(Bildquelle Pixabay)
Dazu braucht es Systeme, die langfristig ein hohes Maß an Sicherheit und Flexibilität im Betrieb bieten, bei gleichzeitig niedrigem Betreuungsaufwand.
In den Jahren 2016/2017 begann das Projektteam der CKW (Centralschweizerische Kraftwerke AG) mit der Planung der neuen Unterstation (US) Rothenburg, die 2020 in Betrieb gehen wird. Hierzu gehörte u. a. das Erstellen der Ausschreibungsgrundlagen für die Sekundärtechnik. Mit der in den Jahren 2017 und 2018 durchgeführten Ausschreibung definierte CKW diesen neuen Standard für die folgenden Jahre, der auf Schutz- und Leittechnikkomponenten von Siemens setzt. Den Netzwerkteil realisiert CKW selbst. Neben den üblichen Aufgaben für die Entwicklung des Unterstationskonzepts sollte sich das Projektteam mit der Integration der neuesten Ergebnisse aus dem Bereich Cyber Security, erarbeitet beim VSE (Verband Schweizerischer Elektrizitätsunternehmen), befassen und diese berücksichtigen. Dieser neue Standard führt nun zu einer signifikanten Erhöhung der Operational Technology (OT) Security in den Anlagen und wird im ersten Teil des Aufsatzes beschrieben.
Die Steigerung der OT-Sicherheit wird nicht zuletzt durch eine neue Komponente im Konzept der Stationsleittechnik respektive für die Überwachung der Netzwerke in der US erreicht, einem Intrusion Detection System (IDS). CKW entschied sich zu dessen Einsatz, da sie ihre Erfahrung mit Cyber Security in Stationsnetzwerken für nicht fundiert genug einschätzten, deswegen soll ein IDS eventuell auftretende Unstimmigkeiten im Netzwerkverkehr aufdecken. Ein wichtiges Kriterium bei dessen Auswahl war, dass die Bedienung und alle Meldungen in einer für den klassischen Leittechniker verständlichen Form dargestellt werden. Dazu startete das Projektteam parallel zur Ausschreibung ein Pilotprojekt mit dem Unternehmen Omicron, das im zweiten Teil des Aufsatzes beschrieben wird.
Sekundärtechnik und Security by Design
Das Thema Sicherheit im Bereich der Stationsleit- und Schutztechnik hat bei CKW in den letzten Jahren stark an Bedeutung gewonnen. Dies ist durch Empfehlungen aus der Branche und vor allen Dingen OT-Security Assessments der vergangenen Jahre begründet. Diese Assessments zeigten Schwachstellen sowohl in der Netz- als auch der Stationsleittechnik. Im Bereich der Stationsleittechnik zeigten sich beispielsweise unsichere Zonenübergänge und einige kritische Zugänge zu Stationsleitrechnern oder Netzwerkbereichen. Derzeit besteht noch keine Möglichkeit, im Netzwerk der Stationsleittechnik zu beurteilen, ob aktuell ein Angriff stattfindet oder ob es dort verdächtige Aktivitäten gibt, die auf einen bevorstehenden Angriff hindeuten könnten. CKW hat es sich aufgrund dieser Erkenntnisse zum Ziel gesetzt, die wesentlichen Schwachstellen zu beseitigen und unter Berücksichtigung des neuen US-Standards die Vorgaben für den sichereren Bau von Netzwerken zu verschärfen.
Neben der Arbeit am US-Konzept 2020 erstellte die VSE-Arbeitsgruppe »Handbuch Grundschutz für ›Operational Technology‹ in der Stromversorgung« eine Branchenempfehlung. CKW konnte sich in dieser Arbeitsgruppe engagieren und integrierte die dabei gewonnen Erkenntnisse und Ansätze beständig in die eigenen Vorgaben. Das Branchendokument beschreibt einen Defense-in-Depth-Ansatz für die Sicherung der Netze in der OT. Dabei werden Daten-, Informations- und operationale Sicherheit sowohl umfassend als auch in der Tiefe betrachtet. Dazu gehören neben der Erstellung und Einführung von Zonenkonzepten auch deren Überwachung sowie das Erkennen und Reagieren auf bestimmte Ereignisse. Mit der Überwachung und Erkennung wird beabsichtigt, mögliche Auswirkungen, die durch Angriffe entstehen können, in den Anlagen zu minimieren.