Ein Ingenieur, welcher in der elektrischen Leitwarte arbeitet
khampiranon / stock.adobe.com
24.04.2025 Fachinformation

Cybersecurity für die Kommunikationsprotokolle in der Energieversorgung

Ein Blackout führt bereits nach kurzer Zeit zu Panik in der Bevölkerung, denn ohne Elektrizität ist unser alltägliches Leben nicht mehr möglich. Den Grund für einen Blackout sehen Fachleute aber weniger in der Bereitstellung von Energie als vielmehr durch Angriffe auf Energieversorger durch Hacker.

Cybersecurity spielt bei Kommunikationsprotokollen somit eine zentrale Rolle. Auf internationaler Ebene erarbeiten Fachleute deshalb spezifische Normen und Standards, die sich in der Arbeit von nationalen Gremien widerspiegelt.

Die letzte Aktualisierung dieses Artikels umfasste die Berücksichtigung der Anwendungshinweise der internationalen Arbeitsgruppe WG 15 sowie die Aktualisierung und Ergänzung der Normteile.

Um eine sichere Kommunikation in der Energieversorgung zu gewährleisten, arbeitet die Arbeitsgruppe IEC/TC 57/WG 15 an der Normenreihe IEC 62351.

National werden die Aktivitäten der WG 15 im Gemeinschaftsarbeitskreis von DKE, VDE ETG und VDE ITG in DKE/AK 952.0.15 gespiegelt.
Kontakt
Sebastian Hauschke
Zuständiges Gremium
Downloads + Links
Verwandte VDE Themen
Cybersecurity
Energieversorgung
Schutztechnik + Leittechnik in Energienetzen

Ist eine sicherere Kommunikation in der Energieversorgung notwendig?

Im Jahr 2015 wurde in Deutschland das IT-Sicherheitsgesetz verabschiedet, in dem Betreiber „Kritischer Infrastrukturen (KRITIS)“ die Aufgabe gestellt bekommen haben, die vorhandene Kommunikationsinfrastruktur vor Cyber-Angriffen zu schützen. Dies betrifft neben den eingesetzten Komponenten auch die Kommunikation. Das heißt, die entsprechenden Protokolle müssen Sicherheitsmechanismen besitzen, um die Anforderungen aus dem IT-Sicherheitsgesetz zu erfüllen.

Zu den Kritischsten Infrastrukturen gehört die Energieversorgung. Ohne Strom läuft in modernen Industrienationen nahezu gar nichts mehr. Umso attraktiver scheint diese Kritische Infrastruktur als Angriffsziel für Hacker zu sein, da weitreichende Auswirkungen und Schäden zu erwarten sind. Weiterhin stellt die Industriespionage mit entsprechender Vermarktung geheimer Informationen über Schwachstellen eine große Bedrohung im Bereich der Energieversorgung bzw. der Automatisierungsbranche dar.

Für die Energieversorgung bzw. Netzleittechnik wurden von IEC/TC 57 Kommunikationsprotokolle in den Normenreihen IEC 60870-5, IEC 60870-6, IEC 61850, IEC 61970 und IEC 61968 definiert. Die Cybersecurity dieser Kommunikationsprotokolle wird in der Normenreihe IEC 62351 beschrieben. Die IEC 62351-Reihe ist somit von zentraler Bedeutung für Digital Grids.

Entwurfskonzept eines analog-digitalen Kompasses
Sergey Tarasov / stock.adobe.com

Cybersecurity Navigator bietet Rechtsvorschriften und Standards für Kritische Infrastrukturen

Cyberangriffe stellen für unsere Gesellschaft eine der größten Bedrohungen dar. Unternehmen sowie öffentliche Einrichtungen werden jeden Tag zum Ziel von Hackern. Gefährdet sind vor allem Kritische Infrastrukturen. Der Cybersecurity Navigator unterstützt Organisationen aus den KRITIS-Sektoren mit einer Sammlung von Rechtsvorschriften und Standards – einheitlich systematisiert und aufbereitet.

Mehr erfahren

IEC 62351 definiert die Ende-zu-Ende Absicherung für KRITIS

Zusammenspiel von Cybersecurity-Standards

Zusammenspiel von Cybersecurity-Standards

| Siemens AG, 2021

Das Normenwerk der IEC 62351 liefert einen Baukasten Technischer Spezifikationen zur Absicherung der Prozessdatenkommunikation in der Energiebranche.

Für die Kommunikation zwischen der Schutz- und der Stationsleittechnik sind dies neben der IEC 60870-5-103 auch das Protokoll IEC 61850, welches außerdem für Kommunikation zwischen den Unterstationen als auch für die Kommunikation zur Netzleitstelle eingesetzt werden kann.

Eine spezifische Ausprägung des IEC-Protokolls kann darüber hinaus innerhalb einer Unterstation zur Übertragung von Goose-Nachrichten und Messwerten mittels Prozessbus eingesetzt werden, welche besondere Echtzeitanforderungen, zum Beispiel sehr niedrige Latenzen, berücksichtigt. Dieser Teil wurde inzwischen weiterentwickelt und unterstützt auch außerhalb einer Unterstation die Messwertübertragung von Phaser-Measurement-Units (PMU).

Weitere Protokolle für die kommunikationstechnische Anbindung der Stationsleittechnik an die Netzleittechnik liefern IEC 60870-5-101, IEC 60870-5-104 und IEEE 1815.

Windräder mit Motiven zum Internet der Dinge
chombosan / stock.adobe.com

Expertengremium DKE/K 952 Netzleittechnik

Den Arbeitsbereich des nationalen Expertengremiums DKE/K 952 bilden Einrichtungen und Systeme der Stationsautomatisierung und der Netzleittechnik einschließlich dezentraler Strukturen.

Die anfallenden Normungstätigkeiten in diesem Komitee werden als Grundlage für ein zukünftiges Smart Grid angesehen. Aus diesem Grund stellt die Verbreitung der IEC-Normenreihe 61850 daher ebenfalls ein Kernthema des DKE/K 952 dar.

Zum Expertengremium DKE/K 952

Mit der Einführung dezentraler Energieerzeugungseinrichtungen kommen neue Anforderungen an die Automatisierung und Prozessdatenkommunikation hinzu. Hierbei spielen spezielle Teile der Norm IEC 61850 eine besondere Rolle, welche das Datenmodell und das Übertragungsprotokoll spezifizieren. Einen weiteren und wichtigen Einsatzbereich für IEC 61850 stellt die Prozessdatenkommunikation im Kraftwerksumfeld dar.

Im Umfeld der SCADA-Kommunikation (Supervisory Control and Data Acquisition) innerhalb der Netzleitstelle sind die beiden auf dem CIM-Datenmodell basierenden Normenreihen IEC 61970 und IEC 61968 essentielle Spezifikationen für die Datenmodellierung. Die IEC 62325 spezifiziert ein Datenmodell und Übertragungsprotokoll für die Marktkommunikation mit externen Partnern.

In direktem Zusammenhang zu den oben genannten Kommunikations- und Datenmodellstandards steht die Normenreihe IEC 62351, welche Spezifikationen für folgende Themengebiete liefert:

  • Technische Vorgaben für die Implementierung einer Ende-zu-Ende-Absicherung (Integrität und ggf. Vertraulichkeit) für unterschiedliche Kommunikationsprotokolle
  • Spezifikation der Nutzung von Authentisierungsverfahren
  • Spezifikation zur Unterstützung von rollenbasierter Zugriffskontrolle
  • Vorgaben für das Management kryptographischer Schlüssel über den gesamten Lifecycle
  • Definition von Sicherheitsevents sowie Überwachungsinformationen, die z. B. im Rahmen eines Security Event Managements oder auch zur Auditierung genutzt werden können.

Die Spezifikationen von IEC 62351 berücksichtigen die spezifischen Anforderungen der Prozessdatenkommunikation in den jeweiligen Anwendungsbereichen wie beispielsweise Echtzeitanforderungen, Anforderungen an niedrige Latenzen, Datenmengen.

Die Grundlage der in den Spezifikationen beschriebenen Sicherheitsmechanismen beruhen überwiegend auf in der herkömmlichen IT etablierten Verfahren und Algorithmen zu Verschlüsselung und Authentisierung. Zum Beispiel werden in IEC 62351 Profile bekannter Sicherheitsprotokolle für die Anwendung im Bereich der Energieautomatisierung erstellt. Dies ermöglicht die Nutzung schon vorhandener Technologien und Lösungsbausteine.

Die nachfolgende Abbildung zeigt die Anwendung der IEC/TC 57-Standards auf ein Stromnetz nach IEC/TR 62351-10:2012.

Anwendung der IEC/TC 57-Standards auf ein Stromnetz

Anwendung der IEC/TC 57-Standards auf ein Stromnetz

| IEC TR 62351-10:2012

Zusammenspiel von Cybersecurity-Normen:

Anforderungen und Lösungsbausteine

Informationssicherheit betrifft den kompletten Lebenszyklus von Komponenten und Systemen – von der Entwicklung über die Nutzung bis zur Ausmusterung. Informationssicherheit wird damit auf mehreren Ebenen im Sinne eines ganzheitlichen Ansatzes realisiert. Zur Sicherheit der Prozessdatenverarbeitung im Umfeld der Energieversorgung leisten die Akteure auf unterschiedlichen Ebenen ihren Beitrag.

Zunächst einmal sind dies die Betreiber von Energienetzen, Energieerzeugungsanlagen oder Energiespeichern. Diese leisten mit der Einführung eines Informationssicherheitsmanagementsystems (ISMS) einen wesentlichen Beitrag zur kontinuierlichen Verbesserung der Informationssicherheit auf prozeduraler Ebene. Hilfreich sind hierbei unter anderem die Normen aus der ISO/IEC 270xxer Reihe. Insbesondere erwähnenswert sind hier die

  • ISO/IEC 27001, welche die Anforderungen an ein ISMS definiert;
  • ISO/IEC 27002, welche eine Guideline für die Implementierung eines ISMS an die Hand gibt sowie
  • ISO/IEC 27019, welche für die Energieversorgungsbranche Guideline der ISO/IEC 27002 branchenspezifisch präzisiert und ergänzt.

Die Integratoren von Systemen und Anlagen sowie die Hersteller von Komponenten der Energieautomatisierungssysteme (z. B. Netzleittechnik, Schutz- und Stationsleittechnik) leisten Ihren Beitrag zur Informationssicherheit auf prozeduraler Ebene, unter anderem durch die Umsetzung der Anforderungen aus IEC 62433-2-4 für die Integrations- und Wartungsprozesse sowie die Einführung sicherer Entwicklungsprozesse gemäß den Anforderungen aus IEC 62443-4-1.

Auf funktionaler Ebene können die Hersteller von Komponenten und Systemen sowie die Integratoren funktionale Anforderungen der Informationssicherheit gemäß IEC 62443-3-3 und 62443-4-2 implementieren. IEC 62443 nimmt damit eine bedeutende Rolle im Kontext von Cybersecurity ein.

Die Normenreihe IEC 62351 liefert hierzu einen Baukasten an technischen Standards, um die Anforderungen auf funktionaler Ebene umzusetzen. So werden Verfahren spezifiziert, um eine gesicherte Datenübertragung für die Kommunikation auf der Ebene der Prozessdatenverarbeitung zu implementieren.

DKE Newsletter-Seitenbild
sdx15 / stock.adobe.com

Mit unserem DKE Newsletter sind Sie immer top informiert! Monatlich ...

  • fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
  • berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
  • informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen
Ich möchte den DKE Newsletter erhalten!

Wie kann die IEC 62351 angewendet werden?

Zur Anwendung der Normreihe IEC 62351 hat der Gemeinschaftsarbeitskreis von DKE, VDE ETG und VDE ITG „Informationssicherheit in der Netz- und Stationsleittechnik“ Anwendungshinweise zusammengestellt und als VDE SPEC 90002 – Informationssicherheit in der Netz- und Stationsleittechnik V1.0 veröffentlicht.

Die VDE SPEC 90002 soll als praktischer Einstieg und Überblick zur sicheren Kommunikation in der Energieversorgung dienen. Beispielhaft wird in der VDE SPEC verdeutlicht, wie einzelne Normenteile eine sichere Fernwartung und eine sichere Systemarchitektur unterstützen.

Die IEC/TC 57/WG 15 hat die VDE SPEC 90002 als Anreiz genommen und ihrerseits drei Anwendungshinweise veröffentlicht:

  • Volume 1: General Security and Descriptions of the Parts of IEC 62351
  • Volume 2: From requirements to solutions
  • Volume 3: Application Examples of IEC 62351

Die Anwendungshinweise sind über die eigenständige Webseite der IEC/TC 57 Working Groups frei verfügbar.

Aktueller Bearbeitungsstand der einzelnen Normteile

Wichtige IEC 62351 Cybersecurity-Standards für TC57-Protokolle

IEC/TS 62351-1

  • Titel IEC: Introduction
  • Bearbeitungsstand IEC: veröffentlicht

Dieser erste Teil der Norm behandelt den Hintergrund der Sicherheit für den Betrieb von Stromversorgungssystemen sowie einführende Informationen über die Reihe der Sicherheitsstandards der IEC 62351.

IEC/TS 62351-2

  • Titel IEC: Glossary of terms
  • Bearbeitungsstand IEC: veröffentlicht, Update in Diskussion

Dieser Teil enthält die Definition von Begriffen und Akronymen, die in den Normen der IEC 62351 verwendet werden. Diese Definitionen basieren so weit wie möglich auf bestehenden Standarddefinitionen der Sicherheits- und Kommunikationsbranche, da Sicherheitsbegriffe sowohl in anderen Branchen als auch in der Stromnetzbranche weit verbreitet sind.

IEC 62351-3

  • Titel IEC: Data and Communication Security – Profiles Including TCP/IP
  • Bearbeitungsstand IEC: veröffentlicht
  • Deutscher Titel: Sicherheit von Kommunikationsnetzen und Systemen – Profile einschließlich TCP/IP
  • Deutscher Bearbeitungsstand: veröffentlicht als DIN EN IEC 62351-3 (VDE 0112-351-3)

Dieser Teil beinhaltet die Profilierung des existierenden Sicherheitsprotokolls Transport Layer Security (TLS) zum Schutz der TCP basierten Kommunikation. Dieser Teil ist seit Ed. 2 in sich geschlossen und kann in Verbindung mit anderen Teilen der IEC 62351 verwendet werden und ermöglicht somit eine Wiederverwendung bestehender Lösungen. Die Profilierung wird z.B. verwendet von:

  • IEC 60870-6 (TASE.2 / ICCP)
  • IEC 60870-5 Teil 104
  • IEEE 1815 (DNP 3) über TCP/IP
  • IEC 61850 über TCP/IP

IEC 62351-4

  • Titel IEC: Data and Communication Security – Profiles Including MMS and Similar Payloads
  • Bearbeitungsstand IEC: veröffentlicht als Edition 1.1
  • Deutscher Titel: Profile einschließlich MMS und Ableitungen
  • Deutscher Bearbeitungsstand: veröffentlicht als DIN EN IEC 62351-4 (VDE 0112-351-4)

Dieser Teil definiert den Schutz der TCP basierten IEC 61850 Kommunikation unter Nutzung der IEC 62351-3 (T-Profil) und definiert zusätzliche Sicherheitsmechanismen auf Applikationsschicht. Dabei wird das A-Profil (Nutzerauthentisierung) für klassische Kommunikation mit einer Leitstelle weitergeführt. Darüber hinaus wird einen Ende-zu-Ende Sicherheit definiert, der ohne zusätzlichen Transportschutz auskommt und damit Multi-Hop Ansätze besser unterstützt. Er wird verwendet im Zusammenhang mit:

  • IEC 60870-6 (TASE.2 / ICCP) unter Verwendung von MMS
  • IEC 61850-8-1 unter Verwendung des MMS-Profils für Datenobjekte
  • IEC 61850-8-2 unter Verwendung von XML XSDs, die von MMS-Datenobjekten abgebildet werden

IEC 62351-5

  • Titel IEC: Data and Communication Security – Security for IEC 60870-5 and Derivatives
  • Bearbeitungsstand IEC: veröffentlicht
  • Deutscher Titel: IT-Sicherheit für Daten und Kommunikation
  • Deutscher Bearbeitungsstand: veröffentlicht als DIN EN IEC 62351-5 (VDE 0112-351-5)

Dieser Teil definiert Sicherheitsmechanismen zum Schutz der seriellen Kommunikation (IEC 60870-5-101) und DNP3 (IEEE 1518). Zusätzlich verwendet dieser Teil IEC 62351-3 zum Schutz der TCP-basierten IEC 60870-5-104 Kommunikation (T-Profil).

Die eigentliche Definition der Sicherheitsparameter für das TLS -Profil wird in IEC 60870-5-7 vorgenommen. Es behandelt sowohl serielle als auch vernetzte Profile, die verwendet werden von:

  • IEC 60870-5-7 (Sicherheitsdetails für IEC 60870-5-101 und 104)
  • IEEE 1815 (DNP 3)

IEC 62351-6

  • Titel IEC: Data and Communication Security – Security for IEC 61850 Peer-to-Peer Profiles
  • Bearbeitungsstand IEC: veröffentlicht
  • Deutscher Titel: Sicherheit für IEC 61850
  • Deutscher Bearbeitungsstand: veröffentlicht als DIN EN IEC 62351-6 (VDE 0112-351-6)

Dieser Teil definiert den Schutz der Echtzeitprotokolle IEC 61850 GOOSE and SV für den Einsatz in Unterstationen aber auch über Weitverkehrsnetze. Besonderheit ist die Unterstützung der Sicherheit von multicast Kommunikation (Ethernet und UDP). Daneben wird auch die Interaktion der Transport und Applikationssicherheit für IEC 62351-4 (MMS basierte Kommunikation) definiert. Dieser Teil nutzt das in IEC 62351-9 definierte gruppenbasierte Schlüsselmanagement. Dieser Teil wird verwendet im Zusammenspiel mit:

  • IEC 61850 - GOOSE und SV

IEC 62351-11

  • Titel IEC: Security for XML Files
  • Bearbeitungsstand IEC: veröffentlicht

Diese Norm definiert die Sicherheitsoptionen für den Austausch von XML-basierten Dokumenten, die für IEC 61970 sowie für einige Arten des Informationsaustauschs in IEC 61850 verwendet werden. Neben der Profilierung der XML Sicherheitsoptionen (aus W3C) wurde ein Mechanismus definiert, um die Zugriffsdefinitionen der originalen XML Daten zu transportieren und damit dem Empfänger Hinweise zur Weitergabe der Daten zu geben. Dabei wurde auf IEC 62351-8 für die Definition der zugehörigen Rollen aufgesetzt.

IEC 62351-16

Titel IEC: Profiles for Layer 2 Security, MACsec

Bearbeitungsstand IEC: wird erstellt

Dieser Teil ist in Arbeit und soll Media Access Control Security (MACsec) als Methode für die Sicherheit von OSI Layer 2 IEC 61850 Protokollen spezifizieren. Dieses Dokument ist in sich abgeschlossen und soll die bestehenden Methoden in IEC 62351-6 ergänzen. Er soll aufzeigen, wie MACsec mit Schwerpunkt auf der Interoperabilität zwischen Geräten innerhalb und außerhalb von Umspannwerken so implementiert werden kann, dass eine für eingebettete Geräte optimierte Verschlüsselung mit geringer Latenz zur Verfügung steht, um die Vertraulichkeit für GOOSE und Sampled Values der Schicht 2 zu ermöglichen.

Dieser Teil soll ein Profil für MACSEC-Sicherheit in ähnlicher Weise definieren wie IEC 62351-3 das TLS-Profil. Darüber hinaus werden verschiedene Schlüsselverwaltungsansätze (MACSEC, GDOI) berücksichtigt, um die relevanten Sicherheitsparameter bereitzustellen.

Zusätzliche IEC 62351 Cybersecurity-Standards und technische Berichte

IEC 62351-7

  • Titel IEC: Network and System Management (NSM)
  • Bearbeitungsstand IEC: veröffentlicht, aktuell überarbeitet zur Edition 2
  • Deutscher Titel: Datenobjektmodelle für Netzwerk- und Systemmanagement (NSM)
  • Deutscher Bearbeitungsstand: veröffentlicht als DIN EN 62351-7 (VDE 0112-351-7)

Netzwerk- und Systemmanagement (NSM) der Informationsinfrastruktur, das abstrakte NSM-Datenobjekte für die Betriebsumgebung des Stromnetzes definiert und widerspiegelt, welche Informationen benötigt werden, um die Informationsinfrastruktur so zuverlässig zu verwalten, wie die Stromnetzinfrastruktur verwaltet wird. Dieser Teil definiert die spezifischen Ereignisse als SNMP-MIBs und ist mit Code-Komponenten verfügbar.

IEC 62351-8

  • Titel IEC: Role-Based Access Control for Power System Management
  • Bearbeitungsstand IEC: veröffentlicht, aktuell überarbeitet zur Edition 2
  • Deutscher Titel: Rollenbasierte Zugriffskontrolle für Energiemanagementsysteme
  • Deutscher Bearbeitungsstand: veröffentlicht als DIN EN IEC 62351-8 (VDE 0112-351-8)

Der Zweck dieser Norm:

  • Einführung von "Subjekt-Rollen-Rechten" als Berechtigungskonzept (in ANSI INCITS 359-2004 als "Benutzer-Rollen-Berechtigungen" bezeichnet)
  • Förderung der rollenbasierten Zugriffskontrolle für die gesamte Pyramide im Stromnetzmanagement
  • Ermöglicht Interoperabilität in der Multi-Vendor-Umgebung der Energiewirtschaft
  • Die IEC 61850-90-19 entwickelt die RBAC-Anforderungen für die IEC 61850.

Dieser Teil definiert vier verschiedene Profile zur Übermittlung von rollenbasierten Zugriffskontrollinformation, (Public-Key Zertifikate, Attributzertifikate, JSON Web Token, RADIUS). Diese ermöglichen die Zuordnung (Rolle, aber auch Umgebung (geographisch, hierarchisch) eines autorisierten Nutzers oder einer autorisierten Applikationen. Neben den sieben fest vordefinierten Rollen wurde auch ein interoperables Austauschformat für kundenspezifische Rollen definiert, das auf XACML basiert.

IEC 62351-9

  • Titel IEC: Key Management
  • Bearbeitungsstand IEC: Aktuell überarbeitet zur Edition 2
  • Deutscher Titel: Cybersicherheit Schlüsselmanagement für Stromversorgungsanlagen
  • Deutscher Bearbeitungsstand: veröffentlicht als DIN EN 62351-9 (VDE 0112-351-9)

Dieser Teil bietet die Grundlage für die Verwaltung von Berechtigungsnachweisen und Schlüsseln, die in den Sicherheitsmechanismen der verschiedenen Teile der IEC 62351 verwendet werden. Er spezifiziert, wie digitale Zertifikate und kryptografische Schlüssel zum Schutz digitaler Daten und ihrer Kommunikation zu erzeugen, zu verteilen, zu widerrufen und zu verwalten sind.

Dieser Teil befasst sich insbesondere mit der Verwaltung von Zertifikaten und entsprechenden privaten Schlüsseln, die in fast allen Teilen der IEC 62351 verwendet werden.

Zusätzlich wird die gruppenbasierte Kommunikationssicherheit im Kontext von Multicast-Kommunikationsszenarien definiert, indem die GDOI als etablierter Standard profiliert und erweitert wird. Die Erweiterungen ermöglichen die Verwendung von GDOI auch für die Verteilung von Sicherheitsparametern für GOOSE, SV und PTP.

IEC/TR 62351-10

  • Titel IEC: Security Architecture
  • Bearbeitungsstand IEC: veröffentlicht

Dieser technische Bericht liefert Hinweise zur Definition von Sicherheitsarchitekturen für Energiesysteme (der IEC/TC57) und adressiert technische und prozedurale Anforderungen.

IEC/TR 62351-12

  • Titel IEC: Resilience and security recommendations for power systems with distributed energy resources (DER) cyber-physical systems
  • Bearbeitungsstand IEC: veröffentlicht

Dieser technische Bericht enthält Resilienz-Empfehlungen für technische/betriebliche Strategien und Cybersecurity-techniken, die auf dezentrale Energieressourcen (DER) angewendet werden. Er deckt die Resilienzanforderungen für die vielen verschiedenen Interessengruppen dieser verteilten cyber-physischen Erzeugungs- und Speichergeräte ab, mit dem Ziel, die Sicherheit, Zuverlässigkeit, Stromqualität und andere betriebliche Aspekte von Stromsystemen zu verbessern, insbesondere in solchen mit einer hohen Durchdringung von DER-Systemen.

IEC/TR 62351-13

  • Titel IEC: Guidelines on security topics to be covered in standards and specifications
  • Bearbeitungsstand IEC: veröffentlicht

Welche Sicherheitsthemen sollten in Normen und Spezifikationen abgedeckt werden. Dieser technische Bericht enthält Richtlinien, deren Zweck es ist, die Entwickler von Normen dabei zu unterstützen, Cybersecurity auf dem für ihre Norm geeigneten Niveau zu behandeln. Dieses Dokument enthält Vorschläge dazu, welche Sicherheitsthemen in Normen und Spezifikationen abgedeckt werden sollten, die in der Energiewirtschaft verwendet werden sollen, und war eine wichtige Informationsquelle für den IEC Guide 120, "Security Aspects - Guidelines for their Inclusion into Publications".

IEC 62351-14

  • Titel IEC: Cyber Security Event Logging
  • Bearbeitungsstand IEC: In Erstellung
  • Deutscher Titel: Protokollierung von IT-Sicherheitsvorfällen
  • Deutscher Bearbeitungsstand: In Erstellung

Dieser Teil der IEC 62351-Serie spezifiziert technische Details für die Implementierung von Sicherheitsprotokollen: Kommunikation, Inhalt und Semantik.

IEC 62351-15

Titel IEC: Deep Packet Inspection (DPI) of encrypted communications

Bearbeitungsstand IEC: In Erstellung

Deep Packet Inspection (DPI) umfasst eine Vielzahl von Techniken, die es autorisierten Netzwerkbesitzern ermöglichen, verschlüsselte Daten mit dem Ziel der Transparenz, Anomalie- und Eindringungserkennung für ein bestimmtes Netzwerk zu bewerten.

In der Sicherheitslandschaft entwickelt sich DPI zu einer zentralen Sicherheitskontrolle, die für die allgemeine Sichtbarkeit, das Bedrohungsmanagement und letztlich die Risikominderung eingesetzt wird. Dies ist eine Ergänzung zu anderen Arten der Netz- und Systemüberwachung, wie sie in IEC 62351-7 und IEC 62351-14 beschrieben sind.

IEC/TR 62351-90-1

  • Titel IEC: Guidelines for handling role-based access control in power systems
  • Bearbeitungsstand IEC: veröffentlicht, teilweise in die aktualisierte IEC 62351-8 übernommen

Dieser technische Bericht definiert Möglichkeiten für einen interoperablen Austausch von Rollen und Rechtedefinitionen unter Nutzung von XACML. Dies ermöglicht die Definition von neuen Rollen, z. B. durch einen Betreiber einer Anlage, von zusätzlich definierten Rollen über die existierenden Rollen aus der IEC 62351-8 hinaus. Darüber hinaus werden Hilfestellung für die Nutzung von Rollen beschrieben.

IEC/TR 62351-90-2

  • Titel IEC: Deep packet inspection of encrypted communications
  • Bearbeitungsstand IEC: veröffentlicht

Dieser technische Bericht befasst sich mit Möglichkeiten, Deep Packet Inspection (DPI) auf gesicherten Kommunikationskanälen durchzuführen. Dabei werden verschiedene technische Ansätze analysiert und verglichen.

IEC/TR 62351-90-3

  • Titel IEC: Guidelines for network and system management
  • Bearbeitungsstand IEC: veröffentlicht

Dieser technische Bericht analysiert Beispiele für den effizienten Umgang mit IT- und OT-Daten in Bezug auf deren Überwachung, Klassifizierung und Korrelationen, um daraus mögliche sicherheitsrelevanten Ereignisse frühzeitiger erkennen zu können. Dazu werden Fehlerfälle analysiert um die Auswahl an Monitoring (IEC 62351-7) und Event (IEC 62351-14) Informationen zu profilieren, die ein Erkennen des Fehlerfalls unterstützt hätten.

IEC/TR 62351-90-4

Titel IEC: Migration support to stronger cryptographic algorithms

Bearbeitungsstand IEC: In Erstellung

Dieser technische Bericht enthält Empfehlungen für die Migration zu leistungsfähigeren kryptografischen Algorithmen, z. B. zur Erfüllung künftiger Anforderungen zur Unterstützung von Post-Quantum-Kryptoalgorithmen.

IEC 62351 Konformitätstest-Spezifikationen

IEC/TS 62351-100-1

  • Titel IEC: Conformance test cases for IEC TS 62351-5 and IEC TS 60870-5-7
  • Bearbeitungsstand IEC: veröffentlicht
  • Deutscher Titel: Konformitätsprüffälle für IEC TS 62351-5 und IEC TS 60870-5-7
  • Deutscher Bearbeitungsstand: veröffentlicht als DIN IEC/TS 62351-100-1 (VDE V 0112-351-100-1)

Diese Technische Spezifikation, beschreibt Testfälle der Daten- und Kommunikationssicherheit für Fernwirkeinrichtungen, Stationsautomatisierungssysteme (SAS) und Fernwirksysteme, einschließlich der Front-End-Funktionen von SCADA, die auf IEC 62351-5 aufsetzen.

IEC/TS 62351-100-3

  • Titel IEC: Conformance test cases for the IEC 62351-3, the secure communication extension for profiles including TCP/IP
  • Bearbeitungsstand IEC: veröffentlicht

Diese Technische Spezifikation, beschreibt Testfälle der Daten- und Kommunikationssicherheit für Fernwirkeinrichtungen, Substation Automation Systems [SAS] und Fernwirksysteme, einschließlich der Front-End-Funktionen von SCADA, die auf IEC 62351-3 aufsetzen.

IEC/TS 62351-100-4

  • Titel IEC: Conformance testing for 62351-4 with IEC 61850
  • Bearbeitungsstand IEC: veröffentlicht

Diese Technische Spezifikation beschreibt Prüfverfahren für die Interoperabilitätskonformitätsprüfung der Daten- und Kommunikationssicherheit für Automatisierungs- und Schutzsysteme für Stromversorgungssysteme, die MMS, IEC 61850-8-1 (MMS), IEC 61850-8-2 (XMPP) oder ein anderes Protokoll, das IEC 62351-4:2018/AMD1:2020 implementiert, verwenden.

IEC/TS 62351-100-6

  • Titel IEC: Conformance testing for 62351-6 with IEC 61850-8-1 and 61850-9-2
  • Bearbeitungsstand IEC: veröffentlicht

Diese Technische Spezifikation, beschreibt Testfälle der Daten- und Kommunikationssicherheit für Fernwirkeinrichtungen, Substation Automation Systems [SAS] und Fernwirksysteme, die auf IEC 62351-6 aufsetzen.

Redaktioneller Hinweis

Die im Text aufgeführten Normen können Sie nach Veröffentlichung beim VDE VERLAG erwerben.

Zum VDE VERLAG

Downloads

VDE SPEC Informationssicherheit in der Netz- und Stationsleittechnik - Download

VDE SPEC 90002 V1.0 (de) Informationssicherheit in der Netz- und Stationsleittechnik

VDE
Veröffentlichungsdatum 02.06.2020
PDF: 1,4 MB

Interessiert an weiteren Inhalten zu Energy?

Fokusbild Energy

In der alltäglichen und gesellschaftlichen Diskussion ist sie ein ebenso großes Thema wie in der DKE – die Rede ist von der Energie. Unsere Normungsexperten bringen ihr Wissen aber nicht nur ein, um die Energieversorgung und -verteilung zukünftig „smart“ und dezentral zu machen, sondern leisten einen ebenso hohen Beitrag für den Betrieb elektrischer Anlagen und bei der flächendeckenden Verbreitung erneuerbarer Energien. Weitere Inhalte zu diesem Fachgebiet finden Sie im

DKE Arbeitsfeld Energy

Relevante News und Hinweise zu Normen

Folgen Sie uns
© 2025 DKE – VDE Verband der Elektrotechnik Elektronik Informationstechnik e.V.