Do you want to see our content in English?

x
x

Große Deployments, große Risiken: Warum Anomalieerkennung und Cyber-Regulierungen unerlässlich sind

““

Sie sehen gerade einen Platzhalterinhalt von Spotify Player. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf den Button unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Weitere Informationen
IoT Use Case Podcast auf Spotify anhören
IoT Use Case Podcast auf Spotify anhören
IoT Use Case Podcast auf anderen Plattformen anhören

IoT Use Case Podcast 145 - Rhebo + Landis+Gyr

In der 145. Episode des IoT Use Case Podcasts spricht Gastgeberin Ing. Madeleine Mickeleit mit Dr. André Engers, Solution Manager Security bei Landis+Gyr, und Oliver Kleindienst, Head of Marketing bei Rhebo, über die Cybersicherheit von kritischen Infrastrukturen und Energienetzen. Im Fokus stehen Best Practices zur Absicherung von Smart Metern, Anomalieerkennung in OT-Netzwerken und die Auswirkungen des Cyber Resilience Acts auf die Industrie. Gemeinsam beleuchten sie konkrete Anwendungsfälle und zeigen auf, wie moderne Sicherheitslösungen Unternehmen in der Energiewende unterstützen können.

Podcast Zusammenfassung

In dieser Episode des IoT Use Case Podcasts geht es um die Absicherung von kritischen Infrastrukturen und Energienetzen, ein Thema von wachsender Bedeutung in der vernetzten Energiewirtschaft. Die Experten beleuchten, wie moderne Sicherheitslösungen dabei helfen, den zunehmenden Cyberbedrohungen entgegenzuwirken.

Im Mittelpunkt steht die Notwendigkeit einer umfassenden Sicherheitsstrategie, die über das Secure by Design-Prinzip hinausgeht und auf eine fortlaufende Angriffserkennung sowie Anomalieüberwachung setzt. Mit Hilfe von Technologien wie der Deep Packet Inspection überwacht Rhebo die OT-Kommunikation und identifiziert verdächtige Aktivitäten, bevor Schäden entstehen können.

Die Episode greift auch die neuen regulatorischen Anforderungen auf, insbesondere den Cyber Resilience Act. Unternehmen stehen hier vor der Herausforderung, Cybersicherheit effizient umzusetzen, ohne in bürokratische Hürden zu geraten. Einheitliche Protokolle wie DLMS im Bereich Smart Metering spielen dabei eine zentrale Rolle, um sichere und standardisierte Netzkommunikation zu gewährleisten.

Anhand konkreter Beispiele, wie der Zusammenarbeit mit dem Batteriespeicheranbieter Sonnen oder der Absicherung von 4,5 Millionen Stromzählern durch Landis+Gyr, werden die Lösungen praxisnah veranschaulicht. Dabei wird deutlich, wie wichtig strukturierte Risikomanagement-Prozesse und der Einsatz von Monitoring-Technologien sind, um Angriffe frühzeitig zu erkennen und Sicherheitslücken zu schließen.

Diese Episode liefert wertvolle Einblicke in die Praxis der Cybersicherheit und zeigt, wie Unternehmen ihre kritischen Systeme angesichts der fortschreitenden Digitalisierung schützen können.

Podcast Interview

Heute erwartet euch eine praxisnahe Folge über konkrete Anwendungsfälle aus der Welt kritischer Infrastrukturen und Energienetze – auch relevant für alle produzierenden Betriebe. Zu Gast sind Dr. André Engers, Solution Manager Security bei Landis+Gyr, und Oliver Kleindienst, Head of Marketing bei Rhebo. Wir klären Fragen wie: Was sind die Best Practices, um Geräte und Produkte zu schützen? Wie funktioniert Anomalieerkennung? Was bedeutet der Cyber Resilience Act in der Praxis? Ist er ein hilfreicher Hebel zur Zertifizierung oder eher bürokratischer Aufwand? All das und mehr erfahrt ihr jetzt. Weitere Infos findet ihr in den Show Notes oder unter www.iotusecase.com. Let’s go!

Hallo Oliver, hallo André, schön, dass ihr da seid, und herzlich willkommen im IoT Use Case Podcast. Oli, wo erreiche ich dich gerade und wie geht’s dir?

Oliver

Danke, Madeleine. Hallo André, liebe Grüße aus einem etwas wolkenverhangenen Leipzig. Ich hoffe, das Wetter wird noch besser. Wir sind im Büro bei Rhebo, das Team schickt Grüße. Ich freue mich auf meine erste Podcastaufnahme bei IoT Use Case.

Grüße! Schön, dass du dabei bist. Shoutout an alle Kolleginnen und Kollegen in Leipzig und überall, wo ihr gerade zuhört. André, bist du auch in Leipzig oder woanders?

André

Hallo, guten Morgen, vielen Dank für die Einladung. Ich bin nicht in Leipzig, sondern in Aachen, an der holländischen Grenze, und sitze heute zu Hause.

Sehr gut. Um reinzukommen, fände ich es spannend, etwas über euch als Person zu erfahren. Könnt ihr kurz erzählen, wie ihr euch kennengelernt habt? Oliver, magst du anfangen?

Oliver

Gerne. André und ich kennen uns aus unserer Zeit bei der Firma Rohde & Schwarz Cybersecurity, wo wir unsere ersten Erfahrungen gesammelt haben. André war damals schon im Produktmanagement, ich im Marketing. Dann haben sich unsere Wege in unterschiedliche Richtungen entwickelt. Ich bin zu Rhebo im Bereich OT-Security gegangen, und André kann gleich erzählen, wie es für ihn weiterging. Jetzt sitzen wir wieder zusammen, da Landis+Gyr Rhebo 2021 komplett übernommen hat, was wir im Podcast sicher noch vertiefen werden.

Sehr gut. André, vielleicht kannst du uns noch etwas mehr über Landis+Gyr erzählen und über deinen Hintergrund?

André

Gerne. Mein Hintergrund ist ebenfalls Informatik. Wie Oli schon erwähnt hat, haben wir uns bei Rohde & Schwarz Cybersecurity kennengelernt, wo wir vor allem Sicherheitsprodukte für die Industrie und Behörden entwickelt haben, unter anderem im Zusammenhang mit dem BSI und Verschlussdaten. Das ist natürlich ein komplett anderes Feld als das, woran wir jetzt arbeiten – ein anderer Sektor, wenn auch im weitesten Sinne ein kritischer Sektor. Landis+Gyr ist eine Firma mit einer langen Tradition, gegründet 1896, mit Hauptsitz in der Schweiz. Wir sind Weltmarktführer im Bereich Metering, also allem, was mit der Messung von Strom zu tun hat. Unser Hauptgeschäft sind Stromzähler für Haushalte und Industrie, aber wir bieten auch Wasserzähler, Wärmezähler, Gaszähler und die dazugehörigen Backendsysteme an – alles, was man für die Energiewende benötigt, inklusive Ladestationen. Wir sind sehr breit aufgestellt.

Wie kommt es, dass ihr beide heute hier seid? Arbeitet ihr an gemeinsamen Projekten, oder wie hängt das zusammen?

André

Oli hat es schon erwähnt, Landis+Gyr hat irgendwann entschieden, Rhebo zu übernehmen.
Die Geschichte ist interessant. Ich erinnere mich noch gut daran, der zehnjährige Geburtstag ist ja noch nicht so lange her. wenn ich mich richtig erinnere, war Landis+Gyr der erste zahlende Kunde von Rhebo in diesem Bereich. Die Firma hat früh erkannt, dass die Anomalieerkennung im OT-Bereich ein relevantes Feld ist. Landis+Gyr bedient ja das gesamte Portfolio eines Stromnetzbetreibers, von den Backendsystemen bis hin zu den Substations, die zum Beispiel vom Rhebo Protector überwacht werden können. In einigen Ländern ist die Cybersecurity bereits weit fortgeschritten, in anderen noch nicht so. Die Produkte von Rhebo sind ein logischer Schritt, um unseren Kunden umfassenden Schutz zu bieten. Das wird sowohl von den Anforderungen als auch durch regulatorische Vorgaben getrieben, darüber können wir später noch genauer sprechen.

Oliver

Kleine Ergänzung: Wir hatten bereits Kunden in anderen Bereichen, aber als Landis+Gyr mit der Smart Metering und der Advanced Metering Infrastructure auf den Plan trat, erschloss sich für uns ein spannendes, neues Feld mit vernetzten Geräten.

Ihr habt bereits das Thema Smart Metering angesprochen. Im Podcast geht es immer um die Praxis. Habt ihr konkrete Projekte oder Beispiele, an denen wir das Thema veranschaulichen können? Ihr müsst keine Kundennamen nennen, aber ein Beispiel wäre hilfreich, um das Thema in der Praxis verständlich zu machen.

Oliver

Wir haben bereits einen Use Case vorgestellt, der auf der IoT Use Case Plattform zu finden ist, und zwar mit dem Batteriespeicheranbieter Sonnen. Dort haben wir sehr viele vernetzte Geräte im Einsatz – inzwischen sind es weltweit über 130.000 Geräte. Auf diesen Geräten läuft unsere Monitoring-Lösung als eine Art Agent, der Flottenmanagement, Monitoring und Cybersicherheit gewährleistet. Das ist besonders wichtig, weil vernetzte Geräte neue Angriffsvektoren schaffen. Das ist ein spannender Use Case. Zudem arbeiten wir mit Landis+Gyr an der Absicherung von Smart Metern und Head End Systemen, da die Welt immer vernetzter wird. Es gibt immer mehr Geräte auf dem Markt, die miteinander kommunizieren, was die Absicherung noch spannender macht.

André, könntest du uns etwas zu den typischen Use Cases bei Landis+Gyr erzählen? Geht es hauptsächlich um Smart Metering oder noch darüber hinaus?

André

Gerne. Unsere Hauptprojekte sind landesweite Rollouts, die oft sehr umfangreich sind. Wie schon erwähnt, befinden sich die Länder auf unterschiedlichen Entwicklungsstufen. Manche Länder sind noch bei der ersten Generation von Smart Meter Rollouts, während andere bereits deutlich weiter sind. Ein Beispiel ist Belgien, wo es etwa 4,5 Millionen Zähler gibt – das ist eine beträchtliche Zahl. Wir bieten sowohl Vor-Ort-Service für die Zähler als auch Backendsysteme, die die Zähler auslesen. Diese Zählerdaten liefern wir dann an den Kunden zurück. Ein wichtiger Aspekt dabei ist die Absicherung der Hosting-Umgebung. Es geht nicht nur darum, die Zähler sicher zu betreiben, sondern auch darum, die gesamte Infrastruktur im Blick zu haben und Risiken rechtzeitig zu erkennen und zu adressieren.

[07:55] Herausforderungen, Potenziale und Status quo – So sieht der Use Case in der Praxis aus

Ich würde gerne noch einmal auf den Business Case eingehen. IoT ist ja kein Selbstzweck, und die Technologien und Produkte, die ihr bei Rhebo einsetzt, haben ja eine konkrete Funktion. Kannst du uns einen Einblick geben, was der klassische Business Case ist oder welche geschäftlichen Herausforderungen ihr bei Landis+Gyr habt?

André

Wir müssen die Zählerparks modernisieren. Der Mehrwert, den wir Kunden – auch Privatpersonen – mit einem smarten Zähler bieten, ist erheblich. Ein einfaches Beispiel sind dynamische Stromtarife, bei denen du steuern kannst, dass dein Auto nachts geladen wird, wenn der Strom günstig ist. Was du allerdings nicht steuern kannst, ist, dass es am Wochenende lädt, wenn die Sonne scheint. Das sind einfache Beispiele, aber man kann das beliebig ausbauen, vor allem in Verbindung mit vorhandener Hausautomatisierung.

Es geht also um die Modernisierung der IT-Infrastruktur, und gleichzeitig spielt das Thema Sicherheit eine große Rolle. Oliver, was sind die größten Risiken, wenn Kunden das Thema Sicherheit nicht ernst nehmen? Wir sprechen von Tausenden von Geräten, bei Sonnen sind es 130.000, und bei Landis+Gyr sogar 4,5 Millionen. Wie lässt sich das aus Security-Sicht managen?

Oliver

Man muss das Ganze vielschichtiger betrachten, da es unterschiedliche Stakeholder gibt, die jeweils eigene Gründe haben, warum sie auf Sicherheit setzen. Ein Grund ist die Sicherstellung der Geschäftskontinuität. Es geht darum, dass Prozesse ungestört weiterlaufen, die Geräte funktionieren und keine Verluste entstehen – wie zum Beispiel bei einem Solarpark oder Batteriespeichersystemen. Niemand will Geld verlieren. Auf der anderen Seite gibt es Compliance-Vorgaben, wie zum Beispiel die NIS2-Richtlinie oder das IT-Sicherheitsgesetz. Hier müssen Unternehmen sicherstellen, dass sie gesetzeskonform handeln, um Strafen zu vermeiden.
Ein wichtiger Punkt, den ich gelernt habe, als ich von der IT-Security in die OT-Security gewechselt bin: In der OT-Welt steht nicht die Datensicherheit im Vordergrund, sondern die Prozessstabilität. Es muss immer alles laufen, nichts darf unterbrochen werden. Fehler in OT-Netzwerken können auftreten, und wir sehen bei unseren Risiko- und Sicherheitsbewertungen oft, dass es in den OT-Netzwerken viele Baustellen und Herausforderungen gibt. Dennoch funktionieren diese Netzwerke in der Regel, und wir können im Echtzeitbetrieb daran arbeiten, Verbesserungen Schritt für Schritt umzusetzen. Das ist ein entscheidender Aspekt, warum Cybersicherheit in diesem Bereich so wichtig ist.

Für diejenigen, die NIS2 vielleicht zum ersten Mal hören: Die NIS2-Richtlinie wurde von der Europäischen Union erstellt, die die Cybersicherheitsstandards für kritische Infrastrukturen festlegt und die Sicherheitsstandards erhöht. Damit gehen verpflichtende Sicherheitsmaßnahmen einher. Es gibt auch noch den Cyber Resilience Act, der sich auf die Cybersicherheit von Produkten und Software. Oli, du hast gerade erwähnt, dass Fehler auftreten können, also dass es zu Ausfällen kommen kann. Könnt ihr genauer erklären, welche Probleme mit den Geräten auftreten können und welche Herausforderungen das mit sich bringt?

André

Bei großen Deployments, wie zum Beispiel mit 4,5 Millionen Zählern, werden diese zentral gesteuert und ausgelesen – abhängig von der Power Quality ist. Manchmal müssen Zähler umkonfiguriert werden, oder bei Nichtzahlung eines Kunden muss der Strom abgestellt werden. Diese Zähler können den Strom tatsächlich abschalten. Es gibt eine Vielzahl von Kommandos und Konfigurationen, die auf einem Zähler durchgeführt werden können, und diese müssen sowohl technisch als auch organisatorisch sehr gut abgesichert werden, damit nicht jeder darauf zugreifen kann.
Das hat auch direkte Auswirkungen auf die Stabilität des Stromnetzes. Wenn man eine große Last kontrolliert, kann man das Netz destabilisieren. Bei über 4,5 Millionen Zählern ist das eine signifikante Menge an Last, die man steuern kann. Die Regulierungen, die du vorhin angesprochen hast, spielt dabei eine Rolle, um ein einheitliches Sicherheitsniveau zu gewährleisten. Oft gibt es noch nationale Unterschiede in den Sicherheitsanforderungen, die durch NIS2 harmonisiert werden sollen. Jedes Land muss die Richtlinie jedoch individuell umsetzen, und in Deutschland kann das komplizierter ausfallen als notwendig.
Der sichere Betrieb – vom Deployment über das Change Management bis hin zum Monitoring – stellt viele Kunden vor große Herausforderungen. Hier kommen wir als Produkthersteller ins Spiel, um gemeinsam mit Oli und seinen Lösungen für Sichtbarkeit den Kunden zu helfen, diese Herausforderungen zu bewältigen.

Oliver, ich gebe die Frage direkt an dich weiter. Wir sprechen hier über sehr große Rollouts, aber ihr habt ja auch Kunden mit weniger Geräten. Sind ähnliche Herausforderungen auch bei diesen kleineren Kunden zu beobachten?

Oliver

Ja, definitiv. Die Herausforderung, besonders im Zusammenhang mit der NIS2-Richtlinie, ist allgegenwärtig. Im Vergleich zur früheren IT-Sicherheitsgesetzgebung bringt NIS2 eine größere Verantwortung mit sich, beispielsweise persönliche Haftung für Geschäftsführer. Das führt natürlich zu Unsicherheiten, wie genau man das umsetzt. Wir bieten keine NIS2-Freifahrtscheine, sondern sind Teil einer ganzheitlichen Lösung. Es geht nicht nur um technische Sicherheit, sondern auch um Resilienz, Reporting und den strukturierten Aufbau der Lösungen. Das betrifft sowohl große Kunden als auch kleinere wie Stadtwerke, Versorger, Wasserwerke oder Unternehmen aus der Lebensmittel-, Pharma- und Chemiebranche, die ebenfalls unter die KRITIS-Verordnung fallen. Diese Verordnung ist dynamisch, Schwellenwerte werden regelmäßig angepasst, wie zum Beispiel die Aufnahme von Müllverbrennungsanlagen Anfang dieses Jahres. Das sorgt oft für Unsicherheit: Welche Unternehmen sind betroffen, und wie setzt man die Vorschriften korrekt um?

Könnt ihr etwas genauer erläutern, was die Herausforderungen für Hersteller sind, insbesondere im Zusammenhang mit dem Cyber Resilience Act? Ist das eher ein bürokratischer Overhead oder eine notwendige Maßnahme?

André

Der Cyber Resilience Act zielt vor allem auf Produkte ab, die mit dem Internet kommunizieren. Er definiert verschiedene Kritikalitätskategorien: Die Mehrheit der Geräte fällt in die Standardkategorie, dann gibt es noch „wichtig“ und „kritisch“. Die meisten unserer Kunden sind bereits durch die NIS-Regulierung abgedeckt, und der Resilience Act besagt, dass Produkte, die an NIS-regulierte Entitäten verkauft werden, als mindestens „wichtig“ eingestuft werden müssen, oft sogar als „kritisch“. Das bedeutet, dass diese Produkte wahrscheinlich von einer dritten Partei, wie beispielsweise dem TÜV, zertifiziert werden müssen.
Für Hersteller bedeutet das, dass die Produkte sowohl technische Anforderungen erfüllen als auch prozessbezogene Themen abdecken müssen, etwa den sicheren Entwicklungszyklus. Viele sprechen vom Secure Software Development Lifecycle, aber die tatsächliche Umsetzung variiert stark. Aktuell bewegen wir uns als Hersteller in Richtung Zertifizierung, weil wir unsere Marktführerschaft halten wollen. Allerdings gibt es bisher noch keine harmonisierten Standards für diese Zertifizierung, und es ist unklar, wie diese aussehen werden. Es könnte spezifische Standards für verschiedene Produktkategorien wie Head End Systeme, Monitoring-Komponenten oder Zähler geben. Das ist momentan noch in Bewegung.

Glaubst du, dass der Cyber Resilience Act und NIS2 die IoT- und IIoT-Projekte eher behindern, verlangsamen oder bürokratischer machen? Oder denkst du, dass diese Regelungen langfristig gesehen IoT-Projekte einfacher gestalten?

André

Ich denke, es wird etwas schwieriger werden. Das Problem, das ich sehe, liegt bei den Personen, die involviert sind, um diese ganzen Prozesse zu ermöglichen. Die Sicherheitsfähigkeiten eines Unternehmens, die nötigen Prüfstellen, die Auditoren – all das stellt einen bürokratischen Mehraufwand dar. Das darf man nicht unterschätzen. Aber es ist auch notwendig, und der einzige Weg, bestimmte Dinge so weit voranzubringen, dass sie ordnungsgemäß genutzt werden können. Ich war gestern auf einem Cyber Security Energy Forum in Brüssel, bei dem unter anderem die ENISA vertreten war, und dort wurde ein gutes Beispiel genannt, warum Produktsicherheit in IoT-Anwendungen wichtig ist. Vor vielen Jahren wollte niemand seine Kreditkarte online verwenden, weil das Risiko, dass die Daten gestohlen werden, hoch war. Es fehlte das Vertrauen in diese digitale Lösung. Heute ist es völlig normal, dass wir mit Apple Pay oder ähnlichen Diensten bezahlen – das Vertrauen in diese Systeme hat sich entwickelt. Ähnlich wird es hier sein: Sobald die vernetzten Services sicher sind, werden die Menschen Vertrauen haben und sie auch nutzen.

Kommen wir zurück zu den technologischen Herausforderungen. Ihr habt erwähnt, dass es Fehler geben kann, und es ist eine große Herausforderung, Tausende von Geräten zu managen. Könnt ihr Beispiele geben, welche Datenarten für diese IoT-Sicherheitsprojekte besonders relevant sind und wie sie verarbeitet werden?

Oliver

Ich starte mal aus meiner Perspektive. Bei uns in der Cybersecurity geht es hauptsächlich um die Weiterleitung von Daten per Syslog. Wir nutzen ein Deep Packet Inspection System, um den Datenverkehr zu analysieren – nicht nur den Header, sondern auch die Inhalte der Kommunikation. Für uns sind die wertvollen Daten diejenigen, die auf Anomalien in der Kommunikation hinweisen. Wir schauen, ob die Kommunikation dem entspricht, was wir durch Baselines erwartet haben, oder ob es Anomalien gibt, die wir untersuchen müssen. Das ist unser Teil der Datenanalyse. André kann sicherlich mehr darüber sagen, welche Daten in den Geräten selbst verwendet werden.

André

Gerne. Bei Stromzählern nutzen wir das Anwendungsprotokoll DLMS. Es ist der De-facto-Standard in der EU und wird auch in großen Teilen Asiens genutzt. In den USA gibt es ein anderes Protokoll. DLMS transportiert die Verbrauchsdaten, die der Hauptanwendungsfall für unsere Kunden sind. Über dieses Protokoll können auch Software-Updates für den Zähler eingespielt oder Konfigurationen geändert werden, z.B. das Modem parametriert oder aktualisiert werden. Für uns als Hersteller sind die Steuerungskommandos besonders wichtig, um die Kontrolle über die Zähler zu behalten – etwa, um bei Bedarf den Strom abzuschalten.
Es gibt noch eine Reihe weiterer kritischer Kommandos, die ein hohes Risiko bergen, wenn sie missbraucht werden. Diese versuchen wir besonders abzusichern. Das DLMS-Protokoll ist bereits relativ sicher und bietet drei Sicherheitsstufen für Authentifizierung, Verschlüsselung und Datenintegrität. Diese ähneln dem, was man von TLS kennt. Für besonders kritische Kommandos, wie das Abschalten des Stroms, gehen wir jedoch noch einen Schritt weiter und signieren bestimmte Kommandos zusätzlich. Außerdem nutzen wir Hardware-Sicherheitsmodule, um sicherzustellen, dass nur autorisierte Systeme solche Kommandos ausführen können. Denn wenn solche kritischen Kommandos auf vielen Geräten missbraucht werden, könnte dies, wie ich bereits erwähnt habe, massive Auswirkungen auf die Netzstabilität haben.

Bevor wir zur konkreten Umsetzung kommen: Ihr habt schon viele technische Aspekte wie Anomalieerkennung und Authentifizierung angesprochen. Schreibt gerne in die Kommentare, welche Herausforderungen ihr in diesem Bereich habt und wo ihr gerade Hürden seht.

[23:22] Ergebnisse, Geschäftsmodelle und Best Practices – So wird der Erfolg gemessen

Mich interessiert besonders, wie das in der Praxis aussieht. Wenn ich als Unternehmen solche Lösungen umsetzen möchte, wie gehe ich dabei vor? Könnt ihr kurz erklären, welche Bausteine man dafür braucht und wie ihr mit euren Kunden zusammenarbeitet?

Oliver

Einerseits gibt es den Security by Design-Ansatz, bei dem André stark involviert ist und der sicherstellt, dass die Produkte von Anfang an sicher entwickelt werden. Auf der anderen Seite haben wir den Rhebo-Ansatz, der sagt, dass nichts zu 100 % sicher ist. Deshalb ist es wichtig, ein Angriffserkennungssystem oder Anomalieerkennungssystem zu betreiben, um das Gesamtsystem zu überwachen – nicht nur die Geräte selbst, sondern auch das Netzwerk und die kommunizierenden Komponenten. Unser Ansatz basiert auf einem passiven, rückwirkungsfreien Anomalieerkennungssystem, auch IDS oder SzA genannt, das den gesamten Netzwerkverkehr scannt.
Wenn wir bei Kunden starten, lassen wir das System zwei bis drei Wochen mitlaufen, um den gesamten Datenverkehr aufzuzeichnen. Dadurch können wir erkennen, was legitimer Verkehr ist, welche Prozesse korrekt ablaufen und welche Anomalien oder Fehlzustände existieren, die behoben werden müssen. Das Ziel ist es, ein kontinuierliches Monitoring des Netzwerkverkehrs zu gewährleisten, um potenzielle Bedrohungen frühzeitig zu identifizieren.

Ist das das System, das du vorhin als Deep Packet Inspection bezeichnet hast? Analysiert ihr damit den gesamten Datenverkehr? Wie genau funktioniert das?

Oliver

Ja, genau. Deep Packet Inspection ist ein zentraler Bestandteil unserer Lösung, des Rhebo Industrial Protectors. Wir haben diese Technologie selbst entwickelt, und sie analysiert den gesamten Datenverkehr. Das heißt, wir sehen nicht nur die Art der Pakete, wie z.B. ob es sich um TCP/IP-Pakete handelt, sondern auch den Inhalt der Kommunikation. So können wir erkennen, was wirklich zwischen den Systemen ausgetauscht wird, und feststellen, ob die Kommunikation legitim ist oder ob ein potenzielles Gefahrenszenario vorliegt, das gestoppt werden muss.

Also, ihr könnt mit diesem Tool in einem Umspannwerk oder einer Fabrik feststellen, ob es eine ungewöhnliche Befehlssequenz gibt oder Parameter auf eine unübliche Weise verändert werden, um potenzielle Angriffe oder Fehlfunktionen zu identifizieren. Kann man das so sagen?

Oliver

Ja, absolut. Wir haben zwei Beispiele aus der Praxis: Das eine war ein Kraftwerk, in dem eine Komponente einmal wöchentlich ein Signal an einen russischen Server gesendet hat, obwohl dieser Server gar nicht mehr existierte. Die Kommunikation lief trotzdem weiter. Das konnten wir überwachen und dann deaktivieren. Das zweite Beispiel war in einem Windpark, wo jemand in einer Turbine versuchte, über das Netzwerk mit WhatsApp auf das Internet zuzugreifen – vielleicht, um eine Pizza zu bestellen. Solche Dinge sind natürlich nicht vorgesehen und stellen Angriffsvektoren dar, die wir mit unserer Angriffserkennung vermeiden wollen.

André

Das ist ein sehr gutes Beispiel, besonders das erste. Es zeigt, dass man Systeme zwar so sicher wie möglich bauen kann, aber sie dennoch sehr komplex sind. Das betrifft auch die Komponenten, die dazugehören. Hier geht es um Supply Chain Security. Man hat zwar eine gewisse Sichtbarkeit in der Lieferkette, aber das Thema Software-Lieferkette mit Drittkomponenten und Bibliotheken ist noch einmal eine eigene Herausforderung. Es ist wichtig, eine solche Sichtbarkeit zu haben, um zu erkennen, wenn in der Infrastruktur etwas nicht stimmt. Auch wenn man Systeme dokumentiert und plant, treten in der Praxis manchmal Probleme auf.
Für uns ist es ein Vorteil, wenn wir ein System deployen und eine Monitoring-Komponente integrieren. Das hilft uns, weil wir als Unternehmen Hersteller, Integrator und Betreiber in vielen Bereichen sind und daher mit vielen Regulierungen konfrontiert werden, die fast alle auf uns zutreffen. Eine solche Monitoring-Komponente sorgt sowohl im Backend-System als auch in den Edge-Systemen für mehr Sicherheit. Man kann ruhiger schlafen, wenn man einen Aufpasser hat.

Ja, das klingt beruhigend. André, du hast vorhin von der Signierung und Authentifizierung der Geräte gesprochen. Was ist der Vorteil davon, und wie setzt ihr das um, wenn es Tausende von Geräten gibt?

André

Das HES oder Head End System, also das Backendsystem, kommuniziert mit den Zählern. Der Client connected zu den Zählern, es handelt sich um eine One-to-Many-Beziehung. Zur Signierung der Daten haben wir Hardware-Sicherheitsmodule, HSMs, von Thales integriert. Diese HSMs führen sichere kryptografische Operationen durch und bewahren die benötigten Schlüssel gegen physische Angriffe extrem sicher auf. Eine Signatur ist sehr sensibel, und wir wollen sicherstellen, dass nur autorisierte Personen Befehle signieren können, um etwa Änderungen an Zählern vorzunehmen. Die Signaturen werden über ein Queuing-System schrittweise an die Zähler verteilt, sodass auch große Mengen von Kommandos sicher und effizient verarbeitet werden können.

[29:54] Übertragbarkeit, Skalierung und Nächste Schritte – So könnt ihr diesen Use Case nutzen

Oliver, du hast gerade einen anderen Anbieter erwähnt. Wie funktioniert das bei euch mit der Integration anderer Systeme? Seid ihr da offen, wenn ein Betrieb bereits andere Systeme im Einsatz hat? Kann man diese Daten dann auch in euer System integrieren?

Oliver

Ein weitverbreitetes System, das viele kennen, ist Splunk. Es wird branchenübergreifend genutzt. Ein weiteres Beispiel wäre IBM QRadar oder ähnliche Lösungen in diesem Bereich. Der Vorteil solcher Systeme liegt darin, dass man alle Daten an einem Ort zusammenführen kann – insbesondere bei der Konvergenz von IT und OT, die immer wichtiger wird. So kann man festlegen, welche Daten für den Betrieb besonders wichtig sind und überwacht werden müssen, und welche weniger relevant sind. Solche Systeme sind also sehr sinnvoll für einen ganzheitlichen Überblick.

Super. Ich packe die Kontaktdaten von euch beiden und die Informationen zu den Produkten von Rhebo und Landis+Gyr in die Show Notes. Schaut euch das gerne an, es ist wirklich spannend. Und falls ihr Fragen habt, stehen sowohl André als auch Oliver sicher zur Verfügung. Ich habe jetzt noch viele weitere Fragen, aber die können wir bei Bedarf in anderen Kanälen vertiefen.

Oliver

Sehr gerne, danke.

Zum Abschluss vielleicht noch eine letzte Frage: Habt ihr Best Practices oder wichtige Fallstricke, auf die man achten sollte, wenn man solche Systeme umsetzen möchte? Ihr habt ja schon viel Erfahrung gesammelt.

André

Ein Wort: Risikomanagement. Es ist wirklich wichtig, Risikoanalysen für die Produkte durchzuführen, um zu verstehen, woraus sie bestehen, wo die Risiken liegen und wie man diese effizient und kostengünstig minimieren kann. Das machen noch zu wenige. Daher: Unbedingt machen!

Oli, hast du auch noch ein Best Practice von euren Kunden, das du teilen möchtest?

Oliver

Ich würde auch mit dem Thema Risikoanalyse starten. Das ist der beste Einstieg, und wir nennen es gerne Security Health Check. Dabei wird das gesamte System durchleuchtet, um zu verstehen, was vor sich geht. Das ist immer ein guter Ausgangspunkt, um sich einen Überblick zu verschaffen und zu sehen, ob man gut abgesichert ist oder ob noch Handlungsbedarf besteht. Es ist ein bisschen wie der regelmäßige Arztcheck.

Ja, sehr gut. Eine schöne Erweiterung. Bevor ich es vergesse, Oli, wir hatten auch über euren eigenen Podcast gesprochen. Für diejenigen, die tiefer in das Thema einsteigen wollen, vor allem Security-Experten, hört euch den OT Security Made Simple Podcast von Rhebo an. Der Host ist Klaus Mochalski, und ich war auch schon zu Gast. Ein toller Podcast – hört gerne mal rein!

Oliver

Vielen Dank, das freut uns! Wir sind auch froh, dass wir dich bei uns als Gast begrüßen konnten. Die Folge wird wahrscheinlich zeitgleich mit dieser hier erscheinen. Danke, dass du dabei warst!

Genau, hört gerne mal rein. Ich spreche über die Kategorisierung von Use Cases und wie man sich als Organisation sinnvoll aufstellen kann, um von Best Practices zu lernen. Ich denke, wir haben heute einen guten Überblick bekommen, wer ihr seid, was eure Firmen machen und was euer Business Case ist. Wir haben viel über Herausforderungen und die Regulierung gesprochen, aber auch darüber, wie ihr IT und OT sicher macht und welche Mehrwerte sich daraus ergeben. Vielen Dank, dass ihr heute dabei wart. Ich überlasse euch das Schlusswort!

Oliver

Vielen Dank auch von meiner Seite. Danke, André, und danke, Madeleine, dass wir dabei sein und unser Wissen teilen konnten. OT-Security ist ein wichtiges Thema. Den Podcast hast du ja schon erwähnt – schaut gerne mal vorbei, vielleicht springt etwas Interessantes für euch heraus. Danke, André, für deine Einblicke von der Landis+Gyr-Seite.

André

Vielen Dank euch beiden und danke für die Einladung, Madeleine. Es war eine spannende Erfahrung, und ich hoffe, dass einige der Zuhörer von dem profitieren können, was wir besprochen haben. Wie gesagt, bei Fragen bin ich immer offen für Diskussionen.

Vielen Dank euch beiden und eine schöne Restwoche! Macht’s gut. Ciao.

André

Alles klar, danke, tschüss!

Oliver

Ciao!

 

Für Rückfragen stehe ich Ihnen gern zur Verfügung.

Questions? Contact Madeleine Mickeleit

Ing. Madeleine Mickeleit

Host & Geschäftsführerin
IoT Use Case Podcast