Entwurf eines sichereren Netzes für die US Rothenburg

Im Netzwerkentwurf der US Rothenburg werden in jedem Bereich Hürden eingebaut, die einen Angriff auf das Netzwerk erschweren sollen. Bild 1zeigt das Prozessnetz werk der US Rothenburg.

In diesem Prozessnetzwerk wurde eine ganze Reihe von Sicherheitsaspekten berücksichtigt. An erster Stelle stehen die IP-Verbindungen der Anlage zur Außenwelt, die im Normalbetrieb deaktiviert sind. Verbindungen für Remote-Zugänge werden nur bei Bedarf freigeschaltet. Die Kommunikation zum Netzleitsystem erfolgt mit dem Protokoll IEC 60870-5-101. Alle Zugriffe auf die Komponenten für Supportzwecke geschehen ausschließlich über besondere zentrale Arbeitsstationen, die entsprechend gehärtet sind. Diese Zugänge werden bei Bedarf von Fern zugeschaltet.

Die Zugriffsrechte sind dediziert geregelt. Das Scada-System, das Störschreibererfassungssystem sowie das Security-System werden virtualisiert auf einem Server betrieben. Der lokale Bedienplatz greift nur mit Remote-Desktop-Verbindungen über eine lokale Firewall auf diese Systeme zu. Die Benutzer müssen sich auf diesen Arbeitsstationen über ein zentrales Active Directory (AD) anmelden, über das sie die erforderlichen Rechte und Freigaben zugeteilt erhalten. Der Zugang zum zentralen AD wird bei Bedarf von einer zentralen Stelle freigeschaltet. Zudem müssen sich die Benutzer an jedem IED der Stationsleittechnik mit individuellen Passworten anmelden und erhalten vom Access-Control-Server mittels Radius die entsprechenden Rechte zugeteilt. Das gilt sowohl für den Zugriff auf die Geräte mit Parametriertools wie auch bei der Bedienung am Display. Dabei werden keine Standardpassworte verwendet.

Sämtliche am Netzwerk angeschlossenen Clients werden gehärtet. Das geschieht u. a. durch den Einsatz der Windows-Firewall mit Berücksichtigung der Kommunikationsmatrix und rollenabhängig durch Sperren nicht erforderlicher Funktionalitäten der Betriebssysteme. Darüber hinaus erfolgt jeder Zugang zum Netzwerk über MAC Authentication Bypass, womit nur registrierte Komponenten mit dem Netzwerk Verbindung aufnehmen können. Dabei müssen auch die Reservegeräte im Störungsfall vom Switch erkannt und akzeptiert werden. Mit Access Control Listen wird für jeden Switch-Port festgelegt welches Gerät mit welchem Protokoll mit anderen Netzwerkteilnehmern kommunizieren darf.

Das Prozessnetzwerk und das Supportnetzwerk sind logisch und physisch getrennt. Die Kommunikation mit dem Protokoll IEC 61850 Ed. 2 wird folglich auf einer anderen Schnittstelle realisiert als der Zugriff zu den Geräten für die Parametrierung oder Wartung. Das gesamte Prozessnetz ist segmentiert, wobei u. a. die folgenden Segmente gebildet und über eine redundante Firewall getrennt werden:

• 110 kV (Goose und MMS),
• 20 kV (Goose und MMS),
• Kleinleitstelle,
• Gateway RTU,
• Nebenanlagen,
• Support-Netze für IEC und Clients sowie
• Management-Netzwerk, VM, Radius.

Die Datentransfers aus der Anlage in übergeordnete Netzwerkbereiche werden über eine Datendiode realisiert. Diese Datendiode stellt sicher, dass kein Netzwerkverkehr von außerhalb in die Anlage gelangen kann. Mit einem Whitelisting-Ansatz überwacht zudem ein IDS den ganzen Netzwerkverkehr in der Anlage. Es meldet einerseits via Leittechnik einen Alarm an die Netzleitstelle und stellt andererseits Informationen für übergeordnete Security-Management- Systeme zur Verfügung. Das IDS ist die wesentliche Komponente für das Erkennen von Angriffen oder Auffälligkeiten im Stationsnetz.

Netzwerküberwachung in Schaltanlagen mit StationGuard

Das neue US-Konzept 2020 von CKW beruht auf der Einrichtung von Netzwerksegmenten, die jeweils durch eine Firewall getrennt sind. Die Para metrierung der Firewall gibt genau vor, mit welchen Protokollen über die Segmente hinweg kommuniziert werden darf. Allerdings können auch über die von der Firewall erlaubten Protokolle, wie beispielsweise Engineering-Protokolle und das in IEC 61850 benutzte MMSund Goose-Protokoll potenziell Geräte angegriffen und mit Schadsoftware infiziert werden. Genau solche Szenarien will CKW verhindern, indem sie den Netzwerkverkehr mit einem IDS überwachen, um frühzeitig unerlaubte Vorgänge zu erkennen. Omicron forscht seit 2011 an einem Ansatz für Intrusion Detection in IEC 61850-Schaltanlagen und wurde 2017 von Ingenieuren der CKW angesprochen, die auf der Suche nach einem Intrusion Detection System für das neue US-Konzept waren. Die Techniker von CKW kannten die Nachteile aktuell verfügbarer IDS-Systeme und eine wichtige Vorgabe war daher, dass das IDS von den verantwortlichen Schutz- und Leittechnikern einfach bedient werden kann. Im Jahr 2018 wurde eine der ersten Proof-of-Concept-Installationen von StationGuard in einer 110-kV-Schaltanlage von CKW in Betrieb genommen. Mittlerweile flossen auch Erfahrungen von anderen Energieversorgern weltweit in die Entwicklung von StationGuard (Bild 2) ein.

Die meisten IDS-Systeme für OT verwenden einen »lernbasierten« Ansatz. Dabei wird zunächst über Wochen hinweg der übliche Zustand im Netzwerk erlernt. Anschließend wird im Normalbetrieb immer dann alarmiert, wenn die Netzwerkkommunikation signifikant vom erlernten Status abweicht. Dies hat zur Folge, dass für alle Vorgänge Fehlalarme ausgelöst werden, die während der Lernphase nicht auftraten. Hierzu gehören beispielsweise Schutzauslösungen, Schalthandlungen, oder routinemäßige Prüfungen. Da das System die tatsächlichen Ereignisse in der Anlage nicht kennt, beziehen sich die Alarmmeldungen rein auf Protokolldetails. Damit entsteht also eine hohe Anzahl von Fehlalarmen, für deren Überprüfung IT-Spezialisten mit Anlagenkenntnissen erforderlich sind. Ein solcher Aufwand wäre für die meisten EVU nicht tragbar.