IEC 62351, Glossar zur Energieindustrie und Energiewende

IEC 62351 ist eine internationale Normenreihe für die Absicherung von Kommunikationsprotokollen, Datenmodellen und Zugriffsmechanismen in der elektrischen Energieversorgung. Sie beschreibt Sicherheitsfunktionen für Leittechnik, Netzautomatisierung, Stationskommunikation und energiewirtschaftliche Datenaustauschformate. Gemeint sind unter anderem Authentisierung, Verschlüsselung, Integritätsschutz, Rollen- und Rechtekonzepte, Schlüsselmanagement und Sicherheitsereignisse im Betrieb technischer Kommunikationssysteme.

Die Normenreihe steht nicht für ein einzelnes Produkt und auch nicht für ein vollständiges Sicherheitsprogramm eines Netzbetreibers. Sie ergänzt fachliche Kommunikationsstandards wie IEC 61850, IEC 60870-5-104, ICCP/TASE.2 oder CIM um Sicherheitsmechanismen. Diese Standards regeln, wie Schutzgeräte, Schaltanlagen, Leitstellen, Netzführungssysteme oder Markt- und Netzmodelle miteinander Daten austauschen. IEC 62351 fragt zusätzlich, wie diese Kommunikation gegen unbefugten Zugriff, Manipulation, Mithören, Wiederholungsangriffe und falsche Identitäten abgesichert werden kann.

Die technische Bedeutung der Norm entsteht aus der Geschichte vieler Protokolle in der Energieversorgung. Zahlreiche Leittechnikprotokolle wurden für Umgebungen entwickelt, in denen physische Trennung, private Netze und organisatorisches Vertrauen als Hauptschutz galten. Ein Befehl aus der Leitstelle wurde technisch als berechtigt behandelt, weil er aus dem erwarteten Netzsegment kam. Messwerte wurden verarbeitet, weil sie im richtigen Protokollformat eintrafen. Dieses Modell passt schlechter zu heutigen Betriebsumgebungen: Umspannwerke sind stärker vernetzt, Fernwartung ist verbreiteter, digitale Schutz- und Automatisierungssysteme kommunizieren über IP-basierte Netze, und Schnittstellen zwischen Netzbetrieb, Marktprozessen, Anlagenbetreibern und Dienstleistern nehmen zu.

IEC 62351 verschiebt die Sicherheitsfrage auf die Ebene der Kommunikation selbst. Ein sicherer Kanal soll nicht allein dadurch entstehen, dass er in einem abgeschotteten Netz liegt. Die Gegenstelle muss identifizierbar sein, Nachrichten müssen unverändert ankommen, Zugriffe müssen zu einer Rolle passen, und kryptografische Schlüssel müssen über ihren Lebenszyklus verwaltet werden. Diese Funktionen klingen aus der klassischen IT vertraut, sind in der operativen Technik der Stromversorgung jedoch an andere Randbedingungen gebunden. Leittechnik arbeitet mit langen Anlagenlebensdauern, hohen Verfügbarkeitsanforderungen, klaren Schaltverantwortungen und teilweise sehr engen Zeitvorgaben.

Abgrenzung zu benachbarten Standards

IEC 62351 wird häufig mit allgemeinen Cybersicherheitsstandards verwechselt. ISO/IEC 27001 beschreibt den Aufbau eines Informationssicherheitsmanagementsystems. Dabei geht es um Prozesse, Verantwortlichkeiten, Risikobehandlung, Audits und kontinuierliche Verbesserung. IEC 62443 richtet sich auf industrielle Automatisierungssysteme und behandelt unter anderem Zonen, Kommunikationskanäle, Komponentenanforderungen und Sicherheitsstufen. IEC 62351 ist enger auf die Kommunikationswelt der Energieversorgung bezogen. Sie beschreibt, wie konkrete energietechnische Protokolle und Datenmodelle sicherer betrieben werden können.

Ebenso ist IEC 62351 nicht identisch mit IEC 61850. IEC 61850 modelliert Funktionen und Kommunikationsdienste in Umspannwerken und anderen energietechnischen Anlagen. Sie legt fest, wie ein Schutzgerät, ein Schaltfeld, ein Messwert oder ein Steuerbefehl strukturiert und übertragen werden kann. IEC 62351 ergänzt diese Kommunikation um Sicherheitsmechanismen, etwa für MMS-basierte Dienste oder bestimmte Formen der Stationskommunikation. Wer IEC 61850 einsetzt, hat damit noch keine durchgängige Umsetzung von IEC 62351 erreicht.

Auch der Begriff OT Security ist weiter gefasst. Er umfasst Netzsegmentierung, Härtung von Systemen, Patch-Management, Überwachung, Zugriffsschutz, Notfallprozesse, Lieferantenmanagement und Wiederanlaufkonzepte. IEC 62351 liefert dafür wichtige Bausteine, vor allem an Protokoll- und Datenmodellebenen. Sie ersetzt keine Sicherheitsarchitektur für Leitstellen, Umspannwerke oder Kommunikationsnetze.

Welche Sicherheitsfunktionen die Norm adressiert

Die Normenreihe besteht aus mehreren Teilen, die unterschiedliche technische Ebenen abdecken. Einige Teile behandeln Sicherheit für TCP/IP-basierte Kommunikation, etwa durch TLS. Andere beziehen sich auf MMS, IEC 60870-5-basierte Protokolle, IEC 61850-Kommunikation, Netz- und Systemmanagementdaten, rollenbasierte Zugriffskontrolle, Schlüsselmanagement oder XML-basierte Datenformate wie sie im Umfeld von CIM vorkommen. Die genaue Relevanz eines Teils hängt davon ab, welche Protokolle ein Betreiber verwendet und welche Funktionen geschützt werden müssen.

Authentisierung bedeutet in diesem Zusammenhang, dass Kommunikationspartner ihre Identität nachweisen. Ein Leitstellensystem soll erkennen können, ob es tatsächlich mit einer bestimmten Station oder einem bestimmten Gateway kommuniziert. Integritätsschutz bedeutet, dass eine Nachricht nicht unbemerkt verändert werden kann. Verschlüsselung schützt Vertraulichkeit, etwa bei Messdaten, Betriebsinformationen oder Konfigurationsdaten. Rollenbasierte Zugriffskontrolle ordnet Handlungen bestimmten Berechtigungen zu: Lesen, Schalten, Parametrieren oder Administrieren sind im Netzbetrieb nicht gleichwertig.

Diese Unterscheidung ist praktisch relevant. Ein verschlüsselter Kanal verhindert nicht automatisch einen unzulässigen Schaltbefehl, wenn die Gegenstelle zwar technisch verbunden, aber fachlich nicht berechtigt ist. Ein Rollenmodell schützt wenig, wenn Zertifikate nicht gepflegt oder private Schlüssel unsicher gespeichert werden. Ein Integritätsschutz hilft nur, wenn Systeme mit ungültigen oder abgelaufenen Nachweisen kontrolliert umgehen. Die Norm beschreibt Sicherheitsmechanismen, deren Wirkung erst im Zusammenspiel mit Betrieb, Konfiguration und Zuständigkeiten entsteht.

Bedeutung für Netzbetrieb und Versorgungssicherheit

Im Stromsystem können falsche Informationen und unberechtigte Befehle physische Folgen haben. Manipulierte Messwerte können die Netzführung irritieren. Gefälschte Statusmeldungen können ein falsches Bild über Schaltzustände erzeugen. Unbefugte Steuerbefehle können Betriebsmittel belasten, Schutzkonzepte stören oder Wiederaufbauprozesse erschweren. IEC 62351 ist deshalb nicht nur eine Frage des Datenschutzes. Sie betrifft die Zuverlässigkeit der technischen Betriebsführung.

Besonders relevant wird die Norm an Schnittstellen, an denen früher getrennte Bereiche zusammenwachsen. Dezentrale Erzeugungsanlagen, Batteriespeicher, steuerbare Verbraucher, virtuelle Kraftwerke und Netzleitsysteme erzeugen mehr Kommunikationsbeziehungen als ein Stromsystem mit wenigen großen Kraftwerken. Die Zahl der Akteure steigt, ebenso die Zahl der Übergabepunkte zwischen Anlagenbetreibern, Direktvermarktern, Verteilnetzbetreibern, Übertragungsnetzbetreibern, Dienstleistern und Herstellern. Je mehr Steuerung über Kommunikation erfolgt, desto weniger genügt ein Sicherheitsmodell, das nur den äußeren Rand des Netzes schützt.

Für Netzbetreiber hat IEC 62351 auch eine Beschaffungs- und Integrationsfunktion. Sicherheitsanforderungen müssen in Ausschreibungen, Abnahmetests und Migrationsplänen konkret beschrieben werden. Ein Gerät, das ein energietechnisches Protokoll unterstützt, unterstützt nicht automatisch die zugehörigen Sicherheitsprofile. Selbst wenn Funktionen vorhanden sind, können Implementierungsdetails die Interoperabilität beeinträchtigen. Zertifikatsformate, Rollenmodelle, unterstützte Verschlüsselungsverfahren, Protokollversionen und Protokolloptionen müssen zwischen Hersteller, Integrator und Betreiber zusammenpassen.

Typische Missverständnisse

Ein verbreitetes Missverständnis besteht darin, IEC 62351 als Schalter zu behandeln, den man in bestehenden Systemen einfach aktiviert. In gewachsenen Leittechniklandschaften stehen dem oft alte Geräte, lange Wartungszyklen, begrenzte Rechenleistung, proprietäre Implementierungen und strenge Verfügbarkeitsanforderungen entgegen. Eine Sicherheitsfunktion kann technisch sinnvoll sein und trotzdem eine Migrationsplanung benötigen, damit sie keine Betriebsrisiken erzeugt.

Ein zweites Missverständnis reduziert die Norm auf Verschlüsselung. Vertraulichkeit ist nur eine Schutzdimension. In vielen Anwendungen der Netzführung sind Authentizität und Integrität mindestens ebenso relevant. Ein Angreifer muss einen Messwert nicht lesen können, um Schaden anzurichten; es kann reichen, ihn zu verändern oder eine alte Nachricht erneut einzuspielen. Umgekehrt kann eine vollständig verschlüsselte Verbindung riskant bleiben, wenn die Rollenvergabe zu grob ist oder gemeinsame Zugangsdaten verwendet werden.

Ein drittes Missverständnis liegt in der Gleichsetzung von Normkonformität und Sicherheit. Normen schaffen gemeinsame Anforderungen und technische Anschlussfähigkeit. Sie beseitigen keine Fehlkonfiguration, keine unsicheren Betriebsprozesse und keine unklare Verantwortlichkeit. Zertifikate müssen ausgestellt, erneuert, widerrufen und geprüft werden. Rollen müssen zu realen Aufgaben passen. Ereignisse müssen ausgewertet werden. Sicherheitsfunktionen brauchen Betriebsführung, sonst bleiben sie formale Eigenschaften eines Systems.

Die Norm macht außerdem die Spannung zwischen Sicherheit und Verfügbarkeit sichtbar. In der Büro-IT kann eine fehlgeschlagene Authentisierung vor allem eine Arbeitsunterbrechung auslösen. In der Netzleittechnik kann derselbe Mechanismus bei falscher Auslegung den Zugriff auf eine Anlage im Störungsfall erschweren. Daraus folgt nicht, dass Sicherheitsprüfungen abgeschwächt werden sollten. Es folgt, dass Sperrmechanismen, Ersatzverfahren, Zeitverhalten und Notfallrollen fachlich auf die Betriebsverantwortung abgestimmt werden müssen.

IEC 62351 präzisiert einen Teil der digitalen Infrastruktur des Stromsystems: die vertrauenswürdige Kommunikation zwischen technischen und organisatorischen Akteuren. Sie erklärt nicht allein, wie ein sicherer Netzbetrieb entsteht, aber sie benennt eine Voraussetzung dafür, dass Messwerte, Steuerbefehle, Modelle und Zugriffsrechte in vernetzten Leittechniklandschaften belastbar verwendet werden können. Ihre Bedeutung liegt dort, wo Kommunikation nicht mehr als neutraler Transportweg behandelt werden kann, sondern selbst zum sicherheitsrelevanten Bestandteil des Stromsystems wird.