Ansatz in StationGuard
Bild 3. Für die schnelle und einfache Erkennbarkeit verwendet StationGuard eine grafische Alarmanzeige mit zusätzlich detaillierten Informationen anstelle einer kryptischen Ereignisliste
Bei IEC-61850-Anlagen liegt das gesamte Automatisierungssystem mit allen Geräten, den Datenmodellen und den Kommunikationsmustern in einem standardisierten Format vor – der SCL (Substation Configuration Language). Daraus erstellt StationGuard ein Systemmodell der Anlage und vergleicht anschließend jedes Netzwerkpaket mit dem Live-Systemmodell. Dieser Prozess ist ohne Lernphase möglich, allein durch die praktisch automatische Konfiguration über SCL und mit wenigen manuellen Ergänzungen. Aufgrund der kontinuierlichen inhaltlichen Überprüfung des Datenverkehrs werden nicht nur Bedrohungen für die IT-Sicherheit erkannt, wie unzulässige Pakete und Steuervorgänge, sondern auch Kommunikationsfehler und andere Fehlfunktionen in der Anlage. Ein Beispiel: Allein für Goose kennt StationGuard aktuell 35 verschiedene Alarmcodes, die auftreten können. Sie reichen von einfachen Sequenznummer-Störungen bis hin zu komplexeren Problemen, wie zu langen Übertragungszeiten.
Neben der Vermeidung von Fehlalarmen ist es entscheidend, dass die angezeigten Alarmmeldungen für die verantwortlichen Leittechniker klar verständlich sind, damit die Anlagenverantwortlichen besser, einfacher und vor allen Dingen schneller beurteilen können, welche Vorgänge einen Alarm ausgelöst haben. Damit sich die Alarme auch besser den auslösenden Feldern und Geräten zuordnen lassen, werden sie in StationGuard nicht nur als Alarmliste geführt, wie man das von Firewalls kennt, sondern auch grafisch dargestellt. Bild 3zeigt einen Screenshot der grafischen Alarmanzeige in StationGuard: Der Alarm wird als roter Pfeil zwischen dem Gerät (Prüf-PC), der die verbotene Aktion ausführt, und dem »Opfer« der Aktion angezeigt.
Wartungsmodus
Um Fehlalarme weiter zu reduzieren, berücksichtigt StationGuard auch Prüf- und Wartungsvorgänge im Systemmodell der Anlage. Die Prüfausrüstung, einschl. der Schutzprüfgeräte, kann der Techniker an StationGuard vorab bekannt geben und anschließend das IDS in einen Wartungsmodus schalten, in dem die Prüftechnik verwendet werden darf, ohne einen Alarm auszulösen. Wird der Engineering-PC oder Prüflaptop zu einem anderen Zeitpunkt als der Wartung verwendet, sendet das IDS sofort einen Alarm. Dabei ist zu beachten, dass StationGuard rein passiv agiert: Ist eine Aktion nicht erlaubt, wird ein Alarm ausgelöst, jedoch nicht aktiv in die Anlage eingegriffen. Mit den Binärausgängen von StationGuard können die Alarme auch unkompliziert über das Gateway an die Leitstelle übermittelt werden. In diesem Fall erfolgt die Meldung ohne Netzwerkkommunikation und die Alarme lassen sich wie jedes andere fest verdrahtete Signal der Anlage in die Leittechnik-Signalliste integrieren. Alternativ ist es auch möglich, Alarme über entsprechende Protokolle an ein Security Incident Event Management System (SIEM) weiterzuleiten.
Fazit
Die hier beschriebenen Maßnahmen erfordern ein Umdenken bei allen Beteiligten in der Realisierung von Projekten. Hierzu gehört der Umgang mit neuen Schnittstellen sowie der steigenden Komplexität im System, was vollkommen neue Kompetenzen erfordert. Eine gute Zusammenarbeit der unterschiedlichen Disziplinen wird dadurch immer wichtiger. Während des FAT (Factory Acceptance Test) bei Siemens hat das System seine Feuertaufe bereits bestanden. Ende des Jahres wird es den Betrieb in der US Rothenburg aufnehmen.
Yann Gosteli (Leiter Bereich Sekundäranlagen, Centralschweizerische Kraftwerke AG, Luzern/Schweiz)
Andreas Klien (Leiter Geschäftsbereich Power Utility Communication (PUC), Omicron, Klaus/Österreich)