Sicherheit bei Energieversorgern

Smart-Grid-Umgebungen sicher managen

| Autor / Redakteur: Peter Schreieck / Peter Schmitz

Digitalisierung und Smart-Grid-Technologien können Energieversorgern dabei helfen die Effizienz zu steigern, bergen aber auch neue, große Risiken.
Digitalisierung und Smart-Grid-Technologien können Energieversorgern dabei helfen die Effizienz zu steigern, bergen aber auch neue, große Risiken. (Bild: Pixabay / CC0)

Die Digitalisierung verspricht Unternehmen Effizienzsteigerungen, Kosteneinsparungen und einen direkten Kontakt zum Kunden. Mit sicheren Netzwerken können Energieversorger die mit der Digitalisierung verbundenen Risiken durch Cyber-Attacken aber minimieren. Das Management solcher Netze bringt zwar einige Herausforderungen mit sich, richtige Planung und passende Systeme schaffen aber Abhilfe.

In den Smart-Grid- und Operational-Technology (OT)-Umgebungen von Energieversorgern sind heute meist zahlreiche Außenstationen, unter anderem für erneuerbare Energien, über das Internet an das Unternehmensnetzwerk angeschlossen. Über diese Verbindungen steuern sie per Fernzugriff ihre Anlagen im Feld oder rufen von dort Messdaten ab. Die Verwendung des Internets ist dabei nicht nur deutlich kostengünstiger als die Einrichtung eigener Netze. Es ermöglicht den Energieversorgern auch moderne digitalisierte Prozesse. Die Kehrseite der Medaille: Die vielen Online-Verbindungen sind ein großes Einfallstor für Cyber-Kriminelle.

Es besteht die Gefahr, dass sich Hacker Zugriff auf die Außenstationen oder schlimmer noch die Leitstelle im Unternehmensnetzwerk verschaffen und Anlagen manipulieren oder abschalten. Gerade Fernwartungszugänge zu Anlagen sind oft unzureichend geschützt. Häufig werden vorausgefüllte Benutzernamen in der Login-Anzeige und triviale Passwörter verwendet. Dass die Gefahren nicht nur theoretischer Natur sind, haben bereits zahlreiche spektakuläre Fälle gezeigt – etwa in der Ukraine, wo Cyber-Kriminelle durch Sabotage einen massiven Stromausfall herbeiführten. Im Juni 2018 warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor großflächigen Cyber-Attacken auch auf deutsche Energieversorger.

Durch einen mehrschichtigen Sicherheitsansatz lassen sich die Risiken einer Cyber-Attacke minimieren.
Durch einen mehrschichtigen Sicherheitsansatz lassen sich die Risiken einer Cyber-Attacke minimieren. (Bild: Prego Services)

Mehrschichtigen Sicherheitsansatz verfolgen

Den besten Schutz vor derartigen Angriffen verspricht ein mehrschichtiger Ansatz, der verschiedene Sicherheitsebenen miteinander kombiniert. Die wichtigsten davon sind:

  • Physische Sicherheit: Die Feldstationen und ihre Schaltschränke, in denen sich die Geräte zum Aufbau und zur Steuerung der Internetverbindung befinden, sollten durch physischen Einbruchsschutz abgesichert werden. Es darf nicht Jedermann völlig barrierefrei möglich sein, etwa einfach sein Notebook an diese Geräte anzuschließen.
  • Gehärtete Hardware: In den OT-Netzwerken sollten Hardware-Komponenten aus dem industriellen Bereich eingesetzt werden, die das Mindestmaß an Informationssicherheit beherrschen. Diese Systeme sollten speziell gehärtet sein und Penetrationstests standhalten. Von der Politik ist derzeit sogar angedacht, für derartige Hardware ein Gütesiegel „IT-Sicherheit“ zunächst auf freiwilliger Basis einzuführen.
  • Perimeter-Schutz: Die Internetverbindungen sollten jeweils an beiden Enden durch Firewalls geschützt werden. Das zentrale Firewall-Gateway des Unternehmensnetzwerks sollte dabei redundant und hochverfügbar ausgelegt sein. Die sicherheitsrelevanten Funktionen dürfen nicht durch den Ausfall einer einzigen Komponente beeinträchtigt werden.
  • Firewall-Whitelisting: Die Einstellung der Firewalls sollte nach dem „Whitelisting“-Prinzip erfolgen. Dabei werden ausschließlich Zugriffe zugelassen, die explizit als genehmigt definiert sind. So lassen sich beispielsweise fremde Quell- und Zielsysteme ebenso von vornherein aussperren wie Netzwerkprotokolle, die der Energieversorger gar nicht verwendet.
  • VPN-Verschlüsselung: Die Internetkommunikation sollte durch VPN-Tunnel vom öffentlichen Internet abgeschottet werden und dabei zusätzlich durch Verschlüsselung geschützt sein. Diese Kombination ermöglicht einen abhör- und manipulationssicheren Datenaustausch zwischen den Feldstationen und dem Unternehmensnetzwerk.
  • Kontinuierliches Monitoring: Die Logs, also die Informationen und Meldungen, die Modems, Router oder Firewalls absetzen, sollten laufend erfasst und ausgewertet werden. Dadurch lassen sich Aktivitäten erkennen, die auf mögliche illegale Vorgänge im Netzwerk hindeuten.
  • Passive Protektoren: So genannte passive Protektoren erweitern das Monitoring zur Anomalie-Erkennung und für Cybersicherheit. Sie analysieren den Netzwerk-Traffic in Echtzeit, stellen eine Basline her, erkennen neu hinzugekommenen Traffic und schlagen dann Alarm.
  • Sicherung der Fernwartung: Besonders bei der Fernwertung sind einige Parameter zu beachten. So sollten etwa nur einige wenige Einwahluser direkt auf eine Anlage zugreifen können. „Secure by Design“ Infrastrukturen sehen hier einen Sprungserver an zentraler Stelle vor. Auch eine strenge Authentifizierung, ein umfangreiches Logging und ein spezieller „Türöffner“ für Lieferanten durch den Verantwortlichen sollten vorhanden Hierfür bietet der Markt einige gute Lösungen.

Eine gute Hilfestellung zur Absicherung ihrer Netzwerke bietet Energieunternehmen das aktuelle Best-Practice-Whitepaper „Anforderungen an sichere Steuerungs- und Telekommunikationssysteme“. Es wurde vom Bundesverband der Energie- und Wasserwirtschaft (BDEW) in einem internationalen Projekt gemeinsam mit seinem österreichischen Schwesterverband OE erstellt.

Immer mehr Cyberangriffe auf den Energiesektor

Sicherheit für kritische Infrastrukturen

Immer mehr Cyberangriffe auf den Energiesektor

08.08.18 - Ein Hacker-Angriff auf kritische Infrastruktur­systeme, wie Energie- und Wasserversorgung, Verkehr oder Telekommunikation hat das Potenzial Regionen oder ganze Länder ins Chaos zu stürzen. Zuletzt mehren sich die Anzeichen, dass Nationalstaaten zunehmend Vor­be­rei­tung­en für diese Form der digitalen Kriegsführung treffen. Betroffene Unternehmen müssen deshalb zwingend zeitgemäße Sicherheitsmaßnahmen umsetzen. lesen

Durch Standards vereinfachen

Absolute Sicherheit wird es natürlich nie geben. Ein Netzwerk, dass durch mehrere Schichten abgesichert ist, kann die Risiken aber auf ein Minimum reduzieren. Die Verwaltung und Überwachung eines solchen Netzwerks bringt aber weitere Herausforderungen mit sich. Das gilt vor allem dann, wenn sehr viele Feldstationen über das Internet mit dem Unternehmensnetzwerk verbunden sind. Die Sicherheitseinstellungen über all ihre Modems, Router und Firewalls hinweg immer auf dem aktuellen Stand zu halten, ist keine einfache Aufgabe. Zudem gilt: Je mehr dieser Geräte vorhanden sind, desto mehr Meldungen und Informationen setzen sie ab. Sie zu sammeln und vor allem auszuwerten ist ebenfalls alles andere als trivial.

Abhilfe schafft hier die Definition von Standards. So sollten zum einen die Geräte auf ein absolutes Minimum reduziert und alle Feldstationen möglichst mit denselben Geräten ausgestattet werden. Zusätzlich können standardisierte Konfigurations-Vorlagen dafür sorgen, dass die grundlegenden Konfigurations-Parameter auf allen Geräten möglichst identisch sind. Diese Maßnahmen erleichtern die Verwaltung der Geräte erheblich – etwa, wenn Erweiterungen der Whitelist auf sämtliche Feldstationen-Firewalls ausgerollt oder Sicherheitspatches eingespielt werden müssen. Die Gefahr, dass dabei eine Außenanlage „durchrutscht“ und ungeschützt ist, wird deutlich eingeschränkt.

Der Umgang mit den Logs der Geräte sollte ebenfalls standardisiert werden. Energieversorger sollten zunächst festlegen, welche Informationen und Meldungen für sie überhaupt sicherheitsrelevant sind, und nur sie berücksichtigen. Im nächsten Schritt ist dann zu definieren, welche Kombinationen von Meldungen auf einen konkreten Sicherheitsvorfall hindeuten können. Meldet beispielsweise der Router einer Außenanlage, dass ein Gerät mit unbekannter Geräte-Adresse angeschlossen wurde, und anschließend innerhalb kürzester Zeit mehrfach falsche Passwörter eingegeben wurden, besteht durchaus die Möglichkeit eines Einbruchsversuchs. Tritt eine solche sicherheitsrelevante Kombination tatsächlich auf, sollten auch die anschließenden Abläufe standardisiert sein. Es ist klar zu definieren, wer innerhalb welcher Zeitspanne alarmiert werden muss, um den Vorgängen auf den Grund zu gehen.

Durchdachtes Log-Management für die Industrie 4.0

Ein Plädoyer fürs Protokoll, immer und überall

Durchdachtes Log-Management für die Industrie 4.0

16.01.19 - Log- und Protokollmanagement ist eine oft wenig beachtete, aber dennoch eine der dringlichsten Herausforderungen zur Absicherung von IT-Strukturen. Der Security-Experte Pierre Gronau entwirft einen Best Case in Form eines Sicherheitskonzeptes über zehn Etappen und bedient sich dabei zur Veranschaulichung bei der Industrie 4.0-Themenwelt. lesen

Spezielle Softwarelösungen nutzen

Neben der Definition von Standards sollten Energieversorger das Sicherheitsmanagement ihrer Netzwerke mit speziellen Softwarelösungen unterstützten. Dazu zählen vor allem:

  • Monitoring-Systeme: Mit ihnen lässt sich die Auslastung von Netzwerken überwachen und ihre Verfügbarkeit sicherstellen. Dabei liefern sie auch aufschlussreiche sicherheitsrelevante Einblicke. Wenn etwa ein Gerät im Netzwerk ausfällt oder der Prozessor eines Geräts plötzlich zu 95 Prozent ausgelastet ist, kann das auf ungewöhnliche Vorgänge hindeuten.
  • Configuration-Management-Systeme: Sie ermöglichen es, Konfigurations-Templates von zentraler Stelle aus auf alle dezentralen Geräte auszurollen. Zudem können damit automatisch regelmäßige Konfigurations-Backups durchgeführt und mit den vorangegangenen Backups verglichen werden. Veränderungen an den Konfigurationen fallen dadurch sofort auf.
  • Syslog-Server: Mit ihnen lassen sich die Informationen und Meldungen der Netzwerkgeräte an zentraler Stelle sammeln und filtern. Sie sind allerdings nur für Energieversorger mit einer überschaubaren Anzahl an Außenstationen geeignet. Setzen Geräte aus 20 oder mehr Feldstationen Meldungen ab, werden die Informationen unüberschaubar.
  • SIEM-Systeme: Energieunternehmen mit vielen Außenstationen sollten deshalb besser Systeme für Security Information and Event Management (SIEM) nutzen. Sie ermöglichen es, die eingehenden Logs mit Hilfe von Regelwerken automatisiert zu klassifizieren, miteinander zu verknüpfen, sicherheitsrelevante Kombinationen festzustellen und in diesem Fall Alarmmeldungen an die zuständigen Personen zu senden.

Use Cases genau analysieren

Bei der Implementierung solcher Systeme lässt sich sehr viel Geld ausgeben. Um größtmögliche Sicherheit zu vertretbaren Kosten zu realisieren, sollten Energieversorger ihre eigenen, spezifischen Use Cases genau analysieren und die Systeme in Testumgebungen prüfen. Hilfreich ist es in der Regel auch, sich die Systeme von Unternehmen anzuschauen, die bereits ein Netzwerk-Sicherheits-Management umgesetzt haben. Investitionen in die falschen oder in überdimensionierte Systeme lassen sich so vermeiden. Hilfreich kann auch ein externer Berater sein, der im Bereich Security „querdenkt“ und möglichst viele Cyberangriffe durchspielen kann.

Eine alternative Möglichkeit zum Aufbau und Betrieb einer eigenen Systemlandschaft ist die Zusammenarbeit mit einem externen Security Operations Center (SOC). Die Tätigkeiten eines solchen Centers umfassen Cyber-Monitoring, Beratung und Audits sowie operatives Management. Damit erfüllt es die drei Grundregeln der Security, nämlich „Detection“, „Prevention“ und „Protection“. Spezialisierte Dienstleister betreiben ein SOC als zentrale Leitstelle, in der IT-Sicherheitsexperten die Netzwerke von Energieunternehmen mit Hilfe der genannten Systeme rund um die Uhr überwachen.

Idealerweise laufen in das SOC dabei auch die aktuellsten Informationen von Herstellern, nationalen IT-Sicherheitsbehörden, Branchen-Arbeitsgruppen und anderen Partnern über Bedrohungen, Sicherheitsschwachstellen von Systemen und Angriffswellen ein, wodurch ein laufender Abgleich zwischen der allgemeinen Gefährdungslage und den lokalen Anlagen möglich ist. Dann erhalten Energieversorger mit dem SOC nicht nur eine kostengünstige Alternative zum Aufbau einer eigenen Systemlandschaft. Ihre Sicherheitsverantwortlichen können auch proaktiver mit Cyber-Bedrohungen umgehen. Bietet der Betreiber des SOC zyklische Service-Meetings an, in denen seine Reports gemeinsam besprochen werden, profitiert davon das Information Security Management System (ISMS) des Energieunternehmens. Denn damit schließt sich der Regelkreis des „Plan – Do – Check – Act“ (PDCA).

Über den Autor: Peter Schreieck ist Leiter Communication & Network bei prego services. Der ISO-27001-zertifizierte IT-Dienstleister in Saarbrücken und Ludwigshafen plant und betreibt seit über zehn Jahren sichere IT- und OT- Netzwerke im Energiebereich. Darüber hinaus verfügt er über eine Partnerschaft mit dem Gateway-Spezialisten INSYS Microelectronics, arbeitet mit dem BSI und BDEW zusammen und ist Teilnehmer der Allianz für Cybersicherheit.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45700563 / Monitoring und KI)