Sichere Energieversorgung

Prozess-IT im Zeitalter der Cyber Security

Die Bedeutung der Informationstechnologie hat im Prozessbereich der Energieversorger in den letzten Jahren dramatisch zugenommen. Wichtige Entwicklungen in der Energieversorgung, wie die Trennung von Netzbetrieb und Energievertrieb (Unbundling) wurden durch den Einsatz moderner Informations- und Kommunikationstechnologie (IKT) überhaupt erst ermöglicht.

Insbesondere die Energiewende baut auf einem massiven Einsatz von IKT auf und ist ohne diese nicht umsetzbar. Die daraus resultierende erhöhte Abhängigkeit von deren Verfügbarkeit ist Grund genug, um die Steuerungs- und Telekommunikationssysteme, die zum Betrieb von Energieversorgungsnetzen benötigt werden, angemessen zu schützen.

In Deutschland und in anderen europäischen Ländern ist das BDEW-Whitepaper derzeit die zentrale Leitlinie für Sicherheitsanforderungen an Leitsysteme. PSI-Leitsysteme erfüllen die Anforderungen des BDEW-Whitepapers vollständig. Die für PSIcontrol in einem IT-Security-Basispaket gebündelten und verfügbaren Funktionalitäten werden je nach Kundenanforderung in die auszuliefernden Systeme integriert. Darüber hinaus hat PSI das IT-Security-Erweiterungspaket PSIsecure konzipiert und realisiert.

IT-Security Basis-Paket

PSI-Leitsysteme werden ausschließlich als gehärtete Systeme ausgeliefert. Dies bedeutet, dass gezielt generierte Minimal-Basissysteme genau die Dienste und Services zur Verfügung stellen, die vom Anwendungssoftwaresystem, das auf einem Rechner installiert werden soll, benötigt werden. Alle Systemkomponenten sind Patch-fähig.

Im PSIcontrol wurde das so genannte Minimal-Need-To-Know-Prinzip konsequent umgesetzt, so dass ohne eine erfolgreiche Authentifizierung keine Systembedienung, außer Login, möglich ist. Die Authentifizierung erfolgt über Passwort und Kartenleser. Es ist sichergestellt, dass ein Login auch dann möglich ist, wenn zentrale Domain-Name-Server nicht erreichbar sind. Anwendern können genau die Rechte zugeteilt werden, die sie zur Erfüllung ihrer Aufgaben benötigen.

Horizontale und vertikale Netzwerksegmentierung
Horizontale und vertikale Netzwerksegmentierung

Damit sich potentielle Eindringlinge in einem „eroberten“ Netzwerk nicht frei bewegen können, werden die PSIcontrol-Netzwerke in Netzinseln (Perimeter) einer angemessenen Größe unterteilt. Die Netzwerksegmentierung wird durch den Einsatz von Firewalls erzielt. Alle Netzwerkverbindungen, die über Standortgrenzen hinweg gehen (WAN-Verbindungen), werden als VPN-Tunnelverbindungen mit verschlüsseltem Datenverkehr und TCP/IP-Protokoll (IEC 60870-5-104) ausgelegt.

Fernzugänge werden im Zeitalter der Cyber Security als besonders kritische Elemente aller Systemarchitekturen betrachtet, da sie in der Regel mit öffentlichen Netzen verbunden und somit grundsätzlich auch für Angreifer zugänglich sind. PSIcontrol ist mit einem sicheren und praxiserprobten Fernzugangskonzept ausgestattet.

Der Installations-, Compile- und Patch-Server ist eine wesentliche Komponente zur Erfüllung der Anforderungen des BDEW-Whitepapers. Auf ihm werden sämtliche Quell- und Objektcodes sowie die Systemparameter gespeichert.

Über einen ICP-Server können beliebig wiederholbare Systemgenerierungen durchgeführt werden. Die fertig generierten Systeme werden in versionsverwalteten Repositories gespeichert, so dass die Möglichkeit zum Rollback auf ältere Systemversionen gegeben ist. Über diese Repositories findet auch das gesamte Konfigurations- und Liefermanagement statt.

Erweiterungspaket für erhöhte IT-Sicherheit

Die Lösung PSIsecure bietet zusätzlich zu der Basisabsicherung eine breite Palette an Techniken, um zukünftige immer stärker ausgefeilte Angriffe erfolgreich abzuwehren. Da aktuelle Angriffsszenarien sehr komplex ausgelegt sind, erkennen konventionelle Virenscanner weder alle bekannten Schadprogramme wie Viren, Würmer und Trojaner noch unbekannte, so genannte Zero-Day-Exploits. Dieses Risiko kann mit dem Einsatz von Application Whitelisting komplett ausgeschlossen werden, da es im Gegensatz zum Virenscanner, eine Liste mit vertrauenswürdigem Code in der Whitelist definiert. Vor jedem Start eines Programmes wird dieses auf Inhalt, Herkunft und Integrität geprüft und mit der Whitelist verglichen. Nur bekannte Programme können ausgeführt und geladen werden.

Zentralisierte Security-Events und Next Generation Firewalls

Das Security Information and Event Management (SIEM) ist eine zentrale Plattform für die Sammlung, Erkennung, Aufbereitung und Berichterstattung von Security-Events.

Das in PSIsecure integrierte SIEM umfasst Funktionen wie zentrale Datensammlung, Korrelation und Alarmierung, Reporting, Archivierung und Compliance-Prüfung.

Firewalls regeln den Datenverkehr. Dieser einfache Regelmechanismus wird durch den Einsatz von Next Generation Firewall bei PSIsecure erheblich erweitert. Next Generation Firewalls analysieren den Datenverkehr komplett. Es sind dadurch z. B. Regeln auf Applikations- und sogar Benutzer-Ebene möglich. Dateninhalte werden mit IPS-/ IDS-Funktionen gegen Signaturen geprüft, ebenso auch gegen bekannte Viren, Trojaner und Würmer.

Kontakt

Wolfgang Dreger
Telefon: +49 6021 366-885
wdreger@psi.de

Thomas Geulig
Telefon: +49 721 94249-45
tgeulig@nentec.de

www.psienergy.de

Artikel aus

Zeitschrift für Energie­versorger