10 Jul

Cyber Security durch Operational Technology (OT)

Im Kontext der Digitalisierung wächst auch der Anspruch auf das Thema Cyber Security enorm. “So verzeichneten 11% der deutschen Unternehmen in den vergangenen 12 Monaten einen IT-Sicherheitsvorfall. Drei von zehn Unternehmen erwarten in den kommenden 12 Monaten ins Visier von Cyberkriminellen zu geraten – besonders gefürchtet sind organisierte Banden. Der Ukraine-Krieg schürt dabei die Angst vor mehr Cyberangriffen. [1]” Der Bereich der kritischen Infrastruktur, also das, was uns täglich quasi am Leben erhält, bedarf dabei noch einem extra Augenmerk. So z. B. die Elektrische Infrastruktur, die in diesem Artikel besonders hervorgehoben werden soll. So postuliert der Tagesanzeiger der Schweiz (TA) in einer “Umfrage zu Cyber-Sicherheit: Schweizer Stromversorger sind ungenügend gegen Hacker geschützt. Besonders schlecht sind die Firmen im Erkennen von Angriffen sowie bei der Reaktion darauf. [2]”

Dieses White Paper geht auf die grundsätzlichen Gefahren, dem Status-Quo, die in der EU geltenden Gesetze als auch die derzeit praktikablen als auch verfügbare Lösungsansätze im Kontext von elektrischen Messinstrumenten ein.

Aufgrund der Dynamik und der überaus grossen und herausfordernden Komplexität zu dem Thema, dient dieser Bericht als Orientierung und ist nicht als abschliessend zu werten.

Cyber Security auf OT-Level

Bedrohungsszenarien

Grundsätzlich kann gesagt werden, dass wir zwei Hauptkategorien von möglichen Risiken kennen. Zum einen sind dies die Datendiebstähle [3] und zum anderen die Datenmanipulationen. [3] Gewollt oder ungewollt. Durch Versehen oder durch kriminelle Handlungen.

Zur besseren Segmentierung listen wir, wie immer nicht abschliessend, einige der Bedrohungsszenarien wie folgt dazu auf:

  1. Hackangriff auf Unternehmung mit Erpressung, Datenverschlüsselungen, Diebstahl, Drohungen, …
    (z. B. durch Ransomware (Lockbit, …), Malware, …)
  2. Ausfall und Angriff auf (extern gehostete) Dienste
    (z. B. Webseiten, Social Media Accounts, Cloud Dienste, Datensicherungsdienste, …)
  3. Spionage und Phishing Attacken
    (z. B. durch Interviews, Umfragen, virtuelles & physisches Ausspähen, unbekannte Besucher, Kreditkarten-Leaks, …)
  4. Cyber-Angriffe auf Personen
    (z. B. Erpressung und Bedrohung einzelner, Smartphone-Applikationen (z. B. Kamera, Mikrofon), …)
  5. Verluste
    (z. B. einfacher Datenverlust, Hardwareverlust, Hardwarediebstahl, …)
  6. Bewusster Datenaustausch
    (z. B. durch externe Datenträger (USB-Sticks, SD-Karten, Smartphone…), EDI, API, …)
  7. Physische & Physikalische Einflüsse
    (z. B. Blitz, Brand, Wasser, Vandalismus, Sabotage, …)
  8. Störung & Ausfall der Datensicherung
    (z. B. NAS, mangelhafte Dokumentation, mangelhafte Updates, lange Stromausfälle, defekte Medienträger, Alterungen, …)
  9. Mangelndes Awareness in der Unternehmung selbst
    (z. B. generelle Unwissenheit und Naivität, fehlende ICT-Kenntnisse, keine “Chef-Sache”, fehlendes Training, …)
  10. Mangelhaftes Equipment
    (z. B. Ausfälle, Altsysteme, Virus auf Smartphone, Dunkelziffer ICT-Klienten, Fremdgeräte im ICT-Netz, …)

Speziell der Punkt “Fremdgeräte im ICT-Netz” soll uns hier im Artikel beschäftigen, da dieser auch Messinstrumente betrifft und somit auch die oben genannten Bedrohungsszenarien reflektiert.

Zwischen-Fazit (1):

Ungewollte Dateneingriffe bewirken, dass etwas nicht mehr so ist, wie es vom Grundsatz her geplant war. Deshalb wirken sich solche Eingriffe oftmals unmittelbar auf Kosten als auch auf die Reputation der betroffenen Person oder des Unternehmens aus. Der Schaden ist also um ein x-faches höher, als nur die Abwehr oder Heilung des erfolgten Eingriffs.

Zudem ist anzumerken, dass bereits angegriffene Geräte als Plattform zur wesentlichen Ausbreitung der Datenabgriffe & Manipulation genutzt werden können. Somit haben ungewollte Zugriffe ein x-faches an Risikopotenzial, als es zunächst den Anschein haben könnte.

Elektrische Netzebenen 1-7

Die neue Bedeutung von Datenflüssen in den elektrischen Verteilnetzen

  • Elektrische Verbundnetze müssen untereinander kommunizieren können
  • Integration in das World Wide Web findet statt (www)
  • Integration von mehr Messstellen aufgrund der vielen Knotenpunkten ist notwendig (speziell im Niederspannungsnetz = Smart Grid)
  • Anwender auf Netzebene 7 (lokales Verteilnetz <1kV) werden zum (App)Spezialisten (z. B. SmartHome, Energiebeschaffung, CO2-Footprint, …)
  • Smart Grid-Anwendungen werden notwendig und auch eingefordert (z. B. intelligente Netze, Transparenz herstellen, Automatisierungen, Echtzeit, …)
  • Planung mit Simulation, Echtzeitangaben und Trends werden für die Netze immer wichtiger
  • Dynamisches Last- und Leistungsmanagement = Fernwirken (z. B. Redispatch, §14a EnWG (Deutschland), PV-Anlagen ohne Gegenlast, …)
  • Heutige Leitstellen werden mit Parallel-Applikationen (z. B. für Smart Grid) verbunden
  • Cloud-Lösungen kommen in die elektrischen Netze
  • Störungen und Veränderungen (Dynamik) müssen in Echtzeit erfasst werden
  • Neue Stör- und Einflussfaktoren kommen auf (z. B. bei erneuerbaren Energien wie Wolkenbildung, Wind, Hitze, …)

Exkurs: Energiewirtschaftsgesetz (EnWG) – Steu­er­ba­re Ver­brauch­sein­rich­tun­gen:

Die neue Fassung des §14a EnWG (01.01.2023) von Deutschland sieht eine Reduzierung der Netzentgelte für diejenigen Verbraucher vor, die mit dem Netzbetreiber eine Vereinbarung über die Netzorientierte Steuerung von steuerbaren Verbrauchseinrichtungen oder von Netzanschlüssen mit steuerbaren Verbrauchseinrichtungen abgeschlossen haben. [4]

Kurz gesagt: “Ab 2024 soll das Niederspannungsnetz im Rahmen des §14a EnWG schrittweise zu einem Smart-Grid ausgebaut werden. Die erste Ausbaustufe für jeden Verteilnetzbetreiber stellt das statische Steuern von abschaltbaren Lasten auf der Niederspannungsnetzebene dar, welche bis spätestens 2029 durch das dynamische Steuern abgelöst werden soll.

Unter dem Begriff abschaltbare Lasten werden im Niederspannungsnetz alle Verbraucher mit einer Anschlussleistung größer 3,7 kW verstanden. Darunter fallen primär Wärmepumpen, elektrische Speicher, Ladeinfrastruktur für Elektrofahrzeuge oder Klimaanlagen.” [5]

Somit werden Datenflüsse und Volumina deutlich ansteigen und es ist zu vermuten, dass andere Länder mit urbanen und komplexen Infrastrukturen einem ähnlichen Prinzip folgen könnten.

Zwischen-Fazit (2)

Die Datenflüsse und Datenmengen häufen sich und sind mit extremen Gefahren als auch Hindernissen verbunden (z. B. Konnektivität).

Welche Strategien zur Daten- und Manipulationssicherheit werden genutzt

Dieser Absatz beschäftig sich im Grundsatz damit, welche möglichen Elemente zur Cyber Security betrachtet werden. Auffällig ist dabei immer wieder, wie wenig spezifisch zum Thema Operational Technology (OT) im Kontext von eingebundenen Feldgeräten (z. B. Sensoren, Messinstrumente, …) ausgesagt wird.

  • Definition einer firmenspezifischen I(C)T Policy
  • Beschäftigung von internen als auch externen IT-Spezialisten in jeweiligen Fachgebieten
  • Geschlossene, bzw. isolierte Netzwerke betreiben
  • Strikte Befolgung länderspezifischer Richtlinien und Gesetze zum Thema Datenschutz
  • Proprietäre Systeme reduzieren (z. B. proprietäre Hersteller-Schnittstellen)
  • Einsatz von standardisierten Protokollen (z. B. IEC61850, PQDIF IEEE1159.3, usw.)
  • Einsatz von zusätzlichen Softwarelösungen zur Überwachung
  • Zentralisierung von Systemen (Hardware, Software, HR)
  • Outsourcing von Leistungen an externe Dienstleister
  • Insourcing von Outsourcing-Leistungen
  • Segmentierung des Netzes, um mögliche Angriffsflächen zu minimieren
  • Einsatz auditierbarer Sicherheitsnormen (z. B. ISO27001, individuell, usw.)

Einblick in die ISO27001 – ein praktikabler Ansatz?

Diese Internationale Norm wurde erarbeitet, um Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines  Informationssicherheitsmanagementsystems (ISMS) festzulegen.

Die Einführung eines Informationssicherheitsmanagementsystems stellt für eine Organisation eine strategische Entscheidung dar. Die Erstellung und Umsetzung eines solchen Systems innerhalb einer Organisation richten sich nach deren Bedürfnissen und Zielen, den Sicherheitsanforderungen, den organisatorischen Abläufen sowie nach Größe und Struktur der Organisation. Es ist davon auszugehen, dass sich alle diese Einflussgrößen im Laufe der Zeit verändern.

Das Informationssicherheitsmanagementsystem wahrt die Vertraulichkeit, Integrität und Verfügbarkeit von Information unter Anwendung eines Risikomanagementprozesses und verleiht interessierten Parteien das Vertrauen in eine angemessene Steuerung von Risiken.

Es ist wichtig, dass das Informationssicherheitsmanagementsystem als Teil der Abläufe der Organisation in deren übergreifende Steuerungsstruktur integriert ist und die Informationssicherheit bereits bei der Konzeption von Prozessen,  Informationssystemen und Maßnahmen berücksichtigt wird.

Es wird erwartet, dass die Umsetzung eines Sicherheitssystems (ISMS) entsprechend den Bedürfnissen der Organisation skaliert wird.

Zu dieser Norm reiht sich noch die IEC62443. Diese wiederum beschreibt einen gesamtheitlichen Ansatz der Cyber Security. Und dies bis auf die Komponenten-Ebene innerhalb der industriellen Automatisierung.

 

Zwischen-Fazit (3):

  • Individuelle Ansätze nehmen nur Teilaspekte auf
  • IT-Experten haben zumeist einen fachspezifischen Fokus und weniger auf den Gesamtkontext
  • Die ISO27001 ist ein vollständiges, ganzheitliches Managementsystem und sehr komplex
  • Die IEC62443 ist prinzipiell nur für den Teilbereich der industriellen Automatisierung anwendbar
  • Es gibt noch keinen IT-Sicherheitsstandard nach IEC für Power Quality Instrumente als auch Power Monitoring Devices auf Geräteebene. Dieser wird aktuell in den Gremien der EC TC 85/WG 20 – Equipment for measuring and monitoring of steady state and dynamic quantities in Power Distribution Systems unter dem Projekttitel: “Cybersecurity aspects of devices used for power metering and monitoring, power quality monitoring, data collection and analysis” earbeitet. Es bleibt hierbei abzuwarten, welche Normen sich wie verhalten.
  • Wenn keine CS gehärteten Komponenten eingesetzt werden, muss mehr Kraft in das CS Management investiert werden, um die Cyber Security in den Griff zu bekommen. Dies ist riskant, da unsichere Komponenten eben auch nicht wirklich auf sichere Weise gemanagt werden können.
  • Die Konformitätsprüfung der Cyber Security eines Produktes kostet nur einen Bruchteil der Auslagen für ein Security Management System Zertifikat.
  • Viele Hersteller überlassen den Kunden die Kosten für das Security Management anstatt selbst sichere Produkte zu entwickeln.

Und was sagt die EU zum Thema Cyber Security?

Die EU hat zum Thema Cyber Security bereits 2019 eine Direktive erlassen. Diese ist in der “Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit) (Text von Bedeutung für den EWR) [6]” dargestellt. Den Ursprung dazu findet man im European Cyber Resilience Act (CRA) “Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020. [7]”

Aus einem Zusammenschluss mehrerer Staaten (Australian Cyber Security Centre (ACSC), Canadian Centre for Cyber Security (CCCS), United Kingdom’s National Cyber Security Centre (NCSC-UK), Germany’s Federal Office for Information Security (BSI), Netherlands’ National Cyber Security Centre (NCSC-NL), Computer Emergency Response Team New Zealand (CERT NZ) and New Zealand’s National Cyber Security Centre (NCSC-NZ)) hat diese Organisation, mit dem Namen “Cybersecurity and Infrastructure Security Agency“, zum Thema Cyber Security ein Papier erlassen. Dieser Guide unter dem Titel “Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default” soll dabei helfen, dass Thema Cyber Security und somit Cyber Protection (OT) beherrschbar zu machen. [8]

Kleines oder grosses Fazit?!

Es ist also völlig klar, dass an den Themen der Cyber Security auch auf Feldebene, in diesem Fall betreffend der Messinstrumente, kontinuierlich gearbeitet werden muss. Die Hersteller von Messinstrumenten können sich also nicht mehr darauf beziehen, dass die Cyber Security vom Produkte-Verwender alleine zu tragen ist. Und somit zieht die Cyber Security für die Messinstrumente das Thema der “Operational Technologie (OT)” an und ist auf nahe Sicht, zumindest für kritische Bereiche, unverzichtbar.

Klar ist aber auch, dass bestehende Messinstrumente nicht einfach so mit Cyber Security auf OT-Level, oder sagen wir besser, mit Cyber Protection ausgestattet werden können. Hierzu sind technologische Grenzen von Embedded-Technologien gezogen. Z. B., wenn Messinstrumente aus Designgründen dazu überhaupt nicht ausgelegt sind. Oder, wenn Prozessorleistungen bereits für andere Rechenanwendungen völlig ausgelastet sind. Dies betrifft massgeblich bereits im Markt befindliche Messinstrumente.

Aber selbst wenn Designs Cyber Protection zulassen würde, fehlt es oftmals auch an Kompetenz, die Cyber Protection auf der Feldebene definiert um anschliessend entwickelt werden zu können. Wenigestens aus heutiger Sicht, darf die IT-Technologie, also alles was reguläre Applikationen und Infrastrukturen angeht, nicht mit Embedded-Technologien gleichgesetzt werden. Und selbst wenn, hat die Cyber Security in der IT-Welt auch noch genügend Themen vor sich. Manchmal sogar essenzielle Basisthemen. Und von der Mobilfunk-Konnektivität einmal ganz abgesehen. Aber dies ist ein anderes Thema, was ein eigenes Whitepaper füllen würde.

Als weitere Barriere, den EU-Regularien eben mal so zu folgen, stellen die Unsicherheiten aus den IEC-Normen dar. Es ist festzustellen, dass angezogene Standards, wie z. B. für PQI oder PMD, noch keine Cyber Security Standards vorgegeben sind. Ja, es wird daran gearbeitet. Aber wann und welche Standards greifen, ist völlig offen. Somit können Hersteller von Messinstrumenten sich nicht auf Eindeutigkeiten beziehen und sind somit eingeschränkt. Eine Ausnahme bildet die Camille Bauer mit Ihren Messinstrumenten. Hier folgt die Camille Bauer, z. B. Netzqualitätsanalysatoren in einer Vorreiterstellung dem ENEL-Standard GSTQ901 bereits seit einigen Jahren.

Cyber_Happy

Lösungsansätze zur Erhöhung der Cyber Security mit OT

Trotz der fehlenden Standards sollten Produkteverwender nicht auf Cyber Security im OT-Bereich, also der Cyber Protection verzichten. Und schon gar nicht im Bereich der kritischen Infrastrukturen. Für die Einbindung von Messinstrumenten kann man leitplankenmässig auf Askpekte der ISO27001 (Anhang A; Referenzmaßnahmenziele und -maßnahmen) wie folgt zurück greifen:

  • Zugriffskontrolle für Systeme und Anwendungen
  • Kryptographische Maßnahmen
  • Physische und umgebungsbezogene Sicherheit
  • Schutz vor Schadsoftware
  • Datensicherung
  • Protokollierung und Überwachung

Die Beachtung dieser Kriterien bei Messinstrumenten hilft bereits enorm, die Cyber Security mit Hilfe der OT zu erhöhen.

1. Rollenbasierte Zugriffsberechtigung (RBAC)

  • Gewähren von Nutzer-Rechten, die notwendig sind und nicht darüber hinaus:
    • Zugriff auf Messdaten: Visualisierung, Löschen, Herunterladen
    • Konfigurationsdaten: Anzeigen, Ändern
    • Umfassende Benutzerverwaltung
    • Fernzugriff über Website / Software
    • Lokaler Zugang
  • Keine klare Textübertragung von Login-Informationen
  • Wiederholte Anmeldeversuche erhöhen die Latenz
  • Speicherung der RBAC-Einstellungen nur verschlüsselt
Role Based Access Control (RBAC)

2. Hypertext Transfer Protocol Secure (https)

  • Sicheres Hypertext-Übertragungsprotokoll (abhörsicher durch Transportverschlüsselung)
  • Bidirektionale Verschlüsselung zwischen Server und Client
  • Stammzertifikate als Verschlüsselungselement
  • Geschützte Authentifizierung
  • Verschlüsselung des Dateninhalts
  • Verschlüsselung mit Camillebauer Zertifikat oder benutzerdefiniertem Zertifikat
Hypertext Transfer Protocol Secure (https)

3. Client Whitelist / Client IEC61850 Whitelist [Firewall]

  • Liste mit maximal 10 autorisierten Teilnehmern (Computern) mit:
    • vIPv4 Adresse
    • vIPv6 Adresse
  • Alle weitere Teilnehmerzugriffe werden geblockt
Client Whitelist / Client IEC61850 Whitelist [Firewall]

4. Audit-Log [Registration aller Manipulationen]

  • Sichere Protokollierung mit Benutzerinformationen für alle:
    • Verbindungsversuche
    • Benutzeranmelde- / Abmeldeprozesse
    • Visualisierungen des Überwachungsprotokolls
    • Konfigurationsänderungen Zurücksetzen / Löschen von Daten
Audit-Log

5. Sys-Log

  • Zentrale Netzwerküberwachung
    • Übertragung der Überwachungsprotokolleinträge auf einen Sicherheitsserver
SysLog-Server Transfer

6. Sichere Firmware-Updates

  • Überprüfen Sie, ob die Firmware original ist
    • Firmware-Images werden digital signiert
    • Plausibilitätsprüfung der Gültigkeit wird gewährleistet
Secure Firmware

7. Datenlogger & Unterbrechungsfreie Spannungsversorgung (USV)

  • SD-Kartenspeicher im Messgerät
  • 16 GB Datenspeicher reicht über viele Jahre im typischen Betrieb
  • USV mit 5×3 Minuten bei Spannungsausfall auf der Versorgung
Datenlogger und unterbrechungsfreie Spannungsversorgung (USV)

8. Datenexport

  • Manueller Datenexport über CSV & PQDIF
  • Automatisierter Datenexport csv & PQDIF (Scheduler)
  • Event-Push (PQDIF) zum SFTP-Server
Datenexport

9. Sichere Plattform-Lösung mit sicherer Konnektivät

  • Sichere Plattformlösung aufgrund eines zertifizierten Anbieters nach ISO27001
  • Keine Investition in eigene IT-Infrastruktur notwendig aufgrund voller Vertikalisierung
  • Rechenleistung des Systems bleibt immer auf hohem Niveau (autarker Datahub)
  • Eigene ICT-Schutz-Barrieren werden nicht benötigt (z. B. Firewall, Virenschutz, …)
Plattformlösung BentoNet

10. Non-µP Messgeräte

Die einfachste Art, Cyber Security zu unterstützen.

  • Messumformer für I/U/P/Q
  • “Dumme” Hardware verhindert IT-Angriffe (keine IP-Adresse)
  • Hohe Verfügbarkeit & Langlebigkeit über Jahrzehnte
  • Global bewährte Technologie
Unifunktionale Messwandler
Quellenangaben

[1] https://www.tuev-verband.de/studien?tx_news_pi1%5Bnews%5D=671 [07.07.2023]

[2] https://www.tagesanzeiger.ch/schweizer-stromversorger-sind-ungenuegend-gegen-hacker-geschuetzt-686630607216 [02.07.2021]

[3] https://pq-as-a-service.com/normen-der-netzqualitaet/informations-und-datensicherheit/ [07.07.2023]

[4] https://www.bundesnetzagentur.de/DE ff [01.01.2023]

[5] https://itemsnet.de/itemsblogging/14a-enwg-worueber-sich-verteilnetzbetreiber-jetzt-gedanken-machen-sollten/ [15.03.2023]

[6] Rechtsakt zur Cyber Security: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32019R0881 [17.04.2019]

[7] European Cyber Resilience Act (CRA): https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52022PC0454 [15.09.2022]

[8] https://www.cisa.gov/sites/default/files/2023-04/principles_approaches_for_security-by-design-default_508_0.pdf [13.04.2023]

Related Posts

SmartGrid-Monitoring zur Erfassung der Basisdaten und Auslösen von Schalthandlungen

(Mess)Datenschätze sicher verarbeiten

Störungsfrei durch optimale Spannungsqualität

Grundsätzlich geht es für einen Netzbetreiber...

ewz auf dem Weg zu einem Smart Grid

Die lokalen Energieversorger sind der Schlüssel...

Heute: Das Freundschaftsspiel im Stadion SMART GRID

Leave A Comment



Entdecken Sie die Welt von GMC INSTRUMENTS - KLICKEN Sie auf die Markenlogos unten





Discover the world of GMC INSTRUMENTS - CLICK on the brand logos below





Découvrez le monde de GMC INSTRUMENTS - CLIQUEZ sur les logos des marques ci-dessous





Scoprite il mondo di GMC INSTRUMENTS - CLICCATE sui loghi dei marchi qui sotto