Netzwerksicherheit und Kryptographische Funktionen
Bild 2: Gateway-Konzept in der Stationsautomatisierung (Quelle: Sprecher Automation)
Gerade bei der Übertragung von Daten über Weitbereichsnetzwerke (WAN) müssen Integrität, Authentizität, und gegebenenfalls auch Vertraulichkeit von Daten sichergestellt werden. Über entsprechende Verschlüsselungsmechanismen welche direkt von den Geräten umgesetzt werden – so etwa VPN-Technologien – kann hierbei standardisiert eine sichere Verschlüsselung aufgebaut werden. Neben Verschlüsselung ist ebenfalls Netzwerksegmentierung eine wichtige Methodik, wobei etwa die Abschottung des Stationsnetzwerkes vom WAN über integrierte Firewalls in den Leittechnikgeräten, oder auch die logische Separierung von Daten über virtuelle LANs (VLANs) als beispielhafte Maßnahmen anzuführen sind. Sprecon-Produkte stellen zahlreiche und umfangreiche Funktionen bereit, welche beispielhaft von VPN-Technologien, wie IPSec oder auch OpenVPN, über Firewalls bis hin zu VLANs reichen und für die Netzwerksicherheit in aktuellen Projekten eingesetzt werden.
Patching und Patch-Management
Alle eingesetzten Produkte müssen patchfähig sein. Dies bedeutet insbesondere, dass bei kritischen Sicherheitslücken wie etwa in Betriebssystemen oder Firmware der Hersteller aktualisierte Versionen zur Verfügung stellt und diese anschließend in den betriebenen Geräten eingespielt werden. Dies erfordert einerseits vom Hersteller ein aktives Schwachstellenmanagement, aber besonders auch, dass praktikable Kommunikationswege zwischen Hersteller und Betreiber implementiert werden. Sprecher Automation betreibt als ISO-27001-zertifiziertes Unternehmen ein detailliertes Schwachstellenmanagement bei allen Produkten und bietet seinen Kunden definierte Kommunikationswege und Strategien für Patchmanagement an. Mittels skalierbarer Wartungsverträge können individuelle Dienstleistungen für Patch-Information, Test und Installation vereinbart werden.
Umsetzung in der Praxis
Speziell bei kritischen Infrastrukturen wird man stetig mit strengeren und anspruchsvolleren Umsetzungsregulativen von Sicherheitsanforderungen konfrontiert. Die Sprecon-Produktlinie bietet die einzigartige Möglichkeit, sämtliche Sicherheitsfunktionen ohne notwendige Zusatzmodulen direkt in allen Leit- und Schutztechnikgeräten zur Verfügung zu stellen. Die Notwendigkeit etwaiger zusätzlicher Security-Geräte und die damit verbundenen Kosten für deren zyklische Investition und Betrieb wird somit reduziert. Beispielhafte praktische Anwendungsszenarien aus aktuellen Projekten sind:
Sicherheit für Bestandsanlagen
Mit dem Sprecon-Security-Gateway bietet Sprecher Automation eine kostengünstige Möglichkeit für die Nachrüstung von Bestandsanlagen. Dabei können die bestehenden Systeme in den Unterstationen weiterbetrieben werden, wobei die gesamte Kommunikation über das neu installierte Gateway geführt wird. Sicherheitsfunktionen wie Access-Control, Security-Monitoring oder Verschlüsselung können anschließend vom Security-Gateway übernommen werden, ohne die bestehenden Anlagen zu aktualisieren. Wie in folgender Abbildung gezeigt, kann das Security Gateway dabei ebenfalls in das zentrale Security-Managementsystem eingebunden werden (Bild 2).
Sicheres Fernwarten & Engineering
Immer häufiger werden zentralisierte Engineering- und Wartungsserver eingesetzt. Die Sprecon-Tools werden dabei auf einem virtualisierten System und von dort aus verwendet. Dies bietet den großen Vorteil, dass somit alle Engineeringdaten zentral verwaltet und gesichert werden können. Ebenfalls können hierbei zyklische Backups der Konfigurationen für etwaige Restore/Recovery-Prozesse abgelegt werden. Das Sprecon-System sorgt hierbei dafür, dass der Zugriff vom Engineering-Server auf die Geräte in den Stationen gesichert wird und durch Access-Control nur für berechtigte Personen möglich ist.
Verschlüsselte Weitbereichskommunikation
In vielen Fällen werden Weitbereichsnetzwerke als Risiko betrachtet, da z.B. übermittelte Prozessdaten über Netzwerke anderer Unternehmen geroutet werden. Der Einsatz von VPN-Technologien kann hier vorteilhaft genutzt werden, um etwa direkt vom Stationsleitgerät/Gateway zur Leitwarte eine verschlüsselte Verbindung aufzubauen. IPSec wurde dabei bereits häufig eingesetzt, um Prozessdatenverbindungen wie etwa IEC 60870-5-104 oder NTP sicher zu betreiben.
Viele renommierte, internationale Kunden von Sprecher Automation setzen bereits Sprecon für den unbesorgten Betrieb ihrer Energieanlagen ein – von Übertragungs- und Verteilnetzbetreibern über Transportunternehmen bis zu kommunalen Betrieben wie beispielsweise Stadtwerken. Die beschriebenen Funktionen stellen nur einen Auszug an möglichen Sicherheitsfunktionen dar, bilden jedoch erfahrungsgemäß eine wichtige Basis für Securitykonzepte in der Stationsautomatisierung