Der Konsultationsentwurf des IT-Sicherheitskatalogs gemäß § 11 Absatz 1b Energiewirtschaftsgesetz wurde im Januar 2018 von der Bundesnetzagentur zur Kommentierung veröffentlicht. Dieser neue Sicherheitskatalog konkretisiert das seit 25.7.2015 in Kraft getretene IT-Sicherheitsgesetz und die damit verbundenen Änderungen des Energiewirtschaftsgesetzes. Bisher waren nur Netzbetreiber von konkreten regulatorischen IT-Sicherheitsvorgaben betroffen. Im aktuellen Entwurf des IT-Sicherheitskatalogs für Energieanlagen werden nun die gesetzlichen und behördlichen Anforderungen für Betreiber von Energieanlagen nach KRITIS-Verordnung definiert. Dieser Artikel stellt die relevanten Inhalte des aktuellen Entwurfs kurz vor.
Alle grundlegenden Anlagen zur Versorgung der Gesellschaft mit Strom und Gas werden mithilfe moderner Informationstechnik überwacht und gesteuert. Große Anlagen sind von besonderer Relevanz für die Netzstabilität und Versorgungssicherheit. Deshalb wird es auch immer wichtiger, diese Energieanlagen vor Gefahren für die IT-Sicherheit zu schützen.
In den letzten Jahren sind neue gesetzliche Regelungen und Normen bezüglich der Sicherheit von Informations- und Kommunikationstechnik für Betreiber von Energieversorgungsnetzen und anderen Betreibern kritischer Infrastrukturen definiert worden. Für Netzbetreiber ergeben sich aus § 11 1a des Energiewirtschaftsgesetzes (EnWG) und dem zugehörigen IT-Sicherheitskatalog [1] (im folgenden Text als Netz-Katalog bezeichnet) konkrete Verpflichtungen zur Umsetzung von Sicherheitsmaßnahmen. Laut dem aktuellen Entwurf des IT-Sicherheitskatalogs für Energieanlagen [2] nach § 11 1b des EnWG (im folgenden Text als Anlagen-Katalog bezeichnet) unterliegen Betreiber von Energieanlagen demnächst ebenfalls ähnliche Verpflichtungen. Allgemein gilt nun, dass Betreiber von Energieanlagen, die mit dem öffentlichen Versorgungsnetz verbunden sind, Sicherheitsmaßnahmen gegen Gefährdungen für den Netzbetrieb ergreifen müssen.
Anlagentypen
Die Energieanlagen werden im Entwurf des Sicherheitskatalogs in zwei Anlagentypen gemäß der KRITIS-Verordnung [3] unterschieden: Betroffen sind zum einen Erzeugungsanlagen, also Anlagen zur Bereitstellung von elektrischer Leistung, und zum anderen Gasspeicheranlagen.
Da von EnWG § 11 1b nur kritische Infrastrukturen betroffen sind, müssen hier die Schwellenwerte der KRITIS-Verordnung beachtet werden. Bei dem festgelegten Regelschwellwert von einer halben Million versorgter Personen ergibt sich die KRITIS-Grenze bei einer installierten Netto-Nennleistung von 420 MW Leistung für elektrische Energieanlagen. Die Netto-Nennleistung ist in der Regel ein fester Parameter eines Kraftwerkes und ändert sich nur bei größeren technischen Umbauten.
Bei Gasspeichern wird der Schwellwert auf Basis der entnommenen Arbeit pro Jahr bestimmt und liegt bei 5190 GWh pro Jahr. Diese Größe ist jedoch nicht konstant in Bezug auf das physische Speichervolumen eines Gasspeichers. Sie hängt davon ab, wie viel Gas pro Jahr jeweils ein- und ausgespeichert wird, was wiederum von Marktpreisen aber auch von der Strenge des Winters abhängig sein kann. Ein Speicher, der nach einem kalten Winter die KRITIS-Schwelle überschritten hat kann im Folgejahr wieder darunterliegen. Ebenso kann ein vergleichsweise kleiner Gasspeicher unter Umständen als Kritische Infrastruktur eingestuft werden, während ein großer Speicher mit wenig entnommener Arbeit die Schwellwerte der KritisV nicht erreicht
Hinzuzufügen ist, dass im Kapitel F des Anlagen-Katalogs „Abweichende Regelungen für Anlagen nach $ 7 Absatz 1 des Atomgesetzes“ noch eine weitere Unterkategorie für Kernkraftwerke existiert, welche weitere spezielle gesetzliche Vorgaben erfüllen müssen, auf die in diesem Artikel aber nicht näher eingegangen wird.
Informationssicherheits-Managementsystem für Energieanlagen
Kernforderung des aktuellen Entwurfs des IT-Sicherheitskatalogs ist die Einführung eines Informationssicherheits-Managementsystems (ISMS) gemäß DIN ISO/IEC 27001. Des Weiteren wird gefordert, dass für die beiden Typen von Energieanlagen verschiedene Handlungsempfehlungen berücksichtigt werden müssen. Für Erzeugungsanlagen ist dies zunächst der Anhang A des VGB-Standard „IT-Sicherheit für Erzeugungsanlagen“ (VGB-S-175). Sofern die VGB-S-175 nicht ausreicht, um die Maßnahmen des Annex A der DIN ISO/IEC 27001 umzusetzen, sind ergänzend auch die Empfehlungen aus DIN ISO/IEC 27002 und DIN ISO/IEC 27019 zu berücksichtigen.
Bei der Implementierung des ISMS für Gasspeicher schreibt der Anlagen-Katalog vor, dass die Normen DIN ISO/IEC 27002 und ISO/IEC 27019 in der jeweils geltenden Fassung zu berücksichtigen sind.
Im Folgenden werden die im Anlagen-Katalog genannten Standards kurz vorgestellt.
ISO/IEC 27000
Um die Informationssicherheit innerhalb eines Unternehmens zu gewährleisten, bedarf es einer grundlegenden Managementstruktur zur Planung, Umsetzung, Überwachung und Verbesserung von Maßnahmen der Informationssicherheit. Hierzu sind in der ISO/IEC 27000 Familie verschiedene Standards vorgesehen. Die ISO/IEC 27001 ist ein internationaler Standard für Informationssicherheits-Managementsysteme und fasst diese Anforderungen branchenunabhängig zusammen. Ergänzt wird sie durch die ISO/IEC 27002, die Umsetzungsempfehlungen für die in Annex A der ISO/IEC 27001 aufgeführten Maßnahmen gibt. Weiterführende branchenspezifische Normen ergänzen diese Vorgaben um konkretisierte Umsetzungshinweise und weitere Maßnahmen. Die ISO/IEC 27019 richtet sich an Energieversorger und behandelt speziell die Anforderungen an IT-gestützte zentrale und dezentrale Systeme der Prozesssteuerung der Energieversorgung.
Im Folgenden sind beispielhaft einige der in Annex A der ISO/IEC 27001:2013 behandelten Themen aufgeführt:
• Informationssicherheitsbewusstsein, -ausbildung und -schulung,
• Inventarisierung der Werte,
• Klassifizierung von Informationen,
• Zugangssteuerungsrichtlinien,
• Informationssicherheitsrichtlinie für Lieferantenbeziehungen.
Die ISO/IEC 27019:2017 führt zusätzliche Maßnahmen in den branchenspezifischen Kapiteln auf, welche nicht im Annex A der ISO/IEC 27001 enthalten sind. Beispiele hierfür sind:
• Behandlung von Altsystemen,
• Sicherung von Technikräumen,
• Betriebseinrichtung in Bereichen anderer Energieversorger,
• Integrität und Verfügbarkeit von Safety Funktionen,
• Sicherung der Prozessdatenkommunikation,
• Logische Anbindung von externen Prozesssteuerungssystemen.
VGB-S-175
Der VGB-Standard VGB-S-175 „IT-Sicherheit für Erzeugungsanlagen“ [4] definiert organisatorische und technische Anforderungen für Erzeugungsanlagen. Der Herausgeber VGB PowerTech e.V. ist ein Interessenverband von Unternehmen der Elektrizitäts- und Wärmeversorgungsbranche und vertritt im wesentlichen Kraftwerksbetreiber.
Der Standard S-175 richtet sich an Anwender und Hersteller von Leittechniksystemen von Kraftwerken. Neben den organisatorischen Anforderungen zur Absenkung der Auswirkungen relevanter Bedrohungen für den Betrieb der Erzeugungsanlagen, werden auch technische Anforderungen und Handlungsempfehlungen definiert. Der S-175 setzt sich aus den drei Teilen Rahmendokument, Anforderungskatalog und Anhang A: Handlungsempfehlungen zusammen.
Im Rahmendokument werden der Anwendungsbereich und die angesprochene Zielgruppe sowie der Geltungsbereich des VGB-S-175 definiert. Dabei wird auch ausdrücklich auf die ISO/IEC 27019 referenziert:
Für Unternehmens- wie projektspezifische Anpassungen und Präzisierungen sollen neben dem VGB-S-175, der seinen Schwerpunkt besonders in direkt umsetzbaren Anforderungen und Handlungsempfehlungen hat, auch andere Normen, wie die ISO 27000-Reihe mit der ISO 27019 herangezogen werden, da diese die Organisation und Prozessbeschreibung als Schwerpunkt haben.
Zur Einteilung der Systeme der Prozessführung und der Büro- und Verwaltungssysteme gemäß ihrer Bedeutung für den Kraftwerksbetrieb bzw. Erzeugungsprozess wird ein Zonenmodell mit sechs Abstufungen eingeführt.
Die organisatorischen und technischen Vorgaben werden im Anforderungskatalog definiert. Anschließend werden im Anhang A: Handlungsempfehlungen Möglichkeiten aufgezeigt, wie diese Forderungen erfüllt und umgesetzt werden können. Dabei sind Beispiele als Hilfestellung aufgeführt.
Zu den Allgemeinen Anforderungen aus den Handlungsempfehlungen des VGB-S-175 gehören zum Beispiel:
• Minimal-Prinzip
• Tiefenstaffelung (Defense-In-Depth Prinzip)
• Prinzipien von Redundanz und Diversität
• Abschottung von PIT-Systemen und PIT-Netzwerke
Weitere organisatorische Anforderungen sind beispielsweise:
• Schutzbedarfsfeststellung
• Bedrohungsanalyse
• Risikoanalyse
• Sichere Entwicklung
• Notfallmanagement
Technische Anforderungen sind unter anderem:
• Netzsegmentierung
• Härtungsmaßnahmen
• Schadsoftwareschutz
• Verschlüsselung
• Patchmanagement
• Schaffung von Rückfallebenen
• Anforderungen an physische Sicherheit und die Dokumentation
IT-Sicherheitskatalog für Energieanlagen – Ziele
Laut Entwurf legt der Anlagen-Katalog konkrete Schutzziele für die betroffenen Energieanlagen fest. Neben den aus der IT-Sicherheit bekannten allgemeinen Schutzzielen Verfügbarkeit, Integrität und Vertraulichkeit werden ergänzend noch weitere branchenspezifische Schutzziele definiert. Für die Erreichung der allgemeinen Schutzziele werden keine konkreten Technologien und Maßnahmen benannt, stattdessen wird generisch die Umsetzung des anerkannten Stands der Technik gefordert.
Die besonderen Schutzziele nach Anlagentyp werden in die bereits benannten Kategorien für Stromerzeugung und Gasspeicher eingeteilt und sind wie folgt definiert:
Erzeugungsanlagen
• Bereitstellung von elektrischer Leistung entsprechend den kommunizierten Fahrplänen und vertraglichen Verpflichtungen im Rahmen der Maßnahmen gemäß § 13 EnWG.
• Bereitstellung von elektrischer Leistung entsprechend der Anforderung des Übertragungsnetzbetreibers gemäß § 13 EnWG und der Anforderung des Verteilnetzbetreibers gemäß § 13 i. V. m. § 14 EnWG.
• Bereitstellung von elektrischer Leistung zur Deckung des lebenswichtigen Bedarfs an Elektrizität entsprechend den Verfügungen des Lastverteilers gemäß § 1 Elektrizitätssicherungsverordnung i. V. m. § 1 Energiesicherungsgesetz.
• Gewährleistung der Schwarzstartfähigkeit, sofern technisch möglich und vertraglich mit dem Übertragungsnetzbetreiber vereinbart, sowie die Unterstützung des Übertragungsnetzbetreibers beim Netzwiederaufbau.
Gasspeicher
• Bereitstellung von Speicherkapazität entsprechend den kommunizierten Anweisungen des Dispatchings und Ein- und Ausspeisung von Gasmengen entsprechend den vertraglichen Verpflichtungen im Rahmen der Maßnahmen gemäß § 16 EnWG.
• Ein- und Ausspeisung von Gasmengen entsprechend den Anforderungen des Fernleitungsnetzbetreibers gemäß § 16 EnWG und den Anforderungen des Verteilernetzbetreibers gemäß § 16 i. V. m. § 16a EnWG.
• Ein- und Ausspeisung von Gasmengen zur Deckung des lebenswichtigen Bedarfs an Gas entsprechend den Verfügungen des Lastverteilers gemäß § 1 Gassicherungsverordnung i. V. m. § 1 Energiesicherungsgesetz.
Erfasste Systeme im Geltungsbereich
Gemäß dem aktuellen Entwurf des Sicherheitskatalogs umfasst sein Geltungsbereich: „Alle zentralen und dezentralen Anwendungen, Systeme und Komponenten, die für einen sicheren Anlagenbetrieb notwendig sind. Die Ermittlung der im Einzelfall betroffenen Anwendungen, Systeme und Komponenten erfolgt durch den jeweiligen Anlagenbetreiber selbst unter Beachtung der in diesem IT-Sicherheitskatalog vorgegebenen Kriterien und mit Blick auf das Ziel eines umfassenden Schutzes für den Netzbetrieb.“ [2]
Die Verantwortung für die korrekte Ermittlung der betroffenen Anwendungen, Systeme und Komponenten einer Anlage liegt somit beim Betreiber. Dies gilt auch wenn ihr Betrieb an Dritte ausgelagert wird, die die Anwendung und Umsetzung des Katalogs dann durch entsprechende Vereinbarungen gewährleisten.
Zonenmodell aus VGB-S-175
Der Entwurf des Sicherheitskatalogs legt für Energieanlagenbetreiber ein Zonenmodell fest. Die Zoneneinteilung ist angelehnt an den VGB-S-175 „IT-Sicherheit für Erzeugungsanlagen“ (siehe Abbildung-1). Sämtliche IT- und Telekommunikationssysteme der Energieanlage müssen in eine der sechs Zonen klassifiziert werden. Es wird im Katalog explizit darauf hingewiesen, dass es hierbei nur um eine Erfassung und Klassifizierung geht und nicht eine Netzwerk-technische Segmentierung gemeint ist.
Jede Zone des Zonenmodells wird dabei durch die Bedeutung der enthaltenen Systeme für den sicheren Anlagenbetrieb definiert. Die Abstufung beginnt mit Systemen der Zone 1, die zwingend für den sicheren Betrieb notwendig sind und bei denen keine Ausfalltoleranz besteht. Sie endet mit Zone 6, bei der die Systeme nur bedingt für den Anlagenbetrieb notwendig sind. Die detaillierte Auflistung aller Zonen ist der Tabelle-1 zu entnehmen. Neben den Systemen für die Prozessführung und im Leitstand sind in die Erfassung auch Büro und Verwaltungsinnformationssysteme mit einzubeziehen.
Abbildung-1: Zonenmodell Zuordnung von Anwendungen, Systemen und Komponenten aus dem Anlagen-Katalog [2]
Die Anforderungen und Unterscheidungskriterien sind dabei ziemlich vage definiert, was zu einer nicht immer nachvollziehbaren Zuordnung führen kann. Die Zuordnung der Systeme in die Zonen wirkt sich auch auf die konkrete Umsetzung des geforderten ISMS aus. Dieses muss nur die Anwendungen, Systeme und Komponenten der Zonen 1 bis 3 beinhalten. Es ist deshalb essentiell, dass der Anlagenbetreiber die Zuordnung systematisch durchführt, um ein angemessenes ISMS mit einem korrekt definierten Geltungsbereich zu implementieren.
Ordnungsgemäßer Betrieb und Risikoeinschätzung
Der Entwurf des Sicherheitskatalogs legt weiterhin fest, dass der ordnungsgemäße Betrieb der IKT-Systeme sichergestellt werden muss. Technische Störungen müssen erkannt und behoben werden. Ebenso müssen Risiken durch Angriffe auf IKT-Systeme im Rahmen des ISMS bewertet und durch geeignete Maßnahmen behandelt werden.
Weiterhin wird gefordert, dass der Anlagenbetreiber einen Prozess zur Risikoeinschätzung im Hinblick auf die Schutzziele des Katalogs festlegen muss.
Die Risikoeinschätzung erfolgt in vier definierten Schadenskategorien:
• „kritisch“ (die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen),
• „hoch“ (die Schadensauswirkungen können beträchtlich sein),
• „mäßig“ (die Schadensauswirkungen sind begrenzt und überschaubar) und
• „gering“ (die Schadensauswirkungen sind vernachlässigbar).
Wird eine Schadenskategorie als mäßig oder gering eingestuft muss dies ausführlich begründet und dokumentiert werden. Bei der Einstufung des Schadens sind mindestens die folgenden Kriterien zu berücksichtigen:
• Beeinträchtigung der Versorgungssicherheit,
• Einschränkung der Energielieferung,
• betroffener Bevölkerungsanteil,
• Gefahr für Leib und Leben,
• Datensicherheit und
• finanzielle Auswirkungen.
Für praktische Hinweise zur Durchführung von Risikoeinschätzungen wird auf die Standards ISO/IEC 27005 und ISO 31000 hingewiesen.
Risikobehandlung
Im Anlagen-Katalog wird die Umsetzung angemessener und geeigneter Maßnahmen zu Risiken für Anwendungen, Systeme und Komponenten aus den im Geltungsbereich des Katalogs festgelegten Zonen 1 bis 3 gefordert. Für Anwendungen, Systeme und Komponenten innerhalb der Zone 1 dürfen Risiken nicht im Rahmen einer Risikoeinschätzung akzeptiert werden, sondern müssen behandelt werden, damit lediglich ein gering zu bewertendes Restrisiko verbleibt.
Weiterhin wird auf die Problematik der Kommunikationsschnittstellen zwischen Systemen aus verschiedenen Zonen hingewiesen. Falls zwischen den Zonen 1 bis 3 und den Zonen 4 bis 6 ein Informationsaustausch stattfindet, müssen die drei generischen Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität stets gewährleitet bleiben. Der Schutzbedarf der ausgetauschten Informationen richtet sich dabei nach der Zone mit der höchsten Bedeutung für den Anlagenbetrieb. Auch hierbei wird wieder deutlich, wie wichtig die korrekte Zuordnung der Systeme in die einzelnen Zonen ist.
Für die Maßnahmen wird eine Umsetzung gemäß dem Stand der Technik gefordert, ohne dass dieser näher definiert wird. Soweit vom Stand der Technik abweichende Maßnahmen getroffen werden, ist konkret zu belegen, dass die jeweiligen IKT-Schutzziele dennoch erreicht werden.
Umsetzungsfristen
Den Nachweis, dass die Anforderungen aus dem IT-Sicherheitskatalog für Energieanlagen umgesetzt wurden, hat der Betreiber der Energieanlagen 1.5 Jahre nach Veröffentlichung des IT-Sicherheitskatalogs an die Bundesnetzagentur (BNetzA) durch Vorlage eines Zertifikats zu erbringen.
Beim IT-Sicherheitskatalog für Netzbetreiber betrug die Frist noch circa 2.5 Jahre.
Die Zertifizierung muss durch eine für den Anlagen-Katalog akkreditierte Zertifizierungsstelle erfolgen. Das Konformitätsbewertungsprogramm wird von BNetzA und der Deutschen Akkreditierungsstelle (DAkkS) noch erarbeitet, die Akkreditierung von Zertifizierern kann somit auch erst später erfolgen.
Ansprechpartner IT-Sicherheit
Gemäß des Sicherheitskatalogs ist die Benennung eines Ansprechpartners für IT-Sicherheit gegenüber der BNetzA verpflichtend. Da der Katalog noch nicht in der finalen Version vorliegt, steht für die Benennung des Ansprechpartners noch kein konkretes Datum fest. Hierfür ist eine Frist von zwei Monaten nach Veröffentlichung des finalen Sicherheitskatalogs vorgesehen. Für Details der Meldung von Sicherheitsvorfällen wird auf den § 11 Absatz 1c des EnWG (Meldepflicht eines Betreibers gegenüber dem BSI) hingewiesen.
Auf Nachfrage durch die Behörde soll der Ansprechpartner zu folgenden Themen unverzüglich auskunftsfähig sein:
• Umsetzungsstand der Anforderungen aus dem IT-Sicherheitskatalog,
• Aufgetretene Sicherheitsvorfälle sowie Art und Umfang eventuell hierdurch hervorgerufener Auswirkungen,
• Ursache aufgetretener Sicherheitsvorfälle sowie Maßnahmen zu deren Behebung und zukünftigen Vermeidung.
Vergleich zum Sicherheitskatalog für Netzbetreiber
Der aktuelle Entwurf des Anlagen-Katalogs entspricht in vielen Teilen dem Sicherheitskatalog für Energienetze. Der Aufbau ist grundsätzlich gleich gehalten. Es wurden anlagenspezifische Anpassungen festgelegt, neu ist der Bezug auf den VGB-Standard VGB-S-175 „IT-Sicherheit für Erzeugungsanlagen“.
Eine grundlegende Neuerung ist die Einführung eines Zonenmodells für die Kategorisierung von Anwendungen, Systemen und Komponenten. Das Zonenmodel ersetzt den Netzstrukturplan für die Asset-Erfassung – das bedeutet nicht, dass ein Netzstrukturplan nicht auch für Anlagenbetreiber ein für die Informationssicherheit sinnvolles Dokument ist. Ein weiterer Unterschied im Vergleich zum Sicherheitskatalog für Energienetze ist die zusätzliche Abstufung der Schadenkategorien. Im Netz-Katalog sind die drei Abstufungen, „kritisch“, „hoch“ und „mäßig“ definiert. Im Anlagen-Katalog wird eine vierte Stufe „gering“ bei der die Schadenauswirkungen vernachlässigbar sind, eingeführt.
Auf den Grund für diese weitere Abstufung wird im Sicherheitskatalog nicht weiter eingegangen. Diese Unterschiede im für das ISMS grundlegenden Prozess der Risikoeinschätzung erschweren bei integrierten Energieversorgern die Etablierung einheitlicher Risikomanagementprozesse.
Fazit
Nach dem Abschluss der Kommentierungsphase zum 28.02.2018 sind für den finalen Katalog noch verschiedene Anpassungen zu erwarten. Die grundlegenden Anforderungen an das ISMS, den Scope, das Zonenmodell und zur Berücksichtigung des VGB-S-175 und der ISO/IEC 27019 bleiben aber mit großer Wahrscheinlichkeit bestehen. An einigen Stellen besteht noch konkreter Verbesserungsbedarf, so ist für Erzeugungsanlagen das konkrete Zusammenspiel zwischen den sektor-spezifischen Vorgaben der ISO/IEC 27019 und des Anhangs A der VGB-S-175 relativ unklar formuliert. Es ist derzeit auch offen, wie ein Anlagenbetreiber im Rahmen der Risikoanalyse Auswirkungen auf den Netzbetrieb oder die Beeinträchtigung der Versorgungssicherheit abschätzen soll, da er in der Regel nicht über die dafür notwendigen Informationen verfügt. Im Zertifizierungsprozess können solche Unklarheiten zu Problemen auf Grund möglicher unterschiedlicher Auslegungen durch Betreiber und Auditor führen, was bei zentralen ISMS-Prozessen wie dem Risikomanagement vermieden werden sollte.
Autoren: Hagen Fischer und Dr. Stephan Beirer
Referenzen
[1] Sicherheitskatalog für Energienetze (§ 11 Absatz 1a EnWG), https://www.bundesnetzagentur.de/DE/Sachgebiete/ElektrizitaetundGas/Unternehmen_Institutionen/Versorgungssicherheit/IT_Sicherheit/IT_Sicherheit_node.html [2] Konsultationsentwurf Sicherheitskatalog für Energieanlagen (§ 11 Absatz 1b EnWG), https://www.bundesnetzagentur.de/DE/Sachgebiete/ElektrizitaetundGas/Unternehmen_Institutionen/Versorgungssicherheit/IT_Sicherheit/IT_Sicherheit_node.html [3] Anhang 1, Teil 3, BSI-KRITIS-Verordnung (KritisV), https://www.gesetze-im-internet.de/bsi-kritisv/ [4] VBG Standard, VGB-S-175-00-2014-04 „IT Sicherheit für Erzeugungsanlagen“, https://www.vgb.org/shop/s-175ebook.html