PSI Blog

Security Proxy für sichere Energieversorgungsnetze

15.10.2018 - Energie, Technologie

Kritische Infrastrukturen schützen – Security Proxy für sichere Energieversorgungsnetze

Gegenwärtig müssen viele neue Erzeugungsanlagen an die Stromverteilnetze angeschlossen werden, die sich nicht mehr unter der vollständigen Kontrolle der Energieversorger befinden. Vielmehr werden sie über öffentliche Netze angebunden oder, wie bei erneuerbaren Energien, von Dritten betrieben. Für die Anbindung kommt dazu vorzugsweise das Protokoll IEC 60870-5-104 zum Einsatz.

Das allgemeine Übertragungsprotokoll IEC 60870-5-104 wird zwischen Netzleitsystemen und Unterstationen aber insbesondere auch für die Anbindung der erneuerbaren Energien im Stromverteilnetz eingesetzt. Die Telegramme werden per Internetprotokoll TCP/IP übertragen. Das Übertragungsprotokoll verfügt über allgemeine Fähigkeiten im Rahmen von SCADA-Anwendungen.

Mithilfe des Transparent-Modus kann der Security Proxy ohne Anpassung der IP-Adressen der kommunizierenden Geräte in eine bestehende Installation eingebunden werden. In Richtung des Leitsystems verwendet er die IP-Adressen der angeschlossenen Remote Term
Mithilfe des Transparent-Modus kann der Security Proxy ohne Anpassung der IP-Adressen der kommunizierenden Geräte in eine bestehende Installation eingebunden werden. In Richtung des Leitsystems verwendet er die IP-Adressen der angeschlossenen Remote Terminal Units (RTUs) und in Richtung der RTUs die des Leitsystems.

Im Gegensatz zur IEC 60870-5-101, die Verbindungen über serielle Schnittstellen aufbaut, ermöglicht die IEC 60870-5-104 Schnittstelle die Kommunikation über Netzwerke (LAN und WAN). Dabei können handelsübliche Netzwerkkomponenten (Router) verwendet werden. Als Standard wird hierbei der TCP-Port 2404 verwendet. Die Norm stellt sicher, dass Geräte und Anlagen der Fernwirk- und Leittechnik verschiedener Hersteller ohne grundsätzliche Anpassungsentwicklungen miteinander kommunizieren können.

Für dieses Protokoll sind mit der Norm IEC 62531 zwar Security-Erweiterungen definiert, werden aber bei den Endgeräten kaum unterstützt. Auch wenn es mittels VPN-Lösungen gelingt, das Protokoll gesichert zu übertragen, gibt es aktuell keinen Schutz vor Manipulationen der Protokollinhalte, wie sie z. B. bei Hackerangriffen auftreten können. Die Energieversorger haben derzeit nur wenige Möglichkeiten, die Korrektheit des Protokolls und der übermittelten Daten sicherzustellen, bevor diese im Leitsystem ausgewertet und verarbeitet werden.

Innovative Lösung für eine sichere Prozessankopplung

Zur weiteren Absicherung der Verbindungen kann zusätzlich noch der Datenverkehr gefiltert werden. Protokollelemente werden somit ausgefiltert, ohne die Integrität des Protokolls zu verletzen. Die Filter legen fest, welche Protokollelemente transportiert werden dürfen. Dabei können alle festgelegten Felder wie ASDU-Adressen, Typkennungen, Objekt-Adressen, Werte und Wertebereiche im Filter ausgewertet werden. Darüber hinaus lassen sich die Filter jeweils in Ein- und Ausgangsrichtung zur Leitstelle und zur Fernwirkstation definieren. Außerdem lassen sich Filteraktionen mitloggen oder eine Alarmierung in der Leitstelle auslösen.

Der neue Security Proxy unterstützt aktuell bis zu 1024 IEC-104-Verbindungen in einem Gerät und verfügt über weitere hilfreiche Funktionen, wie den Mithörbetrieb für weitere Leitstellen und die Paketdekodierung zur Fehleranalyse.

Damit schützt er vor Engpässen und Ausfällen in der Stromversorgung und somit auch vor einer Gefährdung der öffentlichen Sicherheit und Produktionsausfällen in der Industrie.

Klaus Becker

Der Autor verfügt über mehrjähriges Know-how in Internet-Technologien, IT-Sicherheit und Prozessankopplung bei Energieversorgern.

PSI Nentec GmbH