BayWa r.e. AG zählt zu den führenden Unternehmen im weltweiten Markt für die Errichtung und den Betrieb von Solar- und Windenergieanlagen. Die überwiegende Anzahl der Wartungs-, Instandhaltungs- und Managementarbeiten wird mittlerweile rein digital aus der Ferne vorgenommen. Durch die Fernzugänge sowie die Möglichkeit eines lokalen Einbruchs steigen auch die Cyberrisiken für die Energieparks und das angeschlossene Energienetz. Im Zentrum der Cybersecurity-Strategie steht daher der Schutz sensibler Daten, die Gewährleistung der Verfügbarkeit der Anlagen, der Schutz der Flotte und die Sicherheit der Energieversorgung. Um eine derartige Strategie umzusetzen, kam die Rhebo GmbH, ein Unternehmen des Landis+Gys Konzerns, ins Spiel.
Die Herausforderung: Cybersicherheit ferngesteuerter Energieanlagen
Die besondere Herausforderung des Projekts bestand darin, die Cybersicherheit für ferngesteuerte Energieanlagen sicherzustellen und defekte Geräte sowie Fehlfunktionen zu lokalisieren. Eine weitere wichtige Aufgabe war die kosteneffiziente Erweiterung der eigenen Sicherheitsarchitektur.
BayWa r.e. hat ein eigenes Sicherheitssystem im Einsatz, das eine sichere Datenübertragung und kontinuierliche Leistungsüberwachung gewährleistet. Das Smart Energy Gateway MRX von INSYS icom bildet hierfür den zentralen Baustein für diese Funktionen. Eine Erweiterung für ein lokales Sicherheitsmonitoring mittels Rhebo Industrial Protector wurde konzipiert und sollte in einem Feldversuch getestet werden. Rhebo Industrial Protector kombiniert kontinuierliches OT-Monitoring mit einer dedizierten Anomalieerkennung. Das OT-Monitoring überwacht die gesamte Kommunikation des Energieparks. Die integrierte Anomalieerkennung analysiert die Kommunikation in Echtzeit auf verdächtige bzw. abweichende. Dadurch können neuartige Angriffe, Advanced Persistent Threats und technische Fehlerzustände umgehend erkannt werden, die zu Störungen der verteilten Energieanlagen führen könnten.
Die Lösung: Integration von Netzwerküberwachung und Anomalieerkennung
Die Risikoexposition und bestehende Sicherheitsarchitektur wurde im ersten Schritt durch ein detailliertes Rhebo Industrial Security Assessment auf Schwachstellen und versteckte Lücken untersucht. Dies beinhaltete auch die Analyse bestehender Assets und Kommunikationsstrukturen des Pilot-Windparks. Auf dieser Basis konnten spezifische Maßnahmen und die Anforderungen an das OT-Monitoring an der Grid Edge definiert werden.
Um die kontinuierliche Cybersicherheit zu gewährleisten, wurde der Monitoring-Sensor von Rhebo Industrial Protector auf einem Smart Energy Gateway MRX von INSYS icom integriert. Eine zusätzliche Hardware-Installation in der verteilten Infrastruktur war nicht erforderlich, da die Installation des industriellen Angriffserkennungssystems rein softwarebasiert erfolgte. Dabei fand eine Integration mit weiteren Sicherheitsfunktionen der SystemSafe-Architektur von BayWa r.e. statt.
Rhebo Industrial Protector ermöglichte anschließend mittels OT-Monitoring und Anomalieerkennung die Echtzeitidentifizierung von Cyberangriffen, Sicherheitslücken und Fehlerzuständen. Dafür wird jegliche Kommunikation, die das Sicherheitsgateway passiert, analysiert. Um die empfindlichen industriellen Prozesse im Energiepark nicht zu stören, erfolgt die Anomalieerkennung vollständig passiv und rückwirkungsfrei. Das Sicherheitsteam des überwachenden Unternehmens erhält in Echtzeit Benachrichtigungen über verdächtige Vorgänge und kann somit schnell und gezielt reagieren.
Als containerisiertes Angriffserkennungssystem für die OT können die Sensoren des OT-Monitoring von Rhebo bereits heute auf einer Vielzahl bekannter OT-Komponenten verschiedenster Hersteller integriert werden, u.a. von WAGO, Welotec, Bosch Rexroth und Barracuda. Auch kann Rhebo Industrial Protector über den IBM App-Store ohne weiteres als Datenlieferant in das Security Information and Event Management (SIEM) System IBM QRadar integriert werden.
Das Ergebnis: Verbesserung der Cybersicherheit und Optimierung der Netzleittechnik
Im Zuge der Anomalieerkennung wurden verschiedene kritische Aspekte identifiziert und behoben, u.a.:
- ein ungesicherter FTP-Server mit veralteter Firmware
- wiederholt unverschlüsselte Datenübertragung
- private Kommunikation über einen WhatsApp-Client
- Kommunikationsfehler und fehlerhafte Verbindungsversuche.
Dadurch konnten bestehende Risiken minimiert und die Netzwerkqualität gesteigert werden. Um eine optimale Performance der Netzleittechnik zu gewährleisten, wurde eine Lastoptimierung durchgeführt. Dies wurde erreicht, indem redundante Kommunikation von OT-Komponenten mit Herstellerservern reduziert wurde. Dies ermöglicht eine effizientere Datenverarbeitung und verbessert die Reaktionsfähigkeit des Systems.
Das OT-Monitoring von Rhebo ist als Integrationslösung auf den INSYS icom Gateways leicht über mehrere Energieparks skalierbar. Weder muss zusätzliche Hardware installiert, noch die Netzleit- und Fernwirktechnik bezüglich Bandbreite und Konfiguration angepasst werden.
Durch eine Identifikation unsicherer Kommunikation konnten bei BayWa r.e. gezielte Optimierungen der Sicherheitseinstellungen vorgenommen werden. Schwachstellen wurden behoben und die gesamte Kommunikation innerhalb des Systems auf ein hohes Sicherheitsniveau gebracht. Dadurch wird das Risiko von unerlaubtem Zugriff und Datenverlust in dem Windpark minimiert.
Nicht zuletzt wurde die Zuverlässigkeit der Netzleit- und Fernwirktechnik durch die Korrektur technischer Fehlerzustände erheblich verbessert.
