Sichere Energieversorgung
Die Energieversorgung, wie auch viele andere Bereiche unseres täglichen Lebens, ist heute extrem von Informationstechnologie abhängig. Ohne schnell reagierende Leitsysteme kann eine kontinuierliche Energieversorgung mit hoher Qualität nur schwer sichergestellt werden. Durch den intensiven Einsatz von Computersystemen ergeben sich aber auch neue Bedrohungsszenarien: Energieversorger sind oft täglich mit Cyber-Angriffen konfrontiert.
In den letzten beiden Jahrzehnten haben sich die Anforderungen an die elektrischen Transport- und Verteilnetze stark verändert. Der grenzüberschreitende Leistungsaustausch auf der Transportnetz-Ebene ist deutlich angestiegen. Die zunehmende Durchdringung des Netzes mit Leistungseinspeisung auf Basis erneuerbarer Energieträger erfordern neue, schnell reagierende Lösungen. Diese ermöglichen einen - sowohl auf der Transport- als auch auf der Verteilnetzebene - verlustminimierten Betrieb, der die vorhandenen Betriebsmittel optimal ausnutzt und Investitionen in die Infrastruktur optimiert. Im Kern basieren diese Lösungen auf dem Einsatz innovativer Informations- und Kommunikationstechniken.
Die Kommunikationstechnik ist, wie uns die Erfahrung der letzten Jahre deutlich vor Augen führt, oft verletzlich und lädt zu Angriffen ein. Eine Absicherung der kritischen Infrastrukturen – und dazu zählt die Energieversorgung – ist deshalb zwingend notwendig und seit einigen Jahren auch durch den Gesetzgeber vorgeschrieben.
Im deutschsprachigen Raum hat sich der Begriff „IT Sicherheit“ durchgesetzt. Netzleitsysteme gehören aber üblicherweise nicht zur IT, sondern zur OT (operational technology). Gartner definiert: „OT ist Hardware und Software, die eine Änderung durch die direkte Überwachung und/oder Kontrolle von physikalischen Geräten, Prozessen und Ereignissen im Unternehmen erkennen oder verursachen.“ Aus diesem Grund hat sich international der Begriff „Cyber Security“ durchgesetzt; darunter werden IT- und OT-Systeme subsumiert.
Die Sicherheit in verbundenen Systemen ist immer begrenzt durch das System mit den geringsten Sicherheitseigenschaften. Deshalb ist es notwendig, dass die eingeführten Sicherheitssysteme gemeinsamen Vorschriften – Normen – folgen. Werden sie konsequent angewendet, stelle sie einen Mindeststandard sicher.
Weltweit haben sich zwei Normen-Familien zur Informationssicherheit von Leitsystemem durchgesetzt: NERC CIP (North American Electric Reliability Corporation Critical Infrastructure Protection) und ISO 27001 mit den entsprechenden Best Practices bzw. Umsetzungsvorschriften.
Welche Norm zur Anwendung kommt, ist mehr oder weniger von der geografischen Lage der Unternehmen abhängig. Beide Systeme beschreiben die notwendigen Maßnahmen zur Absicherung der kritischen Infrastruktur. Die NERC-Normen sind dabei mehr prozessual, die ISO-Normen mehr technisch geprägt. Jedoch sind die technischen Anforderungen beider Normen im Wesentlichen zumindest sehr ähnlich, im Allgemeinen sogar gleich.
In Deutschland und Österreich hat sich die ISO 27001-Familie über das BDEW/OE-Dokument als Basis für Cyber-Security-Maßnahmen durchgesetzt. Im Verhältnis Leitsystemlieferant-Kunde und Kunde-Regulator wird üblicherweise diese Interpretation als Basis für Audits verwendet. Die Durchführung solcher Audits erfolgt im Allgemeinen durch unabhängige Berater oder Prüforganisationen.
Die im Umfeld der Leittechnik für elektrische und Querverbundleitsysteme eingesetzten Produkte der PSI (PSIcontrol, PSIcommand, PSIprins, PSIgridmobile, PSIsaso, PSIsmartcharging etc.) erfüllen die Anforderungen des aktuellen BDEW-Whitepapers ebenso wie der NERC-CIP Vorschriften umfänglich. Dabei ist die Cyber-Sicherheit bereits im Design berücksichtigt und nahtlos integriert. Ebenso erfolgt die Umsetzung der Designs in Software unter definierten Sicherheitsvorgaben, die schädliche Einwirkungen auf die Systeme während der Erstellung effektiv ausschließen.
Die in der Grundversion der Systeme verfügbaren Eigenschaften können aufgabenspezifisch durch weitere Pakete ergänzt werden, die vom Leitsystem bis in die Unterstation reichen können. Damit wird sichergesellt, dass kunden-, branchen oder regionsspezifische Anforderungen in den geforderten technischen Funktionsumfang integriert werden können.
Cyber Security ist heute ein umfassendes Aufgabenfeld geworden. Alleine die Dokumentation der Sicherheitscharakteristiken eines PSIcontrol Leitsystems sprengt den Umfang dieses Artikels bei weitem und erreicht Buchdimensionen. Daher wird im Folgenden nur schlaglichtartig auf einige Kerneigenschaften eingegangen.
Die wesentlichen Forderungen der Cyber-Security lassen sich in einigen Kernanforderungen zusammenfassen. Besonderes Augenmerk ist dabei auf solche Systemteile zu richten, die nicht direkt für den Betrieb kritischer Infrastrukturen konzipiert wurden. Hierzu zählen heute sicherlich die Hardware und die Betriebssysteme.
PSI-Systeme werden ausschließlich als „gehärtete Systeme“ ausgeliefert. Bei den Betriebssystemen wird eine Minimalinstallation verwendet, die – soweit technisch möglich – nur die betriebsnotwendigen Programme, Dienste und Services umfasst. Bei der Hardware werden zum Beispiel alle nicht notwendigen Schnittstellen softwaretechnisch (während der Parametrierung) blockiert und im Falle der Notwendigkeit durch geeignete Maßnahmen auch physisch blockiert.
Die Hardware und das Betriebssystem der PSI-Systeme stellen genau die Dienste und Services zur Verfügung, die vom Anwendungssoftwaresystem benötigt werden. Abhängig vom Betriebssystem müssen dabei ggf. Kompromisse eingegangen werden. Der Auswahl der Hardware und des Betriebssystems kommen daher besondere Bedeutung zu.
PSI setzt im Allgemeinen Standard i86 Hardware und Linux-Betriebssysteme ein. Letztere lassen sich im Vergleich zu anderen marktüblichen Betriebssystemen (die mehr die „Büro-Welt“ im Blick haben) optimal an die Sicherheitsbedürfnisse kritischer Infrastrukturen anpassen.
Nicht nur James Bond kennt das „Need-to-know-Prinzip“, auch in der Cyber-Security ist es zuhause. PSI-Systeme wenden die Strategie des „Minimal-Need-to-Know“-Prinzips ebenso an. Dies erfordert eine rollenbasierte Benutzerverwaltung, die den Zugang zu Daten und Funktionen steuert. Die Anmeldung erfolgt typischerweise über eine 2-Faktor-Authentifizierung, basierend auf einem Passwort und einem weiteren Kriterium (z.B. Code-Karte oder Code-Geber).
Die Benutzerverwaltung der PSI-Systeme nutzt das weltweit genutzte LDAP-System als Basis für „RBAC“ („role based access control“). Dieses System erlaubt dem Systemadministrator über eine komfortable Benutzeroberfläche einen Benutzer mit Rollen zu assoziieren, die damit die Zugriffsrechte mit der benötigten Granularität zu steuern.
An dieser Stelle sei auch noch darauf hingewiesen, dass es natürlich eine Rolle spielt, von wo auf die Daten und Funktionen eines Systems zugegriffen wird. Der oben bereits angesprochene James Bond würde auch keine Geheimnisse aus einer Telefonzelle unter Nutzung einer „nicht sicheren Leitung“ ausplaudern – wie wir aus dem Kino, sozusagen „aus erster Hand“ wissen.
Einzelne zentrale LDAP-Instanzen bergen die Gefahr, dass durch Ausfall der zentralen Server ein Login nicht mehr möglich ist. Aus diesem Grund verwendet PSI parallele, automatisch replizierte Instanzen des LDAP-Systems, die sicherstellen, dass ein Login auch dann möglich ist, wenn die Zentrale ausnahmsweise nicht erreichbar sein sollte. Dabei werden die systemimmanenten Eigenschaften des verteilten PSIcontrol-Systems mit seiner einzigartigen Fehlertoleranz voll unterstützt.
Bereits im Mittelalter halfen beim Bau von Burgen ausgeklügelte Techniken dabei, dass Angreifer kein leichtes Spiel hatten. Die Festungsbauer nutzten definierte Verteidigungszonen, um das Innere der Burg – den Burgfried – optimal zu schützen. Zwischen den Burgbereichen ermöglichten gesicherte Übergänge den Wechsel von einer Zone in die andere. Nur durch – bewachte – Tore war der Zutritt von einem in den anderen Burgteil möglich.
Dasselbe Prinzip machen sich heute moderne Systeme zu eigen. Um das Eindringen Unberechtigter in das System zu verhindern und gleichzeitig die vielfältigen Kopplungsaufgaben moderner Leitsysteme gerecht werden zu können, sind PSI-Systeme in verschiedene Sicherheitszonen aufgeteilt, die durch Firewalls untereinander und zur Außenwelt abgesichert sind.
PSI-Systeme sind dabei in eine (oder bei verteilten Systemen auch mehrere) „Kern-Zone(n)“ und „De-Militarisierte Zone(n)“ (DMZ) aufgeteilt. Die Kernzone darf keine direkte Verbindung zur Außenwelt haben. Alle Verbindungen terminieren in einer DMZ und werden zur Informationsweiterleitung über andere Verbindungen geschleust.<pr>Zusätzlich zu den Firewalls zur Absicherung der zonenübergreifenden Kommunikation laufen, entweder auf der Firewall direkt oder als eigenständige Systeme „Intrusion Detection“ und „Intrusion Prevention“- Systeme (IDS/IPS). Sie erkennen und verhindern das Eindringen in die Systeme. Ergänzend zu den zonenbegrenzenden Firewalls sind host-basierte Firewalls auf allen Servern aktiv.
Die Überwachung und Steuerung von Versorgungsprozessen erfolgt heute im Wesentlichen durch Fernwirkunterstationen über Weitverkehrsnetze. Zur sicheren Kommunikation können hier die IEC-104 Proxy-Systeme zum Einsatz kommen. Sie stellen neben der Proxy-Funktion auch die Funktionen eines „Next Generation Firewalls“ zur Verfügung.
Die Kommunikation mit den Unterstationen auf IEC 60870-5-104 Basis kann über IPsec-Tunneling oder IEC 62351-3-abgesicherte Verbindungen erfolgen.
Die empfangenen Nachrichten werden einzeln analysiert („Deep Package Inspection“) und zur Weiterverarbeitung (also auch der Weiterleitung) zur Verfügung gestellt. Damit ergibt sich eine erhöhte Sicherheit, da ausschließlich bekannte Telegramme einer Weiterverarbeitung zugeleitet werden. Parallel dazu ist ein (D)DoS-Schutzmechanismus implementiert.
PSIcontrol ist als „verteiltes Leitsystem“ konzipiert. In vielen Fällen arbeiten solche Systeme an mehreren Standorten, die durchaus hunderte von Kilometern voneinander entfernt sein können. Die Kommunikation zwischen den Standorten erfolgt über IPsec-Tunnel mit Verschlüsselung.
Kritische Infrastrukturen verlangen bei auftretenden Problemen eine schnelle Reaktion des Betreibers und des Herstellers. Die 24-Stunden-Bereitschaft nutzt in kritischen Situationen einen „Fernwartungszugang“, der es ermöglicht das Leitsystem zu beobachten, Vorgänge zu analysieren und notfalls helfend einzugreifen. PSI betreibt hierfür ein eigenes Fernwartungssystem, das den erhöhten Sicherheitsanforderungen kritischer Infrastrukturen gerecht wird. Der Zugang zu den Systemen kann ausschließlich in Absprache mit den Systemadministratoren des Kunden vor Ort erfolgen und wird ausschließlich durch sicherheitsüberprüftes Personal geleistet.
Cyber-Security-Konformität impliziert auch, dass die Systeme einer kontinuierlichen Verbesserung im Sinne der Behebung erkannter Probleme unterliegen. Der „Update-Service“ stellt sicher, dass alle bekannten Probleme des Systems bereinigt werden – unabhängig davon, von welchem Kunden das Problem gemeldet wurde.
Zu diesem Zweck werden „Patches“, d.h. inkrementelle Änderungen an der installierten Software zur Verfügung gestellt. Patches schließen neben der Anwendersoftware natürlich auch das Betriebssystem sowie evtl. genutzte Software Dritter (z.B. relationales Datenbankmanagement-System) mit ein.
Alle PSI Systeme verfügen aus diesem Grund heute über einen „Install, Configure and Patch-Server“ (ICP). Damit werden die Anforderungen des BDEW-Whitepapers sowie des NERC-CIP abgedeckt. Für jedes System wird vor Ort und bei PSI das komplette Anwendersystem einschließlich der notwendigen Parameter in einer Versionsverwaltung vorgehalten. Dadurch ist es möglich, neue Software-Versionen zu erstellen, zu installieren und, bei Bedarf, auf ältere Versionen (die in einem Repository gespeichert werden können) zurückgreifen zu können. Der ICP stellt sicher, dass alle Systeme eines Typs (z.B. Arbeitsplatz oder Datenbankrechner) immer absolut gleichartig installiert sind. Selbst die Reihenfolge der Patch-Einbringung ist gleich. Dies erleichtert im Notfall die Fehleranalyse und beschleunigt die Fehlerkorrektur.
Die gesamte Strecke, von den Repositories der PSI über den Versand und Einbringen in das lokale Versionsmanagement-System bis hin zur Installation, geschieht über gesicherte Kommunikation. Eine vollständige „Chain of Custody“ mit Absicherung der einzelnen Transaktionen wird dabei standardmäßig sichergestellt.
Über die Anforderungen des BDEW-Whitepapers hinaus sind zusätzliche Schutzmechanismen möglich. Diese sind in der PSIsecure Erweiterung verfügbar.
Systeme wie Virenscanner arbeiten immer in der Vergangenheit, d.h. sie suchen nach kritischen Mustern. Sind solche Muster nicht erkannt (weil es sich zum Beispiel um neue Schadsoftware handelt), müssen andere Maßnahmen getroffen werden. „Application Whitelisting“ ist eine solche Maßnahme. Beim Whitelisting werden ausschließlich bekannte und gegen definierte Kriterien erfolgreich geprüft Programme und Dateien zugelassen.
Alle in Bezug auf Cyber-Security relevanten Meldungen und Ereignisse werden in den PSI-Systemen protokolliert. Die Protokollierung erfolgt in Form von „Dokumenten“, die nicht geändert werden können. Bei großen – oder mehreren– Systemen kann es sinnvoll sein, die Sicherheitsmeldungen zu verarbeiten und daraus Schlüsse auf Angriffsverhalten zu ziehen und Gegenmaßnahmen zu initiieren. Das „Security Information and Event Management“ (SIEM) ist solch eine zentrale Plattform für die Sammlung, Erkennung, Aufbereitung und Berichterstattung von Security-Events. Das in PSIsecure integrierbare SIEM umfasst Funktionen wie zentrale Datensammlung, Korrelation und Alarmierung, Reporting, Archivierung und Compliance-Prüfung.
Firewalls regeln den Datenverkehr. Dieser einfache Regelmechanismus wird durch den Einsatz von Next-Generation Firewalls erheblich erweitert. Next-Generation Firewalls analysieren den Datenverkehr vollständig. Die Analyse basiert auf einer „Deep Package Inpection“, die bereits oben im Zusammenhang mit dem IEC 104 Proxy angesprochen wurde. Es sind dadurch z.B. Regeln auf Applikations- und sogar Benutzer-Ebene möglich. PSIcontrol unterstützt diese Prüfung durch klar dokumentierte Datenformate.
Klar ist aber auch, dass es keine „finale Cyber-Security-Maßnahme“ geben kann und wird. Absolute Sicherheit ist nicht möglich. Der Kampf zwischen Angreifer und Verteidiger ist ein kontinuierlicher. Unterbrechungen sind typischerweise nur temporär. Kontinuierliche Verbesserungen sind in diesem Kopf-an-Kopf-Rennen notwendig und sichern den Schutz der Leitsysteme und der gesamten IT Infrastruktur ab.
Die Sicherheit der Systeme zu gestalten, zu verbessern und auch über lange Zeit hinweg zu gewährleisten, ist heute eine Kernaufgabe für Leitsystemhersteller. Dieser Aufgabe stellt sich PSI mit ihrem Pool an Cyber-Security-Spezialisten und legt die Grenzen des Machbaren immer weiter nach vorne.
Dr. Michael Wolf
Telefon: +49 6021 366-720
miwolf@psi.de
IT-Sicherheit Erweiterungspaket PSIsecure
Zeitschrift für Energieversorger