ew7-15-S70 letzter Stand für PDF.indd

IT@Energy
Cyber Security –
Sicherheit in allen Details
Ganzheitliche Lösung für Energieautomatisierungssysteme
mit SIPROTEC und SICAM
Infrastrukturen
IT-Sicherheit in der
Energieautomatisierung
IT@Energy
IT-Sicherheit ganzheitlich betrachten
Ganzheitlicher Ansatz
Durchgängige IT-Sicherheit in
der Energieautomatisierung
für kritische Infrastrukturen
Der Gesetzgeber verlangt vom Betreiber
einer kritischen Infrastruktur einen ganzheitlichen Ansatz bezüglich der Risikoermittlung und Behandlung der Risiken.
Dazu gehören die Implementierung eines
»Managementsystems für Informationssicherheit« und ein angemessener Schutz
gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme [1].
Cyber-Angriffe auf kritische Infrastrukturen sind real und mittlerweile
regelmäßig in den Medien präsent. Auf die Risiken für kritische
Infrastrukturen zielt auch das IT-Sicherheitsgesetz der Bundesregierung, das am 12. Juni 2015 vom Bundestag beschlossen wurde [1].
Das IT-Sicherheitsgesetz der Bundesregierung verpflichtet die Betreiber kritischer
Infrastrukturen, ihre IT-Infrastruktur vor
Cyber-Angriffen zu schützen. Die Definition der kritischen Infrastrukturen geschieht in einer nachgelagerten Rechtsverordnung. Der Betreiber einer Anlage
zur Energieautomatisierung befindet
sich in einem Spannungsdreieck, seine
Geschäftsziele zu erreichen, den realen
Risiken eines potenziellen Angriffs zu
begegnen und den gesetzlichen Anforderungen des IT-Sicherheitsgesetzes zu
genügen.
Geschäftsziele
Erreichen
EVU
Organisation
Prozesse
Mitigieren
Cyberrisiken
Infrastruktur
Erfüllen
Cyberregularien und Standards
42671.1
Bild 1. Spannungsdreieck des Betreibers
organisatorische
Bereitschaft
sichere
Entwicklung
sichere
Integration und
Dienstleistung
schwachstellen
und Zwischenfallhandhabung
Sicherheitsarchitektur
Systemhärtung
Zugangskontrolle sichere
und BenutzerProtokollierung
verwaltung
und Überwachung
Handhabung von Schutz vor Schad- Sichern und
sicherer
Wiederherstellen Fernzugang
Softwareupdates programmen
Datenschutz und
Integrität
Schutz persönlicher Daten
42671.2
Bild 2. Kategorisierung der IT-Sicherheitsaspekte
2
SONDERDRUCK 7290 aus ew 7 | 2015 ( Jg 114), S. 70-72
Auch Produktlieferanten und Systemlieferanten von Anlagen zur Energieautomatisierung müssen die IT-Sicherheit ganzheitlich betrachten. Dazu gehören Prozesse,
Kommunikation, Mitarbeiter und Technologien. Es beginnt mit dem Verankern der
IT-Sicherheit in der Organisation mit den
entsprechend definierten Rollen, Richtlinien sowie Prozessen. Dies liegt in der
Verantwortung des Managements eines
Unternehmens. Es geht weiter mit einer
sicheren Produktentwicklung, die hohe
Anforderungen an die IT-Sicherheit erfüllt
und eine sichere Produktarchitektur aufweist. Die Produktentwicklung umfasst
auch die sichere Implementierung der
Software sowie die Durchführung systematischer Tests der IT-Sicherheit. Die IT-Sicherheit der Infrastruktur beim Produktlieferanten selbst spielt auch eine große
Rolle. Die interne Entwicklungsdokumentation und der Quellcode müssen vor unberechtigtem Zugriff und Manipulation
geschützt und die Integrität über ein Revisionsmanagement sichergestellt werden.
Es müssen Prozesse implementiert sein,
die die Integrität von nicht selbst entwickelten Softwarekomponenten, wie Open
Source, sicherstellen. Der Systemintegrator ist für die sichere Integration der Produkte verantwortlich. Auch hier bedarf es
dedizierter Prozessbeschreibungen, Richtlinien und technischen Beschreibungen
für die sichere Integration. Die Projektierung der Anlage geschieht dann auf Basis der technischen Beschreibungen. Die
Validierung der Sicherheitsmaßnahmen
findet beim FAT (Factory Acceptance Test)
und SAT (Site Acceptance Test) auf Basis
definierter Testfälle statt.
Die IT-Infrastruktur beim Systemlieferanten muss die Projektdokumentation
und Projektierungsdaten vor unberechtigtem Zugriff schützen. Es müssen sichere Verfahren implementiert sein,
um die Projektdokumentation, initiale
Benutzerkennungen und initiale Passwörter an den Betreiber zu übergeben.
Mit den Benutzerhandbüchern müssen
die Anlage sicher betrieben werden können. Aber auch nach der Übergabe an
den Betreiber sind Produktlieferant und
IT@Energy
Systemlieferant in der Pflicht. Damit der
Betreiber die Anlage in einem sicheren
Zustand halten kann, muss der Lieferant ein Schwachstellenmanagement
für seine Produkte unterhalten und Sicherheitspatches zur Verfügung stellen.
Idealerweise unterhält der Lieferant ein
eigenes CERT (Computer Emergency Response Team). Diese Organisation erörtert IT-sicherheitskritische Themen, gibt
aktuelle Warnungen aus und informiert
über Schwachstellen und Upgrades der
Produkte und Lösungen.
IT-Sicherheit ist nicht nur die Aufgabe weniger Spezialisten beim Produkt- und Systemlieferanten. Der ganzheitliche Ansatz erfordert ein Bewusstsein für die Belange der
IT-Sicherheit aller Mitarbeiter im Unternehmen. Dies setzt unter anderem auch eine
rollenspezifische Ausbildung voraus. Bei
den technischen Aspekten sind folgende
Schwerpunktthemen zu berücksichtigen:
óó
óó
óó
óó
óó
óó
óó
óó
Secure System Architecture
System Hardening
Access Control and Account
Management
Security Logging/Monitoring
Security Patching
Malware Protection
Backup and Restore
Secure Remote Access.
Produkte
Sichere Produkte der Energieautomatisierung sind Basis für ein sicheres System zur Energieautomatisierung. Die
Anforderungen an die IT-Sicherheitsfunktionen der Produkte hängen von
verschiedenen Faktoren ab. Dazu gehören die bestimmungsgemäße Funktion der Produkte (Schutz, Steuerung,
Bedienung und Beobachtung) und die
räumliche Anordnung der Produkte.
Die Sicherheitsfunktionen in modernen
Produkten der Energieautomatisierung
folgen den allgemeinen Schutzzielen
der IT-Sicherheit: Verfügbarkeit, Integrität und Vertraulichkeit. Dies kann
anhand eines modernen Schutzgeräts
dargestellt werden. Es beginnt mit der
sicheren Kommunikation zwischen dem
Bedienprogramm und dem Gerät.
Die verschlüsselte Verbindung wird erst
nach gegenseitiger Authentifizierung
etabliert. Dabei wird auch ein Verbindungspasswort gemäß BDEW-Whitepaper sowie NERC-CIP-Empfehlungen
(North American Electric Reliability Corporation-Critical Infrastructure Protection) verwendet und verwaltet [2]. Alle
sicherheitsrelevanten Ereignisse werden
in einem nichtlöschbaren Sicherheitspuffer protokolliert.
https
IPSec-fähiger Router
IEC 60870-5-104
0
IEC 61850
m
GPRS-Modem
IPSec-Verschlüsselung
WLAN
seriell
https
42671.3
Bild 3. Beispiel für eine sichere Fernkommunikation
Das Schutzgerät enthält einen Cryptochip, um die kryptographischen Funktionen sicher zu gewährleisten. Dazu gehört
unter anderem die Integritätsprüfung
der eigenen Firmware. Die Firmware wird
während des Produktionsprozesses mit
einer digitalen Signatur versehen, die das
Gerät für die Authentifizierung verwendet. Das Gerät ermöglicht eine physikalische Trennung zwischen Prozess- und
Managementkommunikation.
Darüber hinaus sind die Anforderungen an die sichere Kommunikation der
Geräte, die außerhalb eines physikalisch
geschützten Bereichs kommunizieren
höher als an Geräte, die nur innerhalb
eines physikalisch geschützten Bereichs
kommunizieren. Hier ist eine End-to-Site
oder End-to-End-Verschlüsselung zwingend. Dabei ist das Gerät der Endpunkt
der Verschlüsselung. Der Produktlieferant
muss sicherstellen, dass die regelmäßige
Installation der Betriebssystem-SecurityPatches sowie Antiviren-Pattern nicht die
Verfügbarkeit der Energieautomatisierungsfunktionen beeinträchtigt.
Ein weiterer Aspekt ist die Investitionssicherheit der Produkte. Der Produktlieferant muss sicherstellen, dass Stateof-the-Art-Sicherheitsfunktionen durch
Softwareupdates über einen langen
Zeitraum nachgerüstet werden können.
Migrationsstrategie
Viele der bestehenden Anlagen der Energieautomatisierung sind potenziell unsicher
und müssen unter dem Gesichtspunkt der
IT-Sicherheit überarbeitet werden. Da ein
sofortiger Komplettumbau unwirtschaftlich ist, ist eine Migrationsstrategie hin zu
einer sicheren Anlage nötig.
Verschlüsselung der Kommunikationsstrecke
zwi
schen
h Digsi
Di i 5 und
d dem
d
Siprotec-5-Gerät
Si t 5 G ät
zwischen
Ver
bindungspasswort gemäß NERC-CIP und
Verbindungspasswort
BDE
EW-White-Paper
BDEW-White-Paper
Prot
tokollierung von Zugriffsversuchen
Protokollierung
in einem
e
nicht-löschbaren Sicherheitspuffer
Bes
stätigungscodes
Bestätigungscodes
für sicherheitskritische
Han
ndlungen
Handlungen
42671.4
Entwicklun
ng
sichere Entwicklung
Antivirus-Kompatibilitäät
Antivirus-Kompatibilität
sichere Entwicklung
unabhängige Test
digital signierte Firmware
interne Firewall
Trennung von Prozess- und
Managementkommunikation
Crypto
Chip für sichere Speicherung
Crypto-Chip
Bild 4. Sicherheitseigenschaften eines modernen Schutzgeräts
SONDERDRUCK 7290 aus ew 7 | 2015 ( Jg 114), S. 70-72
3
Zugangsmanagement
Schutz vor Schadprogrammen
Netzleittechniklevel
VPN
Firewall
Fernzugriffszone
Unterstation Zone II
Stationslevel
Unterstation
Zone I
DMZ
ungesichertes Netzwerk
Switch
Router mit Firewall
Schutzgeräte,
Feldgeräte
Stationsautomatisierung
PC
Netzleittechnik
Härtungsmaßnahmen
Feldlevel
Service-PC
gesicherte Zone
42671.5
Bild 5. Aufbau einer sicheren Energieautomatisierungsanlage
Die Migration muss die besonderen Randbedingungen, unter denen eine Anlage der
Energieautomatisierung betrieben wird,
berücksichtigen. Das wichtigste Schutzziel
für Energieautomatisierungsanlagen ist
die Verfügbarkeit. Es wird ein 24/7-unterbrechungsfreier Betrieb erwartet. Die
eingesetzten Komponenten sind eine Mischung aus windows- und linuxbasierten
Systemen sowie proprietären Systemen. Es
werden Verbindungen in unsichere Netze
und in die Office-IT des Betreibers unterhalten. Es werden teilweise ältere Komponenten eingesetzt, die aus dem Blickwinkel
der Wirtschaftlichkeit und Funktionalität
aber noch nicht ausgetauscht werden können. Auch proprietäre Technologien sind
im Einsatz. Eine Anlage der Energieautomatisierung besteht also häufig aus einer
Mischung von Komponenten verschiedener Hersteller, verschiedener Technologien und Technologiegenerationen. Viele
bekannte Maßnahmen aus der Office-IT
priorisieren die Schutzziele anders oder
berücksichtigen die besonderen Randbedingungen nicht genügend. Es müssen
daher auf die Energieautomatisierung abgestimmte Konzepte umgesetzt werden.
Eine Migration beginnt mit der Inventarisierung aller Assets der Anlage. Die Architektur des Kommunikationsnetzwerks
sowie die physikalische Ausdehnung der
Anlage wird dokumentiert. Dieser Status
quo ist dann Basis für eine Risikoanalyse
gemeinsam mit dem Betreiber der Anlage. Bei der Analyse werden die Schadensauswirkung der betriebskritischen
Informationen sowie der Schutzbedarf
der entsprechenden IT-Assets bewertet.
Die Analyse muss auch die funktionalen
Anforderungen des Betreibers und die
lokalen regulatorischen Anforderungen
berücksichtigen.
Eine sichere Systemarchitektur ist dabei
Basis für die weiteren IT-Sicherheitsmaßnahmen. Die sichere Architektur teilt die
Anlage in sichere Zonen mit gleichem
Schutzbedarf ein. Eine besondere sichere
Zone kann dafür genutzt werden, technisch nicht mehr aktuelle Produkte für
einen gewissen Zeitraum weiter zu betreiben, ohne den Schutzlevel der anderen Zonen dadurch herabzusetzen.
Es wird eine demilitarisierte Zone (DMZ)
eingerichtet, in der alle EngineeringWerkzeuge für die Komponenten der sicheren Zone angeordnet werden. Diese
Zonen werden über Firewalls gesichert.
Auf dieser Basis werden die weiteren ITSicherheitsmaßnahmen implementiert.
Dabei müssen die oben beschriebenen
Randbedingungen berücksichtigt werden. Das bedeutet beispielsweise die
Durchführung von Härtungsmaßnahmen an Komponenten verschiedener
Hersteller. Alle Maßnahmen zur IT-Sicherheit folgen dem grundsätzlichen
Designprinzipien Defense-in-Depth und
Need-to-know [2].
Ausblick
Die Bedrohung durch Cyberangriffe und
regulatorische Anforderungen werden dazu führen, dass sich Betreiber kritischer
Infrastrukturen intensiv mit den notwendigen Sicherungsvorkehrungen sowie
Prozessen auseinandersetzen und diese
installieren. Es werden flächendeckend sichere Produkte und Lösungen eingesetzt.
SONDERDRUCK 7290 aus ew 7 | 2015 ( Jg 114), S. 70-72
Die Betreiber werden diese Maßnahmen
als essenziellen Bestandteil ihres Qualitätsprozesses etablieren, um die Sicherheit
zu haben, sich dann um ihr eigentliches
Kerngeschäft kümmern zu können.
Literatur
[1] Entwurf eines Gesetzes zur Erhöhung
der Sicherheit informationstechnischer
Systeme (IT-Sicherheitsgesetz).
www.dip21.bundestag.de/dip21/
btd/18/040/1804096.pdf.
[2] Bundesverband der Energie- und
Wasserwirtschaft e. V. (BDEW):
Whitepaper-Anforderungen
an sichere Steuerungs und
Telekommunikationssysteme.
Überarbeitete Version 1.1, März 2015,
www.bdew.de.
Dipl.-Inf.
Chaitanya Bisale,
Product Lifecycle Manager,
Cyber Security & Substation
Automation, Energy
Management Division, Energy
Automation,
Siemens AG, Nürnberg
Dipl.-Ing. Andreas Kohl,
Lifecycle Manager Cyber
Security, Energy Management
Division, Energy Automation,
Siemens AG, Nürnberg
>>[email protected]
[email protected]
>>www.siemens.de
42671

Download Report