Die Rhebo GmbH bietet Lösungen zur Sicherung der digitalen Leittechnik für Mittel- und Hochspannungsnetze. Energieversorger und Netzbetreiber können damit die wachsenden Cybersicherheitsrisiken in ihrer kritischen Infrastruktur, insbesondere der Umspannwerke, bewältigen und die Anforderungen des novellierten IT-Sicherheitsgesetzes erfüllen.
Die Herausforderung: Sicherheitsrisiken in der Leittechnik von Umspannwerken der Mittel- und Hochspannungsnetze
Umspannwerke und andere Anlagen in Mittel- und Hochspannungsnetzen sind weitgehend automatisiert und untereinander vernetzt. Im Energiesektor hat sich für die Systemintegration in den letzten Jahren der Standard IEC 61850 durchgesetzt. Dieser ermöglicht den reibungslosen Datenaustausch zwischen Anlagen, die eigentlich mit anderen unterschiedlichen Protokollen (u.a. GOOSE, MMS) kommunizieren. Das standardisierte Übertragungsprotokoll basiert auf dem Internet-Standard TCP/IP. Mit den damit verbundenen Vorteilen der Interoperabilität und Transparenz kommt jedoch auch ein entscheidender Nachteil: das Protokoll ist genauso unsicher wie die meisten anderen Industrieprotokolle in Umspannwerken (u.a. GOOSE, MMS, SV, IEC-104), die es verbindet.
Der Fall Ukrenergo
Der Standard für den digitalen Datenaustausch findet mit der laufenden Modernisierung und dem Neubau von Energieversorgungsanlagen immer häufiger Anwendung. Damit werden selbst neue Umspannwerke ein Sicherheitsrisiko. Auch wenn bislang wenige Fälle bekannt sind, in denen diese Sicherheitslücke ausgenutzt wurde, zeigt der Fall Ukrenergo aus dem Jahr 2016, wie anfällig Kritische Infrastrukturen sind. Bei einem konzertierten Angriff auf den ukrainischen Stromversorger drangen dabei Angreifende in die IT-Systeme des Unternehmens ein, bewegten sich über mehrere Monate in die Netzleittechnik und sorgten dort mit der Malware Industroyer für einen mehrstündigen Stromausfall in Teilen der Hauptstadt Kyiw. Diese erste Version der Schadsoftware wies bereits spezifische Funktionen für die Protokolle MMS, GOOSE, OPC und IEC61850 auf.
Stationen und Anlagen in den Stromnetzen benötigen deshalb einen besonderen Schutz, wie er auch durch die KRITIS-Verordnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und das IT-Sicherheitsgesetz vorgesehen ist.
Die Lösung: Monitoring der OT und Früherkennung von Angriffen
Die Absicherung von IEC-61850-Netzen ist eines der Arbeitsgebiete der Rhebo GmbH. Das Unternehmen bietet Monitoring und Anomalieerkennung für Steuerungsstechnik (OT) und das Industrial IoT. Seit 2021 ist es Teil der Landis+Gyr AG, einem global führenden Anbieter integrierter Energiemanagement-Lösungen für die Energiewirtschaft.
Perimeterschutz in Umspannwerken ist nicht ausreichend
Zur Absicherung ihrer Anlagen setzen Verteil- und Übertragungsnetzbetreiber häufig ausschließlich auf Firewalls und andere konventionelle Schutzsysteme. Diese wehren zwar eine bekannte Malware zuverlässig ab, versagen jedoch bei bisher unbekannten Angriffsmustern, der Verwendung gestohlener Zugangsdaten und der Ausnutzung von Zero-Day-Schwachstellen. Auch sind sie blind gegenüber Angriffen und Schadsoftware, die über Wartungslaptops durch das eigene Team oder Servicedienstleister in die Leittechnik getragen werden können. Das BSI empfiehlt deshalb einen Defense-in-Depth-Ansatz. Er geht davon aus, dass professionelle Angreifer früher oder später Zugang zum Netzwerk erhalten und den Verteidigungssystemen immer mindestens einen Schritt voraus sind. Aus diesem Grund soll ein mehrstufiges Sicherheitssystem aus signaturbasierter Perimetersicherung und verhaltensbasiertem Netzwerkmonitoring dafür sorgen, dass sowohl bekannte Angriffsmuster abgewehrt werden, als auch Angriffe, die für Firewalls nicht detektierbar sind, frühzeitig erkannt werden.
Anomalieerkennung in OT-Infrastrukturen
Bei Kunden von Rhebo kommt deshalb ein passives OT-Monitoring mit integrierter Anomalieerkennung namens Rhebo Industrial Protector zum Einsatz. Seine Aufgabe: Die Echtzeit-Meldung aller Anomalien, die auf Cyberangriffe, Manipulationen, Scans oder technische Störungen hinweisen. Damit erhalten Energieversorger Sichtbarkeit und Cybersicherheit an vernetzten Standorten, in denen selten Cybersecurity-Experten tätig sind und die OT häufig wie eine Blackbox wirkt.
Das IT-Sicherheitsgesetz verlangt von allen Betreibern Kritischer Infrastrukturen seit diesem Jahr ein durchgängiges System zur Angriffserkennung (Intrusion Detection System), das neben der Unternehmens-IT auch die industriellen Infrastrukturen, also die OT, schützt. Die Lösungen von Rhebo sind speziell für industrielle Netzwerke entwickelt und überwachen die gesamte OT von der zentralen Energieproduktion bis zu verteilten Energieversorgungssystemen wie Umspannwerken und Anlagen für Erneuerbare Energien. EVUs profitieren besonders von der Importfunktion für IEC61850.scd-Dateien. Die Datei bildet in IEC61850-Infrastrukturen so etwas wie den digitalen Zwilling des gesamten Umspannwerkes, in dem alle Verbindungen, Geräte und Funktionen dokumentiert sind. Der Import in Rhebo Industrial Protector beschleunigt das Baselining der Anomalieerkennung und macht das System zur Angriffserkennung binnen kürzester Zeit funktionsfähig.
Über bestehende Schnittstellen können Meldungen zu sicherheitsrelevanten Vorgängen in der Leittechnik auch direkt an ein Security Information and Event Management (SIEM) System weitergeleitet und die Unternehmens-Cybersicherheit integriert werden.
Drei Schritte bis zur sicheren OT
Rhebo OT Security für Netzleittechnik und Steuerungstechnik besteht aus einem umfassenden Paket zur Beratung, Integration und Management hinsichtlich der OT-Cybersecurity. Eine sichere OT erreichen Unternehmen in drei Schritten:
- Gefahrenbewertung: Cybersicherheit erfordert Transparenz. Rhebo bewertet zunächst Sicherheitsrisiken und ermittelt den Security-Reifegrad. Anschließend liefert das Unternehmen Vorschläge für Maßnahmen zu risikobehafteten OT-Assets und der Leittechnik.
- Überwachung: Die Absicherung der OT endet nicht an der Netzwerkgrenze. Die Überwachungslösung von Rhebo entspricht den Anforderungen des IT-SiG 2.0 und ermöglicht eine umfassende Erkennung von Unregelmäßigkeiten innerhalb der OT-Netzwerke.
- Managed Security: Für OT-Security sind spezialisierte Kenntnisse und Ressourcen erforderlich. Rhebo unterstützt den Betrieb des Überwachungssystems und bietet Hilfe bei der Analyse und Reaktion auf ungewöhnliche Ereignisse.
Das Ergebnis: Netze absichern und Angriffe erkennen, bevor Schäden entstehen
Der Defense-in-Depth-Ansatz von Rhebo geht über traditionelle Firewall-Technologien hinaus. Das Monitoringsystem meldet in Echtzeit alle Auffälligkeiten, die auf Cyberangriffe, Manipulationen oder technische Störungen hinweisen. Damit können Unternehmen ihre Reaktionszeiten bei Sicherheitsvorfällen drastisch verkürzen und die Sicherheit der Mittel- und Hochspannungsnetze erheblich verbessern. Energieversorger und Netzbetreiber sind jetzt in der Lage, Cyberangriffe, Fehlkonfigurationen und menschliche Fehler in der Leittechnik effektiv zu erkennen und darauf zu reagieren, bevor sie ernsthafte Schäden anrichten.