Suchen

Intelligente Stromnetze

Intelligente Geräte für das Stromnetz – aber wie sicher sind sie?

| Autor/ Redakteur: Alessandro Di Pinto / Linda Bergmann

Der höchste Entwicklungsstandard einer Anlage hat nur so viel Wert wie ihre schwächste Security-Lösung. Das ist bei Stromnetzen nicht anders. Die IEC 62351-Norm gibt einen Überblick über Angriffsformen und Möglichkeiten, die Cyber-Resilienz der Netze zu stärken.

Firmen zum Thema

Die IEC 62351-Norm bietet einen Leitfaden, um verschiedene Angriffsformen auf Energienetze identifizieren und schützen zu können.
Die IEC 62351-Norm bietet einen Leitfaden, um verschiedene Angriffsformen auf Energienetze identifizieren und schützen zu können.
(Bild: gemeinfrei / Pixabay)

Kritische Infrastrukturen, und zu diesen zählen intelligente Stromnetze, sind so komplex wie gleichzeitig fragil und angreifbar. Das liegt an der Vielzahl beteiligter Komponenten, die erst einen reibungslosen Betrieb gewährleisten. Dazu zählen beispielsweise Fernbedienungsterminals (Remote Terminal Units oder kurz RTU), speicherprogrammierbare Steuerungen (SPS), Feldgeräte und verschieden Arten von Netzteilen. Man fasst diese Geräte üblicherweise unter dem Überbegriff „IED“, intelligente elektronische Geräte, zusammen. Will man Sicherheit gewährleisten, gilt es sämtliche dieser Komponenten ununterbrochen zu überwachen, um Anzeichen für einen möglichen Angriff frühzeitig zu erkennen und die Vorgänge richtig einzuordnen.

Die IEC 62351-Norm (Deutsche Fassung EN 62351-7:2017) zur Überwachung industrieller Netzwerke bietet ein gutes Rahmenwerk, um vier unterschiedliche Angriffsformen besser identifizieren zu können, die gemeinhin als eher schwer zu erkennen gelten. Hilfereich sind zudem neuartige Ansätze, um den Status aller inventarisierten Systeme zu überwachen, Bedrohungen schneller zu erkennen und so die Cyber-Resilienz der Netze insgesamt zu stärken.

Cyber-Sicherheit für Stromnetze: State of the Art

Bis vor kurzem haben Versorgungsunternehmen sich in erster Linie darauf konzentriert, Geräte zu implementieren und zu betreiben, welche die Verfügbarkeit der Stromnetze garantieren.

Zudem hat die Branche traditionell die unternehmerische und die IT-Seite vom eigentlichen Betrieb des Stromnetzes getrennt. Man hat sich darauf fokussiert, das Stromangebot zuverlässig und ohne große Schwankungen bereitzustellen. Zudem waren die Netze von Energieversorgern isoliert vom Zugriff auf/über das Internet. Diese lange Zeit gültigen Faktoren haben nicht unwesentlich zu der Einstellung beigetragen, das Cyber-Risiko als eher gering einzuschätzen.

Nicht zuletzt durch einige spektakuläre Angriffe auf Stromnetze und die rasante technologische Weiterentwicklung hat sich die Situation innerhalb der letzten zehn Jahre allerdings dramatisch verändert.

Um ihre Effizienz zu verbessern und den wachsenden (und sich verändernden) Kundenanforderungen gerecht zu werden, haben Kraftwerksbetreiber IT- und OT (Betriebstechnologie)-Systeme und -Teams integriert. Die verbesserte Konnektivität bietet etliche geschäftliche Vorteile, setzt das Stromnetz jedoch einem deutlich höheren Cyber-Risiko aus.

Angreifer, so genannte Threat Actors, haben die Gunst der Stunde erkannt und genutzt. Die Angriffe auf kritische Infrastrukturen, insbesondere auf den Energiesektor, mehren sich. Hacker profitieren dabei zusätzlich von im Internet frei verfügbaren Malware-Baukästen, die sich auch mit wenig Spezialwissen nutzen lassen.

Das Risiko steigt. Bereits zum zweiten Mal in Folge listet das Weltwirtschaftsforum Cyberangriffe auf kritische Infrastrukturen unter die fünf größten globalen Gefahren. Der Global Risk Report 2019 hebt hervor, dass ein Angriff auf das Elektrizitätssystem eines Landes potenziell verheerende Auswirkungen haben könnte.

Energieversorger haben auf die wachsenden Gefahren reagiert und in ICS-Sicherheitslösungen investiert, die mehr Transparenz schaffen und besser vor Angriffen schützen sollen.

Solche Lösungen verwenden normalerweise eine passive Netzwerküberwachung um Bedrohungen zu erkennen, Systeme zu identifizieren und den Sicherheitsstatus zu beurteilen.

Dazu wird eine Appliance an mehrere passive Monitoring-Ports angeschlossen. Sie analysiert den Netzwerkverkehr, ohne neue Pakete in das System einzufügen, und stellt sicher, dass kritische industrielle Prozesse dadurch nicht beeinträchtigt werden. Diesen Ansatz zur passiven Überwachung kann man durchaus als Quantensprung bei der Sicherheit für kritische Infrastrukturen verstehen. Es ist aber ein Ansatz mit natürlichen Grenzen. Beispielsweise muss man auf wertvolle Informationen zum eigentlichen Systemstatus verzichten. Ebenso auf verlässliche Schwachstellenbewertungen. Zudem erfordern Art und Umfang der Bedrohungen für kritische Infrastrukturen mehr Effizienz beim Überwachen von Stromnetzen und Systemen.

Vier mögliche Angriffsszenarien auf Stromnetze und wie man sie erkennt

Die Norm IEC 62351 gibt einen Überblick über die Sicherheitsstandards in Energiemanagementsystemen und dem dazugehörigen Datenaustausch. Sie zeigt verschiedene Angriffsszenarien auf Stromnetze sowie Merkmale zur Früherkennung auf, um die vier Grundanforderungen - Vertraulichkeit, Datenintegrität, Authentifizierung und Unleugbarkeit – zu erfüllen.

1. Physische Angriffe wie das Abschalten von Sensoren oder Schaltern

Kommunikationsprotokolle gehören zu den wichtigsten Grundlagen industrieller Systeme. Die Protokolle sind für das Abrufen von Informationen aus den Feldgeräten ebenso zuständig wie für das Senden von Steuerbefehlen. Leider sind diese Kommunikationsprotokolle nur unzureichend gesichert, was den Schutz vor Fehlern, Gerätedefekten, aber auch vor Sabotage anbelangt. Andererseits sind kritische Infrastruktursysteme für das reibungslose Funktionieren ganzer Gesellschaften grundlegend. Deshalb hat das IEC Technical Committee 57, eine Gruppe, die sich mit Standards für Stromüberwachungssysteme befasst, bereits in den frühen 2000er-Jahren begonnen, sich auf das Thema Sicherheit für Stromnetze zu konzentrieren. Insbesondere darauf, wie man Stromnetze von Anfang an sicherer macht, wie etwa durch integrierte Sicherheit schon bei der Produktentwicklung. Ein unter dem Namen „Secure by Design" bekannter Ansatz. Um die Anforderungen aus technologischer Sicht zu evaluieren und Standards für die Umsetzung zu entwickeln wurde die Arbeitsgruppe 15 (WG15) gebildet. Die WG15 hat bereits eine Reihe von Vorschlägen gemacht, wie man innerhalb kritischer Infrastrukturnetzwerke sichere Kommunikationskanäle schafft. Daraus ist ein Standard entstanden, der sich in mehrere Teile gliedert, je nach dem, welches vorrangige Sicherheitsziel damit erreicht werden soll. Grundlegende Maßnahmen sind beispielsweise Verschlüsselung, Datenauthentifizierung, das Verhindern von Spoofing, die Einbruchserkennung und so weiter.

2. Ausfall der Stromversorgung durch einen Cyberangriff

Teil 7 der IEC 62351 definiert Datenobjekte, die genau die Informationen enthalten, die erforderlich sind, um folgende Verbesserungen umsetzen zu können:

  • Transparenz hinsichtlich aller Systeme, zum Beispiel Störungen bei Geräten im Feld oder der potenzielle Ausfall der Stromversorgung
  • Evaluierung des Systemstatus, zum Beispiel CPU- und Speicherauslastung
  • Bewertung der Systemsicherheit, zum Beispiel Watchdog, und des Status laufender Prozesse
  • Überblick über die aktuelle Netzwerksituation, zum Beispiel Links an Ethernet-Ports

IEC 62351-7 stützt sich auf weit verbreitete Management- und Automatisierungsprotokolle, wie SNMP, DNP3 und IEC 61850. Dadurch lassen sich wichtige System- und Netzwerkinformationen zuverlässig und sicher erfassen. Dieser Ansatz hat seinen Nutzen schnell unter Beweis gestellt. Angesichts dessen haben verschiedene Hersteller Firmware-Updates oder neue Geräte bereitgestellt, die diesem Standard entsprechen. Das sorgt für mehr Sicherheit direkt bei den angebotenen Produkten und es gewährleistet die Anwendung des IEC 62351-Standards in realen Szenarien.

3. RTU-Angriffe auf Basis von Kontaktplänen

Cyber-Sicherheitslösungen für Stromnetze, die mit IEC 62351-konformen Geräten interagieren, verbessern die Überwachung von Netzwerksicherheit und -zuverlässigkeit. Durch die bessere Überwachung des Systemstatus werden defekte oder überlastete Geräte erkannt und entsprechende Alarme ausgelöst. Dies geschieht, wenn zum Beispiel ein Gerät ausfällt. Ein solcher Alarm kann aber auch auf einen Cyberangriff hindeuten. Beides sind Notfallsituationen, auf die Betreiber unmittelbar reagieren müssen. Informationen zu internen Abweichungen und irregulären Bedingungen geben Technikern die Möglichkeit, Unfälle oder schwerwiegende Störungen zu verhindern. Vorkommnisse, die man sich bis dato nur schwer erklären konnte, werden jetzt mit internen Bedingungen in einen Zusammenhang gestellt, die unter Umständen schon über einen längeren Zeitraum hinweg für Irritationen gesorgt haben. Anhand des Netzwerkstatus wiederum lassen sich erweiterte Angriffe auf die interne Logik von Geräten erkennen. Ein Beispiel sind Kontaktplan-Angriffe. Dabei will der Angreifer das Verhalten eines industriellen Prozesses gezielt verändern. Änderungen in Kontaktplänen führen beispielsweise zu einer CPU-Überlastung oder einer hohen Speichernutzung des Geräts. Diese Vorkommnisse lösen einen Alarm aus aufgrund dessen man zeitnah nach den Ursachen suchen kann.

4. HMI (Human Machine Interface) Malware-Angriffe

Cyberangriffe haben potenziell physische Folgen, zum Beispiel Stromausfälle und Schäden an den Geräten. Erfolgreiche Angriffe auf ein bestimmtes Gerät haben ein hohes Schadens- und Gefahrenpotenzial, wenn sie nicht rechtzeitig erkannt und beseitigt werden. IEC 62351-7 bietet detaillierte Informationen zu Geräten, wie Netzteilen, und ermöglicht das frühzeitige Erkennen von Bedrohungen. Die Überwachung des Stromnetzes nach Norm IEC 62351-7 erlaubt das sofortige Er-kennen eines Malware-Angriffs auf eine HMI-Mensch-Maschine-Schnittstelle.

Zukünftige Sicherheit für intelligente elektronische Geräte im Stromnetz

Ein aktiver, aber risikoarmer Ansatz zur Überwachung von IEDs in Verbindung mit der Norm IEC 62351-7 ermöglicht eine präzise Überprüfung des Status industrieller Systeme. Dieser Ansatz identifiziert auch ansonsten schwer zu erkennende Bedrohungsszenarien.

Es ist dringend notwendig für mehr Sicherheit bei Stromnetzen zu sorgen. Reale Anwendungen der Norm IEC 62351 zeigen, dass aktuell Lösungen verfügbar sind, die eine umfassende Bedrohungserkennung erlauben und das zuverlässige Funktionieren von Smart Grids gewährleisten.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46194392)