Cybersicherheit für den operativen Anlagenbereich beginnt auf der Steuerungsebene
Wie sich die zunehmend digital vernetzte Energieproduktion und Energieverteilung vor Cyberangriffen schützen lässt
Energiewende, E-Mobilität, Smart Home-Szenarien oder die digitale Vernetzung von Lieferketten und Produktion – nur Beispiele für den stetig wachsenden Energiebedarf im 21. Jahrhundert. Die Energieproduzenten und -verteiler stehen daher noch stärker in der Pflicht, für eine ausreichende und zuverlässige Energieversorgung zu sorgen. Das schaffen sie, indem sie unter anderem selbst auf digitale Technologien für mehr Kommunikations- und Prozesseffizienz setzen, sowohl im Bereich der Informationstechnologie (IT) als auch zunehmend bei den Operativen Technologien (OT), die hauptsächlich Produktion und Verteilung steuern. Genau hierin liegt jedoch die neue Herausforderung, wenn vor allem auch „zuverlässig“ geliefert werden soll. Die Anlagen müssen vor Cyberangriffen geschützt werden. Schließlich möchte niemand mit seiner Familie plötzlich im Dunkeln sitzen, wie es vor wenigen Jahren in etwa 700.000 ukrainischen Haushalten der Fall war – dort sogar noch einen Tag vor Weihnachten. Während hierzulande die IT-Sicherheit vor allem im Bereich der kritischen Infrastrukturen (KRITIS) schon länger – auch durch den Gesetzgeber – fokussiert wird, ist der Bereich OT-Sicherheit noch ausbaufähig. Hier spielen einige Vorüberlegungen, etwa zur Einteilung von Sicherheitszonen, sowie eine ehrliche Risikobewertung eine entscheidende Rolle. Bei der Umsetzung kann dann auf technologischer Seite die Steuerungsebene ein guter Anfang sein, denn die Zeit ist mehr als reif, die immer stärker vernetzten Systeme und Komponenten abzusichern.
Der Energiebedarf – und hier vor allem der Stromverbrauch – wird in den kommenden Jahren kontinuierlich steigen. Das belegen nicht nur eine Reihe von aktuellen Studien (EWI-Analyse: Die Auswirkungen des Klimaschutzprogramms 2030 auf den Anteil erneuerbarer Energien, Köln, Januar 2020), sondern lassen auch die neuen digitalen Werkzeuge und Kommunikationsmittel im täglichen Gebrauch sowie neue Mobilitäts- und Wohnkonzepte erahnen. Für die Produzenten und Verteiler von Strom und Gas etwa bedeutet das, ihre Anlagen und Prozesse für die zukünftigen Anforderungen zu wappnen. Sie wollen auch in Zukunft einen sicheren und verlässlichen Betrieb mit geringer Ausfallwahrscheinlichkeit und größtmöglicher Verfügbarkeit sowie Flexibilität hinsichtlich der Nutzerbedürfnisse gewährleisten. Dabei setzen Sie den Fokus auf, minimale Betriebskosten und maximale Nachhaltigkeit. Mit der neuesten Technologie lassen sich sowohl die Energiebeschaffung als auch der Unterhalt von Anlagen optimieren, meistens ohne die Energieverteilung unterbrechen zu müssen. Durch die fachgerechte Erneuerung von Anlagen und ihren Steuerungen kann die Energieproduktion bei niedrigeren Unterhaltskosten enorm gesteigert werden.
Die reine Optimierung von Anlagen und Prozessen reicht heutzutage jedoch auch im Energiesektor nicht mehr aus, um einen zuverlässigen Betrieb zu gewährleisten. Denn immer mehr Sicherheitsschwachstellen in der Soft- und Hardware internetfähiger Produkte wurden mit der fortschreitenden Digitalisierung zu Tage gefördert. So sind auch die Energieversorger schon
längst das Ziel von Cyberangriffen geworden, wie auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) bescheinigt. Die Beispiele beschränken sich jedoch nicht mehr nur auf das Ausland wie 2018 bei mehrere Elektrizitätswerke in den USA der Fall, sondern sind vermehrt auch in unserer Region zu finden, wie der Hackerangriff auf deutsche Stromlieferanten aus dem gleichen Jahr oder die Erpressung der Technischen Werke Ludwigshafen in diesem Jahr zeigen. Erst Ende Mai 2020 wurde zuletzt von gleich drei Bundesbehörden gemeinsam vor möglichen Bedrohungen gewarnt. Das Thema Cybersicherheit steht daher beim Gesetzgeber schon längst auf der Agenda, was sich in zahlreichen EU-weiten aber auch nationalen Gesetzesvorgaben und zugehörigen Anforderungsebenen für die Cybersicherheit widerspiegelt. Diese sind für den Ausbau sowie die Modernisierung bestehender sowie den Bau neuer Anlagen unumgänglich.
IT-Sicherheitskatalog für Energieanlagen
Am 19.12.2018 hat die Bundesnetzagentur (BNetzA) einen IT-Sicherheitskatalog für Energieanlagen veröffentlicht. Er gilt für alle Betreiber von Energieanlagen wie Kraftwerken (auch virtuellen Kraftwerken), Speichern und Gasförderanlagen, die nach der BSI-KRITIS-Verordnung als kritisch eingestuft wurden und enthält unter anderem ein Zertifikat über die Informationssicherheit der bestehenden Anlagen, das der BNetzA bis zum 31.03.2021 vorgelegt werden muss. Der allgemeine Grenzwert für die Kritikalität liegt nach BSI-KRITIS-Verordnung aktuell bei einer Netto-Nennleistung von 420 MW. Ob ein Energieunternehmen davon betroffen ist, muss es jedoch selbst feststellen.
Die Ziele des IT-Sicherheitskatalogs sind vor allem die Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten, die Sicherstellung der Integrität der verarbeiteten Informationen und Systeme sowie die Gewährleistung der Vertraulichkeit der verarbeiteten Informationen. Einer der IT-sicherheitstechnischen Mindeststandards, zu dem Energieanlagenbetreiber verpflichtet werden, ist etwa die Etablierung eines Informationssicherheits-Managementsystems (ISMS) gemäß DIN EN ISO/IEC 27001 und dessen Zertifizierung als Kernanforderung.
Dieser IT-Sicherheitskatalog ist damit ein wichtiger Schritt zur Absicherung von Energieanlagen, aber noch längst nicht ausreichend. Da hier hauptsächlich die TK- und EDV-Systeme und somit die „IT“ berücksichtigt werden, bleibt ein entscheidendes Feld außen vor: die Operativen Technologien (OT).
OT-Cybersicherheit über IEC 62443 geregelt
Die OT befasst sich im Gegensatz zur IT mit dem Verwalten von physikalischen Prozessen wie industriellen Kontrollsystemen, Steuerungen, Sensorgen und integrierten Systemen (Embedded Systems). Die höchste Priorität bei den Schutzzielen genießen hier die Verfügbarkeit und die Integrität der Anlage, während es bei der IT vorrangig um die Vertraulichkeit von Daten geht. Somit steht die funktionale Sicherheit der Anlage im Vordergrund.
In diesem Bereich kommt daher oft die IEC-Normenreihe 62443 (auch bekannt unter ANSI/ISA-62443). Aufgrund der Kooperation mit IEC erfolgte die Anpassung der Dokumentnummerierung an die entsprechenden Normen der IEC) zum Einsatz, die ihren Ursprung in der Automatisierungstechnik der Prozessindustrie hat und die mit ihrem Anwendungsbereich alle Industriebereiche und die kritischen Infrastrukturen abdeckt. Im Vordergrund steht die Cybersicherheit von industriellen Automatisierungs- und Steuerungssystemen (Industrial Automation and Control Systems, IACS), zu denen alle Bestandteile gehören, die für einen zuverlässigen und sicheren Betrieb einer automatisierten Anlage erforderlich sind. Ebenfalls enthalten sind die organisatorischen Prozesse für die Errichtung und den Betrieb.
Die beiden Normenreihen ISO/IEC 27000 und IEC 62443 unterscheiden sich somit hinsichtlich ihres individuellen Anwendungsbereichs. Sie schließen sich aber nicht aus, sondern sind komplementär zu betrachten. Mit beiden Bereichen können Energieversorger sowohl das Verwalten von Informationen (IT) als auch das Verwalten von physikalischen Prozessen in Anlagen (OT) abdecken.
Mehrschichtiges Verteidigungskonzept entscheidend
Ein umfassendes Sicherheitskonzept in der Praxis sollte grundsätzlich alle relevanten Bereiche bedenken, die bei potentiellen Angriffen eine Rolle spielen könnten. Mit dem Ansatz der sogenannten tief gestaffelten Verteidigung (Defense in Depth) werden mehrere Schichten bzw. Sicherheitsmaßnahmen betrachtet, die ein Angreifer überwinden müsste, um an sein Ziel zu kommen. Dieses übergreifende Konzept funktioniert jedoch nur, wenn mehrere Beteiligte zusammenarbeiten. Die IEC 62443 beschreibt dazu drei Basisrollen – die Betreiber selbst, die Integratoren und die Hersteller von Anlagenkomponenten:
-
Die Betreiber sind für die erste Schicht verantwortlich, die hauptsächlich die Aufklärung der Mitarbeiter sowie die den physischen Schutz der Anlage umfasst. Die Mitarbeiter werden mit Hilfe von Schulungen für die Gefahren von Cyberangriffen sensibilisiert. Wichtig ist es auch, klare Strukturen in der Organisation mit entsprechenden Rollen und Rechten zu schaffen. Neben den physischen Schutzmaßnahmen wie der Abtrennung und Beschränkung von bestimmten Sicherheitsbereichen gehört auch eine Zugangskontrolle zu den Grundvoraussetzungen für alle nachfolgenden Schichten. Wie der Selbstversuch der Stadtwerke Ettlingen 2013 zeigt, können diese, teilweise noch recht einfachen Maßnahmen bereits etliche Einfallstore beseitigen.
-
Die zweite Verteidigungsschicht, für die der Integrationspartner verantwortlich ist, befindet sich auf der Netzwerk- oder Systemebene. Zu dem Maßnahmenkatalog gehört beispielsweise die Errichtung sogenannter „Zones and Conduits“. Eine Sicherheitszone ist eine Gruppierung mehrerer physikalischer Komponenten im Netzwerk, die den gleichen Schutzbedarf haben und für die somit ein bestimmtes Maß an Sicherheitsmaßnahmen notwendig ist. Zu den beiden Zonen mit dem höchsten Schutzbedarf gehören beispielsweise meistens Automatisierungssysteme für das Messen, Steuern und Regeln der Anlage. Conduits wiederum sind Kommunikationskanäle zwischen diesen einzelnen Zonen. Jeglicher Informationsaustausch erfolgt ausschließlich über diese sicheren Kanäle.
-
In der innersten Sicherheitsschicht liegen die Geräte und Komponenten, die für den laufenden Betrieb der Anlage notwendig sind. Hier sind vor allem die Hersteller in der Pflicht, ihre Geräte mit entsprechenden Cybersicherheitsfunktionen auszustatten, damit diese nicht zum Einfallstor werden können. Auf ein konkretes Beispiel für einen der entscheidenden Anlagenbereiche – die Anlagensteuerung – gehen wir später noch ein.
Security Level – der Schlüssel zur Umsetzung
Für die Planung und Errichtung solcher Sicherheitszonen und Conduits ist es von enormer Bedeutung, deren Schutzbedarf zu ermitteln, da sich erst hieraus der konkrete Sicherheitsmaßnahmenkatalog herleiten lässt. Hierzu ist es für jeden Anlagenbetreiber unabdingbar, eine Risiko- und Bedrohungsanalyse durchzuführen bzw. durchführen zu lassen. Die Kernfragen sind: Welchen potentiellen Bedrohungen ist seine Anlage ausgesetzt und welches Security Level ist für ihn passend, um diese Bedrohungen zu adressieren. Folgende vier Einstufungen gibt es:
-
Schutz gegen ungewollte, zufällige Angriffe
-
Schutz gegen gewollte Angriffe mit einfachen Mitteln, niedrigem Aufwand, allgemeiner Expertise und niedriger Motivation
-
Schutz gegen gewollte Angriffe mit fortgeschrittenen Mitteln, mittlerem Aufwand, spezifischer Expertise und mittlerer Motivation
-
Schutz gegen gewollte Angriffe mit fortgeschrittenen Mitteln, erheblichem Aufwand, spezifischer Expertise und hoher Motivation
Das Spektrum reicht somit von eher zufälligen Angriffen bis hin zu gezielten Attacken auf ein bestimmtes Ziel mit einem hohen Maß an Vorbereitung und Mitteleinsatz. Die Praxis hat bereits gezeigt, dass der Energiesektor eher selten zur erstgenannten Kategorie zählt. Der Katalog an Sicherheitsmaßnahmen und damit auch der organisatorische und finanzielle Aufwand steigen mit zunehmenden Security Level. Bei der korrekten Einstufung der eigenen Anlage sollten dennoch keinerlei Abstriche gemacht werden, da ein „halber Schutz“ keine Wirkung haben wird.
Mit der Steuerungsebene beginnen
Ist das korrekte Security Level ermittelt, gilt es für die Anlagenbetreiber über ihren Systemintegrationspartner die Zonen und Conduits entsprechend der Security Level-Vorgaben errichten zu lassen. Hierzu gehört auch die Implementierung entsprechender Hardware und Software – doch wo anfangen? Warum nicht in der wichtigsten Zone bzw. auf der Automatisierungsebene. Die Anlagensteuerung beispielsweise gehört zu den entscheidenden Systemen für einen reibungslosen Betrieb. Hier haben die Hersteller bereits umgedacht: Waren früher etwa offene Systeme gefragt, verlangen die zukünftigen Cybersicherheitsvorgaben kryptografisch gesicherte Steuerungen, damit die neuen Standards erfüllt werden können.
Saia Burgess Controls hat mit Saia PCD® QronoX beispielsweise jüngst ihr erstes SPS-Technologiesystem vorgestellt, das die Cybersicherheitsvorgaben nach IEC 62443 Security Level 3 sowohl software- als auch hardwareseitig vollständig erfüllt. Das funktioniert etwa mit modernen Soft- sowie Hardware-Verfahren zur Verschlüsselung und Signierung von Programmen und Anwenderdaten, die zusammen mit einem rollenbasierten Benutzermanagement ausschließlich autorisierten Zugriff gewähren. Zukünftig wird es hier sogar ein Update auf Security Level 4 geben, was absolute Planungssicherheit für die kommenden Jahre verschafft. Vorhandene Installationen lassen sich mühelos auf die Funktionen der neuen IEC-Steuerung aktualisieren, was geringere Investitions- und Installationskosten zur Folge hat.
Fazit
Cybersicherheit sollte aufgrund der fortschreitenden Digitalisierung von vernetzten Kraftwerken und Netzstationen bei allen Energieunternehmen mittlerweile ganz oben auf der Agenda stehen. Sie stehen jedoch nicht alleine in der Pflicht, ihre Anlage und ihre Betriebsprozesse gegen Cyberangriffe abzusichern, wie es die aktuellen Richtlinien zeigen. Klar, um eine genaue Bewertung des eigenen Risikos und der Einordnung in das richtige Security Level kommen sie nicht herum. Für die anschließende Umsetzung der technischen Maßnahmen sind die Fachplaner mit entsprechenden Ausschreibungen und die Systemintegratoren verantwortlich. Vor allem die Errichtung von Sicherheitszonen und Kommunikationskanälen und die passgenaue Absicherung jeder dieser Stufen ist entscheidend. Die Grundlage hierfür wiederum liefern die Hersteller, die ebenfalls umgedacht haben und ihre neuen Systeme gemäß den geltenden Cybersicherheits-Richtlinien konzipiert haben. Als einer der entscheidenden Bereiche für die zuverlässige Energieproduktion und ‑versorgung kann die Anlagensteuerung ein sehr guter Anfang sein.