Bereit für ISO/IEC 27019


Die Geräte der SPRECONAutomatisierungsplattform integrieren sämtliche Security-Funktionen für den sicheren Einsatz in kritischen Infrastrukturen.


Foto: Sprecher Automation GmbH
Am 25. Juli 2015 ist in Deutschland das IT-Sicherheitsgesetz in Kraft getreten mit dem Ziel, eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme zu erreichen. In diesem Kontext wurde gemäß §11 Absatz 1a EnWG von Bundesnetzagentur und BSI der IT-Sicherheitskatalog erstellt und veröffentlicht, welcher Strom- und Gasnetzbetreiber zur Umsetzung IT-sicherheitstechnischer Mindeststandards verpflichtet. Kernforderung ist die Etablierung und Zertifizierung eines Informationssicherheits- Managementsystems (ISMS) gemäß DIN ISO/IEC 27001 beziehungsweise 27019.

Betreiber und Anwender müssen nun definieren, wie die allgemeinen Maßnahmen aus ISO/IEC 27019 mit konkreten Systemen etwa der Leit- und Schutztechnik umgesetzt werden können, damit sie den internen ISMS Vorgaben entsprechen. Für Stephan Hutterer, Product Manager IT-Security bei der Sprecher Automation GmbH ist die Konsequenz klar: "Hersteller von Geräten und Anlagen sind hier gefragt, ökonomische und vor allem praktikable Lösungen anzubieten, um ihre Kunden bestmöglich zu unterstützen. " Mit SPRECON bietet Sprecher Automation eine modulare Automatisierungsplattform für Energieübertragung und Energieverteilung, welche für den Einsatz in kritischen Infrastrukturen entwickelt wurde. Alle Sicherheitsfunktionen, welche Betreiber bei der Umsetzung eines ISMS unterstützen, stehen dabei standardmäßig zur Verfügung. Diese werden bereits in zahlreichen Anlagen sowohl in Deutschland als auch international eingesetzt, um zielsicher die gesetzlichen Vorgaben bezüglich IT Security erfüllen zu können.

Gesicherte Leitund Schutztechnik

Wirft man einen Blick in den ISO/IEC 27019 Standard, so sind viele Maßnahmen mit Funktionen in Leit- und Schutztechnik-Produkten umzusetzen. Konkrete Ausführungshinweise findet man bereits in der Zuordnung der ISO/ IEC 27019 Maßnahmen zu Anforderungen aus dem BDEW Whitepaper "Anforderungen an sichere Steuerungs- und Telekommunikationssysteme“. Sprecher Automation stellt hierfür den Betreibern eine detaillierte Dokumentation bereit, wie die Anforderungen aus dem BDEW Whitepaper mit SPRECON-Produkten umgesetzt werden können. Für den Betreiber entsteht daraus ein wichtiger Leitfaden, wie letztendlich auch die Maßnahmen aus dem ISO/IEC 27019 Standard rasch und effizient zu erfüllen sind. Bei der Entwicklung der SPRECON- Familie wurde besonderer Wert darauf gelegt, ausschließlich offene Standards zu verwenden, um dem Kunden die größtmögliche Flexibilität bei der Systemintegration zu gewährleisten. Im Folgenden werden die wichtigsten Sicherheitsfunktionen der SPRECON- Produkte beschrieben.

Gehärtetes SPRECON-System mit zentraler IT-Sicherheitsüberwachung
Foto: Sprecher Automation GmbH

Access Control und Benutzerverwaltung

Ein Produkt muss generell die Authentifizierung eines Benutzers erzwingen, bevor dieser auf Konfiguration oder Funktion zugreifen kann. Zusätzlich ist eine rollenbasierte Autorisierung grundlegend, bei welcher ein Benutzer nur jene Berechtigungen erhält, die er für die Ausführung seiner Tätigkeit benötigt. Dabei kann beispielsweise zwischen Berechtigungen für Schutz- und Leittechnik unterschieden werden, oder etwa die sicherheitskritische Konfiguration nur für ausgewählte Personen erlaubt sein. Um Benutzer, deren Berechtigungen und Passwörter praktikabel unternehmensweit verwalten zu können, hat sich in der Anlagentechnik ebenfalls die Einbindung in zentralisierte Systeme zur Benutzerverwaltung etabliert.

SPRECON unterstützt hierfür das standardisierte RADIUS Protokoll, mit welchem zentrale Dienste wie etwa Windows Active Directory für die Benutzerverwaltung einfach eingebunden werden können. Dabei unterstützt das System standardmäßig eine Vielzahl an Rollen, welche Benutzern zugewiesen werden können, um ein rollenbasiertes Rechtemanagement nach IEC 62351-8 zu ermöglichen. In aktuellen Projekten wurden bereits hunderte Geräte über RADIUS in eine zentrale Benutzerverwaltung eingebunden.

Netzwerk-Monitoring und -Management

Für die allgemeine Sicherheit von Anlagen ist die Überwachbarkeit und auch zentrale Erfassung aller im Netzwerk befindlichen Komponenten eine grundlegende Anforderung. Alle potentiell sicherheitsrelevanten Vorgänge müssen erfasst und mit Zeitstempel versehen werden. Beispielsweise müssen alle Benutzerlogin-Versuche geloggt und somit auditierbar sein. Durch SPRECON werden derartige Loggings nicht nur auf den jeweiligen Geräten gesichert abgelegt, sondern können auch über ein standardisiertes Protokoll (Syslog) zu zentralen Netzwerk-Monitoringsystemen übertragen werden. Neben dem Logging ist für ein funktionierendes Patchmanagement zudem die Inventarisierung sämtlicher Geräte im Netzwerk notwendig (Asset-Management) - dies kann bei SPRECON mit SNMPv3 bereits heute normkonform umgesetzt werden.

Netzwerksicherheit und kryptographische Funktionen

Gerade bei der Übertragung von Daten über Weitbereichsnetzwerke (WAN) müssen Integrität, Authentizität, und gegebenenfalls auch die Vertraulichkeit von Daten sichergestellt werden. Über entsprechende Verschlüsselungsmechanismen, welche direkt von den Geräten umgesetzt werden - so etwa VPN Technologien - kann hierbei standardisiert eine sichere Verschlüsselung aufgebaut werden.

Neben Verschlüsselung ist ebenfalls Netzwerksegmentierung eine wichtige Methodik, wobei etwa die Abschottung des Stationsnetzwerkes vom WAN über integrierte Firewalls in den Geräten, oder auch die logische Separierung von Daten über virtuelle LANs (VLANs) als beispielhafte Maßnahmen anzuführen sind. SPRECON- Produkte stellen zahlreiche und umfangreiche Funktionen bereit, welche beispielhaft von VPN-Technologien, wie IPSec oder auch OpenVPN, über Firewalls bis hin zu VLANs reichen und für die Netzwerksicherheit in aktuellen Projekten eingesetzt werden.

Patching und Patch Management

Alle eingesetzten Produkte sind beim Kunden vollwertig in eine Patchumgebung integrierbar. Dies bedeutet insbesondere, dass bei kritischen Sicherheitslücken wie etwa in Betriebssystemen oder Firmware der Hersteller aktualisierte Versionen zur Verfügung stellt und diese anschließend im laufenden Betrieb eingespielt werden. Dies erfordert einerseits vom Hersteller ein aktives Schwachstellenmanagement, aber besonders auch, dass praktikable Kommunikationswege zwischen Hersteller und Betreiber implementiert werden. Sprecher Automation betreibt als ISO 27001-zertifiziertes Unternehmen ein detailliertes Schwachstellenmanagement bei allen Produkten und bietet seinen Kunden definierte Kommunikationswege und Strategien für Patchmanagement an. Mittels skalierbarer Wartungsverträge können individuelle Dienstleistungen für Patch-Information, Test und Installation vereinbart werden.

Umsetzung in der Praxis

Speziell bei kritischen Infrastrukturen wird man stetig mit strengeren und anspruchsvolleren Umsetzungsregulativen von Sicherheitsanforderungen konfrontiert. "Die SPRECON-Produktlinie bietet die einzigartige Möglichkeit, sämtliche Sicherheitsfunktionen ohne notwendige Zusatzmodule direkt in allen Leit- und Schutztechnikgeräten zur Verfügung zu stellen”, fasst Stephan Hutterer das Angebot zusammen. Die Notwendigkeit etwaiger zusätzlicher Security-Geräte und die damit verbundenen Kosten für deren zyklische Investition und Betrieb werden somit vollkommen eliminiert. Das Konzept wird am Markt gut angenommen. Stephan Hutterer: "Viele renommierte, internationale Kunden von Sprecher Automation setzen bereits SPRECON für den unbesorgten Betrieb ihrer Energieanlagen ein - von Übertragungs- und Verteilnetzbetreibern über Verkehrsunternehmen bis hin zu kommunalen Betrieben wie beispielsweise Stadtwerken."

SICHERHEIT FÜR BESTANDSANLAGEN

Gesicherter Zugriff sowie die Verwaltung von Konfigurationsdaten sind ein wichtiger Eckpfeiler für ein gehärtetes Gesamtsystem. Bei der LEW Verteilnetz GmbH beispielsweise ist zu diesem Zwecke die Infrastruktur für Engineering und Wartung zentral organisiert. Das eingesetzte SPRECON-System sorgt dabei für einen gesicherten Servicezugriff mittels Verschlüsselung der Kommunikation und Access Control.

VERSCHLÜSSELTE KOMMUNIKATION

Bei den Österreichischen Bundesbahnen kommen in der Automatisierungs- und Fernwirktechnik unter anderem SPRECON Systeme zur Anwendung. Zum Beispiel werden verschlüsselte Verbindungen direkt von den Automatisierungsgeräten aufgebaut, um die Vertraulichkeit und Integrität sämtlicher Daten von und zu zentralen Systemen sicherzustellen.

SICHERES FERNWARTEN & ENGINEERING

Gesicherter Zugriff sowie die Verwaltung von Konfigurationsdaten sind ein wichtiger Eckpfeiler für ein gehärtetes Gesamtsystem. Bei der LEW Verteilnetz GmbH beispielsweise ist zu diesem Zwecke die Infrastruktur für Engineering und Wartung zentral organisiert. Das eingesetzte SPRECON-System sorgt dabei für einen gesicherten Servicezugriff mittels Verschlüsselung der Kommunikation und Access Control.


IMPRESSUM
Für den Inhalt verantwortlich:
Sprecher Automation GmbH
4020 Linz (Österreich)
www.sprecher-automation.com