Sichere Prozessnetzwerke für Energieversorger

Kritische Infrastrukturen vor Hackern schützen

| Autor / Redakteur: Peter Schreieck / Stephan Augsten

Schutzbedarf der Informationen bewerten

Um in ihren Prozessnetzwerken die Vorgaben des BDEW erfüllen zu können, sollten Energieversorger eine umfassende und detaillierte Risikobetrachtung durchführen. Eine wertvolle Hilfe kann dabei ein spezialisierter IT-Dienstleister bieten. Dabei werden zunächst eine IT-Landkarte erstellt, sämtliche Betriebsabläufe wie zum Beispiel Schaltbefehle, Parameteränderungen oder Firmware-Updates unter die Lupe genommen, und der Schutzbedarf der von ihnen genutzten Informationen nach drei wesentlichen Gesichtspunkten bewertet:

  • Vertraulichkeit. Wie problematisch wäre eine Veröffentlichung der Daten?
  • Integrität. Wie gefährlich wäre eine Verfälschung der Informationen? Liefert beispielsweise eine EEG-Anlage fehlerhafte Werte an die Leitstelle, führt dies zu falschen Schaltungen, was wiederum schwere Auswirkungen wie Netzschwankungen haben kann.
  • Verfügbarkeit. Wie kritisch wäre es, wenn die Daten nicht zur Verfügung stehen? Bei größeren Anlagen etwa benötigt die Leitstelle unbedingt bestimmte Daten, um Strom zu- oder abschalten zu können.

Die so ermittelten Kritikalitäten müssen dann noch mit einer Bedrohungspotenzial-Bewertung hinsichtlich der Eintrittswahrscheinlichkeit kombiniert werden, um das benötigte Sicherheitsniveau für die jeweiligen Betriebsabläufe beziehungsweise deren Informationen feststellen zu können.

Daraus wiederum lässt sich dann ein passgenaues Security-Design ableiten, das gezielte Schutzmaßnahmen in das Prozessnetzwerk einbaut. Dazu zählen etwa eine zentrale Überwachung, physikalischer Schutz, eine Whitelist, Vorkehrungen für Authentifizierung, Autorisierung und Accounting, Intrusion-Detection-Systeme, Verschlüsselungsmethoden, ein Event-Management oder ein Patch-Management.

Dabei sollte die Netzwerk-Architektur – so wie vom Defence-In-Depth-Prinzip gefordert - in verschiedene Zonen eingeteilt werden, die jeweils eigene Sicherheitsmaßnahmen aufweisen und durch Gateways getrennt sind. Eine solche Aufteilung sorgt für Übersichtlichkeit der Kommunikationswege und erhöht die Sicherheit durch mehrere Maßnahmen. Eventuelle Bypässe werden schnell erkannt, und es lassen sich Abschaltszenarien für den Notfall erarbeiten. So lässt sich beispielsweise ermitteln, welches Kabel gezogen werden muss, um einen erfolgten Cyber-Angriff sofort einzudämmen und Schlimmeres zu verhindern.

Besondere Vorkehrungen benötigen die im freien Feld stehenden Schaltschränke von EEG-Anlagen. Um Schutz vor Kriminellen zu bieten, müssen sie zusätzlich zu den logischen auch mit physischen Schutzmaßnahmen ausgestattet werden. Dabei sollten die Hürden für einen Einbruch so hoch wie möglich gesetzt werden. Deshalb empfiehlt es sich, hier so viele Maßnahmen wie wirtschaftlich vertretbar sind, einzusetzen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43034329 / Security-Testing)