Sicherheitsvorfälle

Energieversorger-Netzwerke und ihre Eigenheiten

| Autor / Redakteur: Peter Schreieck* / Stephan Augsten

Betreiber kritischer Infrastrukturen müssen künftig Licht ins Dunkel bringen, wenn sie von Cyber-Kriminellen angegriffen werden.
Betreiber kritischer Infrastrukturen müssen künftig Licht ins Dunkel bringen, wenn sie von Cyber-Kriminellen angegriffen werden. (Bild: Archiv)

Das IT-Sicherheitsgesetz schreibt Energiedienstleistern vor, IT-Sicherheitsvorfälle an das BSI zu melden. Das Security Information and Event Management (SIEM) hilft, entsprechende Ereignisse aufzudecken und anschließend der Meldepflicht nachzukommen.

IP-basierte Informationstechnik hält zunehmend Einzug in die Energiebranche. So nutzen beispielsweise viele Netzbetreiber das Internet, um die Einspeisung von EEG-Anlagen (Erneuerbare-Energien-Gesetz) wie Windkraftwerken zu steuern, da diese Verbindung aus Kostengründen für sie sehr attraktiv ist. Für die Prozessnetzwerke der Energieversorger bringt diese Öffnung nach außen aber ganz neue Bedrohungen mit sich.

Die vom Bundesamt für Sicherheit in der Informationstechnologie (BSI) als „Kritische Infrastrukturen“ eingestuften Netzwerke sind der Gefahr von Cyber-Angriffen ausgesetzt. Diese Bedrohungen schlagen sich in zahlreichen neuen Sicherheitsnormen, -gesetzen und -empfehlungen nieder.

Zentrale Leitlinie für den Schutz von Prozessnetzwerken in der Energiebranche ist derzeit das Whitepaper „Anforderungen an sichere Steuerungs- und Telekommunikationssysteme“ des BDEW (Bundesverband der Energie- und Wasserwirtschaft). Es fasst die aktuellen Notwendigkeiten zusammen und leitet daraus konkrete Vorgaben ab.

Auf dieser Basis lässt sich ein passgenaues Security-Design ableiten, das gezielte Schutzmaßnahmen in das Prozessnetzwerk einbaut. Dazu zählen etwa

  • zentrale Überwachung,
  • physikalischer Schutz,
  • Whitelisting,
  • Vorkehrungen für Authentifizierung, Autorisierung und Accounting,
  • Intrusion-Detection-Systeme,
  • Verschlüsselungsmethoden oder auch
  • Patch-Management.

Dabei sollte die Netzwerk-Architektur in verschiedene Zonen eingeteilt werden, die jeweils eigene Sicherheitsmaßnahmen aufweisen und durch Gateways getrennt sind.

Relevante Informationen zentral sammeln und auswerten

Zu den gesetzlichen Auflagen für Energieversorger gehört aber auch eine erweiterte Meldepflicht. So enthält das neue IT-Sicherheitsgesetz Regelungen für Unternehmen, die von einem Cyber-Angriff betroffen sind – darunter die Vorschrift, schwerwiegende Vorfälle zu melden, damit sie ausgewertet und gegebenenfalls andere potenzielle Opfer gewarnt werden können. Zu den Branchen, für die diese Pflicht bindend ist, zählt unter anderem das Energiewesen, die über derartige Vorfälle das BSI informieren muss.

Angesichts der Bedeutung dieses Themas entwickeln spezialisierte IT-Dienstleister derzeit spezielle auf Energiedienstleister ausgerichtete SIEM-Lösungen (Security Information and Event Management). Ihre Aufgabe wird es sein, relevante Informationen von den Komponenten des Prozessnetzwerks wie Gateways, Switches, Firewalls oder Intrusion-Detection-Systemen an zentraler Stelle zu erfassen und auszuwerten, um so mögliche Sicherheitsvorfälle zu erkennen.

Der entscheidende Knackpunkt ist dabei die intelligente Verknüpfung dieser Informationen. Ein ungewöhnliches Netzwerk-Ereignis ist für sich allein noch kein Hinweis auf einen Sicherheitsvorfall. Treten aber mehrere ungewöhnliche Ereignisse auf, die innerhalb eines bestimmten Zeitraums ablaufen und womöglich miteinander in Beziehung stehen, dann steigt die Wahrscheinlichkeit, dass etwas nicht mit rechten Dingen zugeht. Diese Zusammenhänge muss ein SIEM aufzeigen und es Sicherheitsverantwortlichen damit ermöglichen, einen schwerwiegenden Vorfall zu erkennen.

Folgendes stark vereinfachte Beispiel soll das Grundprinzip veranschaulichen, ohne dabei zu viele Security-relevante Details zu verraten: Meldet der Router eines im Feld stehenden Anlagenschranks einen Link-Up, muss das noch nichts Besorgniserregendes bedeuten – schließlich könnte eine Störung dahinter stecken. Meldet der Port aber dann zusätzlich eine fremde MAC-Adresse und es wird wiederholt versucht, ein Passwort einzugeben, um sich an einem Gerät anzumelden, sollte man misstrauisch werden.

Finden viele solcher Versuche innerhalb kürzester Zeit statt, könnte dies unter anderem eine Brute-Force-Attacke sein. Dabei würde ein Angreifer versuchen, ein Passwort zu knacken, indem er von einem speziell dafür geschriebenen Computer-Programm alle möglichen Kombinationen von Buchstaben und Zahlen ausprobiert.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43731687 / Sicherheitsvorfälle)