Das kürzlich aktualisierte IT-Sicherheitsgesetz (IT-SiG 2.0) verschärft die Anforderungen an Betreiber Kritischer Infrastrukturen. In der Energieversorgung finden sich heutzutage viele ferngesteuerte Anlagen. Dazu gehören neben Erneuerbare-Energie-Anlagen auch Umspannwerke und Ortsnetze sowie - in der Gasversorgung - u.a. Gas-Druckregel- und Messanlagen und Verdichterstationen.
Nicht nur fallen mit der zeitgleich angepassten KRITIS-Verordnung neuerdings mehr Anlagen unter Gesetzgebung. Insbesondere die Forderung eines ganzheitlichen Systems zur Angriffserkennung eröffnet neuen Handlungsbedarf. Denn nun müssen auch Netzleittechnik und Fernwirktechnik explizit eingebunden werden.
Erneuerbare-Energie-Anlagen (EEA) sind allein schon aufgrund ihrer Entfernung zur Zentrale ein potenzielles Ziel für Störungen. Auch wenn die Leitwarte per Fernzugriff die EEA steuern kann, besteht nur sehr bedingt die Fähigkeit, Fehler und Veränderungen innerhalb der Fernwirktechnik und lokalen Netzleittechnik zu erkennen. Denn EEA sind meist unbemannt und werden nur sporadisch durch Servicetechniker*innen überprüft. Und selbst dann werden die Anlagen selten auf Cybersicherheitsprobleme überprüft. Ganz im Gegenteil.
Im Netzwerk eines Kunden aus dem Bereich erneuerbare Energien wurden durch Rhebo Industrial Protector ungültige Nachrichten des Protokolltyps OPC-UA identifiziert. Nachforschungen ergaben, dass diese von einem neu eingebrachten Engineering-Laptop eines Service-Mitarbeiters stammen.
Einige Wochen zuvor hatte dieser im Rahmen eines Netzwerkumbaus Routing-Rechte in das OT-Netz der Anlage erhalten. Die Leitwarte schloss daraus, dass es sich bei den ungültigen Nachrichten nicht um sicherheitskritische Vorgänge handelte, sondern um Nachjustierungen durch den Service-Mitarbeiter. Sie kennzeichneten den Meldungstyp in der Oberfläche von Rhebo Industrial Protector als überwachen, um die Vorgänge und mögliche Auswirkungen weiterverfolgen zu können.
Lösung: Anomalieerkennung für umfassende Netzwerksicherheit
Im vorliegenden Fall konnte durch den Umstieg auf verschlüsseltes SFTP Abhilfe geschafft werden. Erst durch ein zentrales Monitoringsystem konnte Übersicht geschaffen werden, an welchen Stellen Logins und Authentifizierungen unsicher und verwundbar sind. Rhebo Industrial Protector schlägt nicht nur bei unsicheren Authentifizierungsstellen Alarm, sondern auch bei gänzlich ungesicherten Zugängen von Geräten.
Dank Rhebo Industrial Protector kann umfassende Netzwerktransparenz hergestellt werden. Erste Grundsteine zur Optimierung des Netzwerks können bereits durch ein Rhebo Industrie 4.0 Stabilitäts- und Sicherheitsaudit gelegt werden.