Die Energiebranche setzt zunehmend auf IP-basierte Informationstechnologie. So nutzen beispielsweise viele Netzbetreiber neue Übertragungsnetzwerke, um die Einspeisung von EEG-Anlagen (Erneuerbare-Energien-Gesetz) wie Windkraftwerke zu steuern, da diese Verbindung aus Kostengründen für sie sehr attraktiv ist. Für die Prozessnetzwerke der Energieversorger bringt diese Öffnung nach außen aber ganz neue Bedrohungen mit sich. Die vom Bundesamt für Sicherheit in der Informationstechnologie (BSI) als kritische Infrastrukturen eingestuften Netzwerke sind der Gefahr von Cyber-Angriffen ausgesetzt. Das neue IT-Sicherheitsgesetz verlangt deshalb, sie besonders zu schützen.
Das Whitepaper „Anforderungen an sichere Steuerungs- und Telekommunikationssysteme“ des BDEW (Bundesverband der Energie- und Wasserwirtschaft) sowie der IT-Sicherheitskatalog der Bundesnetzagentur sind derzeit die zentralen Leitlinien für den Schutz von Prozessnetzwerken in der Energiebranche. Sie fassen die aktuellen Notwendigkeiten zusammen und leiten daraus konkrete Vorgaben ab. Auf dieser Basis lässt sich ein passgenaues Security-Design erarbeiten, das gezielte Schutzmaßnahmen in das Prozessnetzwerk einbaut. Dabei sollte die Netzwerk-Architektur in verschiedene Zonen eingeteilt werden, die jeweils eigene Sicherheitsmaßnahmen aufweisen und durch Gateways getrennt sind.
Absicherung der inneren Burg
Eine mittelalterliche Burganlage, die mit mehreren, nacheinander angeordneten Hindernissen wie Wassergraben, Toranlage und mehreren Mauerringen die innere Burg absichert, kann hier als Vorbild dienen. Analog dazu sollten Energieversorger beispielsweise den Weg von einem im freien Feld stehenden Anlagenschrank über die Infrastruktur der Anlage, das WAN (Wide Area Network) und die zentrale Infrastruktur bis zur Leitstelle durchgehend mit Sicherheitsgliedern schützen. Hat ein Angreifer ein Sicherheitsglied überwunden, erhält er dadurch nicht automatisch Zugang zur Leitstelle, sondern hat noch weitere Hindernisse vor sich.
Zu den Auflagen des IT-Sicherheitsgesetzes für Energieversorger zählt die Pflicht, schwerwiegende Vorfälle an das BSI zu melden. Deshalb entwickeln spezialisierte IT-Dienstleister wie Prego Services derzeit so genannte SIEM-Lösungen (Security Information and Event Management) für Energiedienstleister. Ihre Aufgabe ist, relevante Informationen von den Komponenten des Prozessnetzwerks wie Gateways, Switches, Firewalls oder Intrusion-Detection-Systemen an zentraler Stelle zu erfassen und auszuwerten, um so mögliche Sicherheitsvorfälle zu erkennen.
Schwerwiegenden Vorfall erkennen
Die intelligente Verknüpfung dieser Informationen ist der entscheidende Knackpunkt. Ein ungewöhnliches Netzwerk-Ereignis ist für sich allein noch kein Hinweis auf einen Sicherheitsvorfall. Treten aber mehrere solcher ungewöhnlicher Ereignisse auf, die sich in einen Zusammenhang bringen lassen, und laufen diese innerhalb eines bestimmten Zeitraums ab, steigt die Wahrscheinlichkeit, dass etwas nicht mit rechten Dingen zugeht. Diese Zusammenhänge muss ein SIEM aufzeigen und es damit den Sicherheitsverantwortlichen ermöglichen, einen schwerwiegenden Vorfall zu erkennen.
Dieses Grundprinzip soll folgendes, stark vereinfachte Beispiel verdeutlichen: Meldet der Router eines im Feld stehenden Anlagenschranks den Anschluss eines neuen Gerätes, muss das noch nichts Besorgniserregendes bedeuten – schließlich könnte eine Störung dahinter stecken. Meldet der Port aber dann zusätzlich, dass er das Gerät nicht kennt und es wird wiederholt versucht, ein Passwort einzugeben, sollte man misstrauisch werden. Finden viele solcher Versuche innerhalb eines bestimmten Zeitraums statt, könnte dies unter anderem eine Brute-Force-Attacke sein. Bei einer solchen Attacke versucht ein Angreifer ein Passwort zu knacken, indem er von einem speziell dafür geschriebenen Computerprogramm aus alle möglichen Kombinationen von Buchstaben und Zahlen ausprobiert.
In diesem Zusammenhang zahlt sich aus, dass Prozessnetzwerke erhebliche Unterschiede zu einer Büro-IT aufweisen. Dort finden sich oft hunderte von PCs, Druckern und sonstigen Geräten, die ständig ein- und ausgesteckt, ausgetauscht oder erneuert werden, und damit einen unüberschaubaren Traffic erzeugen. Prozessnetzwerke sind im Vergleich dazu starre Systeme mit wenig Datenverkehr und ausschließlich gültigen Kommunikationsbeziehungen. Dadurch fällt es beispielsweise sofort auf, wenn an irgendeiner Stelle ein neues Gerät hinzukommt. Außerdem machen Gateway-Spezialisten wie Insys Icom ihre Netzwerkkomponenten zunehmend „sprechend“. Router etwa können so immer mehr Informationen an Log-, Monitoring- und Reporting-Tools übermitteln, die als Plattform für eine SIEM-Lösung dienen.
Störungen im Netzwerk überprüfen
Je nach Anzahl und Korrelation der Informationen sollte das SIEM die Ergebnisse seiner Verknüpfungen in verschiedene Sicherheitsstufen einteilen. Liegen mehrere Verletzungen vor, die einen zeitlichen und räumlichen Zusammenhang aufweisen und deshalb auf einen möglichen Sicherheitsvorfall hindeuten, muss das System die höchste Sicherheitsstufe auslösen. Idealerweise erzeugt es in diesem Fall auch gleich automatisch ein Formular zur Qualifizierung durch die Verantwortlichen im Network Operations Center (NOC). Es sollte aufführen, welche Meldungen wann festgestellt wurden und welche Komponenten diese Meldungen abgesetzt haben. Die Verantwortlichen im NOC können dann überprüfen, ob sich die Vorgänge im Netzwerk etwa durch Störungen oder Wartungsarbeiten erklären lassen. Ist das nicht der Fall, können sie einen Sicherheitsvorfall auslösen und das Formular direkt an ein übergeordnetes ISMS (Information Security Management System) weiterleiten. Dieses muss dann einschätzen, wie schwerwiegend der Vorfall ist, das Formular weiter bearbeiten und gegebenenfalls an das BSI übermitteln.
Cyber-Angriff eindämmen
Die Vorteile einer solchen SIEM-Lösung gehen aber weit über die Erfüllung der Meldepflicht hinaus. Indem sie einen Cyber-Angriff frühzeitig „lautstark“ werden lässt, gewinnen die Betreiber des Prozessnetzwerks Zeit, ihn einzudämmen. Wirklichen Schaden kann ein Hacker erst dann anrichten, wenn er sich Zugriff auf die Systeme verschafft hat. Wird sein Angriff aber bereits auf dem Weg dorthin entdeckt – weil die Kombination der Meldungen offenbart, dass er versucht ins Netzwerk einzudringen – lässt sich dies rechtzeitig verhindern. Durch ihre forensischen Möglichkeiten macht eine solche Lösung außerdem ein hartes Abschalten von Kommunikationsbeziehungen im Fall ungewöhnlicher Vorgänge überflüssig. So wird verhindert, dass bei Störungen unnötigerweise ganze Sicherheitszonen vom Netz gehen.