20.06.2024 – Höchste Anforderungen an Verfügbarkeit und Sicherheit setzen die Betreiber von Netzleitwarten aktuell unter Druck. BTC hat eine cloudbasierte Lösung entwickelt, die einen gesicherten Fernzugriff ermöglicht.
Als zentrale Überwachungs- und Steuereinheiten sind die Leitwarten der Netzbetreiber quasi das „Gehirn“ des Versorgungsnetzes: Rund um die Uhr werden hier die Funktionsdaten aus Betriebsmitteln überwacht, externe Störungsmeldungen entgegengenommen und Maßnahmen ergriffen, um im Störungsfall zügig Abhilfe zu schaffen – oftmals über alle Versorgungssparten hinweg, vom umgestürzten Baum auf der Stromleitung über das Leck im Gasrohr bis hin zum Defekt am örtlichen Wärmekraftwerk. In den Stromnetzen wird die Arbeitsbelastung in der Leitstelle perspektivisch steigen: Mit den steigenden Anschlusszahlen regenerativer Einspeisung und insbesondere regelbarer Verbraucher fallen künftig auch in der Niederspannung zunehmend komplexe Überwachungs- und Steuerungsaufgaben an.
Steigende Sicherheitsanforderungen
Unter diesem Aspekt ist die Leitwarte wohl einer der sicherheitskritischsten Punkte in den Versorgungsnetzen und wird seit jeher besonders geschützt. Im Zuge der Digitalisierung und steigender Risiken für Cyberkriminalität gilt dies natürlich speziell auch für die eingesetzten Software-Systeme. Betreiber Kritischer Infrastrukturen sind gemäß §8a BSI-Gesetz (BSIG) verpflichtet, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind“. Diese Regelung gilt natürlich auch und insbesondere für die Leitwarten. Stichtag für den Nachweis der entsprechenden Maßnahmen war der 1. Mai 2023 mit einer Übergangszeit von zwei Jahren.
Organisatorische Herausforderungen
Maurice Grassee aus dem Vetrieb Energiewirtschaft der BTC AG verweist in diesem Zusammenhang auf einen weiteren Aspekt, der neben rein technischen Sicherheitsmaßnahmen für den zuverlässigen Betrieb der Leitwarte unverzichtbar ist: „Man sollte nicht vergessen, welche besonderen personellen Anforderungen in der Leitwarte zu erfüllen sind – allem voran hohe Präsenz, auch an Wochenenden und Feiertagen oder in der Nacht.“ Das sei mit der immer dünneren Personaldecke der Netzbetreiber und den Bedürfnissen der Beschäftigten oft nur noch schwer vereinbar. „Für viele Netzbetreiber ist der sichere Betrieb der Leitwarte vor dem Hintergrund des Fachkräftemangels heute schon die Quadratur des Kreises.“
Virtuelle Leitwarte
Mit der Lösung beschäftigt sich die BTC AG schon seit einiger Zeit: „Bereits während der Corona-Pandemie fragte ein Kunde aus der Energiebranche, ob es nicht Möglichkeiten gäbe, die Leitstelle remote zu betreiben“, berichtet Grassee. BTC nahm sich des Themas an, seit Herbst 2023 ist die virtuelle Leitwarte für KRITIS-Unternehmen am Markt verfügbar. „Zentrale Bausteine sind dabei Microsoft Azure und Azure Virtual Desktop, sowie ZScaler-Komponenten“, erklärt René Sokoll, Solution Architekt bei BTC.
Die cloudbasierte Lösung ermöglicht es – unabhängig von der im Einzelfall verwendeten Leitstellen-, Monitoring- und Steuerungs- software – die anstehenden Aufgaben jederzeit und von jedem Ort zu erledigen. „Da die Anwendung auf unterschiedliche Cloud-Regionen – zu Deutsch: verschiedene Rechenzentren – verteilt werden kann, ist eine sehr hohe Verfügbarkeit garantiert“, betont Sokoll, der die Sorgen der KRITIS-Kunden um Server-Ausfälle gut nachvollziehen kann.
Gleichzeitig sorge die Cloud für hohe Skalierbarkeit. Dadurch sei es zum Beispiel möglich, auch dann sofort betriebsbereit zu sein, wenn die eingeteilte Präsenzkraft ausfällt, erläutert der BTC-Experte: „Auch die Zusammenlegung von Leitstellen oder der Leitstellenbetrieb als Dienstleistung ist auf diese Weise mit sehr überschaubarem Aufwand realisierbar.“
Unabhängig davon erlaubt die virtuelle Leitstelle moderne, flexible Arbeitsformen, die bislang für die Mitarbeiter:innen schlicht nicht realisierbar waren und heute definitiv ein wichtiges Argument für die Gewinnung neuer Fachkräfte sind. „Natürlich haben wir bei der Ausgestaltung auch großen Wert auf eine einfache, komfortable Benutzerführung gelegt“, ergänzt der BTC-Verantwortliche.
Eingebaute Sicherheit
Doch so überzeugend die Vorteile für die Beschäftigten auch sein mögen – bei einem solch kritischen Prozessfeld gilt es, höchste Anforderungen an die Sicherheit und die gesetzlichen Vorgaben zu erfüllen – insbesondere unerlaubte Zugriffe müssen zuverlässig ausgeschlossen werden. Daher hat die BTC AG als mehrfacher Microsoft Lösungspartner ganzheitliche Sicherheitslösungen integriert, um KRITIS-Anforderungen nach §8a BSI-Gesetz – BSIG zu erfüllen.
Die Kernkomponenten sind dabei zum einen ein durchgängiges Zero-Trust Prinzip – ein Sicherheitskonzept, das davon ausgeht, dass kein Benutzer, Gerät oder Netzwerk von Natur aus vertrauenswürdig ist. Zum anderen wurde auf allen Ebenen eine passwortlose Authentifizierung durch FIDO 2 implementiert. Der Begriff FIDO steht für Fast Identity Online. Die innovative Technologie kombiniert einen privaten Schlüssel auf dem eingesetzten Gerät, der bei jedem Zugriff auf die Webanwendung verifiziert wird, mit einer Identitätsprüfung per Biometrie oder einem anderen zweiten Faktor. „Damit ist mit einem einfachen Stick von jedem Endgerät eine sichere und phishing-resistente Anmeldung ohne Passwort möglich“, erläutert René Sokoll die Vorzüge. Gleichzeitig erleichtere dieses Verfahren den Zugang für die Beschäftigten. Ein differenziertes Rechtekonzept sorgt dafür, dass die Mitarbeiter:innen tatsächlich nur auf die Funktionen zugreifen, die in ihrem Zuständigkeitsbereich liegen. Im Hintergrund überprüft die Lösung permanent, ob die Regeln eingehalten werden, und unterbindet Verstöße automatisch.
Erweitert wird dies durch die Anbindung der BTC-eigenen SIEM & SOC-Services. „Durch die ganzheitliche 24/7 Angriffserkennung, kontinuierliche Analyse der Infrastruktur auf Schwachstellen und Einleitung abgestimmter Incident Response Verfahren, sowie Mitigations- und Behebungsmaßnahmen stellt BTC auch die sichere Betriebsführung der Leitwarte sicher“, führt Solution Architekt Sokoll aus.
Die Bestätigung für das Konzept kam jüngst vom Bundesamt für Sicherheit in der Informationstechnik (BSI): Die KRITIS Leitwarte der BTC wurde offiziell im Rahmen eines Kundenprojektes von den Auditoren des BSI nach §8a BSI-Gesetz – BSIG abgenommen und der weitreichende Lösungsansatz dieser Leitwarte bestätigt. (pq)