Gelungener Spagat


Sicherheit und Alltagstauglichkeit von Versorgungsinfrastrukturen hat SAE IT-systems mit einem ganzheitlichen Konzept für ihre Fernwirk- und Stationsleittechnik verbunden.


Foto: aboutpixel.de/Werner Linnemann
Die Ukraine: In 225.000 Haushalten fällt für mehrere Stunden der Strom aus. IT-Sicherheitsforscher sprechen von dem ersten koordinierten Cyberangriff auf Stationstechnik. Durch Spionage konnten Zugangsdaten ausgekundschaftet werden. Die Angreifer programmierten die Anlagen um und versperrten so den Betreibern den Zugang zu den eigenen Systemen. Dieser Angriff zeigt nicht nur, dass Hacker existieren und aktiv sind, sondern auch, dass gezielte Angriffe auf Versorgungsnetze längst in der Gegenwart angekommen sind.

Mit den Herausforderungen wachsen

Für die Versorgungsnetzbetreiber birgt diese Gefahr enorme Risiken sowohl, für die Versorgungsstabilität und den möglicherweise damit verbundenen Schadenersatzansprüchen, als auch für die öffentliche Reputation: Wichtige Gründe, sich lieber heute als morgen mit dem Thema Informationssicherheit zu beschäftigen. Doch was bedeutet das konkret? Ein optimal geschütztes System wahrt die Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit von Daten und Informationen und verhindert Eingriffe von außen. Die Herausforderungen, die sich IT-Experten dabei in den Weg stellen, wachsen jedoch kontinuierlich.
                                     
DIE ALL-IN-ONE LÖSUNG
Das FW-5-GATE-4G ist Fernwirkstation und LTE-Modem in einem. Hierdurch entfällt die teilweise aufwändige Integration und Adaption eines externen Modems - aber nicht nur das: Es wird kein zusätzliches Verbindungskabel zwischen Modem und Fernwirkstation benötigt - ein typischer Schwachpunkt bei Risikoanalysen. Zudem überzeugt das FW-5-GATE-4G mit hoher Sende- und Empfangsqualität, schnellen Up- und Downloadraten und mit der praktischen Fallback-Option auf 3G (UMTS/HSPA) oder 2G (GPRS/EDGE) für Orte mit schlechten Empfangsbedingungen. Das Modem besitzt eine Zulassung für Europa und deckt die gängigen Frequenzbereiche im Mobilfunknetz ab. Und das zu einem attraktiven Preis.
Foto: SAE IT-systems GmbH & Co. KG
Die Angreifer werden immer professioneller, gesetzliche Vorgaben immer spezifischer und last but not least müssen verschiedene Interessengruppen berücksichtigt werden: So darf beispielsweise, trotz der notwendigen Sicherheitssteigerung, die Praktikabilität der Systeme für das Bedien- und Wartungspersonal nicht in Vergessenheit geraten. Im Idealzustand basiert demnach eine Versorgungsanlage auf einer Netzwerkinfrastruktur, die sowohl sichere Verbindungen mit starken Verschlüsselungen erlaubt als auch hohe Funktionalität und Komfort für die Anwendungen des Tagesgeschäftes. Eine zukunftssichere Infrastruktur benötigt zudem die Möglichkeit zur kontinuierlichen und detaillierten Überwachung, um Risiken identifizieren und Schutzbedarfsmaßnahmen ableiten zu können. Dieser praxisorientierten Herausforderung hat sich SAE IT-systems bei der Entwicklung eines ganzheitlichen Sicherheitskonzeptes für ihre Fernwirk- und Stationsleittechnik gestellt. Mit einem Ergebnis, das sich sehen lassen kann - von der Netzwerkinfrastruktur über die Hardware bis zur Software.

Ein Herz für Praktiker

Für ihre Fernwirk- und Stationsleittechnik bietet SAE die intuitiv bedienbare Parametriersoftware setIT. In die Bedienoberfläche dieser Software wurden erweiterte Sicherheitsfunktionen nahtlos eingearbeitet: Beispielsweise vermeiden Benutzerprofile mit individueller Rechtezuweisung (Role Based Access Control (RBAC)), dass systemrelevante Einstellungen durch Mitarbeiter ohne entsprechende Befugnis ungewollt verändert werden. Des Weiteren können Zugriffe auf Servicefunktionen in der Station über einen Befehl aus der Leitstelle temporär aktiviert werden; sie laufen also nicht permanent und stellen somit keine ständige Angriffsfläche dar. Auch bei dem Aktualisieren einer Stationskonfiguration kommt die Sicherheit nicht zu kurz: Die Konfiguration kann über ein projektspezifisches Systempasswort verschlüsselt werden. Auf diese Weise wird die Konfiguration sowohl vor unbefugten Modifikationen geschützt, als auch vor unberechtigten Zugriffen auf die darin enthaltenen Informationen.

Das Konzept von SAE deckt verschiedene Anbindungsmöglichkeiten ab - für die flexible und sichere Einbindung von Fernwirktechnik.
Foto: SAE IT-systems GmbH & Co. KG

Systemautonomie und Transparenz

In einem von fremden Diensten abhängigen Netzwerk liegt die Netzwerksicherheit nicht vollständig in der eigenen Hand. Wer die Abhängigkeiten reduziert, erhöht nicht nur die Autonomie des Netzwerkes, sondern auch dessen Sicherheit. Daher empfiehlt das SAE-Sicherheitskonzept die Verwendung eines hausinternen NTP-Servers zur Zeitsynchronisierung als Alternative zu einem Internetdienst.

Außerdem sieht das Sicherheitskonzept die kontinuierliche und detaillierte Überwachung der Netzwerkinfrastruktur in Bezug auf Stabilitätsveränderungen, Zugriffe und Zugriffsversuche vor (siehe Konzeptabbildung: Diagnosemöglichkeiten mit Syslog, SNMP etc.). Hierzu sendet die Fernwirktechnik von SAE relevante Daten an einen Syslog- Server, der die zentrale Erfassung von Betriebsereignissen von vielen Stationen sowie die Auswertung dieser Meldungen ermöglicht. Je nach Art und Ausstattung des Syslog-Servers können Alarme generiert werden, die zum Beispiel eine hohe Anzahl an fehlerhaften Passworteingaben, ein Update außerhalb der Betriebszeiten oder sonstige ungewöhnliche Vorgänge melden. Über diese Beobachtungen können die Ursachen für aktuelle Stabilitätsschwankungen abgeleitet und potentielle Gefahren frühzeitig erkannt werden.

Anbindungsmöglichkeiten für die Fernwirktechnik

Das SAE-Sicherheitskonzept empfiehlt als verbindende Komponente ein VPN-Gateway. Es ermöglicht die zentrale Steuerung vieler Stationen über nur einen Fernwirkkopf. Die Fernwirkkomponenten von SAE erlauben verschiedene Anbindungstechniken an das Gateway, wie beispielweise die Nutzung eines beliebigen Internetanschlusses, eines externen Routers, über Mobilfunk oder LAN. Womit nun auch die Hardware unter die Lupe genommen wird: SAE konzipiert Lösungen für Versorgungsnetzbetreiber mit unterschiedlichen Anforderungen - daher lassen sich in das Sicherheitskonzept auch verschiedene Produkte integrieren: Die hier vorgestellten Feldgerätetypen net-line FW-5, net-line FW-50 sowie das net-line FW-5-GATE- 4G (siehe Abbildung) wurden auf eine neue zukunftssichere Plattform gestellt. Die CPU-Generation series5e besitzt mit 1200 MIPS die dreifache Leistung der vorangegangenen series5+ Generation. Die gesteigerte Performance wirkt sich insbesondere in der Netzwerkkommunikation via IEC 61850 und der Prozesspunktbehandlung nach IEC 60870-5-10x Standards positiv aus. Zusammenfassend stellt sich diese Produktfamilie den hohen Sicherheitsanforderungen von heute und morgen gekonnt entgegen.

VPN-Verschlüsselung und Firewall

Eine sichere Verbindung benötigt ein sicheres VPN-Verschlüsselungsprotokoll sowie einen Mechanismus, der bei einem Verbindungsaufbau die Schlüssel austauscht und überprüft, bevor die Verbindung als sicher freigegeben werden kann. Basierend auf strongSwan, kann IPsec in der Parametriersoftware setIT sowohl auf der Protokollversion 1 (IKEv1), als auch auf der in RFC4306 beschriebenen Protokollversion 2 (IKEv2) aktiviert werden.

Doch nicht nur die Stationen vor Ort sollten vor externen Zugriffen jeglicher Art geschützt werden, sondern auch die Datenbank selbst. Das neue Datenbankformat .sdbx ermöglicht die Verschlüsselung der gesamten Projektdatei mit dem sicheren AES-256 Algorithmus - diese Verschlüsselung wird auch von dem Bundesamt für Sicherheit in der Informationstechnik für kryptische Verfahren empfohlen. setIT erlaubt auch die Festlegung von erweiterten Firewallregeln. Bestimmte Dienste sind sowohl aktivierbar, als auch auf verschiedene Schnittstellen begrenzbar. Bei Bedarf können auch Einstellungen vorgenommen werden, die mehr Flexibilität ermöglichen.

Zusammenfassend erlaubt das umfassende Sicherheitskonzept der SAE für ihre Fernwirk- und Stationsleittechnik vielfältige und abgesicherte Anbindungsmöglichkeiten per VPN und ein hohes Maß an Funktionalität. Mit Hinblick auf das Thema IT-Sicherheit ist für Versorgungsnetzbetreiber die Zusammenarbeit mit Komponentenanbietern wichtig, die ihre Hard- und Software ständig weiter entwickeln, um mit den ständig steigenden Sicherheitsanforderungen Schritt zu halten. Zudem sollten individuelle Beratung und Sicherheitskonzepte keine Zukunftsmusik mehr sein, sondern bereits heute das Angebotsportfolio der Lieferanten sinnvoll ergänzen. SAE geht hier mit gutem Beispiel voran.

IMPRESSUM
Für den Inhalt verantwortlich:
SAE IT-systems GmbH & Co. KG
50767 Köln
www.sae-it.com