Fachbeitrag Stromnetze in der Klemme

Doppelte Bedrohung: Energienetze brauchen neue Sicherheitsmechanismen zum Schutz vor Hackern und Fehlbedienung.

Bild: Creacart/iStockphoto
09.01.2015

Öffentliche Energieversorgungsnetze geraten von zwei Seiten unter Druck: Sie sind nicht nur im Visier von Hackern, auch das Gefährdungspotenzial durch Fehlbedienung wächst. Stadtwerke und Energieversorger brauchen deshalb neue Sicherheitsmechanismen.

Prozesssteuerungssysteme wachsen immer mehr mit IT-Netzwerken zusammen, da mit zunehmender Dezentralisie­rung die Geschäftsanforderungen an Stromnetze steigen. So kann über das Internet auf viele Systeme zugegriffen werden, etwa um sie aus der Ferne zu warten. Die Hardware-Komponenten sind jedoch meist veraltet und nicht mit Blick auf IT-Sicherheit entworfen worden. Damit sind sie zum einen Saboteuren ausgesetzt, zum anderen steigt das Risiko durch Fehlbedienung.

Blackout durch falsche und fremde Bedienung

Bereits 2013 legte eine einfache Abfrage der Zählerstände exemplarisch die Schwachstellen der Energieversorgungsnetze offen: Ein Steuerungsbefehl aus einer regionalen Gasversorgung wurde unbeabsichtigt in das europäische Stromkontrollnetz eingeleitet. Diese eigentlich simple Zählerabfrage an ein paar Dutzend Komponenten des Erdgasnetzes wurde vom Stromleitsystem als Steuerungsbefehl akzeptiert. Die Folge: Eine Datenflut, die das europäische Steuerungssystem in einem ganzen Land lahmlegte. Weder konnten Informationen über den Status die Netzknoten passieren, noch kamen Steuerungsbefehle an. Das System wurde über Tage im Blindflug betrieben.

Funktionierende Stromnetze sind auf Informationsübermittlung in Echtzeit angewiesen: Kommen Steuerungs­befehle nicht an und wird in Folge dessen auf Abweichungen nicht reagiert, brechen die Stromnetze bereits bei zwei bis drei Prozent Abweichungen zusammen. Mit den modernen Steuerungsmöglichkeiten sind Energieversorgungsnetze jedoch überfordert. Ein erneuter Blackout ist jederzeit möglich. Hintergrund ist das in den neuen „intelligenten“ Energienetzen eingesetzte Kommunikationsprotokoll IEC-60870-5-104, das einen zu großen Spielraum für spezifische Applikationen lässt. Notwendig ist deshalb eine Protokollerkennung, die auch die im Protokoll enthaltenen Nachrichtentypen sowie die IEC-Absender und die Empfängeradresse unterscheiden kann.

Die kritischen Systeme können aber nicht nur durch Fehlbedienungen lahmgelegt werden: Durch koordinierte Attacken auf die Energienetze können Hacker die Kontrolle über die Technik übernehmen und kritische Systeme blockieren. Cyber-Attacken der Gruppierung „Dragonfly“ zeigen, mit welch hohem Aufwand und wie systematisch Angreifer vorgehen. Dem haben die in den Produktionsnetzwerken eingesetzten industriellen Leit- und Steuerungskomponenten kaum etwas entgegenzusetzen. Denn die meisten Komponenten der Steuerungs- und Manage­menttechnologie wurden mit Blick auf Zuverlässigkeit und Verfügbarkeit entwickelt. Solange die Prozessnetze von der übrigen IT-Infrastruktur getrennt waren, gab es deutlich weniger Angriffsmöglichkeiten.

Um ein Smart Grid zu schützen und gleichzeitig die Vorteile moderner IP-Technologie zu nutzen, ist eine neue und gestufte Sicherheitsarchitektur nötig. Bisher wurden Prozess- und Steuerungsnetze hauptsächlich durch die Perimeter-Firewalls geschützt, die auch das Firmennetzwerk im Ganzen vor Angriffen von außen sichern (First line of defense). Diese Port-basierte Technologie ist aber nur eingeschränkt in der Lage, den in Prozessnetzen notwendigen Schutz zu gewährleisten. Denn die klassische Filterung ist zu ungenau, komplexe Angriffe können sie überwinden. Zudem folgen die verfügbaren Zusatzlösungen dem Blacklisting-Konzept – dazu zählen Anti Virus, Anti-Spyware oder Webfilter. Blacklist-Lösungen schützen aber ausschließlich vor bekannten Bedrohungen. Neue Viren oder Spyware müssen immer erst zur Blacklist hinzugefügt werden, bevor sie als Bedrohung identifiziert und blockiert werden können. Deshalb sind derart geschützte Netzwerke anfällig für „Zero-Day-Attacken“. Diese Angriffe erfolgen, bevor die Schwachstelle entdeckt und geschlossen wurde.

„Echte“ Next Generation Firewalls

Im Gegensatz zu Portfilter- oder UTM-Firewalls erlauben Next-Generation-Firewalls (NGFW) mithilfe des sogenannten Whitelisting, den Sicherheitsgrundsatz für einzelne Zonen umzudrehen: Bis auf die Ebene einzelner Anwendungen, Proto­kolle und Inhalte kann festgelegt werden, welcher Datenverkehr erwünscht ist. Jedweder vorher nicht definierter Traffic wird blockiert. So ist sichergestellt, dass Netzwerke zu jeder Zeit auch gegen noch unbekannte Gefahren geschützt sind. Viele NGFW agieren jedoch noch nach dem Teilstreckenverfahren (store and forward), bei dem Informationen zunächst gespeichert, dann einzeln überprüft und erst danach weitergeleitet werden. „Echte“ NGFW hingegen arbeiten mit der Single-Pass-Technologie, also Datenstrom-basiert. Sie warten nicht bis die gesamte Datei angekommen ist, sondern überprüfen die einzelnen Datei-Pakete bereits bei ihrer Ankunft. Das steigert die Performance, denn aufgrund einer gemeinsamen Datenbank sowohl für Fire­wall- und Webfilter-Richtlinien als auch für Antivirus- und IPS-Signaturen müssen die Datenpakete nur einmal geöffnet werden. Gewöhnliche NGFWs benötigen hier für jeden Prüfvorgang jeweils einzelne Bearbeitungsprozesse – das kostet Zeit.

Als zusätzliche Sicherheitsinstanz bieten sich Firewalls mit permanent laufendem Protokoll-Decoder und „Deep Packet Inspection“-Verfahren (DPI) an. Hierbei wird ein Programm (Applikation) nicht nur als solches erkannt; vielmehr wird mit Decodern auch innerhalb einer Applikation oder eines Protokolls gefiltert. So wird nicht nur der komplette Datenfluss von und zum Internet geprüft, sondern auch die Kommunikation für bestimmte Nutzer oder Geräte eingeschränkt. Über einen Smart-Grid-Protokoll-Decoder kann etwa festgelegt werden, dass die dezentralen Stromerzeugungseinheiten nur Messwerte und Statusinformationen, aber keine Steuerbefehle oder Schadcodes an andere Netzelemente oder Leitstellen senden können. Das erweitert die Sicherheit auf Applikationsebene.

Ein solches Sicherungssystem für Netzwerke ist R&S SIT­Gate: Die NGFW prüft mittels DPI permanent alle ein- und ausgehenden Datenverbindungen auf Protokollverletzungen, Malware und weitere unerwünschte Inhalte. Jeglicher Verkehr, der die Firewall passieren möchte, wird in Echtzeit eindeutig identifiziert und validiert – bis auf einzelne Anwendungen, Geräte oder Benutzer genau. Bei Bedarf greift das SITGate zu jedem Zeitpunkt in die Verbindung ein: Unbekannte Datenströme, unerwünschte Befehle oder Parameter in zulässigen Protokollen, wie das IEC-60870-5-104, werden zuverlässig und in Echtzeit erkannt und blockiert. Mit SITGate schützen Stadtwerke und Energieerzeuger ihre IT-Landschaft vor komplexen Angriffen und fehlerhaften Steuerbefehlen, etwa unbeabsichtigte Massenabfragen „aller“ Netzkomponenten, indem sie unerwünschte Netzwerkzugriffe erkennt und sie abwehrt. Während die Perimeter-Firewall als erste Verteidigungslinie das Unternehmensnetzwerk schützt, separiert SITGate das Prozessnetz. Als zusätzliche Firewall bildet mit Whitelisting und Protokollerkennung eine zweite Verteidigungslinie, die „Second Line of Defense“.

Weitere Informationen

Whitepaper unter: www.rohde-schwarz.com/smartgrid

Bildergalerie

  • Second Line of Defence: Mit einer NGFW können unter anderem Energieerzeuger ihre IT-Landschaft vor komplexen Angriffen und vor fehlerhaften Steuerbefehlen schützen.

    Second Line of Defence: Mit einer NGFW können unter anderem Energieerzeuger ihre IT-Landschaft vor komplexen Angriffen und vor fehlerhaften Steuerbefehlen schützen.

    Bild: Rhode & Schwarz

Firmen zu diesem Artikel
Verwandte Artikel