Vor der Sicherheit kommt die Sichtbarkeit

Abb. 1: Die komplexe Infrastruktur eines EVU umfasst mitunter hunderte Unterstationen, die potenziell angegriffen werden können. Umso wichtiger ist, durchgängig Sichtbarkeit herzustellen

Abb. 1: Die komplexe Infrastruktur eines EVU umfasst mitunter hunderte Unterstationen, die potenziell angegriffen werden können. Umso wichtiger ist, durchgängig Sichtbarkeit herzustellen (Quelle: Rhebo)

Abb 2: Beispiel einer in einem Umspannwerk identifizierten Anomalie. Ein Gerät versucht, die lokale Netzleittechnik zu scannen

Abb 2: Beispiel einer in einem Umspannwerk identifizierten Anomalie. Ein Gerät versucht, die lokale Netzleittechnik zu scannen (Quelle: Rhebo)

Wie können EVUs somit ein System zur Angriffserkennung umsetzen, das auch seinen Zweck erfüllt? Zuallererst muss durchgängig Sichtbarkeit hergestellt werden (Abb. 1). Schließlich kann nur geschützt werden, was auch eingesehen und beobachtet werden kann. Wenn wir also davon ausgehen, dass professionelle Angreifer mit ausreichend Ressourcen und Knowhow in jedem Fall die Infrastruktur infiltrieren können, muss die bestehende, begrenzte Sichtbarkeit auf Vorgänge innerhalb der Netzwerke erweitert werden. Denn Sichtbarkeit wird nicht allein durch nach außen gerichtete Wachtürme erreicht. Der Blick muss nach innen gehen und dort verdächtiges Verhalten aufspüren. Zudem bedeutet die Fokussierung auf Sichtbarkeit – auch in Hinblick auf die vielfältigen Angriffsvektoren – dass alle Standorte einbezogen werden müssen. Die Überwachung der zentralen Netzleittechnik reicht nicht.

Das Fallbeispiel des Supply Chain Compromise verdeutlicht dies. Vielerorts werden externe Dienstleister für die Wartung und Konfiguration der Anlagen und Komponenten beauftragt. Angreifer würden – ganz wie beim SolarWinds-Fall – in das Netzwerk des Dienstleisters eindringen. Dort installieren sie eine Schadsoftware auf einem Wartungslaptop. Schließt der Servicetechniker im Rahmen seiner täglichen Arbeiten den Laptop an einen Switch im Umspannwerk, springt die Schadsoftware auf die Netzleittechnik des Kunden über. Der Angriff geht somit an den lokal installierten Firewalls vorbei (Abb. 2).

Da innerhalb des Umspannwerks die Sichtbarkeit fehlt, bemerkt auch die zentrale Leitwarte des EVU nichts. Die Schadsoftware nutzt automatisierte Skripte, die speziell für Umgebungen mit den Protokolltypen IEC 60870-5-104 und IEC-61850 programmiert wurden. Bereits beim Industroyer-Vorfall 2016 wurden solch protokollspezifische Payloads genutzt. Der im Umspannwerk als Historian genutzte Server wird infiziert und der Zugriff auf die Relays hergestellt. Die Sicherheitsfunktionen werden ausgeschaltet, die Verbindung zur Leitwarte gekappt und die Relays geöffnet. Eine automatisierte Reaktion seitens der Leitwarte ist zu diesem Zeitpunkt nicht mehr möglich.

Sichtbarkeit von der Leitwarte bis zur Unterstation

Auch wenn sich das wie der Technik-Thriller „Blackout“ des Autors Marc Elsberg liest, sind Setting, Zugriffswege und Vorgehen realistisch. Während Stabilitäts- und Sicherheitsaudits sowie Monitoringprojekten bei EVUs haben wir in den letzten Jahren regelmäßig Vorgänge in der zentralen wie dezentralen Netzleittechnik identifiziert, die potenziell zu Störungen führen konnten.

Das bei den Projekten eingesetzte industrielle Netzwerkmonitoring Rhebo Industrial Protector analysiert dafür kontinuierlich die innerhalb der Netzleittechnik auftretende Kommunikation. Die integrierte Anomalieerkennung mit Deep-Packet-Inspection-Technologie gleicht die Kommunikation mit dem zu erwartenden, autorisierten Kommunikationsmuster ab. Regelmäßig identifiziert das System dabei Abweichungen wie:

  • neue Teilnehmer in der Netzleittechnik;
  • neue Protokolle in einer Verbindung;
  • neue Verbindungen zwischen bekannten Teilnehmern (u.a. von Wartungslaptops ausgehend);
  • neue Verbindungen zum oder vom Leitstand;
  • Netzwerkscans;
  • Kommunikation auf unbekannten Ports;
  • erfolglose Zugriffsversuche;
  • Kommunikationsveränderungen auf autorisierten Verbindungen und Accounts.

Die Anomalien werden in Echtzeit an die zentrale Kontrollstation in der Leitwarte gemeldet. Dort können sie anhand der mitgelieferten forensischen Daten und Risikobewertung beurteilt sowie Gegenmaßnahmen entschieden werden. Die Anomalieerkennung greift selbst nicht in die Vorgänge ein. Die Entscheidungshoheit über den Umgang mit verdächtigen Vorgängen obliegt voll und ganz der Leitwarte, um die empfindlichen Prozesse der Stromversorgung nicht zu gefährden.

Da EVUs in der Regel auf eine Vielzahl von Standorten schauen, kann das Monitoring nicht nur als Hardwaresensor in der lokalen Netzleittechnik installiert werden. Das Netzwerkmonitoring ist auch als Softwaresensor für verschiedene bestehende Komponenten wie Sicherheitsgateways, Edge-Computing-Geräten, Firewalls und Substation Servern verfügbar, u.a. von Barracuda, Bosch Rexroth, Cisco, INSYS icom Smart Devices, RAD, Siemens RUGGEDCOM und Welotec.

Fazit

Sichtbarkeit an allen Standorten (Zentrale und Unterstationen) und Stellen (Perimeter und Netzleittechnik) bildet das Fundament eines modernen und effektiven Systems zur Angriffserkennung. Dabei geht es nicht um eine einzelne Technologie, sondern um das Zusammenspiel verschiedener Techniken im Sinne der Defense-In-Depth. Prophylaktische organisatorische Maßnahmen (Passwortschutz, dedizierte Fernzugänge) und Perimetersicherung (Firewall) müssen um eine Überwachung des Innenlebens der Netzleittechnik ergänzt werden. Denn effektive Cybersicherheit baut auf ganzheitlicher Sichtbarkeit auf.

Klaus Mochalski, Rhebo GmbH, Leipzig, info@rhebo.com

2 / 2

Ähnliche Beiträge