Anforderungen für ein Schaltanlagen-IDS
Bild 4: Grafische Alarmanzeige anstelle einer kryptischen Ereignisliste (Quelle: Omicron Klaus/Österreich)
In einer IEC-61850-Anlage würde ein IDS wie in Bild 2 gezeigt angeschlossen. Mirror Ports an allen relevanten Switches leiten eine Kopie des gesamten Netzwerkverkehrs an das IDS weiter, das dann den Netzwerkverkehr überprüft. Für eine Analyse des wichtigsten Datenverkehrs in einer Anlage sollte das IDS zumindest mit dem Switch verbunden werden, an dem das Gateway und externe Fernwartungszugänge hängen. Die Switches auf Feldebene müssen in der Regel nicht mit überwacht werden, da von dort typischerweise nur Multicast-Verkehr (Goose, Sampled Values) kommt. Um sicherzustellen, dass auch der gesamte Unicast-Verkehr innerhalb von allen Netzwerkzweigen analysiert wird, müssen alle Switches mittels Mirror Port an das IDS angeschlossen werden. Wenn die Netzwerkverkabelung in der Feldebene mittels Switch-Chips in den IED realisiert wurde, ist dies jedoch meist nicht möglich.
Intrusion Detection Systeme aus der klassischen IT sind in der Regel nicht für den Einsatz in einer Schaltanlage geeignet. Während sich die klassische IT-Sicherheit mit Hochleistungsservern und deren unzähligen simultanen Verbindungen beschäftigt, geht es bei der IT-Sicherheit in einer Schaltanlage um Geräte mit begrenzten Ressourcen, Echtzeit-Anforderungen und spezielle Redundanzprotokolle. So reicht es beispielsweise für einen „Denial-of-Service“-Angriff auf den Kommunikationsdienst eines IED oft aus, wenn nur zehn Verbindungen, das heißt, zehn Ethernet-Pakete abgeschickt werden. Der Grund hierfür ist leicht ersichtlich: „Denial-of-Service“-Szenarien wurden in der Zeit, als diese Geräte und Protokolle entwickelt wurden, nicht in Betracht gezogen. Außerdem gibt es nur eine kleine Anzahl bekannter Cyberangriffe auf Schaltanlagen, und bereits das erste Auftreten eines neuen Angriffs mit einer noch nicht bekannten Methode kann schwerwiegende Folgen haben. Das ist der Grund, weshalb ein IDS für Energiesysteme neue Cyberangriffe auch ohne Vorkenntnisse erkennen können muss. Damit ist also auch ein ganz anderer Ansatz gefordert, als ihn Virenscanner nutzen, die nur nach bekannten Virensignaturen suchen.
Lernbasierte Systeme
Viele Anbieter verwenden einen „lernbasierten“ Ansatz, um unbekannte Angriffe erkennen zu können. Systeme mit diesem Ansatz analysieren die Häufigkeit und den Zeitpunkt bestimmter Protokollmarker, um während der Lernphase das übliche Verhalten eines Systems zu erlernen. Nach der Lernphase wird ein Alarm ausgelöst, sobald einer der Marker deutlich außerhalb des erwarteten Bereichs liegt. Dies hat zur Folge, dass Fehlalarme für alle Ereignisse ausgelöst werden, die während der Lernzeit nicht aufgetreten sind. Dazu gehören beispielsweise Schutzereignisse, ungewöhnliche Schalt- oder Automatisierungsaktionen oder die routinemäßigen Arbeiten bei Instandhaltung und Prüfung. Die Alarmmeldungen beziehen sich ebenfalls auf technische Protokolldetails, weil diese Systeme zwar die Wörter, jedoch nicht die Bedeutung der Anlagenkommunikation verstehen. Somit können die Alarme nur von einem Ingenieur bewertet werden, der mit den Einzelheiten des IEC-61850-Protokolls und mit der IT-Netzwerksicherheit vertraut ist. Der Ingenieur, der den Alarm prüft, muss darüber hinaus die Betriebssituation kennen, um beurteilen zu können, ob bestimmte Ereignisse des IEC-61850-Protokolls dem gültigen Verhalten entsprechen. Deshalb treten in Schaltanlagen in der Regel eine hohe Anzahl von Fehlalarmen auf, für die eine Überprüfung durch hoch qualifiziertes Personal erforderlich ist. Die Zahl der Alarme führt dann dazu, dass diese oft ohne Prüfung ignoriert oder verworfen werden.