IT@Energy Cyber Security – Sicherheit in allen Details Ganzheitliche Lösung für Energieautomatisierungssysteme mit SIPROTEC und SICAM Infrastrukturen IT-Sicherheit in der Energieautomatisierung IT@Energy IT-Sicherheit ganzheitlich betrachten Ganzheitlicher Ansatz Durchgängige IT-Sicherheit in der Energieautomatisierung für kritische Infrastrukturen Der Gesetzgeber verlangt vom Betreiber einer kritischen Infrastruktur einen ganzheitlichen Ansatz bezüglich der Risikoermittlung und Behandlung der Risiken. Dazu gehören die Implementierung eines »Managementsystems für Informationssicherheit« und ein angemessener Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme [1]. Cyber-Angriffe auf kritische Infrastrukturen sind real und mittlerweile regelmäßig in den Medien präsent. Auf die Risiken für kritische Infrastrukturen zielt auch das IT-Sicherheitsgesetz der Bundesregierung, das am 12. Juni 2015 vom Bundestag beschlossen wurde [1]. Das IT-Sicherheitsgesetz der Bundesregierung verpflichtet die Betreiber kritischer Infrastrukturen, ihre IT-Infrastruktur vor Cyber-Angriffen zu schützen. Die Definition der kritischen Infrastrukturen geschieht in einer nachgelagerten Rechtsverordnung. Der Betreiber einer Anlage zur Energieautomatisierung befindet sich in einem Spannungsdreieck, seine Geschäftsziele zu erreichen, den realen Risiken eines potenziellen Angriffs zu begegnen und den gesetzlichen Anforderungen des IT-Sicherheitsgesetzes zu genügen. Geschäftsziele Erreichen EVU Organisation Prozesse Mitigieren Cyberrisiken Infrastruktur Erfüllen Cyberregularien und Standards 42671.1 Bild 1. Spannungsdreieck des Betreibers organisatorische Bereitschaft sichere Entwicklung sichere Integration und Dienstleistung schwachstellen und Zwischenfallhandhabung Sicherheitsarchitektur Systemhärtung Zugangskontrolle sichere und BenutzerProtokollierung verwaltung und Überwachung Handhabung von Schutz vor Schad- Sichern und sicherer Wiederherstellen Fernzugang Softwareupdates programmen Datenschutz und Integrität Schutz persönlicher Daten 42671.2 Bild 2. Kategorisierung der IT-Sicherheitsaspekte 2 SONDERDRUCK 7290 aus ew 7 | 2015 ( Jg 114), S. 70-72 Auch Produktlieferanten und Systemlieferanten von Anlagen zur Energieautomatisierung müssen die IT-Sicherheit ganzheitlich betrachten. Dazu gehören Prozesse, Kommunikation, Mitarbeiter und Technologien. Es beginnt mit dem Verankern der IT-Sicherheit in der Organisation mit den entsprechend definierten Rollen, Richtlinien sowie Prozessen. Dies liegt in der Verantwortung des Managements eines Unternehmens. Es geht weiter mit einer sicheren Produktentwicklung, die hohe Anforderungen an die IT-Sicherheit erfüllt und eine sichere Produktarchitektur aufweist. Die Produktentwicklung umfasst auch die sichere Implementierung der Software sowie die Durchführung systematischer Tests der IT-Sicherheit. Die IT-Sicherheit der Infrastruktur beim Produktlieferanten selbst spielt auch eine große Rolle. Die interne Entwicklungsdokumentation und der Quellcode müssen vor unberechtigtem Zugriff und Manipulation geschützt und die Integrität über ein Revisionsmanagement sichergestellt werden. Es müssen Prozesse implementiert sein, die die Integrität von nicht selbst entwickelten Softwarekomponenten, wie Open Source, sicherstellen. Der Systemintegrator ist für die sichere Integration der Produkte verantwortlich. Auch hier bedarf es dedizierter Prozessbeschreibungen, Richtlinien und technischen Beschreibungen für die sichere Integration. Die Projektierung der Anlage geschieht dann auf Basis der technischen Beschreibungen. Die Validierung der Sicherheitsmaßnahmen findet beim FAT (Factory Acceptance Test) und SAT (Site Acceptance Test) auf Basis definierter Testfälle statt. Die IT-Infrastruktur beim Systemlieferanten muss die Projektdokumentation und Projektierungsdaten vor unberechtigtem Zugriff schützen. Es müssen sichere Verfahren implementiert sein, um die Projektdokumentation, initiale Benutzerkennungen und initiale Passwörter an den Betreiber zu übergeben. Mit den Benutzerhandbüchern müssen die Anlage sicher betrieben werden können. Aber auch nach der Übergabe an den Betreiber sind Produktlieferant und IT@Energy Systemlieferant in der Pflicht. Damit der Betreiber die Anlage in einem sicheren Zustand halten kann, muss der Lieferant ein Schwachstellenmanagement für seine Produkte unterhalten und Sicherheitspatches zur Verfügung stellen. Idealerweise unterhält der Lieferant ein eigenes CERT (Computer Emergency Response Team). Diese Organisation erörtert IT-sicherheitskritische Themen, gibt aktuelle Warnungen aus und informiert über Schwachstellen und Upgrades der Produkte und Lösungen. IT-Sicherheit ist nicht nur die Aufgabe weniger Spezialisten beim Produkt- und Systemlieferanten. Der ganzheitliche Ansatz erfordert ein Bewusstsein für die Belange der IT-Sicherheit aller Mitarbeiter im Unternehmen. Dies setzt unter anderem auch eine rollenspezifische Ausbildung voraus. Bei den technischen Aspekten sind folgende Schwerpunktthemen zu berücksichtigen: óó óó óó óó óó óó óó óó Secure System Architecture System Hardening Access Control and Account Management Security Logging/Monitoring Security Patching Malware Protection Backup and Restore Secure Remote Access. Produkte Sichere Produkte der Energieautomatisierung sind Basis für ein sicheres System zur Energieautomatisierung. Die Anforderungen an die IT-Sicherheitsfunktionen der Produkte hängen von verschiedenen Faktoren ab. Dazu gehören die bestimmungsgemäße Funktion der Produkte (Schutz, Steuerung, Bedienung und Beobachtung) und die räumliche Anordnung der Produkte. Die Sicherheitsfunktionen in modernen Produkten der Energieautomatisierung folgen den allgemeinen Schutzzielen der IT-Sicherheit: Verfügbarkeit, Integrität und Vertraulichkeit. Dies kann anhand eines modernen Schutzgeräts dargestellt werden. Es beginnt mit der sicheren Kommunikation zwischen dem Bedienprogramm und dem Gerät. Die verschlüsselte Verbindung wird erst nach gegenseitiger Authentifizierung etabliert. Dabei wird auch ein Verbindungspasswort gemäß BDEW-Whitepaper sowie NERC-CIP-Empfehlungen (North American Electric Reliability Corporation-Critical Infrastructure Protection) verwendet und verwaltet [2]. Alle sicherheitsrelevanten Ereignisse werden in einem nichtlöschbaren Sicherheitspuffer protokolliert. https IPSec-fähiger Router IEC 60870-5-104 0 IEC 61850 m GPRS-Modem IPSec-Verschlüsselung WLAN seriell https 42671.3 Bild 3. Beispiel für eine sichere Fernkommunikation Das Schutzgerät enthält einen Cryptochip, um die kryptographischen Funktionen sicher zu gewährleisten. Dazu gehört unter anderem die Integritätsprüfung der eigenen Firmware. Die Firmware wird während des Produktionsprozesses mit einer digitalen Signatur versehen, die das Gerät für die Authentifizierung verwendet. Das Gerät ermöglicht eine physikalische Trennung zwischen Prozess- und Managementkommunikation. Darüber hinaus sind die Anforderungen an die sichere Kommunikation der Geräte, die außerhalb eines physikalisch geschützten Bereichs kommunizieren höher als an Geräte, die nur innerhalb eines physikalisch geschützten Bereichs kommunizieren. Hier ist eine End-to-Site oder End-to-End-Verschlüsselung zwingend. Dabei ist das Gerät der Endpunkt der Verschlüsselung. Der Produktlieferant muss sicherstellen, dass die regelmäßige Installation der Betriebssystem-SecurityPatches sowie Antiviren-Pattern nicht die Verfügbarkeit der Energieautomatisierungsfunktionen beeinträchtigt. Ein weiterer Aspekt ist die Investitionssicherheit der Produkte. Der Produktlieferant muss sicherstellen, dass Stateof-the-Art-Sicherheitsfunktionen durch Softwareupdates über einen langen Zeitraum nachgerüstet werden können. Migrationsstrategie Viele der bestehenden Anlagen der Energieautomatisierung sind potenziell unsicher und müssen unter dem Gesichtspunkt der IT-Sicherheit überarbeitet werden. Da ein sofortiger Komplettumbau unwirtschaftlich ist, ist eine Migrationsstrategie hin zu einer sicheren Anlage nötig. Verschlüsselung der Kommunikationsstrecke zwi schen h Digsi Di i 5 und d dem d Siprotec-5-Gerät Si t 5 G ät zwischen Ver bindungspasswort gemäß NERC-CIP und Verbindungspasswort BDE EW-White-Paper BDEW-White-Paper Prot tokollierung von Zugriffsversuchen Protokollierung in einem e nicht-löschbaren Sicherheitspuffer Bes stätigungscodes Bestätigungscodes für sicherheitskritische Han ndlungen Handlungen 42671.4 Entwicklun ng sichere Entwicklung Antivirus-Kompatibilitäät Antivirus-Kompatibilität sichere Entwicklung unabhängige Test digital signierte Firmware interne Firewall Trennung von Prozess- und Managementkommunikation Crypto Chip für sichere Speicherung Crypto-Chip Bild 4. Sicherheitseigenschaften eines modernen Schutzgeräts SONDERDRUCK 7290 aus ew 7 | 2015 ( Jg 114), S. 70-72 3 Zugangsmanagement Schutz vor Schadprogrammen Netzleittechniklevel VPN Firewall Fernzugriffszone Unterstation Zone II Stationslevel Unterstation Zone I DMZ ungesichertes Netzwerk Switch Router mit Firewall Schutzgeräte, Feldgeräte Stationsautomatisierung PC Netzleittechnik Härtungsmaßnahmen Feldlevel Service-PC gesicherte Zone 42671.5 Bild 5. Aufbau einer sicheren Energieautomatisierungsanlage Die Migration muss die besonderen Randbedingungen, unter denen eine Anlage der Energieautomatisierung betrieben wird, berücksichtigen. Das wichtigste Schutzziel für Energieautomatisierungsanlagen ist die Verfügbarkeit. Es wird ein 24/7-unterbrechungsfreier Betrieb erwartet. Die eingesetzten Komponenten sind eine Mischung aus windows- und linuxbasierten Systemen sowie proprietären Systemen. Es werden Verbindungen in unsichere Netze und in die Office-IT des Betreibers unterhalten. Es werden teilweise ältere Komponenten eingesetzt, die aus dem Blickwinkel der Wirtschaftlichkeit und Funktionalität aber noch nicht ausgetauscht werden können. Auch proprietäre Technologien sind im Einsatz. Eine Anlage der Energieautomatisierung besteht also häufig aus einer Mischung von Komponenten verschiedener Hersteller, verschiedener Technologien und Technologiegenerationen. Viele bekannte Maßnahmen aus der Office-IT priorisieren die Schutzziele anders oder berücksichtigen die besonderen Randbedingungen nicht genügend. Es müssen daher auf die Energieautomatisierung abgestimmte Konzepte umgesetzt werden. Eine Migration beginnt mit der Inventarisierung aller Assets der Anlage. Die Architektur des Kommunikationsnetzwerks sowie die physikalische Ausdehnung der Anlage wird dokumentiert. Dieser Status quo ist dann Basis für eine Risikoanalyse gemeinsam mit dem Betreiber der Anlage. Bei der Analyse werden die Schadensauswirkung der betriebskritischen Informationen sowie der Schutzbedarf der entsprechenden IT-Assets bewertet. Die Analyse muss auch die funktionalen Anforderungen des Betreibers und die lokalen regulatorischen Anforderungen berücksichtigen. Eine sichere Systemarchitektur ist dabei Basis für die weiteren IT-Sicherheitsmaßnahmen. Die sichere Architektur teilt die Anlage in sichere Zonen mit gleichem Schutzbedarf ein. Eine besondere sichere Zone kann dafür genutzt werden, technisch nicht mehr aktuelle Produkte für einen gewissen Zeitraum weiter zu betreiben, ohne den Schutzlevel der anderen Zonen dadurch herabzusetzen. Es wird eine demilitarisierte Zone (DMZ) eingerichtet, in der alle EngineeringWerkzeuge für die Komponenten der sicheren Zone angeordnet werden. Diese Zonen werden über Firewalls gesichert. Auf dieser Basis werden die weiteren ITSicherheitsmaßnahmen implementiert. Dabei müssen die oben beschriebenen Randbedingungen berücksichtigt werden. Das bedeutet beispielsweise die Durchführung von Härtungsmaßnahmen an Komponenten verschiedener Hersteller. Alle Maßnahmen zur IT-Sicherheit folgen dem grundsätzlichen Designprinzipien Defense-in-Depth und Need-to-know [2]. Ausblick Die Bedrohung durch Cyberangriffe und regulatorische Anforderungen werden dazu führen, dass sich Betreiber kritischer Infrastrukturen intensiv mit den notwendigen Sicherungsvorkehrungen sowie Prozessen auseinandersetzen und diese installieren. Es werden flächendeckend sichere Produkte und Lösungen eingesetzt. SONDERDRUCK 7290 aus ew 7 | 2015 ( Jg 114), S. 70-72 Die Betreiber werden diese Maßnahmen als essenziellen Bestandteil ihres Qualitätsprozesses etablieren, um die Sicherheit zu haben, sich dann um ihr eigentliches Kerngeschäft kümmern zu können. Literatur [1] Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz). www.dip21.bundestag.de/dip21/ btd/18/040/1804096.pdf. [2] Bundesverband der Energie- und Wasserwirtschaft e. V. (BDEW): Whitepaper-Anforderungen an sichere Steuerungs und Telekommunikationssysteme. Überarbeitete Version 1.1, März 2015, www.bdew.de. Dipl.-Inf. Chaitanya Bisale, Product Lifecycle Manager, Cyber Security & Substation Automation, Energy Management Division, Energy Automation, Siemens AG, Nürnberg Dipl.-Ing. Andreas Kohl, Lifecycle Manager Cyber Security, Energy Management Division, Energy Automation, Siemens AG, Nürnberg >>[email protected] [email protected] >>www.siemens.de 42671
© Copyright 2024 ExpyDoc