards für unsere Versorgungspartner sogar schädlich sein kann, weil jedes Versorgungsunternehmen anders ist. Sie leben in unterschiedlichen Staaten, haben unterschiedliche Umgebungen, unterschiedliche Vorschriften. Deshalb haben wir einen kleinen Vorstoß in Richtung Frameworks erlebt. Was ist empfehlenswert? Was ist die Grundlage, die Sie brauchen? Und wie können wir sicherstellen, dass wir uns auf die absolut notwendigen Teile konzentrieren und diejenigen, die weniger wichtig sind, für später aufheben? 

Eine der Maßnahmen, die die Bundesregierung unter der Regierung Biden im Juli 2023 ergriffen hat, ist die freiwillige Initiative „U.S. Cyber Trust Mark“. Sie wurde vom Weißen Haus angekündigt und soll den Amerikanern helfen, sicherzustellen, dass sie mit dem Internet verbundene Geräte kaufen, die einen starken Schutz vor Cyberangriffen bieten. Im Rahmen dieses Programms werden IoT-Geräte als solche definiert, die über ein mit dem Internet verbundenes Gerät verfügen, das in der Lage ist, absichtlich HF- Strahlung auszusenden, und das mindestens einen Messwertgeber, d. h. einen Sensor oder Aktuator, für die direkte Interaktion mit der physischen Welt besitzt, gekoppelt mit mindestens einer Netzwerkschnittstelle, also WiFi oder Bluetooth, die mit der digitalen Welt interagiert. Hier geht es also vor allem um Fitness-Tracker, Babyphone, intelligente Kühlschränke und viele dieser Geräte, die bisher als schwächere Cyber-Sicherheitsverbindungen galten. Und hier geht es zunächst vor allem um drahtlose IoT-Produkte für Verbraucher, nicht um industrielle oder medizinische Geräte. 

Und das ist ein wichtiger Unterschied, denn als dies bekannt wurde - wir haben es sehr genau verfolgt -, wurde in der gleichen Ankündigung auch das Energieministerium als Initiative genannt, um mit den National Labs an der Entwicklung einer Kennzeichnungspflicht für intelligente Zähler und Wechselrichter zu arbeiten. Und das wäre natürlich für uns bei Landis+Gyr als führendem Anbieter von intelligenten Zählern und Edge-Intelligenz im Netz sehr interessant. 

Aber ich habe den Markt sehr genau beobachtet, und während ich gesehen habe, dass Millionen und Abermillionen von Dollar in die Cybersicherheit sauberer Energien sowie in Forschung und Entwicklung investiert wurden, haben wir noch nichts gesehen, das sich speziell auf ein Zertifizierungs- und Kennzeichnungsprogramm konzentriert. Vor kurzem wurden 30 Millionen Dollar angekündigt, um die nächste Generation von Instrumenten für die Bereitstellung sauberer Energie zu untersuchen. Eines dieser Themen war die forensische Analyse von infizierten intelligenten Zählern und Sensoren. Im Oktober wurden 23 Millionen Dollar für dezentrale Energieressourcen und virtuelle Kraftwerke und sogar 250 Millionen Dollar über fünf Jahre für die Cybersicherheitsplanung ländlicher und kommunaler Versorgungsunternehmen bereitgestellt, die Schulungen, die Entwicklung von Arbeitskräften und andere Dinge umfasst. Aber wir haben noch nichts gesehen, was sich speziell mit der Schaffung dieses Kennzeichnungs- oder Zertifizierungssystems befasst. 

Stattdessen wird das U.S. Cyber Trust Mark ein ähnliches Programm wie das Energy-Star-Programm schaffen, das im Grunde besagt, dass bestimmte Geräte effizient und energieeffizient sind und gut für das Netz oder gut für die Interaktivität sind. Das U.S. Cyber Trust Mark wird eine eigene Kennzeichnung enthalten, ein kleines Schild mit einem QR-Code mit leicht verständlichen Details. Es wird eine Zusammenarbeit mit der Industrie, einschließlich des National Institute of Standards and Technology (NIST), sowie mit einigen unabhängigen Label-Administratoren und Testlabors, der Federal Communications Commission und anderen umfassen. Für den Verbrauchermarkt wird dies eine ziemlich große Sache sein, und natürlich wird es auch eine Weile dauern, bis es angenommen wird. 

Es bleibt also abzuwarten, wie sich die nächste Phase auf die intelligenten Zähler auswirkt oder sie beeinflusst. Wir stehen in Kontakt mit unseren Regierungsvertretern und setzen uns für die Einbeziehung der Interessengruppen ein. Bevor man einen Rahmen oder eine Norm schafft, sollte man mit den Leuten sprechen, die die Technologie implementieren und liefern. Wir haben also die Absicht, uns einzubringen, wenn es so weit ist. 

 

Klaus Mochalski 

Okay, das klingt sehr interessant. Aber wenn ich es richtig verstanden habe, ist die U.S. Cyber Trust Mark-Zertifizierung erstens freiwillig und zweitens nicht für die direkte Anwendung auf intelligente Zähler vorgesehen, zumindest bis jetzt. 

 

Marguerite Behringer 

Das ist wahr. Aber es wirkt sich auf viele der Technologien aus, mit denen intelligente Zähler interagieren werden, vor allem, wenn wir uns auf eine aktivere Reaktion auf die Nachfrage und eine geringere Disaggregation zuhause einstellen. Zu den Unternehmen, die vom US Cyber Trust Mark betroffen sind, gehören Google-Technologien, Qualcomm, Samsung, Cisco, Bestfy und Amazon. All diese verschiedenen Unternehmen werden also betroffen sein, und das wird mit unseren intelligenten Zählern interagieren, was den Markt hoffentlich in Richtung einer sichereren Struktur lenken wird.  

 

Klaus Mochalski 

Richtig. Verstehe. Wenn wir also intelligente Zähler aus der, sagen wir mal, Verbraucherperspektive betrachten, würdest du dir eine stärkere Regulierung von intelligenten Zählern wünschen? Wünschst du dir zum Beispiel, dass die Verordnung über das Cyber Trust Mark auch für intelligente Zähler gelten würde? Zugegeben, das ist immer eine Belastung, wie jede Regulierung immer eine Belastung für die Hersteller dieser Geräte ist. Wo ist das Gleichgewicht? Ist die Situation so, wie sie heute ist, perfekt, oder sollte es eine Form der Regulierung für diese sehr kritischen Geräte geben? 

 

Marguerite Behringer 

Nun, keine Regulierungsstruktur ist heute perfekt. Das kann ich mit Sicherheit sagen. Ich denke, die Antwort darauf ist eine Mischung aus Pragmatismus und zukunftsorientierter Inspiration, denn ich denke, dass es einen Rahmen oder eine Spezifikation für die Sicherheit von intelligenten Zählern geben muss, was sicherlich nicht schaden kann, auch wenn es kein Standard ist. 

Wir haben unsere intelligenten Zähler so konzipiert, dass unser WiFi-Port ausdrücklich von der Messtechnik getrennt ist, was bedeutet, dass man nicht durch unser Head-End-System des Zählers gehen muss, um Benutzerdaten mit anderen Systemen zu verbinden, sei es der Grüne Knopf oder eine Anwendung eines Drittanbieters oder ein Energiemanagementsystem. Und das war wirklich Absicht, denn wir wollen sicherstellen, dass wir einige Sicherheitsvorkehrungen treffen und dass die Grundfunktion des Netzes niemals durch eine Verletzung des Wi-Fi oder eine Verletzung Ihrer Bankdaten oder etwas anderes im Privatbereich beeinträchtigt wird. Ich denke, das ist eine wichtige Eigenschaft, und wir haben gesehen, dass einige Gerichtsbarkeiten bereits damit zu kämpfen haben. Insbesondere Colorado hat mit der Idee gekämpft, dass das direkte Hochladen von Daten eine wichtige Möglichkeit ist, eine wichtige Funktion sowohl für die Souveränität und Wahlfreiheit der Verbraucher als auch für die richtige Gestaltung. Aber leider ist das ein bisschen schwer zu erreichen. 

Ich denke also, dass sowohl die Verbraucher als auch die Versorgungsunternehmen ein sichereres System haben sollten. Aber da wir wissen, dass unsere Kunden sehr zögerlich sind, wenn es um mehr Regulierung, mehr Kosten usw. geht, denke ich, dass es in der Regel besser ist, die „best practices“ zu erläutern. Und auch die Leute zu informieren, Bildungsressourcen zu schaffen, um die Risiken zu verstehen, die mit der Wahl von Systemen ohne End-to-End-Cybersicherheit verbunden sind. 

Das Landis+Gyr-Portfolio berücksichtigt alles, von der Edge über das Head-End bis hin zur OT-Sicherheit. Wir halten es für sehr wichtig, ein umfassendes Cybersicherheitsökosystem zu schaffen. Ohne Regulierung müssen die Versorgungsunternehmen die Risiken selbst hinterfragen. Risiken lassen sich nur schwer quantifizieren, egal ob es sich um das Risiko eines Waldbrandes oder das Risiko der Cybersicherheit handelt. Ich bin der Meinung, dass zumindest weitere Gespräche stattfinden und Untersuchungen durchgeführt werden sollten. Aber ich glaube, dass die Schaffung von Vorschriften für das Verteilnetz von Natur aus schwierig ist, weil es eine Frage der Rechte des Staates ist, wie wir bereits besprochen haben. 

 

Klaus Mochalski 

Genau, richtig. Jetzt verstehe ich. Und wenn man nur aus der Perspektive eines Smart-Meter-Kunden denkt, also der Verteilnetzbetreiber... Wäre es nicht schön...? Ich meine, es ist auch sehr mühsam, als Anbieter dieser Geräte zu erklären, wie man als Anbieter speziell die Sicherheit implementiert, wie die von dir erwähnte Trennung der Kommunikationszonen, die Segmentierung, die sicherlich eine Best Practice ist, und es gibt noch viele weitere Best Practices, die Liste ist lang, und es kann einige Zeit dauern, das zu erklären. Wäre es aus deiner Sicht nicht schön, wenn es so etwas wie das Energy-Star-Etikett gäbe, das leicht zu lesen ist, von grün bis rot, und das sich auch auf die Cybersicherheit bezieht? Vielleicht ist es nicht so einfach, aber es könnte zumindest eine erste Orientierung bieten. 

 

Marguerite Behringer 

Ja, ich denke, du hast ein gutes Argument. Und es könnte sicherlich etwas Klarheit für den Markt schaffen und ein gewisses Vertrauen schaffen, nicht weniger als in die Art von Produkten, die ihr herstellt. Ich denke, die Schwierigkeit besteht darin, wer das reguliert, wer das beurteilt und woher das Geld für dieses Kennzeichnungssystem kommt. 

Und wie wird es dann von Staat zu Staat umgesetzt, wenn es sich um eine Bundesnorm handelt? Einige Staaten sind noch dabei, ihre eigenen Cybersicherheitsstrukturen zu entwickeln. In der Tat gibt es einige Staaten, die IoT-Gesetze haben. Kalifornien und Oregon haben sich mit dem IoT befasst und Vorschriften für Hersteller geschaffen, die angemessene Sicherheitsmerkmale und eindeutige Standardpasswörter vorsehen. Damit wurde ein Standard geschaffen, an den sich die Industrie halten kann. 

Dennoch ist es schwierig, etwas zu schaffen, das für staatliche Versorgungssysteme vorgeschrieben ist. Es wäre jedoch großartig, wenn es einen Rahmen gäbe, der wiederum eine freiwillige Möglichkeit darstellt, etwas, das ein optionales Sicherheitsgefühl und eine optionale Zertifizierung darstellen könnte. Ich denke, das könnte großartig sein. 

 

Klaus Mochalski 

Das stimmt. Wenn überhaupt, dann wissen wir, dass die derzeitige Situation, um es mal so zu sagen, ziemlich unbeständig ist, und es wird interessant sein zu sehen, welche Veränderungen wir in den nächsten Monaten erwarten können. Es wird interessant werden. 

Ich denke, wir haben aus der heutigen Diskussion auch gelernt, dass es bei der Cybersicherheit um viel mehr geht als nur um die taktische Perspektive. Aber auch die politischen Aspekte, die hier eine Rolle spielen, muss man immer im Auge behalten. Die Veränderungen, die wir derzeit in der US-Regierung erleben, haben sicherlich einen Einfluss auf diesen Bereich. 

Vielen Dank, Marguerite, für das interessante Gespräch. Und vielleicht sollten wir eine Folge machen, sobald einige der Änderungen umgesetzt wurden, um zu sehen, wohin sie führen. 

 

Marguerite Behringer 

Ich halte das für eine großartige Idee, denn wie ich vielen meiner Kollegen kürzlich bei einer Wahlkampfbesprechung sagte: Was wir haben, sind Wahlversprechen und Einschätzungen. Aber wir wissen auch, dass Präsident Trump von Natur aus ein wenig unberechenbar ist. Wir haben also definitiv eine wilde Fahrt vor uns, und es wird eine interessante Zeit werden. Ich würde mich freuen, wiederzukommen und über einige der Änderungen zu berichten, die er im Energieministerium, in der Cybersicherheit und im IoT vornimmt. Auch KI wird weiterhin ein großes Thema sein. Es gibt auch einige anhängige Gesetzesentwürfe im Kongress, die nächstes Jahr wieder auf den Tisch kommen könnten. Wir werden sehen, und ich würde mich freuen, wenn ich wieder dabei sein kann. Vielen Dank für die Einladung. 

 

Klaus Mochalski 

In Ordnung, lassen Sie uns das tun. Lass uns das genau beobachten, und danke, dass du hier bist. 

 

Marguerite Behringer 

Vielen Dank. Tschau.