Fachartikel

Die wissenschaftlichen Fachartikel des Fachjournalisten Prof. h.c. PhDr. Loubichi zum Thema IT-/OT-Sicherheit bzw. Cybersecurity finden sich unter anderem in den nachfolgenden Medien:

  • VGB PowerTech Journal
  • mt – medizintechnik
  • atw – international journal for nuclear power

Aufgrund der besonderen Qualität wurden einige Fachartikel von Prof. h.c. PhDr. Loubichi in die Bibliothek des Deutschen Bundestages aufgenommen. Sein Fachbuch zum Thema IT-/OT-Sicherheit wurde nicht nur in die Deutsche Nationalbibliothek sondern auch in die Bibliothek des Deutschen Bundestages aufgenommen.

Nachfolgend haben wir Ihnen die wichtigsten Fachartikel chronologisch aufgeführt, welche Sie auch gerne downloaden können:


  • Stellungnahme zum IT-Sicherheitsgesetz

Es ist an der Zeit, dass der Abstimmungsprozess für das IT-Sicherheitsgesetz 2.0 abgeschlossen wird. Unser Cyber-Security Experte Prof. h.c. PhDr. Stefan Loubichi hat im neuen VGB PowerTech Journal 7/2020 passend zum anstehenden 2. Cyber-Security-Tag der Energiewirtschaft eine Stellungnahme hierzu verfasst.

Im Juli 2015 wurde das (erste) IT-Sicherheitsgesetz (IT-SIG) in Kraft gesetzt. Es war ein wichtiger erster Meilenstein, […] mehr>


  • Der Testplan gemäß § 4 II g) EU-VO (2017/2196) und vorverlagerte EU-VOs aus IT-/Cyber-Security-Sicht für Energieerzeuger
    Erschienen in: VGB PowerTech Journal 3|2020

Im Mittelpunkt der EU-Verordnung 2017/1485 stehen sowohl die Betriebssicherheit als auch die Koordination der Übertragungsnetzbetreiber. Es werden als konkrete Ziele genannt:

  • Die Festlegung gemeinsamer Anforderungen und Grundsätze für die Betriebssicherheit
  • Die Gewährleistung der erforderlichen Bedingungen für die Aufrechterhaltung der Betriebssicherheit
  • Die Unterstützung der Koordination beim Netzbetrieb und bei der Betriebsplanung

In Hinblick auf den Aspekt der Betriebssicherheit werden unter anderem folgende Netzzustände differenziert:

  • Normalzustand
  • Gefährdeter Zustand
  • Notzustand
  • Blackout-Zustand

In Artikel 26 der EU-Verordnung 2917/1485 wird dabei in Sachen „Sicherheitsplan zum Schutz kritischer Infrastrukturen“ folgendes festgelegt:

  1. Jeder Übertragungsnetzbetreiber erstellt unter Berücksichtigung des Artikels 5 der Richtlinie 2008/114/EG des Rates einen vertraulichen Sicherheitsplan, in dem er die Risiken der vom jeweiligen Mitgliedsstaat bestimmten Szenarien größerer physikalischer Bedrohungen und Cyberbedrohungen für die in seinem Eigentum stehenden oder von ihm betriebenen Anlagen bewertet.
  2. Der Sicherheitsplan muss […]mehr>

  • 36C3- mehr offene Fragen als Antworten
    Erschienen in: VGB PowerTech Journal 1/2|2020

Ende 2019 wurde auf dem 36. Chaos Computer Club Kongress vom 27.-30. Dezember 2019 gezeigt, wie „einfach“ es für Profis ist, Zugang zur Leittechnik in Kraftwerken zu erhalten, wobei diese strukturellen Herausforderungen gegeben wären für:

  • Siemens
  • ABB
  • Honeywell
  • Yokagawa
  • GE

Die in Leipzig gehaltene Präsentation erfolgte durch Sicherheitsexperten einer russischen Firma und hat vielen die Augen geöffnet. Am 15. Januar 2020, d.h. ganze zwei Wochen später wurde bekannt, dass […]mehr>


  • Cybersecurity Act, IT-Sicherheitsgesetz 2.0 und die aktuellen Cybergefahren in der Energiewirtschaft
    Erschienen in:  VGB PowerTech Journal 8|2019

Laut einer aktuellen Veröffentlichung des VDE Verband der Elektrotechnik Elektronik Informationstechnik e.V. (https://www.vde.com/topics-de/cyber-security) haben VDE Mitgliedsunternehmen angegeben, dass 71 % der Unternehmen mit mehr als 5.000 Mitarbeitenden bereits Opfer von Cyber-Angriffen geworden seien. Dies sind mehr als erschreckende Zahlen. Gemäß des am 15. Juli 2019 von der European Agency for Cybersecurity (ENISA) veröffentlichten 2019er Jahresbericht „Trust Services Security Incidents 2018“ gab es 2018 18 Vorfälle, wohingegen die Anzahl der Vorfälle für das Jahr 2017 noch bei 14 lag und für das Jahr 2016 lediglich ein Vorfall zu verzeichnen war. Dies sind per se erst einmal mehr als alarmierende aktuelle Zahlen.

Womit in Zukunft zu rechnen ist, offenbaren Verlautbarungen des nationalen Cyber-Abwehrzentrums vom August 2018 […]mehr>


  • IEC 62443: IT-Sicherheit für industrielle Automatisierungssysteme – eine Einführung in die Systematik
    Erschienen in: VGB PowerTech Journal 6|2019

Wie der Bericht in der New York Times am 15. Juni 2019 bzgl. Des vermeintlichen Angriffs auf das russische Stromnetz oder der Bericht über den Ausfall des Stromnetzes in Argentinien und Uruguay am 16. Juni 2019 (betroffen waren hiervon 48 Millionen Menschen) gezeigt haben, sind wir an einem Punkt angelangt, wo IT-Sicherheit in der industriellen Automatisierung überlebensnotwendig für Nationen ist. Mit der Normreihe 62443-x-x haben wie eine sehr mächtige Normreihe, welche die klassische IT der Iso/IEC270xx überlässt und SCADA-Systeme/OT in einem neuen umfassenderen Licht betrachtet. Dieser Artikel mag die Grundlagen geschaffen haben, um zu sehen, was uns in Sachen Anforderungen an die IT-Sicherheit in der industriellen Automatisierung zeitnah erwarten wird […]mehr>


  • Prüfung nach §8a BSI-Gesetz – Pflicht für Betriebsführer der Windindustrie?!
    Erschienen in: VGB PowerTech Journal 3|2019

Wer ist überhaupt von § 8a BSI-Gesetz betroffen?

Gemäß der BSI Kritis-Verordnung sind derzeit folgende Stromerzeugungsanlagen ab einem Schwellenwert von 420 MW als kritische Infrastruktur anzusehen:

  • EnergieerzeugungsanlagenErzeugungsanlagen mit Wärmeauskopplung
  • Dezentrale Energieerzeugungsanlagen
  • Speicheranlagen
  • Anlagen oder Systeme zur Steuerung / Bündelung elektrischer Leistung

Die ersten vier Anlagenkategorien fallen unter den am 19.12.2018 veröffentlichten IT-Sicherheitskatalog nach § 11 Abs. 1b EnWG. Hiernach muss der Nachweis einer Zertifizierung gemäß des IT-Sicherheitskataloges bis zum 31.03.2021 erfolgen. Folglich fallen Anlagen oder Systeme zur Steuerung/Bündelung elektrischer Leistung unter die Prüfpflicht nach § 8a BSI-Gesetz. Nun stellen sich natürlich folgende Fragen:

  • Ist das § 8a BSI-Gesetz etwas Neues?
  • Bis wann muss denn hier etwas getan oder nachgewiesen werden?

[…]mehr>


  • Der Finale Countdown – IT-Sicherheitskatalog
    Erschienen in: VGB PowerTech Journal 1/2|2019

Mit dem im Dezember 2018 veröffentlichten IT Sicherheitskatalog hat das letzte Kapitel in Sachen Implementierung und Zertifizierung für Unternehmen der Energiewirtschaft begonnen. Die Betreiber der Energieanlagen müssen bis zum 31. März 2021 eine erfolgreiche Zertifizierung nachweisen. Dabei muss nicht nur der IT-Sicherheitskatalog nach § 11 Ib EnWG nachgewiesen werden, sondern auch die Normen ISO/IEC 27001, ISO/IEC 27002 sowie ISO/IEC 27019. Betreiber von Kernkraftwerken sind nur dann von der Zertifizierung ausgenommen, wenn sie die SEWD IT-Richtlinie (Störmaßnahmen oder sonstige Einwirkungen Dritter) erfolgreich nachweisen können. In diesem Aufsatz zeigen wir Ihnen erst einmal, wer wirklich betroffen ist. […]mehr>


  • EU-Datenschutzgrundverordnung – Was bis zum 25.5.2018 beachtet sein muss(te)
    Erschienen in: VGB PowerTech Journal 6|2018

Mit der Datenschutzgrundverordnung (DSGVO) der Europäischen Union beginnt ein neues Kapitel in der Geschichte des Datenschutzes. Zum 25. Mai 2018 werden wir in der Europäischen Union eine Harmonisierung der Datenschutzbestimmung vorfinden. Mit Geldbußen von bis zu 20 Millionen Euro und Freiheitsstrafen von bis zu 3 Jahren werden Datenschutzbestimmungen in Zukunft einen hohen Stellenwert haben.

In dem Aufsatz werden erst einmal Gegenstand und Ziele, sachliche und räumliche Anwendungsbereiche sowie die Grundsätze für die Verarbeitung personenbezogener Daten vorgestellt. […]mehr>


  • Rechtliche Aspekte in Bezug auf die IT-Sicherheit für KRITIS Energieanlagen
    Erschienen in: VGB PowerTech Journal 5|2018

Aufgrund des noch im Entwurfsstadium befindlichen IT-Sicherheitskataloges der Bundesnetzagentur müssen Energieanlagen im Sinn von Anhang 1, Teil 3 Nr. 1.1.1 Kritis-V gemäß §11 Absatz 1b EnWG auch die normativen Anforderungen der DIN EN ISO/IEC 27001 im Rahmen des Zertifizierungsverfahrens nachweisen. Im Anhang A, 18.1 „Einhaltung gesetzlicher und behördlicher Anforderungen“ ist als Ziel benannt: „Verstöße gegen gesetzliche, regulatorische, selbstauferlegte und vertragliche Verpflichtungen mit Bezug auf Informationssicherheit und gegen jegliche Sicherheitsanforderungen sind zu vermeiden.“

Bevor wir auf die speziellen Regelungen kommen sei ein kleiner Exkurs auf das Thema körperschaftliches und betriebliches Organisationsverschulden erlaubt. […]mehr>


  • Datenschutzgrundverordnung „Was Unternehmen der Energiewirtschaft ab 25.5.2018 umgesetzt haben müssen“
    Erschienen in: atw 05 2018

Mit der Datenschutzgrundverordnung (DSGVO) der Europäischen Union beginnt ein neues Kapitel in der Geschichte des Datenschutzes. Zum 25. Mai 2018 werden wir in der Europäischen Union eine Harmonisierung der Datenschutzbestimmung vorfinden. Mit Geldbußen von bis zu 20 Millionen Euro und Freiheitsstrafen von bis zu 3 Jahren werden Datenschutz-bestimmungen in Zukunft einen hohen Stellenwert haben.

In dem Aufsatz werden erst einmal Gegenstand und Ziele, sachliche und räumliche Anwendungsbereiche sowie die Grundsätze für die Verarbeitung personenbezogener Daten vorgestellt. […]mehr>


  • IT-Sicherheitskatalog nach §11 Absatz 1b EnWG – Was jetzt getan werden muss!
    Erschienen in: VGB PowerTech Journal 1/2|2018

Mit dem Entwurf des IT-Sicherheitskataloges im Januar 2018 beginnt der letzte Teil der Implementierung und Zertifizierung der Energiewirtschaft. In diesem Aufsatz erläutern wir Ihnen die daraus resultierenden Aufgaben und Fristen. Erfahren Sie was in Bezug auf Zoneneinteilung und Risikoeinschätzung/-behandlung erfolgen muss und welche Anforderungen an das Managementsystem gestellt werden. […]mehr>


  • Implementieren und Zertifizieren von IT-Sicherheitsmanagementsystemen nach ISO 27001 in der Energiewirtschaft
    Erschienen in: VGB PowerTech Journal 10|2017

Am Freitag, den 12. Mai 2017 begann die bislang weltweit größte Cyber-Attacke der Geschichte. Innerhalb von nur 3 Tagen waren bereits mindestens 220.000 Computer in 150 Ländern betroffen und jeder kennt jetzt WannaCry. Wieder einmal zahlten viele Unternehmen die Erpressungsgelder. Gott sei Dank wurde dieser Angriff jedoch „nur“ von Kriminellen ausgeführt. Je mehr diese Angriffe aber öffentlich werden, desto größer wird die Gefahr, dass diese IT-Spezialisten irgendwann nicht von Kriminellen, sondern von politisch motivierten Fanatikern engagiert werden. Da wir alle den Thriller „Black Out“ gelesen haben, wissen wir, wie Menschen auf einen länger andauernden Ausfall der Stromversorgung reagieren. Auch wenn wir (im Expertenkreis) wissen, dass die Ursachen eines Stromausfalles – wie er in Black Out beschrieben ist – so nicht auftreten können, so stellt sich natürlich die Frage, wie sicher sind wir vorbereitet gegen IT-Attacken in der Energiewirtschaft. Gott sei Dank gibt es nur zwei Dinge auf Erden, die sicher sind: der Tod und Steuerzahlungen. Und natürlich der Mythos der sicheren IT-Strukturen in der Energiewirtschaft. Aber werfen wir einmal einen Blick hinter diesen Mythos. […]mehr>


Fachvorträge von Prof. h.c. PhDr. Loubichi erfolgten in den letzten Jahren unter anderem auf:

  • KELI – Konferenz zur Elektro-, Leit- und Informationstechnik
  • VGB Kongress
  • International Security Days
  • Windenergietage

Sie möchten regelmäßig von uns über aktuelle Themen und Neuigkeiten unterrichtet werden?
Abonnieren Sie unseren kostenlosen Newsletter und bleiben Sie informiert!


Fotos © adrian_ilie825, Michael Traitov | AdobeStock