Grundschutz für Operational Technology - Omicron
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
DOSSIER | IT FÜR EVU
Grundschutz für
Operational Technology
Cyber Security | Die durch Cyberangriffe Ende 2015 und 2016 beeinträchtigte Ener-
gieversorgung der Ukraine hat die Auswirkungen eines Hackerangriffs verdeutlicht.
Die Prävention gegen Cyber-Risiken hat daher auch politisch an Präsenz gewonnen.
Für Schweizer EVUs bedeutet dies, dass künftig Sicherheitskonzepte zu implemen-
tieren sind, die auch gesetzlichen Mindestanforderungen genügen müssen.
A N D R E A S K L I E N , M A R KU S L E N Z I N , R E TO A M S L E R
A
uf dem politischen Parkett diese Mindestanforderungen in unternehmen (VSE) im Juli 2018 eine
wird das Thema Cybersicher- Bezug auf die Cybersicherheit konkret Branchenempfehlung herausgegeben.
heit seit einigen Jahren immer aussehen. Das Dokument «Handbuch Grund-
wieder aufgegriffen. Das Resultat sind Dies wird sich höchstwahrscheinlich schutz für Operational Technology in
mehrere Initiativen und Motionen. Im ändern. Die letzte diesbezügliche der Stromversorgung» wurde in einer
Rahmen der nationalen SKI-Strategie Motion «Verpflichtender Grundschutz Arbeitsgruppe mit Vertretern des Bun-
(Schutz kritischer Infrastrukturen) für kritische Strominfrastruktur» des sowie grösserer EVUs erarbeitet.
wurde 2015 beispielsweise ein Leitfa- wurde zwar 2019 abgelehnt, im Rah- Dieses Handbuch ergänzt die Bran
den erarbeitet und die zweite Natio- men der Revision des Energiegesetzes chenempfehlung «ICT Continuity»
nale Strategie zum Schutz der Schweiz jedoch inhaltlich berücksichtigt, und in des VSE und orientiert sich mit seinen
vor Cyber-Risiken (NCS) wurde im der Leitlinie für die sichere Energiever- 21 empfohlenen Massnahmen an inter-
April 2018 verabschiedet. Mit dem sorgung soll auch der Schutz von kriti- national etablierten Standards für die
1. Januar 2018 ist zudem das revidierte schen Infrastrukturen (einschliesslich Sicherheit von OT-Systemen. Als Kern
Bild: iStock.com/Ziga Plahutar
Energiegesetz in Kraft getreten. Nach Informations- und Kommunikations- element wird darin auf das vom NIST
dem Stromversorgungsgesetz sind die technik) erwähnt werden. (National Institute of Standards and
Netzbetreiber schon seit 2007 für ein Technology) entwickelte Cyber Secu-
sicheres Netz verantwortlich. Aller- Branchenempfehlung rity Framework (Bild 1) referenziert.
dings gehen weder der Gesetzestext Als Massnahme aus der NCS hat der Die darin enthaltenen Aktivitäten und
noch die Initiativen darauf ein, wie Verband Schweizerischer Elektrizitäts- Massnahmen müssen vom Unterneh-
32 bulletin.ch 8 / 2020
IT FÜR EVU | DOSSIER
men in einem wiederkehrenden Pro- Ein ganzheitlicher Zugang
zess laufend überarbeitet und an die für mehr Sicherheit
aktuelle Bedrohungslage angepasst Die Anwendung des Frameworks in der
werden. Operational Technology (OT) ist kom-
Dieses Framework basiert auf dem plex und erfordert eine intensive Aus
«Defense-in-Depth»-Prinzip und ar- einandersetzung mit dessen Inhalten
beitet mit fünf Schritten: Identifizieren, sowie spezifisches Fach- und Bran-
Schützen, Erkennen, Reagieren und chenwissen, um den gewünschten
Wiederherstellen. Eine Voraussetzung Sicherheitslevel zu erreichen.
ist, dass man akzeptiert, dass es keinen Ausgangspunkt für die Umsetzung
vollständigen Schutz gegen jegliche sollte eine klare Definition der Cyber-
Art von Cyber-Bedrohungen geben Security-Strategie des eigenen Unter-
kann. Auf Basis dieses Bewusstseins nehmens sein. Diese ist nicht nur erfor-
über die eigene Verwundbarkeit kön- derlich für die Entwicklung einer
nen dann entsprechende Strategien Security-Architektur, sondern stellt Bild 1 Cyber Security Framework Version 1.1.
und Massnahmen entwickelt werden. auch das Commitment seitens des
Am Beginn steht daher die Identifika- Managements sicher, das für die kriti-
tion von Angriffsvektoren (Identifizie- sche Auseinandersetzung mit den Umsetzung in Schaltanlagen
ren), um sich in einem weiteren Schritt bestehenden Prozessen und deren Ein Intrusion Detection System (IDS)
bestmöglich gegen diese absichern zu Erweiterung benötigt wird. Ein Aspekt, als Umsetzung des Schritts «Erkennen»
können (Schützen). Durchbricht ein der nicht zu unterschätzen ist – gilt es stellt damit ein wesentliches Element
Angreifer diese Barrieren, muss der doch, in dieser Phase Schwachstellen des Grundschutzes dar. Als letztes Ele-
Angriff erkannt (Erkennen) und bes- offen anzusprechen und neue Lösungen ment überwacht es das Netzwerk und
tenfalls sofort richtig gehandelt wer- zu finden, die unter Umständen auf schlägt Alarm, wenn es Unregelmässig-
den (Reagieren), damit sich der Nor- Widerstand stossen. Mitunter bietet keiten in der Kommunikation entdeckt.
malzustand so schnell wie möglich sich für diesen Prozessschritt daher die Nur wenn ein Angriff erkannt wird, kön-
wiederherstellen lässt (Wiederherstel- Inanspruchnahme einer externen Bera- nen auch entsprechende Handlungen
len). tung an, die Cyber-Security-Know-how folgen, um Schäden zu minimieren. IDS
Nach diesem Prinzip werden die und Erfahrung bereitstellen und das müssen daher auch neuartige Angriffe
Anlagen also nicht nur durch einzelne Vorhaben methodisch begleiten kann. erkennen können. Zugleich sollten sie
Massnahmen nach dem Motto «Harte Denn am Ende sollten die definierten schon nach kurzer Zeit eine möglichst
Schale, weicher Kern» geschützt, son- Massnahmen perfekt ineinandergrei- geringe Zahl an Fehlalarmen melden,
dern es wird auf mehrere «Schalen» fen. Diese umfassen die eingesetzten damit Meldungen nicht irgendwann
gesetzt, die kontinuierlich überwacht Technologien, organisatorische und ignoriert werden. Wenn ein Energiever-
werden. Als Überwachungskomponen- prozessuale Anpassungen sowie not- sorger Dutzende Schaltanlagen betreibt
ten dienen beispielsweise Virenscan- wendige Ausbildungen bezüglich Sen- und jede Anlage nur ein paar Fehlalarme
ner und Intrusion Detection Systeme sibilität, Verhalten und Arbeitshilfen, pro Monat erzeugt, summieren sich
(IDS). Beide Systeme sollten auch wie Checklisten, Anweisungen und diese schnell zu einer beträchtlichen
innerhalb von Schaltanlagen einge- Richtlinien. Dies gilt besonders für die Zahl pro Tag. Weil jeder Alarm von Spe-
setzt werden. Wird eine Schale durch- kritischen Systemumgebungen der zialisten so schnell wie möglich analy-
drungen, beispielsweise durch eine Schutz- und Leittechnik, in welche siert werden muss, sind IDS gefragt, die
Schadsoftware auf einem Wartungs- Überwachungssysteme der Cyber schon nach kurzer Konfigurationsphase
computer, kann dies durch einen Security eingebettet sind. möglichst wenige Fehlalarme liefern.
Virenscanner bzw. das IDS erkannt
und sofort darauf reagiert werden. Mit
Fokus auf die Schadensminimierung
gilt es dann zu analysieren, wie die
Schadsoftware überhaupt auf den
Rechner gelangen konnte. Die Identifi-
zierung dieses neuen Angriffsvektors
ist essenziell, um ihn in Zukunft ver-
meiden zu können und die Resilienz
des gesamten Systems kontinuierlich
zu verbessern (Schützen).
Dabei misst der Ansatz dem Zusam-
menspiel zwischen Menschen, Prozes-
Bilder: NIST / Omicron
sen und Technik eine hohe Bedeutung
bei. Denn die kontinuierliche Überwa-
chung ist nur sinnvoll, wenn auf eine
Alarmmeldung eine angemessene und
präzise Reaktion folgt. Bild 2 Klare IDS-Alarmmeldungen sparen Zeit bei der Analyse.
bulletin.ch 8 / 2020 33
DOSSIER | IT FÜR EVU
Um dies zu erreichen, muss das IDS Anlage? Ist der Netzwerkverkehr in Ein weiterer Vorteil des White-
die Vorgänge in Schaltanlagen und das der Anlage plausibel, bezogen auf die list-Ansatzes ist, dass sich damit die
Verhalten der Schutz- und Leittechnik aufgetretenen Ereignisse? Whitelist einsehen und auditieren
kennen, um zwischen erlaubtem und Für die zügige Interpretation der lässt. Anschliessend stellt das IDS auch
gefährlichem Verhalten unterscheiden Informationen sind die Benutzer- deren Einhaltung sicher. Alle Verstösse
zu können. Gerade bei IEC-61850-An- freundlichkeit und grafische Darstel- gegen die Whitelist lösen Alarme aus
lagen hat sich deshalb der White- lung des IDS wichtig. Im Beispiel in und werden in einem manipulations
list-Ansatz bewährt, denn in solchen Bild 2 sind typische Alarme dargestellt, sicheren Logbuch aufgezeichnet. Die
Anlagen gibt es eine maschinenlesbare bei denen erst noch ermittelt werden Alarmmeldungen können zudem über
Dokumentation der Geräte und deren muss, ob diese Aktionen von einem verschiedene Kanäle weitergeleitet
Kommunikation im SCL (Substation Techniker durchgeführt oder von einer werden, beispielsweise an ein zentrales
Configuration Language) Format. Mit- Schadsoftware ausgeführt wurden. Sta- Siem (Security Information and Event
tels der SCL kann die Whitelist für das tionguard orientiert sich bei der Dar- Management) System.
IDS automatisch generiert werden. stellung von Alarmen beispielsweise an
Danach sind nur noch wenige Einga- den Anlageplänen und nutzt für Mel- Agieren statt reagieren
ben nötig, um auch das Verhalten der dungen die Schaltanlagen-Terminolo- Das Thema Cyber Security, speziell im
restlichen Geräte zu deklarieren. gie. Dies ermöglicht bei der Analyse Bereich der Operational Technology,
Wird ein echter Angriff erkannt, eine effiziente Zusammenarbeit von ist komplex. Genau wie für andere kri-
zählt jede Minute. Eine effektive Schutz- und Leittechnikern mit tische Infrastrukturen existieren auch
Reaktion setzt voraus, dass alle invol- Cyber-Security-Spezialisten. Hinder- für die Energieversorgung Branchen-
vierten Mitarbeiter entsprechend lich können hier kryptische Fehlermel- empfehlungen, wie diejenige des VSE,
sensibilisiert sind und die kritischen dungen sein. Denn Cyber-Security-Ex- in Form von Vorgaben und Standards.
Prozesse und Systeme genau kennen. perten haben hier meist Schwierigkei- Dazu kommt, dass sich in naher
Dazu sind eine mit Cyber-Security- ten, weil ihnen das Fachwissen in Bezug Zukunft weitere gesetzliche Vorgaben
Kompetenzen ergänzte Organisation auf IEC-61850-Protokolldetails und der abzeichnen. Um den Maturitätslevel
sowie Trainings für die Fachspezia- Zuordnung zu Schutzereignissen fehlt. einer Organisation in Bezug auf Cyber-
listen ebenso notwendig wie die Auch in anderen Bereichen der Umset- sicherheit zu erhöhen, müssen daher
Übung des Ernstfalls. Bei einem IDS- zung des VSE-Grundschutzes kann ein die Domänen «Technologie – Prozesse
Alarm werden meist zuerst die IDS Unterstützung bieten. Im ersten – Menschen» gleichermassen behan-
Cyber-Security-Spezialisten infor- Schritt (Identifizieren) müssen, noch vor delt werden. So lassen sich kommende
miert. Diese müssen den Alarm ana- den möglichen Angriffsvektoren, die zu gesetzliche Vorgaben weitgehend
lysieren und entscheiden, ob es sich schützenden Geräte in der Anlage iden- erfüllen und die Operational Techno-
um eine echte Bedrohung oder um tifiziert werden. Welche Geräte kommu- logy vor Cyberangriffen schützen.
einen Fehlalarm handelt. Für die wei- nizieren im Anlagennetzwerk? Welche
tere Einschätzung der Auswirkungen Protokolle benutzen sie dabei? Welche Autoren
auf den Netzbetrieb und die folgen- Firmware-Versionen sind im Einsatz? Andreas Klien leitet den Geschäftsbereich Power Utility
den Entscheidungen müssen auch die Ein IDS kann hierfür passiv ermittelte Communication bei Omicron.
JJOmicron electronics GmbH, AT-6833 Klaus
Fachspezialisten der Schutz- und Informationen aus dem Netzwerkver- JJandreas.klien@omicronenergy.com
Leittechnik hinzugezogen werden. kehr mit Informationen aus den SCL-Da-
Markus Lenzin und Reto Amsler sind Inhaber der Alsec
Welcher Kategorie bezüglich der Kri- teien der Anlage kombinieren, um so Cyber Security Consulting AG.
tikalität sind die Geräte zugeordnet? einen umfassenden Datenauszug über JJAlsec Cyber Security Consulting AG, 5082 Kaisten
War jemand zu dieser Zeit in der das Gerät bereitzustellen. JJinfo@alsec.ch
RÉSUMÉ
Protection de base pour les technologies opérationnelles
Cybersécurité pour les EAE
Les perturbations de l’approvisionnement énergétique de pour les technologies opérationnelles (OT) dans l’approvi-
l’Ukraine engendrées par des cyberattaques en 2015 et 2016 sionnement en électricité », qui repose sur un concept de
ont permis de se faire une idée plus concrète des consé- sécurité global et mise sur l’interaction des personnes, des
quences d’une attaque de hackers. La prévention contre les processus et des technologies. Un système de détection des
cyberrisques a, de ce fait, aussi gagné en importance au intrusions (IDS) fait office d’élément-clé dans cette appro
niveau politique. Pour les entreprises suisses d’approvision- che. Celui-ci est nécessaire pour détecter les attaques à
nement en énergie, cela signifie qu’à l’avenir, il faudra temps et constitue également la base de l’amélioration
mettre en œuvre des concepts de sécurité qui devront aussi continue de la résilience des appareillages électriques. Tou-
répondre à des exigences légales minimales. tefois, un IDS ne remplit cette tâche que s’il est intégré dans
Pour prévenir les cyberrisques, l’AES a publié en 2018 la un concept global bien pensé, dont la définition exige des
recommandation de la branche « Manuel Protection de base connaissances techniques spécifiques à la branche. NO
34 bulletin.ch 8 / 2020Sie können auch lesen
