26.10.2022 – Der Lösungsanbieter für Cybersicherheit Rhebo veröffentlicht eine Erweiterung seiner OT-Überwachungs- und Anomalieerkennungskomponente der Rhebo OT Security Lösung. Die Version 3.3 des Rhebo Industrial Protector ermögliche eine schnelle und umfassende Gefahren- und Angriffserkennung in elektrischen Schaltanlagen sowie der Netzleit- und Fernwirktechnik (Operational Technology, OT). Das Update soll die OT-Anomalie-Erkennung der Lösung um Whitelisting-Funktionen ergänzen, die durch Nutzung der IEC 61850-Umspannwerksbeschreibung ermöglicht werden.
Die Norm IEC 61850 definiert Kommunikationsprotokolle für intelligente elektronische Geräte (IED) in elektrischen Schaltanlagen. Damit stellt die Norm die Interoperabilität zwischen verschiedenen IEDs auf der Protokoll- und Datenmodellebene sicher und deckt die Bedürfnisse der Stationsautomatisierung dezentraler Energiesysteme ab. Das Herzstück der Norm ist die sogenannte Substation Configuration Description Datei, kurz .scd. Diese Datei fungiert als digitaler Zwilling eines Umspannwerks und der zugehörigen elektrischen Infrastruktur und dokumentiert die gesamte zulässige Kommunikation zwischen IEDs.
Cyber-Angriffe schneller erkennen
Ab Version 3.3 unterstütze Rhebo die IEC 61850 .scd-Dateien als Mittel zur Konfiguration seiner OT-Überwachungs- und Anomalieerkennungskomponente Rhebo Industrial Protector. Da die .scd-Datei die gesamte legitime Kommunikation in einer Schaltanlage beschreibt, meldet die Anomalieerkennung nach dem Import der Digitalen-Zwillings-Datei nur den IEC 61850-Datenverkehr, z. B. über die Protokolle MMS und GOOSE, der nicht in der Datei beschrieben ist. Alle dokumentierten Kommunikationen würden als legitim eingestuft und die in der .scd-Datei definierten Geräte oder Hosts werden der Host-Whitelist hinzugefügt.
Dadurch müssten Betreibende während der Lernphase des Systems zur Anomalie- und Angriffserkennung normale Ereignisse in der Schaltanlage nicht mehr manuell freigeben. „Dieses Update unserer OT-Anomalieerkennung spart den Betreibern kritischer Infrastrukturen wertvolle Zeit“, erklärt Rhebo-Produktmanager Jérome Arnaud und ergänzt. „Darüber hinaus sorgt die Nutzung der Digitalen-Zwillings-Datei des Umspannwerks dafür, dass die Zahl der falsch-positiven Ereignismeldungen auf ein Minimum reduziert wird, da es sich bei den gemeldeten Ereignissen definitiv um eine Abweichung handelt, die Aufmerksamkeit erfordert.“
Typische Beispiele für abweichende Kommunikationen, die in Echtzeit gemeldet werden, sind unbekannte Host-Kommunikation oder ungültige GOOSE- oder MMS-Datenpakete. Beides kann auf potenzielle Cyberangriffe oder Fehlkonfigurationen hinweisen, die die kritischen Dienste bedrohen. GOOSE und MMS sind Industrieprotokolle, die Rhebo zufolge anfällig für Manipulationen und insbesondere „Man-in-the-Middle-Angriffe“ sind.
Anomalieerkennung bleibt unverzichtbar
Die IEC61850-spezifische Funktion ist ein Add-on zur grundlegenden OT-Monitoring- und Anomalieerkennungskomponente von Rhebo. „Whitelisting allein ist nicht ausreichend für eine nahtlose Sicherheitsarchitektur kritischer Infrastrukturen“, warnt Jérome Arnaud und führt aus. „Denn für Betreibende kritischer Infrastrukturen ist es im Alltag nicht nur eine Herausforderung, die Aktualität der referenzierten .scd-Datei sicherzustellen, sondern auch Inkonsistenzen aufgrund des komplexen IEC 61850-Konfigurationsworkflows zu vermeiden.“
Inkonsistenzen in Echtzeit erkennen
Die zweite Herausforderung bezieht sich auf den komplexen IEC 61850-Modellierungsworkflow, bei dem die Konfigurationsdateien oft hunderter IEDs mehrfach zwischen verschiedenen Konfigurationswerkzeugen hin- und hergeschickt werden, um schließlich die .scd-Datei für die Schaltanlage zu erhalten. Aufgrund der Komplexität dieses immer wiederkehrenden Prozesses kann es zu Inkonsistenzen kommen, die den fehlerfreien Betrieb der kritischen Infrastrukturen gefährden. Sowohl Verzögerungen bei der Aktualisierung als auch Inkonsistenzen können zu Sicherheitslücken führen, die Angreifer auszunutzen wissen. Weiterhin können technische Fehlerzustände entstehen, welche die Prozessstabilität gefährden. »Die Anomalieerkennung stellt sicher, dass jede Inkonsistenz oder jedes bösartige Verhalten innerhalb der IEC 61850-Infrastruktur, das nicht durch das Whitelisting abgedeckt ist, in Echtzeit erkannt wird«, ergänzt Arnaud.
Die Kombination aus der IEC 61850 Whitelisting-Funktion und der OT-Anomalieerkennung soll Betreibern helfen, ihre elektrische Infrastruktur effektiver gegen Cyberangriffe und betriebliche Bedrohungen zu schützen. (ds)