Fachbeitrag Sicher aus der Ferne zugreifen

07.03.2014

Volatile Erneuerbare brauchen Unterstützung, damit die Versorgungssicherheit nicht leidet. Rückhalt bieten etwa Blockheizkraftwerke, deren Verfügbarkeit besser planbar ist. Eine Voraussetzung, um sie im Stromnetz betreiben zu können, ist der sichere Fernzugriff auf die Anlagen.

Ob in Biogasanlagen, Krankenhäusern, oder anderen Liegenschaften verbaut – Blockheizkraftwerke (BHKW) spielen eine immer größere Rolle zur Stützung der Stromnetze und übernehmen einen wachsenden Anteil der heutigen Stromversorgung. Dezentral verteilt und in die Stromversorgung eingebunden, sind sie eine ideale Ergänzung zu bestehenden Großkraftwerken. Um unterschiedlichen Interessengruppen bei Bedarf den sicheren Zugriff auf die Anlagensteuerung und weitere Systemkomponenten bereitzustellen, benötigen sie oftmals mehrere Schnittstellen für den Fernzugang:

  • Biogasanlagen- und BHKW-Betreiber sind vor allem an Daten des aktuellen Betriebszustands und den Historiendaten der Anlage interessiert.

  • Hersteller und Servicepartner sind hingegen an einem Condition Monitoring interessiert, um Stillstände zu vermeiden, Diagnosedaten einzusehen, Fehler zu quittieren und andere Teleservicearbeiten ohne einen aufwendigen und kostenintensiven Vor-Ort-Einsatz auszuführen.

  • Um die Energie von BHKW in den Übertragungs- und Verteilnetzen sinnvoll nutzen zu können, werden BHKW darüber hinaus zunehmend in virtuelle Kraftwerke integriert. So lassen sie sich von einer zentralen Leitwarte aus wie ein einziges Kraftwerk betreiben und nach einem vorgegebenen Bilanzkreis betreiben. Hierzu benötigen Energiedienstleister und Netzbetreiber die Möglichkeit der Anlagenfernsteuerung, auch um die Netzstabilität und Versorgungssicherheit der öffentlichen Stromversorgung zu gewährleisten.

In der Praxis führt dies häufig zu der Notwendigkeit, verschiedene Kommunikationskanäle aufzubauen, was Interoperabilitäts- und teilweise auch schwerwiegende Sicherheitsprobleme zur Folge hat. Um dies zu vermeiden, gehen viele Hersteller seit längerem dazu über, die notwendigen Daten jeweils gebündelt vorzuhalten und über eine einzige Serviceplattform bereitzustellen, die sie selbst unter Kontrolle behalten.

Anforderungen an eine Serviceplattform

Zusammengefasst lassen sich die unterschiedlichen Anforderungen an eine multifunktionale Serviceplattform in vier Blöcken beschreiben:

  • Fernzugriffe auf die Anlagensteuerung: Hersteller, Betreiber und Servicepartner sollen per VPN-Tunnel von jedem beliebigen Ort aus mit Schreib- und Leserechten auf die Steuerung und sonstige Anlagenbestandteile zugreifen können. Vor dem Fernzugriff ist eine bidirektionale Authentifizierung über Zertifikate erforderlich. Die Serviceplattform muss hierfür eine umfangreiche Rechteverwaltung ermöglichen, um festzulegen, wer wann auf welche Anlage und welchen Datenbestand zugreifen darf. Einzelne Zugriffsberechtigungen und Zertifikate können jederzeit widerrufen werden.

  • Visualisierung der Echtzeitdaten: Die aktuellen Betriebsdaten einer Anlage lassen sich per PC, Tablet oder Smartphone anzeigen. Dabei wird sowohl der lokale Zugriff auf eine Anlage als auch der Fernzugriff per Internet unterstützt. Derartige Visualisierungszugriffe erfolgen aus Sicherheitsgründen grundsätzlich nur mit Leserechten.

  • Aufzeichnung und Visualisierung von Historiendaten: Die Serviceplattform muss das periodische Aufzeichnen ausgesuchter Anlagendaten (Data Logging) ermöglichen. Diese Historiendaten sind per Internet mit Hilfe von PC, Tablet oder Smartphone visualisierbar. Diese Zugriffe erfolgen ebenfalls nur mit Leserechten.

  • Fernsteuerungsschnittstellen: Über Schnittstellen zur Fernsteuerung erhalten externe Zugriffsberechtigte die Möglichkeit, ein BHKW für eine bestimmte Zeit fernzusteuern. Ein Beispiel ist der Betrieb in einem virtuellen Kraftwerk, um Regel- und Ausgleichsenergie oder andere Netzdienstleistungen anzubieten.

Großbaustelle Internetverbindung

Einzelne Anlagenhersteller bieten ihre BHKW bereits ab Werk mit Datenschnittstellen an, mit denen sich der Anlagenzustand ermitteln und gegebenenfalls durch Sollwert- oder Parameteränderungen beeinflussen lässt. Zum Teil werden hierzu vorhandene und in die jeweilige Anlagensteuerung eingebettete Webserver genutzt. Allerdings berücksichtigen nicht alle Hersteller die in diesem Zusammenhang erforderlichen Sicherheitsaspekte ausreichend. Zum einen sehen sie eine Authentifizierung über die Angabe von Benutzername und Passwort stellenweise als ausreichend für den Zugriffsschutz an. Zum anderen ist der Einsatzort solcher Anlagen aus Sicht der Hersteller stets ein völlig sicheres lokales Netzwerk, in dem sich lediglich vertrauenswürdige Benutzer befinden, die über keinerlei Verbindungen zum Internet verfügen – eine realitätsfremde Einschätzung, wie die Praxis zeigt.

Die Betreiber selbst störten sich in der Vergangenheit ebenfalls nicht sonderlich an der unzureichenden Sicherheit. Vielfach nutzte man daher den integrierten Webserver der Steuerungen für Fernzugriffe aus dem Internet. Damit das BHKW auch nach einem Wechsel der IP-Adresse erreichbar ist, den Internetprovider automatisch alle 24 Stunden durchführen, wird zusätzlich der Dyn-DNS-Dienst (dynamischer DNS-Service) aktiviert. Auf diese Weise ist es möglich, von jedem beliebigen Ort aus über einen leicht zu merkenden Hostnamen auf den Webserver der BHWK-Steuerung zuzugreifen. Das Problem dabei ist, dass nun praktisch jeder, der die Kombination aus Benutzername und Passwort kennt, per Internet die BHKW-Daten lesen oder schreiben kann. Da als Name-/Passwort-Kombination oft die Standardeinstellungen der Hersteller oder einfache Kombinationen wie „admin/admin“ verwendet werden, steht dem Missbrauch Tür und Tor offen. Noch riskanter ist die Verwendung einer fixen IP-Adresse für den Internetzugang des Routers. Spezial-Suchmaschinen wie Shodan, die das gesamte Internet nach erreichbaren Geräten durchsuchen und indizieren, bieten die Ergebnisse mit Hyperlinks versehen auf Webseiten für jeden frei zugänglich an.

Dass unautorisierte Fernzugriffe in der Praxis tatsächlich vorkommen, musste Anfang letzten Jahres ein führender deutscher Hersteller von Mikro-BHKW feststellen: Da ein „unzuverlässiger“ Nutzer den LAN-Verkehr per Klartext auf der Kabelverbindung zwischen Steuerung und Router in seiner Anlage abgehört hatte und dadurch sogar in den Besitz der Name-/Passwort-Eingaben für werksseitige Remote-Servicezugriffe kam, konnte er auch Heizungen anderer Betreiber per Internet ein- und ausschalten [1]. Da die betroffenen Anlagen neben der Heizungsfunktion auch elektrische Energie erzeugten und in das Stromnetz einspeisten, war die öffentliche Infrastruktur betroffen und es musste das Bundesamt für Sicherheit in der Informationstechnik (BSI) eingeschaltet werden. Der betroffene Hersteller musste Kunden, Öffentlichkeit und BSI die Ursachen erklären und glaubhaft aufzeigen, wie diese Sicherheitslücke in Zukunft geschlossen wird.

VPN-Gateway schafft Sicherheit

Internetverbindungen für BHKW sollten daher grundsätzlich durch ausgereifte und dem aktuellen Sicherheitsstand entsprechende Übertragungsprotokolle abgesichert werden. Die Remote-Access-Gateways von SSV etwa unterstützen deshalb SSL/TLS (Secure Sockets Layer/Transport Layer Security) und IPsec (Internet Protocol Security) und ermöglichen den Aufbau eines VPN (Virtual Private Network). Innerhalb dieses Netzwerks können alle Daten verschlüsselt übertragen werden. Darüber hinaus stehen Authentifizierungsmechanismen zur Verfügung. Bei einem Fernzugriff auf den Webserver einer BHKW-Steuerung empfiehlt sich beispielsweise eine beidseitige Authentifizierung mit X.509-Zertifikaten. Zusätzlich wird bei einem SSL/TLS-basierten VPN jedes Datenpaket mit einem Hashwert signiert, um gezielte Verfälschungen zu erkennen. Verschlüsselung, bidirektionale Authentifizierung und Signierung mithilfe von SSL/TLS empfiehlt auch das BSI für den Fernzugriff auf Steuerungen.

Da die meisten am Markt verfügbaren Steuerungen sich nicht direkt in ein VPN integrieren lassen, wird in der Regel einfach in die Verbindung zwischen Steuerung und Internet-Router ein zusätzliches Security-Gateway eingefügt. Das VPN selbst arbeitet als SSL/TLS-gesicherter Tunnel durch das unsichere Internet. Durch diesen Tunnel ist ein Zugriff auf den Webserver der Steuerung per PC-Webbrowser nach wie vor möglich. Der PC, von dem aus der Fernzugriff erfolgt, muss allerdings ebenfalls eine VPN-Software und ein X.509-Zertifikat als Zutrittsberechtigung für das virtuelle private Netz besitzen. An der Anlagensteuerung selbst sind keine Einstellungen nötig.

Serviceplattform als Portal nutzen

Durch die Internetverbindung der BHKW-Anlagen zur Serviceplattform ergeben sich neben dem sicheren Fernzugriff per VPN weitere Nutzungsmöglichkeiten. So lassen sich auch andere Energieanlagen mit der Plattform verbinden, etwa Photovoltaik- oder Batteriesysteme und Energiemanagementsysteme. Durch Querkommunikation auf Systemebene lässt sich so ein intelligentes Energie­management mit Eigen­verbrauchsoptimierung realisieren.

Der Betrieb der Serviceplattform als Portal ermöglicht zudem übergeordnete Verbundanwendungen. Sie erfordern neben der permanenten Internetverbindung aller Komponenten eine zusätzliche Softwareschicht (Middleware). Diese bildet eine Vermittlungs- und Informationsschicht für weitere angekoppelte Systeme. In der Regel handelt es sich dabei um Steuerungen, MSR-Baugruppen, verschiedene Smartphone-Anwendungen, Visualisierungslösungen für PCs oder auch Datenbanken und IT-Anwendungen aus dem MES-/ERP-Umfeld (Manufacturing Execution System/Enterprise-Resource-Planning, Planungssysteme für Ressourcen und Materialeinsatz).

Diese Systeme kommunizieren dann per HTTP oder HTTPS und Webservices, die auf REST basieren (Representational State Transfer) mit der Middleware. Bei REST handelt es sich eine Softwareschnittstelle, die mit Internet-Technologien Daten an angeschlossene Systeme wie Datenbanken liefert.

Weitere Informationen

[1] www.heise.de/ct/artikel/Fuenf-nach-zwoelf-1897198.html

Firmen zu diesem Artikel
Verwandte Artikel