Cybersecurity in der Energieautomatisierung

Konzept Security Gateway. Foto: Sprecher Automation GmbH

Mit den Security Gateways hat Sprecher Automation ein Konzept entwickelt, das auch bei Bestandsanlagen die Nachrüstung grundlegender Sicherheitsfunktionen praktikabel und wirtschaftlich macht.

Mit dem 25. Juli 2015 ist in Deutschland das IT-Sicherheitsgesetz in Kraft getreten, das eine Erreichung von signifikanten Verbesserung der Sicherheit informationstechnischer Systeme als Ziel hat. In diesem Kontext wurde gemäß §11 Absatz 1a EnWG von der Bundesnetzagentur und dem BSI der IT-Sicherheitskatalog erstellt und veröffentlicht. Dieser verpflichtet Strom- und Gasnetzbetreiber zur Umsetzung IT-sicherheitstechnischer Mindeststandards – Kernforderung ist die Etablierung und Zertifizierung eines Informationssicherheits-Managementsystems (ISMS) gemäß DIN ISO/IEC 27001 bzw. 27019, welche in der Ausgabe 2017 letztgültig veröffentlicht wurde.

Betreiber und Anwender müssen nun definieren, wie die allgemeinen Maßnahmen aus ISO/IEC 27019 mit konkreten Systemen, etwa der Leit- und Schutztechnik, umgesetzt werden können, damit sie den internen ISMS Vorgaben entsprechen. „Hersteller von Geräten und Anlagen sind hier gefragt, ökonomische und vor allem praktikable Lösungen anzubieten, um ihre Kunden bestmöglich zu unterstützen“, sagt Dr. Stephan Hutterer, Produktmanager der Sprecher Automation GmbH aus dem österreichischen Linz.

Mit SPRECON bietet Sprecher Automation eine modulare Automatisierungsplattform, unter anderem für Energieübertragung und Energieverteilung, die für den Einsatz in kritischen Infrastrukturen entwickelt wurde. „Alle Sicherheitsfunktionen, welche Betreiber bei der Umsetzung eines ISMS unterstützen, stehen dabei standardmäßig zur Verfügung“, so Dr. Stephan Hutterer. Diese werden bereits in zahlreichen Anlagen sowohl in Deutschland als auch international eingesetzt, um die gesetzlichen Vorgaben bezüglich IT Security zu erfüllen.

ISO 27019:2017 – Typische Maßnahmen

Wirft man einen Blick in den ISO/IEC 27019 Standard, so sind viele Maßnahmen mit Funktionen in Leit- und Schutztechnik-Produkten umzusetzen. „In den letzten Jahren wurde in diesem Kontext in der Branche bereits eine Vielzahl sekundärtechnischer Projekte verschiedenster Betreiber realisiert, welche unter dem Mantel von ISMS Zertifizierungen durchgeführt wurden“, erläutert Dr. Hutterer. Das Unternehmen Sprecher Automation hat hierbei als Systemintegrator praktische Erfahrung gesammelt und weiß daher, welche Sicherheitsmaßnahmen in sekundärtechnischen Geräten häufig umgesetzt werden. Schwerpunktmäßig betreffen die Vorkehrungen dabei die folgenden Bereiche:

• Access Control und Benutzerverwaltung, um den logischen Zugriff auf Anlagen und Geräte auf berechtigte Personen einzuschränken
• Rollen- und Berechtigungsvergabe für Wartungspersonal (insbesondere auch bei externen Dienstleistern)
• Security Monitoring: zentrale Überwachbarkeit von logischen Zugriffen auf Geräte und sonstiger relevanter Vorgänge
• Netzwerksicherheit/Verschlüsselung: geschützte Übertragung von Daten über Weitbereichsnetzwerke
• Netzwerktrennung: Isolation lokaler Stationsnetzwerke gegenüber umgebender Weitbereichsnetzwerke

„Diese Maßnahmen umfassen nicht den gesamten Katalog in einem ISMS. Jedoch zeigt sich in vielen Projekten, dass diese Schwerpunktmaßnahmen in moderner Sekundärtechnik anzuwenden sind, um den Stand der Technik bezüglich Sicherheit umzusetzen“, fasst der Produktmanager zusammen.

Sicherheit in Bestandsanlagen

Die Umsetzung grundlegender Sicherheitsmaßnahmen stellt Betreiber besonders bei der Betrachtung von Bestandsanlagen vor große Herausforderungen. Sekundärtechnische Geräte werden zumeist mit einer Lebensdauer von 15 bis 20 Jahren betrieben. Daraus ergibt sich, dass eine Vielzahl der aktuell im Feld befindlichen Systeme einerseits bereits mehrere Jahre alt sind und somit womöglich die notwendigen Sicherheitsfunktionen noch nicht unterstützen, andererseits aber noch viele Jahre betrieben werden sollen. Da deren Aktualisierung häufig nicht wirtschaftlich realisierbar ist (aufgrund notwendiger Neukonfigurationen, Anlagenprüfungen etc.), werden Alternativlösungen gesucht, um das Risiko in Bestandsanlagen zu reduzieren. Dr. Stephan Hutterer: „Häufige Ansätze betreffen hierbei etwa die netzwerktechnische Isolation beziehungsweise Abschottung solcher „Legacy-Systeme“, um deren Erreichbarkeit aus der Ferne zu sichern, den lokalen Betrieb aber fortführen zu können.“ In diesem Kontext entsteht die Notwendigkeit spezialisierter netzwerktechnischer Geräte, welche für die Domäne der Energieautomation geschaffen sind, und mit deren Hilfe die beschriebenen wichtigsten Sicherheitsmaßnahmen auch für Bestandsanlagen umsetzbar sind. Hier setzt das SPRECON Security Gateway an.

Konzept Security Gateway. Foto: Sprecher Automation GmbH

SPRECON Security Gateway

Das Konzept eines Security Gateways kann vereinfacht dargestellt als gesicherter, zentraler und spezialisierter Zugangspunkt für energietechnische Anlagen beschrieben werden. Dies wird exemplarisch in Abbildung 1 gezeigt. Jeder Netzwerkzugriff auf sekundärtechnische Geräte wird über dieses Gateway geführt. Dieses agiert dabei als „Deny- by-Default“ Firewall, welche sämtlichen nicht ausdrücklich erlaubten Datenverkehr blockiert. Durch ein integriertes RBAC (Role- Based Access Control) Konzept kann zusätzlich eine logische Zugriffssicherung auf alle unterlagerten Geräte umgesetzt werden. „Somit erhalten nur korrekt am Gateway authentifizierte Benutzer auf die für sie freigegebenen Geräte Zugriff über das Netzwerk, wodurch ebenfalls Fernwartung etwa durch externe Dienstleister sicher abgewickelt werden kann“, erläutert Dr. Stephan Hutterer. Über diesen zentralen Zugriffspunkt können somit auch sämtlicher Vorgänge analysiert werden (Stichwort Security Monitoring). Zusätzlich kann es als Endpunkt für verschlüsselte Verbindungen direkt nahe an den Feldkomponenten platziert werden, um Manipulationsfreiheit, Vertraulichkeit und Authentizität von kommunizierten Daten über Weitbereichsnetze sicherzustellen. Da dieses Gateway somit auf netzwerktechnischer Ebene vor zu schützenden Systemen installiert wird, müssen diese sekundärtechnischen Bestandssysteme nicht verändert, rekonfiguriert oder funktionell neu geprüft werden – die Einführung grundlegender Sicherheitsmaßnahmen kann so mit maximaler ökonomischer Effizienz erreicht werden. Wird dieses Konzept auf die Domäne der Stationsautomatisierung projiziert, kann dieser Ansatz wie in Abbildung 2 beschrieben werden.

Das Gateway wird somit an der netzwerktechnischen Grenze zwischen dem lokalen Stationsnetzwerk und den umgebenden Netzwerken – und so auch an der Zonengrenze – eingesetzt. Dieses kann somit etwa die zum SCADA-System übermittelten Prozessdaten verschlüsseln, aber ebenfalls sämtliche Fernwartungszugriffe in die Station steuern, überwachen und etwaige Security- Monitoring-Systeme mit Informationen versorgen. Die lokale Anbindung serieller Legacy-Geräte in der Station an das Gateway ermöglicht zusätzlich den sicheren Fernzugriff auch auf solche Systeme.

Gegenüber Automatisierungs- oder Schutzgeräten wird das Gateway funktionell eindeutig dadurch abgegrenzt, dass dieses keinerlei Steuerungslogik oder Signalverarbeitung übernimmt. Insofern kann es wesentlich einfacher und somit regelmäßiger mit Patches aktualisiert werden, da es keine kritischen Steuerungsaufgaben übernimmt. Dieser Gedanke bringt somit wesentliche Vorteile in der Lebenszyklusbetrachtung sicherer Anlagen. In diesem Sinne kann Patchmanagement und Softwareaktualisierung auf außenliegende Netzwerkschichten (wie etwa das Security Gateway) verlagert werden, um dadurch innenliegende Schichten zu sichern und deren Patchintervalle zu verlängern.

Kontakt: Sprecher Automation GmbH, Dr. Stephan Hutterer, A-4020 Linz, T: +43 732 6908-0, stephan.hutterer@sprecher-automation.com

Lesen Sie auch: