Das Monitoring und die Berechnung des Netzzustands sowie das steuernde Eingreifen bei Bedarf werden von IT-Systemen zur Netzführung, sogenannten Leitsystemen unterstützt. Traditionell beschränkte sich die Netzführung auf Spannungsebenen oder Druckstufen „oberhalb“ der Ortsnetze. Die Herausforderungen der Energiewende insbesondere im Stromnetz erfordern die Ausweitung der Netzführung auf die Niederspannungsebene. Analog zu ihren „großen Brüdern“ übernehmen „NS-Leitsysteme“ oder „Digitale Zwillinge“ die Netzführung auf der Niederspannungsebene. Warum werden neue IT-Systeme gebraucht und warum muss das Hosting dieser Systeme neu bedacht werden?
Bei der Digitalisierung der Niederspannung machen Masse und Schnittstellen den Unterschied!
Es müssen Tausende von Ortnetzen und Zehntausende von Netzanschlüssen und Energiewendeanlagen in die Betrachtung einbezogen werden. Daher bedarf es einer vollautomatischen Netzführung ohne menschliche Beteiligung und neuer IT-Technologien für Massendatenströme.
Für die Visualisierung der Netzsituation wird eine Topologie übernommen und automatisch mit den Endkunden-Daten verknüpft. Manuelle Dateneingaben sind nicht erforderlich, dafür aber Schnittstellen in die IT-Welt des Netzbetreibers.
Wesentlich sind zudem externe Schnittstellen zum Smart Grid. Während bislang eine autarke Fernwirktechnik mit eigenen Leitungen und Sicherheitsmechanismen eine Kapselung der Leitstelle und Abschottung vom Internet möglich machte, stellt nun der Messstellenbetreiber (g/wMSB) mit seinen Installationen im Feld als autarke Instanz Sensorik und Aktorik für den Digitalen Zwilling bereit. Echtzeitmessungen werden vom SMGW direkt per Internet an den Netzbetreiber übertragen. Die Steuerbefehle werden per Internet an den MSB übermittelt und durch ihn bis zur Steuerbox vor Ort geroutet.
Um die im Smart Grid benötigte Internet-Kommunikation abzusichern, wurde die sogenannte „Smart Meter Private Key Infrastruktur“ (SM-PKI) eingeführt. Durch die Nutzung einer zentralen Zertifikats-Autorität ermöglicht sie den Marktpartnern und Smart-Grid-Komponenten standardisiert und ohne persönlichen Kontakt abgesicherte, verschlüsselte und signierte Kommunikationsstrecken aufzubauen.
Die NS-Leitstelle kommt also nicht ohne SM-PKI-abgesicherte Internet-Verbindungen aus. Da Netzbetreiber ihre internen Netze aus Sicherheitsgründen strikt vom Internet isolieren, entsteht eine technologische Bruchstelle. Das Hosting-Konzept muss die Brücke zwischen internetseitiger Erreichbarkeit und dem Schutz des physischen Netzkerns schlagen.
Hosting-Architekturen im Spannungsfeld von IT, OT und KRITIS
Die Digitalisierung erzwingt das Zusammenwachsen zweier Welten mit unterschiedlichen Paradigmen: Informationstechnik (IT) und Operationale Technologie (OT).
- Die IT-Perspektive: Fokus auf Datenverarbeitung, Skalierbarkeit und Innovationsgeschwindigkeit. Der Digitale Zwilling benötigt diese IT-Eigenschaften für das Handling massiver Datenmengen (Big Data).
- Die OT-Perspektive: Umfasst die physische Steuerung des Netzbetriebs (Ortsnetzstationen, Schaltanlagen). Hier gelten kompromisslose Anforderungen an Verfügbarkeit und Integrität. Ausfälle gefährden unmittelbar die Versorgungssicherheit.
Hosting-Varianten – vom Betrieblichen Rechenzentrum bis zur Public Cloud
Das Betriebliche / Eigene Rechenzentrum (On-Premises) ist dadurch charakterisiert, dass Hardware und Betrieb vollständig in Eigenregie auf physisch dedizierten Servern verbleiben. Diese Variante bietet maximale, deterministische Performance und höchste OT-Sicherheit durch echte physische Trennung (Air-Gap). Nachteilig ist die mangelnde Elastizität bei steigendem Datenvolumen. Zudem ist die Öffnung für das öffentliche Internet technisch und organisatorisch hochkomplex.
Die Private Cloud zeichnet sich durch die Nutzung dedizierter Hardware und eine lokale Virtualisierung aus. Diese ermöglicht dynamische Ressourcenallokation im internen Betrieb im Rahmen der vorhandenen Hardware. In der Regel können Netzbetreiber eine Private Cloud nicht direkt an das Internet ankoppeln. Das Risiko von Konfigurationsfehlern oder Sicherheitslücken, die Angreifern Zugriff auf den sensiblen Netzkern erlauben, ist im KRITIS-Umfeld zu hoch.
Die Public Cloud stellt einen Hyperscaler mit gesicherten Virtual Private Network (VPN) Verbindungen dar. Sie wird auf hochverfügbaren Plattformen globaler oder europäischer Cloud-Anbieter betrieben. Sie ist unschlagbar bei Elastizität und Daten-Ingestion. Da sie nativ am Internet operiert, nimmt sie Milliarden Messwerte über IoT-Hubs problemlos auf. Die Cloud fungiert als elastischer Schutzschild, der die Internet-Last abfängt, Daten validiert und über kryptografische Tunnel kontrolliert weiterleitet.
Fazit: Was bedeutet das nun für die IT-Architektur und das Hosting des digitalen Zwillings?
Um die Hosting Optionen für den Rechenkern des Digitalen Zwillings (Datenverarbeitung, Datenzuordnung, Berechnungen und Regelungslogik) offen zu halten, sollte die zwingend notwendige Internet-Kommunikation in sogenannte „Proxys“ ausgelagert werden. Da diese hochspezialisierten Proxys u.a. die Private Keys für das Smart Grid physisch in Hardware-Security-Modulen speichern müssen, kommt für diese Komponenten praktisch nur ein Prozess-Outsourcing in eine ISMS-zertifizierte Public Cloud in Frage.
Das Hosting für den Rechenkern braucht permanente abgesicherte „Tunnel“ in die IT-Welt des Netzbetreibers und zu den Internet-Proxys. Daneben sollten noch Fragen nach Skalierbarkeit, 24/7-Monitoring und Software-Wartung betrachtet werden.
Sie möchten sich gern mit uns zu dem Thema austauschen? Wir freuen uns auf Ihre Nachricht und ein erstes, unverbindliches Gespräch!
Dr. Bärbel Wicha-Krause
Senior Manager
E-Mail
Robert Plum
Senior Solution Architect / Prokurist
E-Mail
Weiterführende Links:
Digitaler Netzanschlussprozess
