Verteilte Energiespeicher: Angriffserkennung und OT-Sicherheit für industrielle Netzwerke und IIoT

node-divider
IoT Use Case Rhebo Sonnen
6 Minuten Lesezeit
6 Minuten Lesezeit

Nicht erst mit der 2021 aktualisierten Fassung des IT-Sicherheitsgesetzes der Bundesrepublik Deutschland sowie der BSI Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung stehen deutsche Energieunternehmen vor der Herausforderung, ein durchgängiges System zur Angriffserkennung einzurichten. Ein derartiges System muss auch die Sichtbarkeit in alle operativen Systeme herstellen und jegliche Form von Gefährdung in Echtzeit erkennen und melden.

Die Herausforderung: Weltweite, ortsunabhängige Angriffserkennung auf kritischen verteilten IIoT-Anlagen

Energiewende und Aufbau des Smart Grid brauchen leistungsstarke Speichersysteme, um den durch erneuerbare Energie erzeugten Strom zu speichern und zu verteilen. Während das Energiemanagement und das funktionelle Monitoring der einzelnen smarten Speicher zentral erfolgt, stehen diese mitunter an den entlegensten Orten der Welt.  Das macht nicht nur die Wartungsplanung und das Troubleshooting zu einer besonderen Herausforderung. Die Installation an fernen Orten exponiert die kritischen IIoT-Anlagen auch gegenüber physischem Zugriff und Cyberattacken.

Als einer der führenden Anbieter moderner Energiespeicher und erneuerbarer Energielösungen steht für die sonnen GmbH die Cybersicherheit ihrer Produkte im Mittelpunkt. Die Herausforderung dabei ist, dass die privat und kommerziell genutzten Energiespeicher meist in das lokalen Heimnetz der Endkunden eingebunden sind. Diese Netze sind für Angreifer leicht zugänglich und besitzen kein dediziertes Alarmsystem für Angriffe auf die industriellen Prozesse. Gezielte Angriffe können daher dazu führen, dass Einzelanlagen beschädigt werden. In einem System identischer vernetzter Geräte steigt auch das Risiko signifikant, dass die Flotte übernommen und z. B. als Botnet missbraucht oder orchestriert abgeschaltet wird. 

Die weltweit installierten Energiespeichersystemen von sonnen sollten deshalb mit einem industriellen Angriffserkennungssystem ausgerüstet werden, das Cyberangriffe und Störungen bereits auf dem Edge Device – dem lokalen Energiespeicher – erkennt und abwehrt. Ziel war es, Angriffe zu blockieren und zu isolieren, bevor sie auf die zentrale Plattform oder andere Speicher übergreifen können.

Die Lösung: Endpoint Detection & Response für weltweit verteilte Energiespeicher

Die Rhebo GmbH in Leipzig sieht es als ihre Mission, sowohl die Cybersicherheit als auch die Stabilität der OT- und IIoT-Infrastruktur in Industrie-, Energie- und Wasserunternehmen sicherzustellen. Als einziges deutsches Unternehmen am Markt unterstützt es die Verantwortlichen, die Cybersicherheit, Produktivität und Verfügbarkeit ihrer Anlagen zu steigern und die digitale Transformation ihrer industriellen Prozesse zu sichern. 

Der konkrete Lösungsansatz besteht darin, dass die schlanke Lösung Rhebo IIoT Security (ehemals Rhebo IoT Device Protection) in die Steuerungen der Speichersysteme integriert werden kann und somit die Überwachungsfunktionalitäten direkt vor Ort an der Edge zur Verfügung stehen. 

Das war auch bei sonnen der Fall. Durch das tiefe, bis in das letzte Bit reichende Analysieren der Kommunikation auf und zwischen den einzelnen Endpunkten wird ein System der Angriffserkennung geschaffen, wie es vom Gesetzgeber gefordert wird. 

Rhebo IIoT Security überwacht die gesamte Kommunikation auf und zwischen den sonnen Energiespeichern per Deep Packet Inspection und erkennt jegliche Abweichung vom autorisierten und zu erwartenden Kommunikationsverhalten. Abweichungen werden als Anomalie identifiziert, bewertet und an die Zentrale berichtet. Dadurch werden beispielsweise auch Angriffsmuster erkannt, die Zero-Day-Schwachstellen oder Backdoors ausnützen, also für klassische signaturbasierte Sicherheitsmechanismen nicht detektierbar sind. Über die Funktionalität der Sicherheitsautomatisierung werden sicherheitsrelevante Kommunikationsveränderungen zudem aktiv geblockt. Das bedeutet, dass nicht nur eine Angriffserkennung vorhanden ist, sondern auch eine Angriffsverhinderung. Angriffe und Manipulation werden direkt vor Ort auf dem betroffenen IIoT-Gerät – unabhängig davon, ob das Speichersystem in einem Eigenheim mitten in Berlin oder in einer unzugänglichen Wüste steht. Es handelt sich also um ein echtes automatisiertes Intrusion Detection & Protection System (IDPS) für weltweite IIoT-Sicherheit.

Neben der Verhaltensanalyse werden auch lokale Schnittstellen wie Webinterfaces und die Systemprotokolle kontinuierlich überwacht. Standard-Schnittstellen und Open-Source-Technologien erlauben darüber hinaus die reibungslose Übermittlung von Anomaliedaten zwischen den Anlagen und der zentralen Leitstelle. 

Wesentlich dabei ist auch, dass die Benutzer keine IT-Spezialisten sein müssen, denn das Fachwissen ist durch die Funktionalität des Systems schon in der IIoT-Lösung integriert. Es geht also „nur noch“ um die Kernfrage jedes Verantwortlichen: Liegt ein Problem vor oder nicht? Auch bei der Beantwortung dieser Frage unterstützt Rhebo vollumfänglich durch seinen Managed Detection & Response Service. Die sonnen GmbH kann sich damit ganz auf ihr Kerngeschäft konzentrieren.

Das Ergebnis: Lokale Angriffserkennung und Vermeidung von Spillover-Effekten

Rhebo IIoT Security überwacht kontinuierlich das Verhalten der komplette Datenkommunikation auf und zwischen den sonnen Energiespeichersystemen, die weltweit zum Einsatz kommen. Mittlerweile werden über 50.000 Energiespeicher von sonnen über Rhebo IIoT Security gesichert und täglich kommen neue hinzu.

Die Lösung identifiziert, analysiert und meldet Cyberangriffe, Schadprogramme und technische Fehlerzustände in Echtzeit. Nicht nur erhält das Sicherheitsteam dadurch tagesaktuelle Sichtbarkeit zu sicherheitsrelevanten Vorgängen auf den Energiespeichern. Das Wartungsteam kann durch das zusätzliche Monitoring auf technische Fehlerzustände auch proaktiv und vorausschauend seine Wartungsaktivitäten planen. Individuell konfigurierbare Security Policies erlauben zudem die automatisierte Reaktion auf kritische Ereignisse. 

Rhebo IIoT Security ermöglicht nicht nur eine kundenspezifische Konfiguration der Cybersicherheitsmechanismen ohne teuren ungenutzten Overhead. Durch die Containerisierung der Software können Rollouts und Updates schnell und zentral umgesetzt werden, ohne zusätzliches Wartungspersonal an die Standorte entsenden zu müssen. Standardschnittstellen zu gängigen Analysetools wie Elastic Stack, Splunk oder QRadar sind ein weiteres Plus für die Integration in das bestehende IT-Sicherheitsökosystem.

Die Einsatzmöglichkeiten dieser Lösung sind weitreichend Gebäudeautomatisierungen, und Robotersteuerungen, bis hin zu kompletten Energieversorgungseinrichtungen.

Über Rhebo

Rhebo bietet einfache und effektive Cybersicherheitslösungen für die Netzleit-, Fernwirk- und Steuerungstechnik sowie verteilte industrielle Anlagen in Energieunternehmen, Kritischen Infrastrukturen und Industrieunternehmen. Das Unternehmen unterstützen Kunden auf dem gesamten Weg der OT-Sicherheit von der initialen Risikoanalyse bis betreutes OT-Monitoring mit Anomalie- und Angriffserkennung. Rhebo ist seit 2021 Teil der Landis+Gyr AG, einem global führenden Anbieter integrierter Energiemanagement-Lösungen für die Energiewirtschaft mit weltweit rund 5.000 Mitarbeiter:innen in über 30 Ländern.

Rhebo ist Partner der Allianz für Cyber-Sicherheit des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Teletrust – Bundesverband IT-Sicherheit e.V.. Als vertrauenswürdiges IT-Sicherheitsunternehmen ist Rhebo offizieller Träger der Gütesiegel »IT Security Made in Germany« sowie »Cybersecurity Made In Europe«.

In Anwendung

NEWSLETTER

Jetzt unser IoT Use Case Update erhalten

node-divider

Erhalten Sie kostenlos das monatliche Update zu spannenden Use Cases, aktuellen Podcastfolgen und News aus unserer IoT-Community.