Der Grundsatz, der in der gesamten industriellen Produktion universell gilt, lässt sich auch auf den Energiesektor übertragen. Der entscheidende Punkt bei moderner OT-Sicherheit: Bauen Sie Netzwerke auf, mit denen Sie Probleme erkennen können, bevor sie auftreten. Dies gilt auch für den Aufbau und das Verwalten von digitalisierten Umspannwerken. Dieser Artikel beschreibt einen praxisorientierten und anwenderfreundlichen Ansatz, um ein solches Konzept zu erreichen. Wir konzentrieren uns dabei auf drei wichtige Aspekte: Fehler, Bedrohungen und Eindringlinge erkennen, isolieren und Vorfälle letzten Endes verhindern.
Der Unterschied zwischen digitalen und herkömmlichen Umspannwerken
Bevor wir uns mit den Sicherheitsfragen befassen, sollten wir grundlegende Begriffe klären. Ein herkömmliches Umspannwerk besteht meist aus Bündeln an Kupferkabeln – Tausenden von Anschlüssen. Jedes Signal wird über einen vorab festgelegten Pfad übertragen. Eine digitale Umspannstation optimiert diesen Prozess. Sensoren kommunizieren mit Zusammenführungseinheiten und intelligente Geräte sprechen die gleiche Sprache (früher dank DNP3, heute mit der IEC 61850). Die meisten Drähte werden zu ein paar Glasfasersträngen und einem sauberen Ethernet. Um es in die richtige Perspektive zu setzen: Bei einem typischen kleinen oder mittleren Umspannwerk können im Zuge der Digitalisierung fast 30 km Kupferkabel durch gerade einmal 1,5 km Glasfaserkabel ersetzt werden.
Netz mit einer gemeinsamen Sprache
Digitale Umspannwerke sind vergleichbar mit Mikro-Rechenzentren, sodass ähnliche Regeln gelten. Die Transparenz wird gefördert, wenn die Geräte dieselbe Sprache „sprechen“. Zuerst kam das DNP3-Protokoll im Jahr 1993, heute setzen wir auf die Norm IEC 61850. Sie bietet ein einheitliches Informationsmodell und eine einheitliche Kommunikation, sodass IEDs* verschiedener Hersteller reibungslos zusammenarbeiten können. In der Norm ist festgelegt, wie Daten strukturiert und mit möglichst geringer Latenz ausgetauscht werden.
Unter intelligenten elektronischen Geräten (IED) versteht man intelligente Steuerungen, die in modernen Umspannwerken eingesetzt werden. Sie messen wichtige Werte wie Spannung und Strom, schützen die Geräte, indem sie bei Bedarf Schutzschalter auslösen, und übermitteln die Daten an das Steuerungssystem. Anstatt sich auf mehrere Einzweckgeräte zu verlassen, kann ein einziges IED die Überwachung, den Schutz und die Steuerung in einer einzigen vernetzten Einheit übernehmen.
Drei Funktionen sind in einem Umspannwerk besonders wichtig:
Manufacturing Message Specification (MMS) zur Einteilung der Daten in verschiedene Sicherheitsstufen
Generic Object-Oriented Substation Event (GOOSE) für die Peer-to-Peer-Signalisierung in Echtzeit, ohne dass dafür eine zentrale Steuereinheit notwendig ist. Dies unterstützt kritische Funktionen wie die Koordination von Fehlerortung, Analyse und Schutzmechanismen.
Reporting bedeutet die Übermittlung bestimmter Teildaten an übergeordnete Systeme, wenn relevante Ereignisse auftreten, wie Fehler oder Störungen.
Die IEC 61850 gibt strenge Regeln vor, die sich auf PTP-Zeitsynchronisation (Precision Time Protocol) und nahtlose Redundanz stützen: PRP (Parallel Redundancy Protocol) und HSR (High-Availability Seamless Redundancy) erzeugen alternative Pfade mit schneller Wiederherstellungszeit, sodass die Datenübertragung auch bei einem Fehler fortgesetzt wird.
Sinnvolle Grenzen im System setzen
In der Abbildung sind die Umspannwerke in Schichten unterteilt, die ihre Funktionen widerspiegeln. An der Spitze sind die Erzeugungs-, Übertragungs- und Verteilerstationen durch hochverfügbare Netze miteinander verbunden.
Im Umspannwerk teilt sich die Architektur in den Stationsbus und den Prozessbus auf, die beide durch die IEC 61850 definiert sind. Der Stationsbus überträgt Daten zur Koordinierung der Anlage an SCADA-, HMI- und Steuerbefehle. Der Prozessbus übermittelt die zeitkritischen Signale zwischen Schutzrelais, Zusammenführungseinheiten und Teleprotection. Die Trennung dieser Busse gewährleistet, dass der Schutz deterministisch bleibt, auch wenn der Stationsbus überlastet ist.
Innerhalb der Verteilerstation werden in der darunter liegenden Feldebene Schutzrelais und Teleprotection-Schnittstellen angeschlossen. Hier erfolgt die Fehlererkennung und Fehlerisolierung in Mikrosekunden. Auf der darüber liegenden Stationsebene befinden sich die SCADA-Gateways, HMIs und der lokale technische Zugang. Beachten Sie, dass Firewalls und NAC-Durchsetzungspunkte zwischen diesen Schichten platziert sind, um zu kontrollieren, wer mit wem kommuniziert.
In der Verteilerstation werden zusätzlich Betriebs- und Engineering-Workstations eingerichtet. Dies sind die menschlichen Berührungspunkte, wie Laptops, Wartungsterminals, Fernsitzungen. Befinden sich genau dort, wo die Risikofläche am größten ist. Die letzte Meile ist die Bereitstellung innerhalb des Verteilnetzes bis zum Endgerät. Dies ist die Übergabe an das Feldnetz. Diese heterogene Umgebung ist in vielerlei Hinsicht der am wenigsten vorhersehbare Teil des Systems. Das Diagramm verdeutlicht, dass die Segmentierung nicht an der Stationswand endet. Die letzte Meile muss als eigene Zone behandelt werden, mit Inspektions- und Zugriffskontrollen an der Grenze, sonst gefährdet das schwächste Glied, die stärkste Konstruktion schon im Vorfeld.
Wer bekommt einen Schlüssel
Hier kommt die NAC ins Spiel: In unserer Architektur befinden sich die Durchsetzungspunkte zwischen Stations- und Prozessbus, um die Engineering-Workstations herum und am Edge, wo die Verteilung an Endgeräte im Feld erfolgt.
In der Praxis wird das System so eingerichtet, dass es mit einer passiven Erkennung beginnt. Dabei wird beobachtet, welche Geräte über welche Ports miteinander kommunizieren. Sobald dieses System klar abgebildet wurde, wird der Zugriff schrittweise verschärft, indem man von weichen Methoden zu stärkerer Authentifizierung übergeht. Und wenn ein Gerät unkontrollierbar wird oder ein unbekanntes Gerät angeschlossen wird, sollte das System sofort reagieren und das Gerät in Quarantäne stellen oder den Anschluss abschalten.
Migration ohne Ausfallzeiten
Das Schwierigste dabei ist immer, diese Arbeit zu erledigen, ohne dass es zu Störungen im laufenden System kommt. Am besten ist es, die Migration parallel zu vollziehen und die neuen Sicherheitsfunktionen auf die bestehende Infrastruktur aufzusetzen und sie dann schrittweise einzuführen.
Der Ablauf ist kontinuierlich und vorhersehbar. Der erste Schritt besteht darin, in aller Ruhe zu beobachten Geräte und Abläufe zu erfassen. Als Nächstes folgt die Segmentierung in risikoarme Bereiche und die Anpassung der Regeln an die Realität. Anschließend folgt die Durchsetzung mit NAC und die Einführung zonenübergreifender Kontrollen, wobei Sie stets einen sicheren Pfad für kritische Vorgänge aufrechterhalten sollten. Erst wenn diese Schritte stabil laufen, sollte man sich im Netzwerk weiter nach außen vorarbeiten.
Studie E-REDES: Modernisieren unter Realbedingungen
E-REDES, die Verteilungssparte von EDP Spanien, betreibt 20.000 km Leitungen, 149 Umspannwerke und 6.700 Niederspannungsstationen, die mehr als 650.000 Kunden mit Strom versorgen. Die Herausforderung bestand darin, das Netzwerk zu digitalisieren, ohne es vom Netz zu nehmen, und gleichzeitig mit dem steigenden Datenvolumen, den isolierten Systemen und den oft stundenlangen Prozessen zur Fehlersuche zurechtzukommen.
Mit Belden haben wir ein neues Kommunikations-Backbone auf der Basis von Hirschmann-Switches und -Routern mit PTP-Zeitsynchronisation, PRP-Redundanz und einer einheitlichen HiOS/HiVision-Verwaltungsschicht implementiert. Mit der vorhandenen wesentlichen Infrastruktur erreichten wir die Erfassung von IED- und Recorder-Daten in Echtzeit und unterstützten ein hochmodernes System zur Fehlererkennung.
Das Ergebnis: Die Zeit für die Fehlersuche verringerte sich von zwei Stunden auf etwa 40 min, Fahrten und Emissionen gingen zurück, die SAIDI/TIEPI-Verfügbarkeitskennzahlen verbesserten sich und eine vorausschauende Wartung wurde möglich. Schritt für Schritt profitierte E-REDES von den Vorteilen der Digitalisierung ohne Ausfallzeiten.
Die vollständige Fallstudie können Sie auf der Website von Belden nachlesen.
