:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheit bei Energieversorgern Smart-Grid-Umgebungen sicher managen
Die Digitalisierung verspricht Unternehmen Effizienzsteigerungen, Kosteneinsparungen und einen direkten Kontakt zum Kunden. Mit sicheren Netzwerken können Energieversorger die mit der Digitalisierung verbundenen Risiken durch Cyber-Attacken aber minimieren. Das Management solcher Netze bringt zwar einige Herausforderungen mit sich, richtige Planung und passende Systeme schaffen aber Abhilfe.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
In den Smart-Grid- und Operational-Technology (OT)-Umgebungen von Energieversorgern sind heute meist zahlreiche Außenstationen, unter anderem für erneuerbare Energien, über das Internet an das Unternehmensnetzwerk angeschlossen. Über diese Verbindungen steuern sie per Fernzugriff ihre Anlagen im Feld oder rufen von dort Messdaten ab. Die Verwendung des Internets ist dabei nicht nur deutlich kostengünstiger als die Einrichtung eigener Netze. Es ermöglicht den Energieversorgern auch moderne digitalisierte Prozesse. Die Kehrseite der Medaille: Die vielen Online-Verbindungen sind ein großes Einfallstor für Cyber-Kriminelle.
Es besteht die Gefahr, dass sich Hacker Zugriff auf die Außenstationen oder schlimmer noch die Leitstelle im Unternehmensnetzwerk verschaffen und Anlagen manipulieren oder abschalten. Gerade Fernwartungszugänge zu Anlagen sind oft unzureichend geschützt. Häufig werden vorausgefüllte Benutzernamen in der Login-Anzeige und triviale Passwörter verwendet. Dass die Gefahren nicht nur theoretischer Natur sind, haben bereits zahlreiche spektakuläre Fälle gezeigt – etwa in der Ukraine, wo Cyber-Kriminelle durch Sabotage einen massiven Stromausfall herbeiführten. Im Juni 2018 warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor großflächigen Cyber-Attacken auch auf deutsche Energieversorger.
Mehrschichtigen Sicherheitsansatz verfolgen
Den besten Schutz vor derartigen Angriffen verspricht ein mehrschichtiger Ansatz, der verschiedene Sicherheitsebenen miteinander kombiniert. Die wichtigsten davon sind:
- Physische Sicherheit: Die Feldstationen und ihre Schaltschränke, in denen sich die Geräte zum Aufbau und zur Steuerung der Internetverbindung befinden, sollten durch physischen Einbruchsschutz abgesichert werden. Es darf nicht Jedermann völlig barrierefrei möglich sein, etwa einfach sein Notebook an diese Geräte anzuschließen.
- Gehärtete Hardware: In den OT-Netzwerken sollten Hardware-Komponenten aus dem industriellen Bereich eingesetzt werden, die das Mindestmaß an Informationssicherheit beherrschen. Diese Systeme sollten speziell gehärtet sein und Penetrationstests standhalten. Von der Politik ist derzeit sogar angedacht, für derartige Hardware ein Gütesiegel „IT-Sicherheit“ zunächst auf freiwilliger Basis einzuführen.
- Perimeter-Schutz: Die Internetverbindungen sollten jeweils an beiden Enden durch Firewalls geschützt werden. Das zentrale Firewall-Gateway des Unternehmensnetzwerks sollte dabei redundant und hochverfügbar ausgelegt sein. Die sicherheitsrelevanten Funktionen dürfen nicht durch den Ausfall einer einzigen Komponente beeinträchtigt werden.
- Firewall-Whitelisting: Die Einstellung der Firewalls sollte nach dem „Whitelisting“-Prinzip erfolgen. Dabei werden ausschließlich Zugriffe zugelassen, die explizit als genehmigt definiert sind. So lassen sich beispielsweise fremde Quell- und Zielsysteme ebenso von vornherein aussperren wie Netzwerkprotokolle, die der Energieversorger gar nicht verwendet.
- VPN-Verschlüsselung: Die Internetkommunikation sollte durch VPN-Tunnel vom öffentlichen Internet abgeschottet werden und dabei zusätzlich durch Verschlüsselung geschützt sein. Diese Kombination ermöglicht einen abhör- und manipulationssicheren Datenaustausch zwischen den Feldstationen und dem Unternehmensnetzwerk.
- Kontinuierliches Monitoring: Die Logs, also die Informationen und Meldungen, die Modems, Router oder Firewalls absetzen, sollten laufend erfasst und ausgewertet werden. Dadurch lassen sich Aktivitäten erkennen, die auf mögliche illegale Vorgänge im Netzwerk hindeuten.
- Passive Protektoren: So genannte passive Protektoren erweitern das Monitoring zur Anomalie-Erkennung und für Cybersicherheit. Sie analysieren den Netzwerk-Traffic in Echtzeit, stellen eine Basline her, erkennen neu hinzugekommenen Traffic und schlagen dann Alarm.
- Sicherung der Fernwartung: Besonders bei der Fernwertung sind einige Parameter zu beachten. So sollten etwa nur einige wenige Einwahluser direkt auf eine Anlage zugreifen können. „Secure by Design“ Infrastrukturen sehen hier einen Sprungserver an zentraler Stelle vor. Auch eine strenge Authentifizierung, ein umfangreiches Logging und ein spezieller „Türöffner“ für Lieferanten durch den Verantwortlichen sollten vorhanden Hierfür bietet der Markt einige gute Lösungen.
Eine gute Hilfestellung zur Absicherung ihrer Netzwerke bietet Energieunternehmen das aktuelle Best-Practice-Whitepaper „Anforderungen an sichere Steuerungs- und Telekommunikationssysteme“. Es wurde vom Bundesverband der Energie- und Wasserwirtschaft (BDEW) in einem internationalen Projekt gemeinsam mit seinem österreichischen Schwesterverband OE erstellt.
:quality(80)/images.vogel.de/vogelonline/bdb/1428700/1428771/original.jpg "Regierungsstellen weltweit sind sich einig, dass Angriffe auf kritische Infrastrukturen gegenwärtig eine reale Gefahr darstellen wohl auch weiterhin zunehmen werden. (Pixabay)")
Sicherheit für kritische Infrastrukturen
Immer mehr Cyberangriffe auf den Energiesektor
Durch Standards vereinfachen
Absolute Sicherheit wird es natürlich nie geben. Ein Netzwerk, dass durch mehrere Schichten abgesichert ist, kann die Risiken aber auf ein Minimum reduzieren. Die Verwaltung und Überwachung eines solchen Netzwerks bringt aber weitere Herausforderungen mit sich. Das gilt vor allem dann, wenn sehr viele Feldstationen über das Internet mit dem Unternehmensnetzwerk verbunden sind. Die Sicherheitseinstellungen über all ihre Modems, Router und Firewalls hinweg immer auf dem aktuellen Stand zu halten, ist keine einfache Aufgabe. Zudem gilt: Je mehr dieser Geräte vorhanden sind, desto mehr Meldungen und Informationen setzen sie ab. Sie zu sammeln und vor allem auszuwerten ist ebenfalls alles andere als trivial.
Abhilfe schafft hier die Definition von Standards. So sollten zum einen die Geräte auf ein absolutes Minimum reduziert und alle Feldstationen möglichst mit denselben Geräten ausgestattet werden. Zusätzlich können standardisierte Konfigurations-Vorlagen dafür sorgen, dass die grundlegenden Konfigurations-Parameter auf allen Geräten möglichst identisch sind. Diese Maßnahmen erleichtern die Verwaltung der Geräte erheblich – etwa, wenn Erweiterungen der Whitelist auf sämtliche Feldstationen-Firewalls ausgerollt oder Sicherheitspatches eingespielt werden müssen. Die Gefahr, dass dabei eine Außenanlage „durchrutscht“ und ungeschützt ist, wird deutlich eingeschränkt.
Der Umgang mit den Logs der Geräte sollte ebenfalls standardisiert werden. Energieversorger sollten zunächst festlegen, welche Informationen und Meldungen für sie überhaupt sicherheitsrelevant sind, und nur sie berücksichtigen. Im nächsten Schritt ist dann zu definieren, welche Kombinationen von Meldungen auf einen konkreten Sicherheitsvorfall hindeuten können. Meldet beispielsweise der Router einer Außenanlage, dass ein Gerät mit unbekannter Geräte-Adresse angeschlossen wurde, und anschließend innerhalb kürzester Zeit mehrfach falsche Passwörter eingegeben wurden, besteht durchaus die Möglichkeit eines Einbruchsversuchs. Tritt eine solche sicherheitsrelevante Kombination tatsächlich auf, sollten auch die anschließenden Abläufe standardisiert sein. Es ist klar zu definieren, wer innerhalb welcher Zeitspanne alarmiert werden muss, um den Vorgängen auf den Grund zu gehen.
:quality(80)/images.vogel.de/vogelonline/bdb/1504800/1504843/original.jpg "Log-Management ist ein wesentlicher Bestandteil eines ISMS und unerlässlich für eine sichere Industrie 4.0. (Pixabay)")
Ein Plädoyer fürs Protokoll, immer und überall
Durchdachtes Log-Management für die Industrie 4.0
Spezielle Softwarelösungen nutzen
Neben der Definition von Standards sollten Energieversorger das Sicherheitsmanagement ihrer Netzwerke mit speziellen Softwarelösungen unterstützten. Dazu zählen vor allem:
- Monitoring-Systeme: Mit ihnen lässt sich die Auslastung von Netzwerken überwachen und ihre Verfügbarkeit sicherstellen. Dabei liefern sie auch aufschlussreiche sicherheitsrelevante Einblicke. Wenn etwa ein Gerät im Netzwerk ausfällt oder der Prozessor eines Geräts plötzlich zu 95 Prozent ausgelastet ist, kann das auf ungewöhnliche Vorgänge hindeuten.
- Configuration-Management-Systeme: Sie ermöglichen es, Konfigurations-Templates von zentraler Stelle aus auf alle dezentralen Geräte auszurollen. Zudem können damit automatisch regelmäßige Konfigurations-Backups durchgeführt und mit den vorangegangenen Backups verglichen werden. Veränderungen an den Konfigurationen fallen dadurch sofort auf.
- Syslog-Server: Mit ihnen lassen sich die Informationen und Meldungen der Netzwerkgeräte an zentraler Stelle sammeln und filtern. Sie sind allerdings nur für Energieversorger mit einer überschaubaren Anzahl an Außenstationen geeignet. Setzen Geräte aus 20 oder mehr Feldstationen Meldungen ab, werden die Informationen unüberschaubar.
- SIEM-Systeme: Energieunternehmen mit vielen Außenstationen sollten deshalb besser Systeme für Security Information and Event Management (SIEM) nutzen. Sie ermöglichen es, die eingehenden Logs mit Hilfe von Regelwerken automatisiert zu klassifizieren, miteinander zu verknüpfen, sicherheitsrelevante Kombinationen festzustellen und in diesem Fall Alarmmeldungen an die zuständigen Personen zu senden.
Use Cases genau analysieren
Bei der Implementierung solcher Systeme lässt sich sehr viel Geld ausgeben. Um größtmögliche Sicherheit zu vertretbaren Kosten zu realisieren, sollten Energieversorger ihre eigenen, spezifischen Use Cases genau analysieren und die Systeme in Testumgebungen prüfen. Hilfreich ist es in der Regel auch, sich die Systeme von Unternehmen anzuschauen, die bereits ein Netzwerk-Sicherheits-Management umgesetzt haben. Investitionen in die falschen oder in überdimensionierte Systeme lassen sich so vermeiden. Hilfreich kann auch ein externer Berater sein, der im Bereich Security „querdenkt“ und möglichst viele Cyberangriffe durchspielen kann.
Eine alternative Möglichkeit zum Aufbau und Betrieb einer eigenen Systemlandschaft ist die Zusammenarbeit mit einem externen Security Operations Center (SOC). Die Tätigkeiten eines solchen Centers umfassen Cyber-Monitoring, Beratung und Audits sowie operatives Management. Damit erfüllt es die drei Grundregeln der Security, nämlich „Detection“, „Prevention“ und „Protection“. Spezialisierte Dienstleister betreiben ein SOC als zentrale Leitstelle, in der IT-Sicherheitsexperten die Netzwerke von Energieunternehmen mit Hilfe der genannten Systeme rund um die Uhr überwachen.
Idealerweise laufen in das SOC dabei auch die aktuellsten Informationen von Herstellern, nationalen IT-Sicherheitsbehörden, Branchen-Arbeitsgruppen und anderen Partnern über Bedrohungen, Sicherheitsschwachstellen von Systemen und Angriffswellen ein, wodurch ein laufender Abgleich zwischen der allgemeinen Gefährdungslage und den lokalen Anlagen möglich ist. Dann erhalten Energieversorger mit dem SOC nicht nur eine kostengünstige Alternative zum Aufbau einer eigenen Systemlandschaft. Ihre Sicherheitsverantwortlichen können auch proaktiver mit Cyber-Bedrohungen umgehen. Bietet der Betreiber des SOC zyklische Service-Meetings an, in denen seine Reports gemeinsam besprochen werden, profitiert davon das Information Security Management System (ISMS) des Energieunternehmens. Denn damit schließt sich der Regelkreis des „Plan – Do – Check – Act“ (PDCA).
Über den Autor: Peter Schreieck ist Leiter Communication & Network bei prego services. Der ISO-27001-zertifizierte IT-Dienstleister in Saarbrücken und Ludwigshafen plant und betreibt seit über zehn Jahren sichere IT- und OT- Netzwerke im Energiebereich. Darüber hinaus verfügt er über eine Partnerschaft mit dem Gateway-Spezialisten INSYS Microelectronics, arbeitet mit dem BSI und BDEW zusammen und ist Teilnehmer der Allianz für Cybersicherheit.
(ID:45700563)
:quality(80)/p7i.vogel.de/wcms/3a/6a/3a6abf5ebf82f1ef30fc76c0bcd992c4/0106900574.jpeg "Thomas Schuller vom WhatsUp-Gold-Hersteller Progress erläutert, wie gezielt eingesetztes Netzwerk-Monitoring zum Sicherheitssystem werden kann. (Bild: Michaela Heelemann Photography / Progress)")
:quality(80)/p7i.vogel.de/wcms/ed/7c/ed7ccb8dec7ab74d92940dc4dcc329d9/0104779188.jpeg "Durch die steigende Abhängigkeit von neuen Energieformen werden Cyberattacken auf die Stromversorgung in Zukunft noch katastrophalere Auswirkungen haben. Doch es gibt Möglichkeiten zur Cyberabwehr. (Bild: OSORIOartist - stock.adobe.com)")