Fachartikel IT für EVU

Sichere Leittechnik

Cyber Security in der Unterstation Rothenburg

24.05.2019

Damit Schaltanlagen umfassend vor Cyber-Angriffen geschützt sind, muss die Sicherheitsstrategie auf allen Ebenen ansetzen. Sie umfasst die physische und die digitale Zugriffskontrolle und reicht bis zur Überwachung und Erkennung verdächtiger Aktivität im Netzwerk. Dazu braucht es Systeme, die langfristig ein hohes Mass an Sicherheit und Flexibilität bieten.

In den Jahren 2016/2017 begann das Projektteam der CKW (Central­schweizerische Kraftwerke AG) mit der Planung der neuen Unterstation (US) Rothenburg, die 2020 in Betrieb gehen wird. Hierzu gehörte unter anderem das Erstellen der Ausschrei­bungs­grundlagen für die Sekundär­technik. Mit der in den Jahren 2017 und 2018 durchgeführten Ausschreibung definierte CKW diesen neuen Standard für die folgenden Jahre, der auf Schutz- und Leittechnik­kompo­nenten von Siemens setzt. Den Netzwerkteil realisiert CKW selbst. Neben den üblichen Aufgaben für die Entwicklung des Unterstations-Konzepts sollte sich das Projektteam mit der Integration der neuesten Ergebnisse aus dem Bereich Cyber Security, erarbeitet beim VSE (Verband Schweize­rischer Elektrizitäts­unternehmen), befassen und diese berücksichtigen. Dieser neue Standard führt nun zu einer signifikanten Erhöhung der Operational Technology (OT) Security in den Anlagen und wird im ersten Teil des Artikels beschrieben.

Die Steigerung der OT-Sicherheit wird nicht zuletzt durch eine neue Komponente im Konzept der Stations­leit­technik respektive für die Überwachung der Netzwerke in der US erreicht, einem Intrusion Detection System (IDS). CKW entschied sich zu dessen Einsatz, da sie ihre Erfahrung mit Cyber Security in Stations­netzwerken für nicht fundiert genug einschätzte, deswegen soll ein IDS eventuell auftretende Unstimmig­keiten im Netzwerk­verkehr aufdecken. Ein wesentliches Kriterium bei dessen Auswahl war, dass die Bedienung und alle Meldungen in einer für den klassischen Leittechniker verständlichen Form dargestellt werden. Dazu startete das Projektteam pa­ral­lel zur Ausschreibung ein Pilotprojekt mit der Firma Omicron, das im zweiten Teil des Artikels beschrieben wird.

Sekundärtechnik und Security by Design

Das Thema Sicherheit im Bereich der Stationsleit- und Schutztechnik hat bei CKW in den letzten Jahren stark an Bedeutung gewonnen. Dies ist durch Empfehlungen aus der Branche und vor allen Dingen durch OT-Security Assessments der vergangenen Jahre begründet. Diese Assessments zeigten Schwachstellen sowohl in der Netz- als auch der Stations­leit­technik. Im Bereich der Stations­leit­technik zeigten sich beispielsweise unsichere Zonenübergänge und einige kritische Zugänge zu Stationsleitrechnern oder Netzwerkbereichen. Derzeit besteht noch keine Möglichkeit, im Netzwerk der Stations­leit­technik zu beurteilen, ob aktuell ein Angriff stattfindet, oder ob es dort verdächtige Aktivitäten gibt, die auf einen bevorstehenden Angriff hindeuten könnten. CKW hat es sich aufgrund dieser Erkenntnisse zum Ziel gesetzt, die wesentlichen Schwachstellen zu beseitigen und unter Berücksichtigung des neuen US-Standards die Vorgaben für den sichereren Bau von Netzwerken zu verschärfen.

Neben der Arbeit am US-Konzept 2020 veröffentlichte eine Arbeitsgruppe des VSE als Branchenempfehlung das Handbuch «Grundschutz für ‹Opera­tional Technology› in der Stromversorgung». CKW konnte sich in dieser Arbeitsgruppe engagieren und integrierte die dabei gewonnenen Erkenntnisse und Ansätze kontinuierlich in die eigenen Vorgaben. Das Branchendokument beschreibt einen Defense-In-Depth-Ansatz für die Sicherung der Netze in der OT. Dabei werden Daten-, Informations- und operationale Sicherheit sowohl umfassend als auch in der Tiefe betrachtet. Dazu gehören neben der Erstellung und Einführung von Zonenkonzepten auch deren Überwachung sowie das Erkennen und Reagieren auf bestimmte Ereignisse. Mit der Überwachung und Erkennung wird beabsichtigt, mögliche Auswirkungen, die durch Angriffe entstehen können, in den Anlagen zu minimieren.

Entwurf eines sichereren Netzes für die US Rothenburg

Im Netzwerkentwurf der US Rothenburg werden in jedem Bereich Hürden eingebaut, die einen Angiff auf das Netzwerk erschweren sollen. Das Einstiegsbild zeigt das Prozessnetzwerk der US Rothenburg.

In diesem Prozessnetzwerk wurde eine Reihe von Sicherheits­aspekten berücksichtigt. An erster Stelle stehen die IP-Verbindungen der Anlage zur Aussenwelt, die im Normalbetrieb deaktiviert sind. Verbindungen für Remote-Zugänge werden nur bei Bedarf freigeschaltet. Die Kommunikation zum Netzleitsystem erfolgt mit dem Protokoll IEC 60870-5-101. Alle Zugriffe auf die Komponenten für Support­zwecke erfolgen ausschliesslich über spezielle zentrale Arbeitsstationen, welche entsprechend gehärtet sind. Diese Zugänge werden bei Bedarf von fern zugeschaltet.

Die Zugriffsrechte sind dediziert geregelt. Das Scada-System, das Stör­schreiber­erfassungs­system sowie das Security-System werden virtualisiert auf einem Server betrieben. Der lokale Bedienplatz greift nur mit Remote-
Desktop-Verbindungen über eine lokale Firewall auf diese Systeme zu. Die Benutzer müssen sich auf diesen Arbeitsstationen über ein zentrales Active Directory (AD) anmelden, über welches sie die erforderlichen Rechte und Freigaben zugeteilt erhalten. Der Zugang zum zentralen AD wird bei Bedarf von einer zentralen Stelle freigeschaltet. Zudem müssen sich die Benutzer an jedem IED der Stations­leit­technik mit individuellen Passwörtern anmelden und erhalten vom Access-Con­trol-Server mittels Radius die entsprechenden Rechte zugeteilt. Das gilt sowohl für den Zugriff auf die Geräte mit Parametriertools wie auch bei der Bedienung am Display. Dabei werden keine Standard­passwörter verwendet.

Sämtliche am Netzwerk angeschlossenen Clients werden gehärtet. Das geschieht unter anderem durch den Einsatz der Windows-Firewall mit Berücksichtigung der Kommuni­kations­matrix und rollenabhängig durch Sperren nicht erforderlicher Funktionalitäten der Betriebssysteme. Darüber hinaus erfolgt jeder Zugang zum Netzwerk über MAC Authentication Bypass, womit nur registrierte Komponenten mit dem Netzwerk Verbindung aufnehmen können. Dabei müssen auch die Reservegeräte im Störungsfall vom Switch erkannt und akzeptiert werden. Mit Hilfe von Access-Con­trol-Listen wird für jeden Switch-Port festgelegt, welches Gerät mit welchem ­Protokoll mit anderen Netzwerk­teilneh­mern kommunizieren darf.

Das Prozess­netzwerk und das Support­netzwerk sind logisch und physisch getrennt. Die Kommu­nikation mit dem Protokoll IEC 61850 Ed. 2 wird folglich auf einer anderen Schnittstelle realisiert als der Zugriff zu den Geräten für die Parametrierung oder Wartung. Das gesamte Prozessnetz ist segmentiert, wobei unter anderem die folgenden Segmente gebildet und über eine re­dundante Firewall getrennt werden:

  • 110 kV (Goose und MMS)
  • 20 kV (Goose und MMS)
  • Kleinleitstelle
  • Gateway RTU
  • Nebenanlagen
  • Support-Netze für IEC und Clients
  • Management-Netzwerk, VM, Radius


Die Datentransfers aus der Anlage in übergeordnete Netzwerk­bereiche werden über eine Datendiode realisiert. Diese Datendiode stellt sicher, dass kein Netzwerk­verkehr von ausserhalb in die Anlage gelangen kann. Mit einem Whitelisting-Ansatz überwacht zudem ein IDS den ganzen Netzwerkverkehr in der Anlage. Es meldet einerseits via Leittechnik einen Alarm an die Netzleitstelle und stellt anderer­seits Informa­tionen für übergeordnete Security-
Manage­ment-Systeme zur Verfügung. Das IDS ist die wesentliche Komponente für das Erkennen von Angriffen oder Auffälligkeiten im Stationsnetz.

Netzwerküberwachung in Schaltanlagen

Das neue US-Konzept 2020 von CKW beruht auf der Einrichtung von Netzwerk­segmenten, die jeweils durch eine Firewall getrennt sind. Die Para­metrierung der Firewall gibt genau vor, mit welchen Proto­kollen über die Segmente hinweg kommuniziert werden darf. Allerdings können auch über die von der Firewall erlaubten Protokolle wie beispielsweise Engineering-Protokolle und das in IEC 61850 benutzte MMS- und Goose-Protokoll potenziell Geräte angegriffen und mit Schadsoftware infiziert werden. Genau solche Szenarien will CKW verhindern, indem sie den Netzwerkverkehr mit einem IDS überwachen, um frühzeitig unerlaubte Vorgänge zu erkennen. Omicron forscht seit 2011 an einem Ansatz für Intrusion Detection in IEC 61850-Schalt­anlagen und wurde 2017 von Ingenieuren der CKW angesprochen, die auf der Suche nach einem Intrusion-Detection-System für das neue US-Konzept waren. Die Techniker von CKW kannten die Nachteile aktuell verfügbarer IDS-Systeme und eine wichtige Vorgabe war daher, dass das IDS von den verantwortlichen Schutz- und Leittechnikern einfach bedient werden kann. 2018 wurde eine der ersten Proof-of-Concept-Installationen von StationGuard, einem IDS von Omicron, in einer 110-kV-Schaltanlage von CKW in Betrieb genommen. Mittlerweile flossen auch Erfahrungen von anderen Energie­versorgern weltweit in die Entwicklung dieses IDS ein.

Die meisten IDS-Systeme für OT verwenden einen «lernbasierten» Ansatz. Dabei wird zunächst über Wochen hinweg der übliche Zustand im Netzwerk erlernt. Anschliessend wird im Normalbetrieb immer dann alarmiert, wenn die Netzwerkkommunikation signifikant vom erlernten Status abweicht. Dies hat zur Folge, dass für alle Vorgänge Fehlalarme ausgelöst werden, die während der Lernphase nicht auftraten. Hierzu gehören beispielsweise Schutz­auslösungen, Schalt­handlungen oder routine­mässige Prüfungen. Da das System die tatsächlichen Ereignisse in der Anlage nicht kennt, beziehen sich die Alarm­meldungen rein auf Protokolldetails. Damit entsteht also eine hohe Anzahl von Fehlalarmen, für deren Überprüfung IT-Spezialisten mit Anlagen­kenntnissen erforderlich sind. Ein solcher Aufwand wäre für die meisten EVUs nicht tragbar.

Ansatz in StationGuard

Bei IEC 61850-Anlagen liegt das ge­samte Automati­sierungs­system mit allen Geräten, den Datenmodellen und den Kommu­nikations­mustern in einem standardisierten Format vor, der SCL (Substation Configuration Language). Daraus erstellt das IDS ein System­modell der Anlage und vergleicht an­schlies­­send jedes Netzwerkpaket mit dem Live-Systemmodell. Dieser Prozess ist ohne Lernphase möglich, allein durch die praktisch automatische Konfiguration über SCL und mit wenigen manuellen Ergänzungen. Aufgrund der kontinuierlichen inhaltlichen Überprüfung des Datenverkehrs werden nicht nur Bedrohungen für die IT-Sicherheit erkannt, wie unzulässige Pakete und Steuervorgänge, sondern auch Kommu­nikationsfehler und andere Fehlfunktionen in der Anlage. Ein Beispiel: Allein für Goose kennt das IDS aktuell 35 verschiedene Alarmcodes, die auftreten können. Sie reichen von einfachen Sequenz­nummer-Störungen bis hin zu komplexeren Problemen, wie zu langen Übertragungs­zeiten.

Neben der Vermeidung von Fehlalarmen ist es entscheidend, dass die angezeigten Alarm­meldungen für die verantwortlichen Leittechniker klar verständlich sind, damit sie besser, einfacher und vor allen Dingen schneller beurteilen können, welche Vorgänge einen Alarm ausgelöst haben. Damit sich die Alarme auch besser den auslösenden Feldern und Geräten zuordnen lassen, werden sie im IDS nicht nur als Alarmliste geführt, wie man das von Firewalls kennt, sondern auch grafisch dargestellt. Bild 1 zeigt einen Screen­shot der grafischen Alarmanzeige des IDS: Der Alarm wird als roter Pfeil ­zwischen dem Gerät (Prüf-PC), der die verbotene Aktion ausführt, und dem «Opfer» der Aktion angezeigt.

Wartungsmodus

Um Fehlalarme weiter zu reduzieren, berücksichtigt das IDS auch Prüf- und Wartungsvorgänge im Systemmodell der Anlage. Die Prüfausrüstung, einschliesslich der Schutzprüfgeräte, kann der Techniker am IDS vorab bekannt geben und anschliessend das IDS in einen Wartungsmodus schalten, in dem die Prüftechnik verwendet werden darf, ohne einen Alarm auszulösen. Wird der Engineering-PC oder Prüflaptop zu einem anderen Zeitpunkt als der Wartung verwendet, sendet das IDS sofort einen Alarm. Dabei ist zu beachten, dass StationGuard rein passiv agiert: Ist eine Aktion nicht erlaubt, wird ein Alarm ausgelöst, jedoch nicht aktiv in die Anlage eingegriffen. Mit den Binärausgängen des IDS können die Alarme auch unkompliziert über das Gateway an die Leitstelle übermittelt werden. In diesem Fall erfolgt die Meldung ohne Netzwerkkommunikation und die Alarme lassen sich wie jedes andere fest verdrahtete Signal der Anlage in die Leittechnik-Signalliste integrieren. Alternativ ist es auch möglich, Alarme über entsprechende Protokolle an ein Security Incident Event Management System (SIEM) weiterzuleiten.

Fazit

Die hier beschriebenen Massnahmen erfordern ein Umdenken bei allen Beteiligten in der Realisierung von Projekten. Hierzu gehört der Umgang mit neuen Schnittstellen sowie der steigenden Komplexität im System, was vollkommen neue Kompetenzen erfordert. Eine gute Zusammenarbeit der unterschiedlichen Disziplinen wird dadurch immer wichtiger. Während des FAT (Factory Acceptance Test) bei Siemens hat das System seine Feuertaufe bereits bestanden. Ende des Jahres wird es den Betrieb in der Unterstation Rothenburg aufnehmen.

Autor
Yann Gosteli

leitet den Bereich Sekundäranlagen bei der CKW AG.

  • CKW AG, 6002 Luzern
Autor
Andreas Klien

leitet den Geschäftsbereich Power Utility Communication bei Omicron.

  • Omicron electronics GmbH, AT-6833 Klaus


Kommentare

Bitte rechnen Sie 7 plus 2.