Bild 1: Mit einer Reihe von Maßnahmen sichert die CKW (Centralschweizerische Kraftwerke AG) das Prozessnetzwerk der Unterstation Rothenburg gegen Cyber-Angriffe ab (Quelle: Omicron; Grafik: VDE VERLAG)
In den Jahren 2016/2017 begann das Projektteam der CKW (Centralschweizerische Kraftwerke AG) [1] mit der Planung der neuen Unterstation (US) Rothenburg, die 2020 in Betrieb gehen soll. Hierzu gehörte unter anderem das Erstellen der Ausschreibungsgrundlagen für die Sekundärtechnik. Mit der in den Jahren 2017 und 2018 durchgeführten Ausschreibung definierte CKW diesen neuen Standard für die folgenden Jahre. Bei der Schutz- und Leittechnik wird auf Komponenten aus dem Haus Siemens gesetzt; den Netzwerkteil realisiert CKW selbst. Neben den üblichen Aufgaben für die Entwicklung des Unterstationskonzepts sollte sich das Projektteam mit der Integration der neuesten Ergebnisse aus dem Bereich Cyber Security, erarbeitet beim VSE (Verband Schweizerischer Elektrizitätsunternehmen) [3], befassen und diese berücksichtigen. Dieser neue Standard führt nun zu einer Erhöhung der Operational-Technology-(OT-)Security in den Anlagen.
Die Steigerung der OT-Sicherheit wird nicht zuletzt durch eine neue Komponente im Konzept der Stationsleittechnik, respektive für die Überwachung der Netzwerke in der US erreicht, einem Intrusion Detection System (IDS). CKW entschied sich für dessen Einsatz, da sie ihre Erfahrung mit Cyber Security in Stationsnetzwerken für nicht fundiert genug einschätzten. Deswegen soll ein IDS eventuell auftretende Unstimmigkeiten im Netzwerkverkehr aufdecken. Ein wesentliches Kriterium bei dessen Auswahl war, dass die Bedienung und alle Meldungen in einer für den klassischen Leittechniker verständlichen Form dargestellt werden. Dazu startete das Projektteam parallel zur Ausschreibung ein Pilotprojekt mit der Firma Omicron [4].
Sekundärtechnik und Security by Design
Das Thema Sicherheit im Bereich der Stationsleit- und Schutztechnik hat bei CKW in den letzten Jahren stark an Bedeutung gewonnen. Dies begründet sich durch Empfehlungen aus der Branche und vor allen Dingen OT-Security-Assessments der vergangenen Jahre. Dabei zeigten die Assessments Schwachstellen sowohl in der Netz- als auch in der Stationsleittechnik auf. Im Bereich der Stationsleittechnik wurden beispielsweise unsichere Zonenübergänge und einige kritische Zugänge zu Stationsleitrechnern oder Netzwerkbereichen aufgedeckt. Derzeit besteht noch keine Möglichkeit, im Netzwerk der Stationsleittechnik zu beurteilen, ob aktuell ein Angriff stattfindet oder ob es dort verdächtige Aktivitäten gibt, die auf einen bevorstehenden Angriff hindeuten könnten. CKW hat es sich aufgrund dieser Erkenntnisse zum Ziel gesetzt, die wesentlichen Schwachstellen zu beseitigen und unter Berücksichtigung ihres neuen US-Standards die Vorgaben für den sichereren Bau von Netzwerken zu verschärfen.
Neben der Arbeit am US-Konzept 2020 erstellte die VSE-Arbeitsgruppe „Handbuch Grundschutz für Operational Technology in der Stromversorgung“ eine Branchenempfehlung. CKW engagierte sich in dieser Arbeitsgruppe und integrierte die dabei gewonnenen Erkenntnisse und Ansätze in die eigenen Vorgaben. Das Branchendokument beschreibt einen Defense-in-Depth-Ansatz für die Sicherung der Netze in der OT. Dabei werden Daten-, Informations- und operationale Sicherheit sowohl umfassend als auch in der Tiefe betrachtet. Dazu gehören neben der Erstellung und Einführung von Zonenkonzepten auch deren Überwachung sowie das Erkennen und Reagieren auf bestimmte Ereignisse. Mit der Überwachung und Erkennung wird beabsichtigt, mögliche Auswirkungen, die durch Angriffe entstehen können, in den Anlagen zu minimieren.
Entwurf eines sicheren Netzes
Im Netzwerkentwurf der US Rothenburg werden in jedem Bereich Hürden eingebaut, die einen Angriff auf das Netzwerk erschweren sollen. In dem Prozessnetzwerk der US Rothenburg wurden eine ganze Reihe von Sicherheitsaspekten berücksichtigt (Bild 1). An erster Stelle stehen die IP- Verbindungen der Anlage zur Außenwelt, die im Normalbetrieb deaktiviert sind. Verbindungen für Remote-Zugänge werden nur bei Bedarf freigeschaltet. Die Kommunikation zum Netzleitsystem erfolgt mit dem Protokoll nach IEC 60870-5-101 [5]. Alle Zugriffe auf die Komponenten für Supportzwecke erfolgen ausschließlich über spezielle zentrale Arbeitsstationen, welche entsprechend gehärtet sind. Diese Zugänge werden bei Bedarf aus der Ferne zugeschaltet.
Die Zugriffsrechte sind dediziert geregelt. Das Scada-, das Störschreibererfassungs- sowie das Security-System werden virtualisiert auf einem Server betrieben. Der lokale Bedienplatz greift nur mit Remote-Desktop-Verbindungen über eine lokale Firewall auf diese Systeme zu. Die Benutzer müssen sich auf diesen Arbeitsstationen über ein zentrales Active Directory (AD) anmelden, über welches ihnen die erforderlichen Rechte und Freigaben zugeteilt werden. Der Zugang zum zentralen AD wird bei Bedarf von einer zentralen Stelle aus freigeschaltet. Zudem müssen sich die Benutzer an jedem IED der Stationsleittechnik mit individuellen Passwörtern anmelden und bekommen vom Access-Control-Server mittels Radius die entsprechenden Rechte zugeteilt. Das gilt sowohl für den Zugriff auf die Geräte mit Parametriertools als auch bei der Bedienung am Display. Dabei werden keine Standardpassworte verwendet.
Sämtliche am Netzwerk angeschlossenen Clients werden gehärtet. Das geschieht unter anderem durch den Einsatz der Windows-Firewall unter Berücksichtigung der Kommunikationsmatrix und rollenabhängig durch Sperren nicht erforderlicher Funktionalitäten der Betriebssysteme. Darüber hinaus erfolgt jeder Zugang zum Netzwerk über MAC-Authentication-Bypass, womit nur registrierte Komponenten mit dem Netzwerk Verbindung aufnehmen können. Dabei müssen auch die Reserve-Geräte im Störungsfall vom Switch erkannt und akzeptiert werden. Mithilfe von Access-Control-Listen wird für jeden Switch-Port festgelegt, welches Gerät mit welchem Protokoll mit anderen Netzwerkteilnehmern kommunizieren darf.
Das Prozessnetzwerk und das Supportnetzwerk sind logisch und physisch getrennt. Die Kommunikation mit dem Protokoll nach der Normenreihe IEC 61850 [5] wird folglich auf einer anderen Schnittstelle realisiert als der Zugriff zu den Geräten für die Parametrierung oder Wartung. Das gesamte Prozessnetz ist segmentiert, wobei unterer anderem die folgenden Segmente gebildet und über eine redundante Firewall getrennt werden:
- 110 kV (Goose und MMS),
- 20 kV (Goose und MMS),
- Kleinleitstelle,
- Gateway RTU,
- Nebenanlagen,
- Support-Netze für IEC und Clients sowie
- Management-Netzwerk, VM und Radius.
Die Datentransfers aus der Anlage in übergeordnete Netzwerkbereiche werden über eine Datendiode realisiert. Diese Datendiode stellt sicher, dass kein Netzwerkverkehr von außen in die Anlage gelangen kann. Mit einem Whitelisting-Ansatz überwacht zudem ein IDS den ganzen Netzwerkverkehr in der Anlage. Es meldet einerseits via Leittechnik einen Alarm an die Netzleitstelle und stellt andererseits Informationen für übergeordnete Security-Management-Systeme zur Verfügung. Das IDS ist die wesentliche Komponente für das Erkennen von Angriffen oder Auffälligkeiten im Stationsnetz.
Netzwerküberwachung in Schaltanlagen
Das neue US-Konzept 2020 von CKW beruht auf der Einrichtung von Netzwerksegmenten, die jeweils durch eine Firewall getrennt sind. Die Parametrierung der Firewall gibt genau vor, mit welchen Protokollen über die Segmente hinweg kommuniziert werden darf. Allerdings können auch über die von der Firewall erlaubten Protokolle, beispielsweise Engineering-Protokolle und das in IEC 61850 verwendete MMS- und Goose-Protokoll, potenziell Geräte angegriffen und mit Schadsoftware infiziert werden. Genau solche Szenarien will CKW verhindern, indem sie den Netzwerkverkehr mit einem IDS überwachen, um frühzeitig unerlaubte Vorgänge zu erkennen. Omicron forscht seit 2011 an einem Ansatz für Intrusion Detection in IEC-61850-Schaltanlagen und wurde 2017 von Ingenieuren der CKW angesprochen, die auf der Suche nach einem Intrusion-Detection-System für das neue US-Konzept waren. Die Techniker von CKW kannten die Nachteile aktuell verfügbarer IDS-Systeme. Eine wichtige Vorgabe war daher, dass das IDS von den verantwortlichen Schutz- und Leittechnikern einfach bedient werden kann. 2018 wurde eine der ersten Proof-of-Concept-Installationen von Station-Guard in einer 110-kV-Schaltanlage von CKW in Betrieb genommen. Mittlerweile flossen auch Erfahrungen von anderen Energieversorgern weltweit in die Entwicklung von Station-Guard ein.
Die meisten IDS-Systeme für OT verwenden einen „lernbasierten“ Ansatz. Dabei wird zunächst über Wochen hinweg der übliche Zustand im Netzwerk erlernt. Anschließend wird im Normalbetrieb immer dann alarmiert, wenn die Netzwerkkommunikation signifikant vom erlernten Status abweicht. Das hat zur Folge, dass für alle Vorgänge Fehlalarme ausgelöst werden, die während der Lernphase nicht auftraten. Hierzu gehören beispielsweise Schutzauslösungen, Schalthandlungen oder routinemäßige Prüfungen. Da das System die tatsächlichen Ereignisse in der Anlage nicht kennt, beziehen sich die Alarmmeldungen rein auf Protokolldetails. Damit entsteht also eine hohe Anzahl von Fehlalarmen, für deren Überprüfung IT-Spezialisten mit Anlagenkenntnissen erforderlich sind. Ein solcher Aufwand wäre für die meisten EVU nicht tragbar.