Sie sind hier: HomeThemenSmart EnergySmart Grid

Mobilfunk mit niedrigen Datenübertragungsraten verhindert Denial-of-Service-Attacken: IT-Sicherheit im EVU-Prozessnetzwerk

Fortsetzung des Artikels von Teil 1.

Nationale Gesetze und internationale Normen

Geltungsbereiche der Sicherheitsstandards aus der Normenreihe 27000 zu den Smart-Grid-Domänen Bildquelle: © Bundesamt für Sicherheit in der Informationstechnik: ICS-Security-Kompendium, 2013

Geltungsbereiche der Sicherheitsstandards aus der Normenreihe 27000 zu den Smart-Grid-Domänen

Das Gesetz über die Elektrizitäts- und Gasversorgung (Energiewirtschaftsgesetz, EnWG) regelt in §11 den Betrieb von Energieversorgungsnetzen und lautet in Absatz 1a: »Der Betrieb eines sicheren Energieversorgungsnetzes umfasst insbesondere auch einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen.« Das genannte BDEW-Whitepaper und die zugehörigen Ausführungshinweise befassen sich mit der typischen Anwendung der Telekommunikation im Rahmen der Prozessdatenverarbeitung in Unternehmen der Energiewirtschaft.

Die derzeit wichtigste internationale Norm für den Umgang mit dokumentierten Informationssicherheits-Management-Systemen ist die ISO-Normenreihe 27000. Speziell die ISO/IEC TR 27019 »Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy market« konkretisiert und ergänzt die ISO-27002-Anforderungen für die Prozessdatenverarbeitung bei Energieversorgern. Die Technische Richtlinie ging aus der deutschen Initiative DIN SPEC 27009 »Leitfaden für das Informationssicherheits-Management von Steuerungssystemen der Energieversorgung auf Grundlage der ISO/IEC 27002« hervor. 

»Die zum Zeitpunkt unserer Entscheidung noch unveröffentlichte 27019 wollten wir zur Maßgabe für unsere Lösung machen«, beschreibt Peter Schreieck, Projektleiter der prego services GmbH [2], den damaligen Plan. Als Betreiber von Strom-Übertragungs- und -Verteilnetzen muss sich die Pfalzwerke Netz AG mit technischen, physischen und organisatorischen Bedrohungslagen beschäftigen. Nicht immer kommen die Angriffe aus den öffentlichen Weitverkehrsnetzen (WAN, Internet). Sie können, weil vor Ort beim Kunden Datentechnik angesiedelt ist, auch »von innen« kommen, also aus dem eigenen LAN. Ein Beispiel dafür ist die unberechtigte Nutzung abgesetzter Stationen oder Fernwartungszugänge, etwa in einer Scheune mit PV-Anlage: »Hängt sich dort jemand unberechtigt an den Router und nutzt die Privilegien der Anwendung, könnte er – ohne effektive Gegenmaßnahmen – damit unser Remote-Servicenetz oder weitere abgesetzte Stationen stören und im worst case in das Kern-Netz vordringen«, erläutert Michael Steiger.  Bei der Auswahl von Mobilfunk-, ADSL-, LAN- und SDSL-Routern mussten die Pfalzwerke Netz AG und die prego services GmbH also diese und viele andere Aspekte berücksichtigen. Als vermittelnde Netzwerkknoten bilden Router die Kernkomponenten der IKT.

Umfangreiche und wirksame Sicherheitsfeatures

Die gesamte IT-Infrastruktur wird permanent überwacht. Vor allem bei der Realisierung der Sicherheits-Prozesse leisten die Mobilfunk-Router und SHDSL-Bridges von Insys icom einen wichtigen Beitrag. Bildquelle: © Insys icom

Die gesamte IT-Infrastruktur wird permanent überwacht. Vor allem bei der Realisierung der Sicherheits-Prozesse leisten die Mobilfunk-Router und SHDSL-Bridges von Insys icom einen wichtigen Beitrag.

Nach dem allgemein anerkannten und auch für Industrie- und KRITIS-Anwendungen empfohlenen PDCA-Konzept (Plan-Do-Check-Act) sind für die IT-Sicherheit der Pfalzwerke wirksame Prozesse etabliert. Damit werden Anlagen und deren Teile analysiert (Plan), geschützt (Do) und auf Vorfälle überwacht (Check), damit im Falle eines Vorfalls sofort und effektiv reagiert werden kann (Act). Die Router von Insys icom unterstützen diesen Security-Prozess, so dass die Pfalzwerke als Netzbetreiber jederzeit wissen, wenn sich »draußen im Feld« etwas verändert. 

Wichtig bei der Lösung war vor allem, das vom BDEW empfohlene Prinzip »Defence-In-Depth« (Sicherheitszonen) zu implementieren, d.h. »Sicherheitsrisiken werden nicht durch einzelne Schutzmaßnahmen angegangen, sondern durch die Implementierung gestaffelter, auf mehreren Ebenen ansetzender und sich ergänzender Sicherheitsmaßnahmen begrenzt«, wie es im BDEW-Whitepaper heißt. Die aktuellen Router von Insys icom halten sich an die Konzepte des BDEW-Whitepapers und die zugehörigen Ausführungshinweise. Anforderungsspezifische Sicherheits-Features wurden implementiert und auf Herz und Nieren geprüft.  »Generell ist die Situation eines Stromnetzbetreibers mit seinen systemrelevanten kritischen Infrastrukturen dieselbe wie die eines industriellen Produzenten: Experten für IT-Systeme und Experten für Automatisierungstechnik befruchten sich derzeit gegenseitig«, erläutert Peter Schreieck. »Die Erfahrungen der Experten für IT-Sicherheit fließen in die Automatisierung ein; im Gegenzug werden die speziellen Erfahrungen und Anforderungen der Automatisierung, etwa Echtzeit oder Anlagenverfügbarkeit, den IT-Experten bekannt. Beide müssen lernen, eine gemeinsame Sprache zu sprechen.«