Darstellung der Integration der Stationsautomatisierung Sprecon in Security Managementsysteme

Bild 1: Integration der Stationsautomatisierung in zentrale Security-Managementsysteme (Quelle: Sprecher Automation)

Das in Deutschland Ende Juli 2015 in Kraft getretene IT-Sicherheitsgesetz hat das Ziel, eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme zu erreichen. In diesem Kontext wurde gemäß §11 Absatz 1a Energiewirtschaftsgesetz (EnWG) von Bundesnetzagentur (BNetzA) und Bundesamt für Sicherheit in der Informationstechnik (BSI) der IT-Sicherheitskatalog erstellt und veröffentlicht, welcher Strom- und Gasnetzbetreiber zur Umsetzung IT-sicherheitstechnischer Mindeststandards verpflichtet – Kernforderung ist die Etablierung und Zertifizierung eines Informationssicherheits-Managementsystems (ISMS) gemäß DIN ISO/IEC 27001 bzw. 27019.

Betreiber bzw. Anwender müssen letztlich definieren, wie die allgemeinen Maßnahmen aus ISO/IEC 27019 mit konkreten Systemen etwa der Leit- und Schutztechnik umgesetzt werden können damit sie den internen ISMS-Vorgaben entsprechen. Hersteller von Geräten und Anlagen sind hier gefragt, ökonomische und vor allem praktikable Lösungen anzubieten, um ihre Kunden bestmöglich zu unterstützen.

Als einer der wesentlichen Lieferanten für Schutz- und Leittechnik in Deutschland hat Sprecher Automation seit Jahren sekundärtechnische Anlagen mit Security-Schwerpunkt konzeptioniert und umgesetzt. Die Erfahrungen daraus können nun aufgearbeitet werden, dieser Artikel soll eine Zwischenbilanz über häufig eingesetzte Konzepte zusammenfassen. Mit Sprecon bietet Sprecher Automation hierfür eine modulare Automatisierungsplattform u.A. für Energieübertragung und Energieverteilung, die für den Einsatz in kritischen Infrastrukturen entwickelt wurde. Alle Sicherheitsfunktionen, welche Betreiber bei der Umsetzung eines ISMS unterstützen, stehen dabei standardmäßig zur Verfügung. Diese werden bereits in zahlreichen Anlagen sowohl in Deutschland als auch international eingesetzt, um zielsicher die gesetzlichen Vorgaben bezüglich IT Security erfüllen zu können.

Unterstützende Sicherheit in Leit- und Schutztechnik

Wirft man einen Blick in den ISO/IEC-27019-Standard, so sind viele Maßnahmen mit Funktionen in Leit- und Schutztechnik-Produkten umzusetzen. Konkrete Ausführungshinweise findet man bereits in der Zuordnung der ISO/IEC 27019 Maßnahmen zu Anforderungen aus dem BDEW-Whitepaper »Anforderungen an sichere Steuerungs- und Telekommunikationssysteme«. Dieses Whitepaper wurde mit Mai 2018 neu aufgelegt und in vielen Punkten konkretisiert. Sprecher Automation stellt hierfür den Betreibern eine detaillierte Dokumentation bereit, wie die Anforderungen aus dem BDEW Whitepaper mit Sprecon-Produkten umgesetzt werden können. Für den Betreiber entsteht daraus ein wichtiger Leitfaden, wie letztendlich auch die Maßnahmen aus dem ISO/IEC-27019-Standard rasch und effizient zu erfüllen sind. Bei der Entwicklung der Sprecon-Familie wurde besonderer Wert darauf gelegt, ausschließlich offene Standards zu verwenden um dem Kunden die größtmögliche Flexibilität bei der Systemintegration zu gewährleisten.

Mit dem Wissen über eine Vielzahl an realisierten Security-Konzepten, sollen nun die wichtigsten bzw. häufig eingesetzten Funktionen umrissen werden.

Access-Control und Benutzerverwaltung

Ein Produkt muss generell die Authentifizierung eines Benutzers erzwingen, bevor dieser auf Konfiguration oder Funktion zugreifen kann. Zusätzlich ist eine rollenbasierte Autorisierung grundlegend, bei welcher ein Benutzer nur jene Berechtigungen erhält, die er für die Ausführung seiner Tätigkeit benötigt. Dabei kann beispielsweise zwischen Berechtigungen für Schutz- und Leittechnik unterschieden werden, oder etwa die sicherheitskritischen Konfigurationen nur für ausgewählte Personen erlaubt sein. Um Benutzer, deren Berechtigungen und Passwörter praktikabel unternehmensweit verwalten zu können, hat sich in der Anlagentechnik ebenfalls die Einbindung in zentralisierte Systeme zur Benutzerverwaltung etabliert. Sprecon unterstützt hierfür das standardisierte Radius-Protokoll, mit welchem zentrale Dienste wie etwa Windows Active Directory für die Benutzerverwaltung einfach eingebunden werden können. Dabei unterstützt das System standardmäßig eine Vielzahl an Rollen, welche auf Benutzer zugewiesen werden können, um ein rollenbasiertes Rechtemanagement nach IEC 62351-8 zu ermöglichen. In aktuellen Projekten wurden bereits hunderte Geräte über Radius in eine zentrale Benutzerverwaltung eingebunden.

Netzwerk-Monitoring und -Management

Für die allgemeine Sicherheit von Anlagen ist die Überwachbarkeit und auch zentrale Erfassung aller im Netzwerk befindlichen Komponenten eine grundlegende Anforderung. Alle potentiell sicherheitsrelevanten Vorgänge müssen erfasst und mit Zeitstempel versehen werden. Beispielsweise müssen alle Benutzerlogin-Versuche geloggt werden und somit auditierbar sein. Durch Sprecon werden derartige Loggings nicht nur auf den jeweiligen Geräten gesichert abgelegt, sondern können auch über ein standardisiertes Protokoll (Syslog) zu zentralen Netzwerk-Monitoringsystemen übertragen werden. Neben Logging ist für ein funktionierendes Patchmanagement zudem die Inventarisierung sämtlicher Geräte im Netzwerk notwendig – (s.g. Asset-Management) dies kann bei Sprecon mit SNMPv3 bereits heute normkonform umgesetzt werden. Somit werden moderne Automatisierungssysteme neben der Integration in ein Leitwartensystem ebenfalls in ein zentrales Security-Managementsystem eingebunden. Während zur Leitwarte nachwievor Prozessdaten kommuniziert werden, geschieht das Security-Management über Standardprotokolle wie etwa Syslog, SNMP oder Radius (Bild 1).

1 / 2

Ähnliche Beiträge