Anwendungsfall 2: Kommunikation in der Schutz- und Leittechnik
Bild 02: Omicron-StationGuard für die Überwachung der internen Anlagenkommunikation (Quelle: Omicron)
Welche Nachteile bringt nun eine Verschlüsselung mit sich? Oft wird hier als erstes die verzögerte Reaktions- und Übertragungszeit genannt. Mit Schutzrelais der neueren Gerätegenerationen liegen die Zeiten jedoch meist innerhalb des Anforderungsbereichs für die in der Meldung enthaltenen Signale.
Ein weiteres Problem ist die Analysefähigkeit: In der Schaltanlagenautomatisierung ist die Lesbarkeit des Datenverkehrs von großer Bedeutung. Das gilt insbesondere dann, wenn Betriebsstörungen nachträglich analysiert werden müssen. Verschlüsselte Netzwerkkommunikation macht eine Analyse allerdings unmöglich. Dies ist insbesondere bei Goose-Telegrammen ein Problem, da sie in Schutzauslösungen oft relevant sind.
Auch hinsichtlich der Sicherheit kann Verschlüsselung nachteilig sein: Weder Firewalls noch Angriffserkennungssysteme können verschlüsselte Kommunikation auf Bedrohungen hin analysieren. Es gäbe zwar theoretische Möglichkeiten, dass Sicherheitssysteme die Verschlüsselung öffnen können, diese würden aber im Schaltanlagen- und Steuerungsumfeld wiederum andere Risiken und Aufwände mit sich bringen.
Wird ein Angriffserkennungssystem (Intrusion Detection System), wie StationGuard von Omicron [3], zur Überwachung der Kommunikation innerhalb der Anlage eingesetzt (Bild 2), ergeben sich zahlreiche Vorteile für die Sicherheit sowie die Diagnose und Überwachung der Anlage: Einzelne Aktivitäten in der MMS-, Goose- und IEC-60870-5-104-Kommunikation (DIN EN 60870-5-104 [4]) können genau auseinandergehalten und beurteilt werden. Ebenso kann festgelegt werden, welche Geräte beispielsweise Schalthandlungen oder Konfigurationsänderungen durchführen dürfen und welche nicht. Hier kann StationGuard auch zwischen Wartungssituationen und dem Normalbetrieb unterscheiden.
Im Normalbetrieb der Anlage ist es beispielsweise nicht üblich, dass der Engineering-PC Schalthandlungen durchführt. Die Konfiguration von StationGuard ist einfach gehalten und kann durch das Importieren von SCL-Projektdateien (Substation Configuration Language) bzw. Anlagenbeschreibungen im CSV-Format zu großen Teilen automatisiert ablaufen. Aufgrund der detaillierten Überprüfung durch StationGuard werden nicht nur Bedrohungen für die Cyber-Sicherheit, wie manipulierte Pakete oder unzulässige Steuervorgänge, erkannt, sondern auch Kommunikationsfehler, Probleme mit der Zeitsynchronisation und damit auch möglicherweise bevorstehende Geräteausfälle.
Auf diese Weise lassen sich bereits bei der Erstinbetriebnahme von StationGuard verschiedene Security-Bedrohungen, aber auch Konfigurationsfehler in der Leit- und Netzwerktechnik auffinden. Omicron bietet solche Cyber-Security-Assessments für Energieversorger kostenlos an.
Details zur Security-Normenreihe
Die Security-Normenreihe DIN EN IEC 62351 fordert die Anwendung von sicheren Transportprotokollen mittels kryptografischer Methoden auf allen Schalt-, Schutz-, Messund Steuergeräten. An der Authentifizierung der Kommunikationsteilnehmer mittels kryptografischer Zertifikate und Nachrichtensignaturen führt kein Weg vorbei. Eine zusätzliche Verschlüsselung der Kommunikation ist in der Norm jedoch optional und hängt vom Anwendungsfall ab.
Einen technischen Lösungsvorschlag unterbreitet die Normenreihe mit Transport Layer Security (TLS) in Version 1.2, die eine Verwendung von TLS mit Integritätsprüfung, jedoch ohne Verschlüsselung erlaubt. Im aktuellen Protokoll TLS 1.3 ist dies grundsätzlich nicht mehr möglich, in der Internet Engineering Task Force (IETF) gibt es jedoch eine Initiative (RFC 9150), die solche „integrity-only cypher suites“ auch für den Nachfolger TLS 1.3 ermöglicht.
Fazit
Die Authentifizierung und Integritätssicherung bei MMS- und Goose-Kommunikation ist in jedem Fall empfohlen. Mit den in der Normenreihe DIN EN IEC 62351 (VDE 0112-351) [5] beschriebenen Methoden kann sichergestellt werden, dass Absender und Empfänger die erwarteten Geräte sind, und dass die Nachrichten auf dem Kommunikationsweg nicht manipuliert wurden. Die Voraussetzung hierfür ist ein System zur Schlüssel- bzw. Zertifikatsverteilung, also ein weiterer Server im Anlagennetzwerk, der über kurz oder lang in allen Schaltanlagen, Umspann-, Kraft- und Steuerungsnetzwerken zur Verfügung stehen muss.
Die optional zuschaltbare Verschlüsselung ist dort sinnvoll, wo der Kommunikationsinhalt geheim gehalten werden muss. Dies ist beispielsweise bei vertraulichen Zählerinformationen der Fall, kann aber auch grundsätzlich notwendig sein, wenn die Kommunikation teilweise über einen öffentlichen Kanal, wie ein Mobilfunknetzwerk (Stichwort: 5G), läuft. Hier empfiehlt es sich, eine Kanalverschlüsselung am Übergang zwischen privatem und öffentlichem Kanal zu schalten. Damit lassen sich die Nachteile der Verschlüsselung im privaten Netz vermeiden und trotzdem das Mithören auf dem öffentlichen Kanal verhindern.
Literatur
- DIN EN IEC 61850 (VDE 0160-850) Kommunikationsnetze und -systeme für die Automatisierung in der elektrischen Energieversorgung. Berlin · Offenbach: VDE VERLAG
- Bachmann Electronic GmbH, Feldkirch/Österreich: www.bachmann.info
- Omicron Electronics GmbH, Klaus/Österreich: www.omicronenergy.com, https://stationguard.com
- DIN EN 60870-5-104 :2018-07 Fernwirkeinrichtungen und -systeme – Teil 5-104: Übertragungsprotokolle – Zugriff für IEC 60870-5-101 auf Netze mit genormten Transportprofilen. Berlin: Beuth
- DIN EN IEC 62351 (VDE 0112-351) Energiemanagementsysteme und zugehöriger Datenaustausch – IT-Sicherheit für Daten und Kommunikation. Berlin · Offenbach: VDE VERLAG