Abbild möglicher Angriffsvektoren einer Schaltanlage

Bild 1: Mögliche Angriffsvektoren einer typischen Schaltanlage (Quelle: Omicron Klaus/Österreich)

Um die Funktion von mindestens einem Schutz- oder Steuergerät in einer Schaltanlage zu beeinflussen oder zu deaktivieren, gibt es verschiedene Möglichkeiten. Beispielsweise kann ein Cyberangriff über die in Bild 1 mit roten Nummern gekennzeichneten Pfade erfolgen. Ein Angreifer könnte über die Verbindung zur Leitstelle (1) eindringen, so wie dies bei einem der Cyberangriffe in der Ukraine geschah. Ziel war unter anderem die Veränderung der Firmware von Gateway-Geräten und so die Zerstörung dieser Geräte.

Einen weiteren Einbruchspunkt stellen die an die Schutz- und Steuergeräte angeschlossenen Engineering-Computer (2) dar. Verbindet ein Schutztechniker seinen Computer mit einem Relais, um den Schutz zu parametrieren, könnte eine Schadsoftware, die sich auf dem PC oder einem daran angeschlossenen ­Datenträger befindet, wiederum Schadsoftware unbemerkt auf dem ­Relais installieren. Dies war das Szenario, das beim Cyberangriff Stuxnet eingesetzt wurde.

PC (3), die zur Prüfung von IEC-61850-Systemen dienen, werden oft unmittelbar an den Stationsbus angeschlossen und können auf diesem Weg ein IED (Intelligent Electronic ­Device) infizieren. Aus diesem Grund gibt es neue IEC-61850-Prüflösungen, die ­eine gegen Cybergefahren sichere Trennung zwischen dem Prüfcomputer und dem Anlagennetzwerk sicherstellen.

Darüber hinaus ist das Prüfgerät (4) selbst auch ein weiterer möglicher Einbruchspfad. Deshalb müssen Anbieter von Prüfgeräten in die Härtung ihrer Geräte investieren, um zu verhindern, dass sie durch einen Angreifer als Hinter­tür genutzt werden können.
Die Konfigurationsdateien (2a) und Prüfdokumente (3a) können ebenfalls als Quelle für Schadsoftware dienen. Der Speicherort dieser Dateien muss damit ebenso sicher verwaltet werden, wie die Prüf-PC selbst. Deshalb ist es sinnvoll, für die dort gespeicherten Daten eine von der Büro-IT getrennte und geschützte Lösung einzuführen, die die sichere Datenverwaltung ermöglicht.

IT-Sicherheit in IEC-61850-Umgebungen

Eine häufig gestellte Frage zur IT-Sicherheit in IEC-61850-Anlagen lautet: „Wie lässt sich verhindern, dass ein Angreifer eine Trip-Goose (Generic Object Oriented ­Substation Event) in den Stationsbus einspeist?“ Zur Beantwortung dieser Frage reicht es nicht aus, sich auf den Fall zu beschränken, dass der Angreifer einen physischen Zugang zum Anlagennetzwerk hat. Auch andere Szenarien sind hier denkbar, beispielsweise ein infizierter Wartungs- oder Prüf-PC, der an den Stationsbus angeschlossen wird, oder auch ein infiziertes IED, das eine Goose fälscht und einspeist. 

Oft werden in diesem Zusammenhang die Status- und Sequenznummern im Goose-Protokoll als „Sicherheits­mechanismus“ angeführt, weil durch die Durchnummerierung der Telegramme ein „eingeschobenes“, falsch num­meriertes Telegramm vom Empfänger bemerkt würde. Die Status- und Sequenznummern sind allerdings kein Sicherheitsmechanismus im Sinne der IT-Sicherheit, da ein Angreifer sie mitlesen und dann für seinen Angriff geeignete Werte einspeisen kann. Nicht einmal über die Quell-MAC-Addresse könnte der Empfänger ein eingeschobenes Telegramm erkennen, auch diese lässt sich von einem Angreifer kopieren. Das Empfänger-IED identifiziert das erste empfangene Telegramm somit als gültige Goose und reagiert darauf. Erst beim zweiten identischen Telegramm kann der Empfänger den Fehler bemerken. Dasselbe gilt auch für den Sample Count bei der Übertragung von Abtastwerten mit dem Sampled-Values-Protokoll.

Die einzig wirksame Maßnahme, um die Einspeisung von Goose durch einen Angreifer zu verhindern, besteht darin, Authentifizierungscodes am Ende der Goose-Nachricht gemäß IEC 62351-6 einzuführen. Damit wird das ­sendende IED eindeutig identifiziert und eine Manipulation des Inhalts der Goose-Nachricht ist unmöglich. Dafür ist es übrigens nicht erforderlich, die Goose zu verschlüsseln. Die Bereitstellung der Authentifizierungsschlüssel für jedes IED bedarf allerdings einer Infrastruktur – einem Key Distri­bution System. Da dies mit einem gewissen Aufwand ­verbunden ist, finden diese Goose-Sicherheitsmechanismen heute noch keine breite Anwendung. Gleiches gilt für MMS und die rollenbasierte Zugriffskontrolle. Es ist jedoch nur eine Frage der Zeit, bis die Standardisierung und die Produkte bereitstehen, sodass diese Sicherheitsmechanismen großflächig angewendet werden können.

1 / 5

Ähnliche Beiträge