Sicherheitsvorfälle bei Stromlieferanten

Energieversorger-Netzwerke und ihre Eigenheiten

| Autor / Redakteur: Peter Schreieck* / Stephan Augsten

Betreiber kritischer Infrastrukturen müssen künftig Licht ins Dunkel bringen, wenn sie von Cyber-Kriminellen angegriffen werden.
Betreiber kritischer Infrastrukturen müssen künftig Licht ins Dunkel bringen, wenn sie von Cyber-Kriminellen angegriffen werden. (Bild: Archiv)

Das IT-Sicherheitsgesetz schreibt Energiedienstleistern vor, IT-Sicherheitsvorfälle an das BSI zu melden. Das Security Information and Event Management (SIEM) hilft, entsprechende Ereignisse aufzudecken und anschließend der Meldepflicht nachzukommen.

IP-basierte Informationstechnik hält zunehmend Einzug in die Energiebranche. So nutzen beispielsweise viele Netzbetreiber das Internet, um die Einspeisung von EEG-Anlagen (Erneuerbare-Energien-Gesetz) wie Windkraftwerken zu steuern, da diese Verbindung aus Kostengründen für sie sehr attraktiv ist. Für die Prozessnetzwerke der Energieversorger bringt diese Öffnung nach außen aber ganz neue Bedrohungen mit sich.

Die vom Bundesamt für Sicherheit in der Informationstechnologie (BSI) als „Kritische Infrastrukturen“ eingestuften Netzwerke sind der Gefahr von Cyber-Angriffen ausgesetzt. Diese Bedrohungen schlagen sich in zahlreichen neuen Sicherheitsnormen, -gesetzen und -empfehlungen nieder.

Zentrale Leitlinie für den Schutz von Prozessnetzwerken in der Energiebranche ist derzeit das Whitepaper „Anforderungen an sichere Steuerungs- und Telekommunikationssysteme“ des BDEW (Bundesverband der Energie- und Wasserwirtschaft). Es fasst die aktuellen Notwendigkeiten zusammen und leitet daraus konkrete Vorgaben ab.

Auf dieser Basis lässt sich ein passgenaues Security-Design ableiten, das gezielte Schutzmaßnahmen in das Prozessnetzwerk einbaut. Dazu zählen etwa

  • zentrale Überwachung,
  • physikalischer Schutz,
  • Whitelisting,
  • Vorkehrungen für Authentifizierung, Autorisierung und Accounting,
  • Intrusion-Detection-Systeme,
  • Verschlüsselungsmethoden oder auch
  • Patch-Management.

Dabei sollte die Netzwerk-Architektur in verschiedene Zonen eingeteilt werden, die jeweils eigene Sicherheitsmaßnahmen aufweisen und durch Gateways getrennt sind.

Relevante Informationen zentral sammeln und auswerten

Zu den gesetzlichen Auflagen für Energieversorger gehört aber auch eine erweiterte Meldepflicht. So enthält das neue IT-Sicherheitsgesetz Regelungen für Unternehmen, die von einem Cyber-Angriff betroffen sind – darunter die Vorschrift, schwerwiegende Vorfälle zu melden, damit sie ausgewertet und gegebenenfalls andere potenzielle Opfer gewarnt werden können. Zu den Branchen, für die diese Pflicht bindend ist, zählt unter anderem das Energiewesen, die über derartige Vorfälle das BSI informieren muss.

Angesichts der Bedeutung dieses Themas entwickeln spezialisierte IT-Dienstleister derzeit spezielle auf Energiedienstleister ausgerichtete SIEM-Lösungen (Security Information and Event Management). Ihre Aufgabe wird es sein, relevante Informationen von den Komponenten des Prozessnetzwerks wie Gateways, Switches, Firewalls oder Intrusion-Detection-Systemen an zentraler Stelle zu erfassen und auszuwerten, um so mögliche Sicherheitsvorfälle zu erkennen.

Der entscheidende Knackpunkt ist dabei die intelligente Verknüpfung dieser Informationen. Ein ungewöhnliches Netzwerk-Ereignis ist für sich allein noch kein Hinweis auf einen Sicherheitsvorfall. Treten aber mehrere ungewöhnliche Ereignisse auf, die innerhalb eines bestimmten Zeitraums ablaufen und womöglich miteinander in Beziehung stehen, dann steigt die Wahrscheinlichkeit, dass etwas nicht mit rechten Dingen zugeht. Diese Zusammenhänge muss ein SIEM aufzeigen und es Sicherheitsverantwortlichen damit ermöglichen, einen schwerwiegenden Vorfall zu erkennen.

Ein Beispiel

Folgendes stark vereinfachte Beispiel soll das Grundprinzip veranschaulichen, ohne dabei zu viele Security-relevante Details zu verraten: Meldet der Router eines im Feld stehenden Anlagenschranks einen Link-Up, muss das noch nichts Besorgniserregendes bedeuten – schließlich könnte eine Störung dahinter stecken. Meldet der Port aber dann zusätzlich eine fremde MAC-Adresse und es wird wiederholt versucht, ein Passwort einzugeben, um sich an einem Gerät anzumelden, sollte man misstrauisch werden.

Finden viele solcher Versuche innerhalb kürzester Zeit statt, könnte dies unter anderem eine Brute-Force-Attacke sein. Dabei würde ein Angreifer versuchen, ein Passwort zu knacken, indem er von einem speziell dafür geschriebenen Computer-Programm alle möglichen Kombinationen von Buchstaben und Zahlen ausprobiert.

Große Unterschiede zu Büro-Netzwerken

Die gute Nachricht ist: Prozessnetzwerke unterscheiden sich erheblich von den Netzwerkumgebungen einer Büro-IT. Hier finden sich oft hunderte von PCs, Druckern und sonstigen Geräten, die ständig ein- und ausgesteckt, ausgetauscht oder erneuert werden, und damit einen unüberschaubaren Traffic erzeugen.

Prozessnetzwerke sind im Vergleich dazu recht statische Umgebungen mit wenig Datenverkehr und ausschließlich gültigen Kommunikationsbeziehungen. Dadurch fällt es beispielsweise sofort auf, wenn an irgendeiner Stelle ein neues Gerät hinzukommt. Außerdem machen Gateway-Spezialisten wie INSYS icom ihre Netzwerkkomponenten zunehmend „sprechend“.

Router etwa können so immer mehr Informationen an Log-, Monitoring- und Reporting-Tools übermitteln, die als Plattform für eine SIEM-Lösung dienen. Diese sollten die Informationen so aufbereiten, dass die Verantwortlichen einschätzen können, ob es sich wirklich um einen Sicherheitsvorfall handelt, oder ob lediglich eine Betriebsstörung vorliegt. Außerdem müssen sich auch Wartungsfenster im System hinterlegen lassen, damit sofort erkennbar ist, ob vermeintlich ungewöhnliche Ereignisse im Netzwerk ihre Ursache lediglich in Instandhaltungs- oder Pflegearbeiten haben.

Meldung ans BSI

Legen die Informationen einen Sicherheitsvorfall nahe, erzeugt das System idealerweise automatisch ein entsprechendes Formular zur Qualifizierung durch die intern Verantwortlichen. Kommen diese zu dem Ergebnis, dass es sich tatsächlich um einen schwerwiegenden Fall handelt, können sie es direkt an das BSI senden, ohne dass dafür weitere manuelle Tätigkeiten nötig sind. Das BSI bewertet diese Informationen dann und gibt die Erkenntnisse daraus gegebenenfalls an alle Betreiber weiter – so zumindest ist es vom Gesetzentwurf vorgesehen.

Doch die Vorteile einer solchen SIEM-Lösung gehen weit über die bloße Erfüllung der Meldepflicht hinaus. Indem es einen Cyber-Angriff frühzeitig „lautstark“ werden lässt, gewinnen die Betreiber des Prozessnetzwerks Zeit, um ihn einzudämmen. Wirklichen Schaden kann ein Hacker erst dann anrichten, wenn er sich Zugriff auf die Systeme verschafft hat. Wird sein Angriff aber bereits auf dem Weg dorthin entdeckt – weil die Kombination der Meldungen offenbart, dass er versucht ins Netzwerk einzudringen – lässt sich dies rechtzeitig verhindern.

Durch ihre forensischen Möglichkeiten macht sie außerdem ein hartes Abschalten von Kommunikationsbeziehungen – wie dies etwa Intrusion Prevention Systeme im Fall ungewöhnlicher Vorgänge sofort tun – überflüssig. So wird verhindert, dass bei Störungen unnötigerweise ganze Sicherheitszonen vom Netz genommen werden.

Gerade solch ein hartes Abschalten könnte geradezu einladen auf Saboteure wirken: Wissen sie, dass das System so empfindlich ist, fühlen sie sich vielleicht versucht, durch das bloße Einspielen einer falschen MAC-Adresse große Ausfälle zu provozieren.

Mitarbeiter genauso wichtig wie die Technik

Soviel zu den technischen Möglichkeiten. Wie immer beim Thema IT-Sicherheit gilt aber auch beim Schutz von Prozessnetzwerken: Die Technik ist nur die halbe Miete, denn genauso wichtig sind die Mitarbeiter. Ein Sicherheitskonzept steht und fällt mit seiner Umsetzung durch alle Beteiligten.

Peter Schreieck
Peter Schreieck (Bild: prego services)

Insbesondere wenn die Anwender einbezogen werden, erhöht sich der Schutz vor Angriffen um ein Vielfaches. Deshalb sollten Energieversorger ihre Mitarbeiter unbedingt dafür sensibilisieren, mögliche Bedrohungen zu erkennen und den Folgen von Angriffen vorzubeugen.

*Über den Autor

Peter Schreieck ist Leiter Communication & Network bei prego services. Der ISO-27001-zertifizierte IT-Dienstleister in Saarbrücken und Ludwigshafen plant und betreibt seit über zehn Jahren IP-Prozessnetzwerke. Darüber hinaus verfügt er über eine Partnerschaft mit dem Gateway-Spezialisten INSYS Microelectronics, arbeitet mit dem BSI zusammen und ist Teilnehmer der Allianz für Cybersicherheit.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44532094 / Services)