May 9, 2019
 in 
IEC61850

Cyberangriffe auf Schaltanlagen effektiv erkennen

H

ERZlich Willkommen liebe Freunde der Schutz- und Leittechnik!

Schaltanlagen bieten einige potenzielle Angriffsvektoren für Cyberangriffe.

Wenn ein Angreifer eine oder mehrere Anlagen unbemerkt beeinflussen kann, hat dies möglicherweise schwerwiegende Folgen für das Netz. Deshalb müssen effektive Maßnahmen für die Cybersicherheit nicht nur in den Leitstellen umgesetzt werden, sondern auch in den Schaltanlagen selbst. Für IEC-61850- Anlagen gibt es mit „StationGuard“ einen Ansatz für Intrusion Detection, der wenige Fehlalarme und durch die SCL-Konfigurationsdateien einen geringen Konfigurationsaufwand ohne Lernphase bietet. Das System von Omicron erkennt nicht nur Sicherheitsbedrohungen, sondern auch funktionale Probleme der IEC-61850-Kommunikation und der Geräte.

Wir freuen uns auf den Gastbeitrag von Andreas Klien, los geht's:

Cybersecurity, Omicron, StationGuard, Cyberangriff, Cyberangriffe, Schaltanlage, Cybersicherheit, IEC61850, IEC 61850, SCL-Koniguration,, SCL Konfiguration, schutztechnik,
Abbildung 1: Mögliche Angriffsvektoren einer typischen Schaltanlage

Um die Funktion von mindestens einem Schutz- oder Steuergerät in einer Schaltanlage zu beeinflussen oder zu deaktivieren gibt es verschiedene Möglichkeiten. Beispielsweise kann ein Cyberangriff über die in Bild 1 mit roten Nummern gekennzeichneten Pfade erfolgen. Ein Angreifer könnte über die Verbindung zur Leitstelle (1) eindringen, so wie dies bei einem der Cyberangriffe in der Ukraine geschah. Ziel war unter anderem die Veränderung der Firmware von Gateway-Geräten und infolge die Zerstörung dieser Geräte.

Einen weiteren Einbruchspunkt stellen die an die Schutz- und Steuergeräte angeschlossenen Engineering-Computer (2) dar. Verbindet ein Schutztechniker seinen Computer mit einem Relais, um den Schutz zu parametrieren, könnte eine Schadsoftware, die sich auf dem PC oder einem daran angeschlossenen Datenträger befindet, wiederum Schadsoftware unbemerkt auf dem Relais installieren. Dies war das Szenario, das beim Cyberangriff Stuxnet eingesetzt wurde.
PC (3), die zur Prüfung von IEC- 61850-Systemen dienen, werden oft unmittelbar an den Stationsbus angeschlossen und können auf diesem Weg ein IED (Intelligent Electronic Device) infizieren. Aus diesem Grund gibt es neue IEC-61850-Prüflösungen, die eine gegen Cybergefahren sichere Trennung zwischen dem Prüfcomputer und dem Anlagennetzwerk sicherstellen.

Darüber hinaus ist das Prüfgerät (4) selbst auch ein weiterer möglicher Einbruchspfad. Deshalb müssen Anbieter von Prüfgeräten in die Härtung ihrer Geräte investieren, um zu verhindern, dass sie durch einen Angreifer als Hintertür genutzt werden können.

Die Konfigurationsdateien (2a) und Prüfdokumente (3a) können ebenfalls als Quelle für Schadsoftware dienen. Der Speicherort dieser Dateien muss damit ebenso sicher verwaltet werden, wie die Prüf-PC selbst. Deshalb ist es sinnvoll, für die dort gespeicherten Daten eine von der Büro-IT getrennte und geschützte Lösung einzuführen, die die sichere Datenverwaltung ermöglicht.

IT-Sicherheit in IEC-61850-Umgebungen

Eine häufig gestellte Frage zur IT-Sicherheit in IEC- 61850-Anlagen lautet: „Wie lässt sich verhindern, dass ein Angreifer eine Trip-Goose (Generic Object Oriented Substation Events) in den Stationsbus einspeist?“ Zur Beantwortung dieser Frage reicht es nicht aus, sich auf den Fall zu beschränken, dass der Angreifer einen physischen Zugang zum Anlagennetzwerk hat. Auch andere Szenarien sind hier denkbar, beispielsweise ein infizierter Wartungs- oder Prüf- PC, der an den Stationsbus angeschlossen wird, oder auch ein infiziertes IED, das eine Goose fälscht und einspeist.

Oft werden in diesem Zusammenhang die Status- und Sequenznummern im Goose-Protokoll als „Sicherheits- mechanismus“ angeführt, weil durch die Durchnummerierung der Telegramme ein „eingeschobenes“, falsch num- meriertes Telegramm vom Empfänger bemerkt würde. Die Status- und Sequenznummern sind allerdings kein Sicherheitsmechanismus im Sinne der IT-Sicherheit, da ein Angreifer sie mitlesen und dann für seinen Angriff geeignete Werte einspeisen kann. Nicht einmal über die Quell-MAC- Addresse könnte der Empfänger ein eingeschobenes Telegramm erkennen, auch diese lässt sich von einem Angreifer kopieren. Das Empfänger-IED identifiziert das erste empfangene Telegramm somit als gültige Goose und reagiert darauf.

Cybersecurity, Omicron, StationGuard, Cyberangriff, Cyberangriffe, Schaltanlage, Cybersicherheit, IEC61850, IEC 61850, SCL-Koniguration,, SCL Konfiguration, schutztechnik,
Abbildung 2: Ein IDS wird so in eine IEC-61850-Anlage integriert, dass es von an allen relevanten Switches eine Kopie des gesamten Netzwerkverkehrs erhält, um dieses zu überprüfen

Erst beim zweiten identischen Telegramm kann der Empfänger den Fehler bemerken. Dasselbe gilt auch für den Sample Count bei der Übertragung von Abtastwerten mit dem Sampled-Values-Protokoll.

Die einzig wirksame Maßnahme, um die Einspeisung von Goose durch einen Angreifer zu verhindern, besteht darin, Authentifizierungscodes am Ende der Goose-Nachricht gemäß IEC 62351-6 einzuführen. Damit wird das sendende IED eindeutig identifiziert und eine Manipulation des Inhalts der Goose-Nachricht ist unmöglich. Dafür ist es übrigens nicht erforderlich, die Goose zu verschlüsseln. Die Bereitstellung der Authentifizierungsschlüssel für jedes IED bedarf allerdings einer Infrastruktur – einem Key Distribution System. Da dies mit einem gewissen Aufwand verbunden ist, finden diese Goose-Sicherheitsmechanismen heute noch keine breite Anwendung. Gleiches gilt für MMS und die rollenbasierte Zugriffskontrolle. Es ist jedoch nur eine Frage der Zeit, bis die Standardisierung und die Produkte bereitstehen, sodass diese Sicherheitsmechanismen großflächig angewendet werden können.

Verschlüsselung ist keine Allzweckwaffe

Verschlüsselung wird oft als Wunderwaffe der IT-Sicherheit betrachtet. Die Norm IEC 62351 regelt unter anderem die Verschlüsselung für Goose und MMS. Innerhalb von Schaltanlagen gibt es jedoch kaum Anwendungsfälle, bei denen die Vertraulichkeit von Nachrichten eine wichtige Rolle spielt. Wenn Nachrichten nicht manipuliert werden können (Integrität) und der Absender verifiziert werden kann (Authentifizierung) – was durch die Verwendung von Authentifizierung in Goose und MMS erfüllt wird – muss die Nachricht auch nicht verschlüsselt werden. Ein Beispiel, bei dem eine Verschlüsselung notwendig sein könnte, ist die Übertragung von routable Goose (R-Goose) über einen unverschlüsselten Kommunikationsweg, eine ebenfalls fragliche Kombination.

Verschlüsselung bringt innerhalb einer Schaltanlage kaum Vorteile, birgt jedoch einige unschöne Seiteneffekte. Sie führt zu zusätzlicher CPU-Last auf den IED, die die Verschlüsselung vornehmen müssen, beeinträchtigt damit die Übertragungszeit der Goose und erschwert zudem Prüfszenarien, während sie in den meisten Fällen kaum zusätzliche Vorteile gegenüber Authentifizierungscodes bietet. Verschlüsselung erschwert darüber hinaus die spätere Analyse von aufgezeichnetem Datenverkehr und behindert Ansätze zur Netzwerküberwachung, wie sie nachfolgend beschrieben werden.

Defense in Depth

In den meisten bis heute gebauten IEC-61850-Anlagen werden IEC-62351-Authentifizierungscodes noch nicht eingesetzt. Selbst in Anlagen, in denen Goose und MMS mit Authentifizierung verwendet werden, können infizierte Geräte im Netzwerk weiterhin andere Geräte infizieren oder deren Funktionsfähigkeit durch eine Störung des Kommunikationssystems beeinträchtigen. Daher empfehlen die meisten Sicherheits-Frameworks den Einsatz eines „Intrusion Detection Systems“ (IDS), d. h., eines Einbruchserkennungssystems – ein Begriff, der in der klassischen IT-Sicherheit seit vielen Jahren bekannt ist.

Cybersecurity, Omicron, StationGuard, Cyberangriff, Cyberangriffe, Schaltanlage, Cybersicherheit, IEC61850, IEC 61850, SCL-Koniguration,, SCL Konfiguration, schutztechnik,
Abbildung 3: Installation von „StationGuard“ mit der mobilen Plattform MBX1 in der 110-kV-Anlage der CKW

Mit einem IDS lassen sich Bedrohungen und verdächtige Aktivitäten im Netzwerk schnell und effektiv erkennen. Diese Einbruchserkennungssysteme werden heute immer häufiger auch in Leitstellen eingesetzt. Für den Einsatz in Schaltanlagen waren bisher noch keine geeigneten Systeme auf dem Markt.

Anforderungen für ein Schaltanlagen-IDS

In einer IEC-61850-Anlage würde ein IDS wie in Bild 2 gezeigt angeschlossen. Mirror Ports an allen relevanten Switches leiten eine Kopie des gesamten Netzwerkverkehrs an das IDS weiter, das dann den Netzwerkverkehr überprüft. Für eine Analyse des wichtigsten Datenverkehrs in einer Anlage sollte das IDS zumindest mit dem Switch verbunden werden, an dem das Gateway und externe Fernwartungszugänge hängen. Die Switches auf Feldebene müssen in der Regel nicht mit überwacht werden, da von dort typischerweise nur Multicast-Verkehr (Goose, Sampled Values) kommt. Um sicherzustellen, dass auch der gesamte Unicast- Verkehr innerhalb von allen Netzwerkzweigen analysiert wird, müssen alle Switches mittels Mirror Port an das IDS angeschlossen werden. Wenn die Netzwerkverkabelung in der Feldebene mittels Switch-Chips in den IED realisiert wurde, ist dies jedoch meist nicht möglich.

Intrusion Detection Systeme aus der klassischen IT sind in der Regel nicht für den Einsatz in einer Schaltanlage geeignet. Während sich die klassische IT-Sicherheit mit Hochleistungsservern und deren unzähligen simultanen Verbindungen beschäftigt, geht es bei der IT-Sicherheit in einer Schaltanlage um Geräte mit begrenzten Ressourcen,Echtzeit-Anforderungen und spezielle Redundanzprotokolle. So reicht es beispielsweise für einen „Denial-of- Service“-Angriff auf den Kommunikationsdienst eines IED oft aus, wenn nur zehn Verbindungen, das heißt, zehn Ethernet-Pakete abgeschickt werden. Der Grund hierfür ist leicht ersichtlich: „Denial-of-Service“-Szenarien wurden in der Zeit, als diese Geräte und Protokolle entwickelt wurden, nicht in Betracht gezogen. Außerdem gibt es nur eine kleine Anzahl bekannter Cyberangriffe auf Schaltanlagen, und bereits das erste Auftreten eines neuen Angriffs mit einer noch nicht bekannten Methode kann schwerwiegende Folgen haben. Das ist der Grund, weshalb ein IDS für Energiesysteme neue Cyberangriffe auch ohne Vorkenntnisse erkennen können muss. Damit ist also auch ein ganz anderer Ansatz gefordert, als ihn Virenscanner nutzen, die nur nach bekannten Virensignaturen suchen.

Cybersecurity, Omicron, StationGuard, Cyberangriff, Cyberangriffe, Schaltanlage, Cybersicherheit, IEC61850, IEC 61850, SCL-Koniguration,, SCL Konfiguration, schutztechnik,
Abbildung 4: Grafische Alarmanzeige anstelle einer kryptischen Ereignisliste

Lernbasierte Systeme

Viele Anbieter verwenden einen „lernbasierten“ Ansatz, um unbekannte Angriffe erkennen zu können. Systeme mit diesem Ansatz analysieren die Häufigkeit und den Zeitpunkt bestimmter Protokollmarker, um während der Lernphase das übliche Verhalten eines Systems zu erlernen. Nach der Lernphase wird ein Alarm ausgelöst, sobald einer der Marker deutlich außerhalb des erwarteten Bereichs liegt. Dies hat zur Folge, dass Fehlalarme für alle Ereignisse ausgelöst werden, die während der Lernzeit nicht aufgetreten sind. Dazu gehören beispielsweise Schutzereignisse, ungewöhnliche Schalt- oder Automatisierungsaktionen oder die routinemäßigen Arbeiten bei Instandhaltung und Prüfung. Die Alarmmeldungen beziehen sich ebenfalls auf technische Protokolldetails, weil diese Systeme zwar die Wörter, jedoch nicht die Bedeutung der Anlagenkommunikation verstehen. Somit können die Alarme nur von einem Ingenieur bewertet werden, der mit den Einzelheiten des IEC-61850-Protokolls und mit der IT-Netzwerksicherheit vertraut ist. Der Ingenieur, der den Alarm prüft, muss darüber hinaus die Betriebssituation kennen, um beurteilen zu können, ob bestimmte Ereignisse des IEC-61850-Protokolls dem gültigen Verhalten entsprechen. Deshalb treten in Schaltanlagen in der Regel eine hohe Anzahl von Fehlalarmen auf, für die eine Überprüfung durch hoch qualifiziertes Personal erforderlich ist. Die Zahl der Alarme führt dann dazu, dass diese oft ohne Prüfung ignoriert oder verworfen werden.

Cybersecurity, Omicron, StationGuard, Cyberangriff, Cyberangriffe, Schaltanlage, Cybersicherheit, IEC61850, IEC 61850, SCL-Koniguration,, SCL Konfiguration, schutztechnik,
Abbildung 5: Details für den in Bild 4 gezeigten Alarm: Prüfcomputer versucht, den Leistungsschalter unbefugt zu steuern

Prozess ohne Lernphase

Für IEC-61850-Anlagen wird das gesamte Automatisierungssystem mit allen Geräten, den Datenmodellen und den Kommunikationsmustern in einem standardisierten Format beschrieben, der SCL (Substation Configuration Language). In solchen Dateien sind auch Informationen über primäre Betriebsmittel enthalten und für eine Vielzahl von Anlagen ist sogar das Einlinienersatzschaltbild der Schaltanlage beschrieben.

Auf Basis dieser Informationen ist es möglich, einen völlig anderen Ansatz für das Erkennen von Cyberangriffen zu verwenden: Das Monitoring-System kann ein vollständiges Systemmodell des Automatisierungssystems und der Schaltanlage erstellen und jedes einzelne Paket im Netzwerk mit dem Live-Systemmodell vergleichen. Sogar die in den Telegrammen (Goose, MMS, SV) enthaltenen Datenwerte lassen sich anhand der aus dem Systemmodell abgeleiteten Erwartungen bewerten. Dieser Prozess ist ohne Lernphase und allein durch die Konfiguration der SCL möglich. Im neuen funktionalen Sicherheitsüberwachungssystem „Station- Guard“ [1] wird genau dieser Ansatz umgesetzt.

Funktionale Sicherheitsüberwachung

Im Wesentlichen führt „StationGuard“ eine detaillierte funktionale Verifikation des gesamten Datenverkehrs durch, um Cyberbedrohungen im Netzwerk zu erkennen. „StationGuard“ nutzt ein detailliertes Modell der gesamten erwarteten Kommunikation und vergleicht damit die tatsächlichen Netzwerkpakete. Aufgrund der kontinuierlichen inhaltlichen Überprüfung des Datenverkehrs werden nicht nur Bedrohungen für die IT-Sicherheit, wie unzulässige Pakete und Steuervorgänge erkannt, sondern auch Kommunikationsfehler, Probleme mit der Zeitsynchronisation und damit auch verschiedene Arten von Fehlfunktionen in der Schaltanlage. Da das IDS-System auch das Schaltbild der Anlage kennt und die Messwerte in der MMS-Kommunikation (oder auch in Sampled Values) beobachtet werden, sind die Möglichkeiten für die Überwachungstiefe nahezu grenzenlos.

Ein Beispiel: Allein für Goose hat „StationGuard“ aktuell 33 verschiedene Alarmcodes, die auftreten können. Sie reichen von einfachen Status- und Sequenznummer-Störungen bis hin zu komplexeren Problemen, wie zu langen Übertragungszeiten von Telegrammen. Letzteres wird durch das genaue Messen der Differenz zwischen dem Entry-Time- Zeitstempel im Telegramm und der Ankunftszeit bei „StationGuard“ erkannt. Ist die Übertragungszeit des Netzwerks für eine Trip-Goose gemäß IEC 61850-5 länger als 3 ms, deutet dies auf ein Problem im sendenden IED, im Netzwerk oder zumindest bei der Zeitsynchronisation hin.

Wie steht es um die MMS-Kommunikation? Aus dem Systemmodell (aus der SCL) ist bekannt, welche logischen Knoten welche Betriebsmittel steuern. Somit kann zwischen korrekten/nicht korrekten beziehungsweise kritischen/nicht kritischen Aktionen unterschieden werden. Das Schalten eines Leistungsschalters und das Schalten des IEC- 61850-Testmodus nutzen dieselbe Sequenz im MMS-Protokoll (Select-before-Operate). Die Auswirkung in der Anlage ist jedoch eine ganz andere. Schaltet der Prüf-PC aus Bild 1 den IEC-61850-Testmodus eines Relais um, kann dies eine gerechtfertigte Aktion während einer Schutzprüfung sein. Höchstwahrscheinlich wäre es aber nicht erlaubt, wenn der Prüf-PC einen Leistungsschalter schaltet. In den folgenden Abschnitten wird auf dieses Beispiel näher eingegangen.

Mit Schutz- und Leittechnikern entwickelt

Die Forschung zu diesem Ansatz begann bei Omicron 2010. Erste Umsetzungen dieses Konzepts, die 24/7-Überwachung von Sampled Values, Goose und der PTP-Zeitsynchronisierung, sind seit 2015 in einem dezentralen und hybriden Analysegerät verfügbar, dem Daneo 400 von Omicron. Daraus ergab sich, dass das Unternehmen von Ingenieuren der Centralschweizer Kraftwerke AG (CKW) angesprochen wurden, die nach einer passenden Sicherheitslösung für ihre Schaltanlagen suchten.
Die Techniker der CKW kannten die Nachteile kommerziell verfügbarer IDS-Systeme. Deshalb war eines ihrer Ziele, dass das IDS von Schutz- und Leittechnikern einfach bedient werden kann. Daraus entwickelte sich eine gute Zusammenarbeit zwischen Ingenieuren der CKW und dem Entwicklungsteam von „StationGuard“. Es war hochinteressant zu sehen, welche große Rolle IT-Sicherheit im Design der nächsten Schaltanlagen-Projekte der CKW spielt und dass dort auch Intrusion Detection in Schaltanlagen vorgesehen ist.

Mittlerweile flossen durch mehrere andere Proof-of-Concept-Installationen auch Erfahrungen von vielen anderen Energieversorgern weltweit in die Entwicklung von „StationGuard“ ein. 2018 wurde eine der ersten Proof-of-Concept-Installationen in einer 110-kV-Schaltanlage der CKW integriert und in Betrieb genommen. Bild 3 zeigt die Installation der mobilen Variante von „StationGuard“ auf der MBX1-Plattform im unteren Bereich der Abbildung. In dieser Installation wurde der gesamte Datenverkehr des Haupt-Netzwerkswitches auf „StationGuard“ gespiegelt. Dadurch wird sichergestellt, dass die Kommunikation vom Gateway zu und von allen IED überwacht wird. Da durch diesen Switch auch Fernwartungs-Verbindungen gehen, überwacht „StationGuard“ selbst diesen Verkehr. Darüber hinaus sind auch alle Goose-Nachrichten von allen IED für „StationGuard“ sichtbar, weil die Goose-Kommunikation mittels Multicast auch auf diesem Switch auftaucht.

Cybersecurity, Omicron, StationGuard, Cyberangriff, Cyberangriffe, Schaltanlage, Cybersicherheit, IEC61850, IEC 61850, SCL-Koniguration,, SCL Konfiguration, schutztechnik,
Abbildung 6: Für Feld Q01 aktivierter Wartungsmodus

Verständliche Alarmanzeige

Neben der Vermeidung von Fehlalarmen ist es von entscheidender Bedeutung, dass die angezeigten Alarmmeldungen für die verantwortlichen Schutz- und Leittechnik-Ingenieure klar verständlich sind. Das ermöglicht schnellere Reaktionszeiten, da Fehlalarme oft von Technikern ausgelöst werden, die in der Anlage oder über Fernzugriff arbeiten. Darüber hinaus können dadurch auch IT-Sicherheitsexperten mit den Schutz- und Leittechnikern bei der Analyse von Alarmmeldungen besser zusammenarbeiten. Damit sich Alarme auch besser zu Feldern und Geräten zuordnen lassen, werden sie in „StationGuard“ nicht nur als Alarmliste, wie man es von Firewalls kennt, sondern auch grafisch, in einem „Zero-Line“-Diagramm – eine Übersichtsdarstellung, die mit Station Scout eingeführt wurde – dargestellt. Bild 4 zeigt einen Screenshot der grafischen Alarmanzeige in „StationGuard“: Der Alarm wird als roter Pfeil zwischen dem Gerät (Prüf-PC), der die verbotene Aktion durchführt, und dem „Opfer“ der Aktion – einem Feldleitgerät im Feld Q01 – angezeigt. Bild 5 zeigt die Details dieses Alarms: Es wurde ein Leistungsschalter mit einer MMS-Steuersequenz geschaltet, was für einen Prüf-PC jedoch nicht erlaubt ist.

Wartungsvorgänge berücksichtigt

Um Fehlalarme weiter zu reduzieren, werden in „Station- Guard“ auch routinemäßige Prüf- und Wartungsvorgänge im Systemmodell der Anlage berücksichtigt. Dies bedeutet, dass die Prüfausrüstung, einschließlich der Schutzprüfgeräte, in das Systemmodell einbezogen werden kann. In Bild 6 ist zu sehen, dass der Wartungsmodus für Feld Q01 aktiviert wurde. Nun darf der Prüf-PC aus dem obigen Beispiel mehr tun als zuvor. Es wird beispielsweise kein Alarm ausgegeben, wenn der Prüf-PC den IEC-61850-Test- oder Simulationsmodus des IED -Q1 in diesem Feld schaltet. Es wird allerdings immer noch Alarm ausgelöst, wenn der Prüf-PC einen Leistungsschalter in diesem Feld schaltet, da solche Aktionen für einen Prüf-PC unzulässig sind. Natürlich können diese Regeln geändert werden, wenn die Richtlinien des Unternehmens solche Aktionen zulassen.

Konfiguration des IDS-Systems

Wie bereits erwähnt, ist keine Lernphase erforderlich. Das Erkennen der Anlagenstruktur und Geräte beginnt sofort nach dem Starten des Geräts und kann aus Sicherheitsgründen nicht ausgeschaltet werden. Bis die SCD-Datei der Anlage geladen ist, werden alle IED als unbekannte Geräte dargestellt. Nach dem Laden der SCD-Datei werden die IED und die Anlagenstruktur im „Zero-Line“-Diagramm dargestellt. Die Konfiguration kann auch im Büro vorbereitet und anschließend in einer Anlage nach der anderen schnell in Betrieb genommen werden. Wenn nicht alle IED in einer SCD-Datei zusammengefasst wurden, kann man zusätzliche IED auch einzeln importieren. Nach dem Import hat der Benutzer die Möglichkeit, den verbleibenden unbekannten Geräten Rollen wie „Prüf-PC“ oder „Engineering-PC“ hinzuzufügen.

Was passiert bei einem Alarm?

Es muss beachtet werden, dass „StationGuard“ rein passiv agiert: Ist eine Aktion „nicht erlaubt“, wird ein Alarm ausgelöst. Dieser Alarm kann über das Gateway/RTU (Remote Terminal Unit) an die Leitstelle übermittelt werden. Alternativ können Alarme auch an ein separates System übermittelt werden, das Sicherheitswarnungen sammelt und Security Incident Event Management System (SIEM) genannt wird. Bei der RBX1-Hardwareplattform stehen auch Binärausgänge zur Verfügung, mit denen Alarme unkompliziert an eine RTU weitergegeben werden können. In diesem Fall erfolgt die Alarmmeldung ohne Netzwerkkommunikation und die Alarme können wie jedes andere fest verdrahtete Signal der Anlage in die normale Signalliste der Leitstelle integriert werden.

Cybersicherheit des IDS

In Hollywood-Filmen greifen Einbrecher immer zuerst die Alarmanlage an. Wie steht es also um die Sicherheit dieses Einbruchserkennungssystems? Ein wichtiges Sicherheitsmerkmal ist hier, dass eine eigenständige, sichere Hardware verwendet wird und keine virtuelle Maschine. Beide Hardwarevarianten von „StationGuard“, die 19-Zoll-Variante (RBX1) für die permanente Installation in Schaltanlagen, aber auch die mobile Variante (MBX1), haben dieselbe Plattformhärtung und beide verfügen über einen sicheren
Kryptochip nach ISO/IEC 11889. Dadurch wird sichergestellt, dass kryptografische Schlüssel nicht auf dem Flash- Speicher, sondern auf einem separaten Chip gespeichert werden, der vor Manipulationen geschützt ist. Durch die Installation der Zertifikate von Omicron auf diesem Chip, die während der Produktion vorgenommen wird, entsteht eine sichere, sich gegenseitig verifizierende Bootkette. Das bedeutet, dass jeder Schritt im Boot-up-Prozess der Firmware die Signaturen des nächsten zu ladenden Moduls oder Treibers überprüft. So wird sichergestellt, dass nur Software mit einer Signatur von Omicron ausgeführt und installiert werden kann.

Der Gerätespeicher wird mit einem für diese Hardware eindeutigen Schlüssel verschlüsselt, der im Kryptochip geschützt ist. Da niemand (einschließlich Omicron) diesen Schlüssel kennt, ist es unvermeidbar, dass bei der Reparatur (wenn sie mit dem Austausch von Hardware-Komponenten verbunden ist) alle Daten auf dem Gerät verloren gehen. Sie können dann nicht mehr entschlüsselt werden. Weitere Mechanismen sorgen dafür, dass die Prozesse auf dem Gerät nicht angegriffen oder missbraucht werden können, sodass der Ansatz der „Defense in Depth“ auch tief in die auf dem Gerät laufende Software verfolgt wird. Die Behandlung all dieser Mechanismen wäre Thema für einen eigenen Artikel.

Literatur

[1] Omicron Electronics GmbH, Klaus/Österreich: www.omicronenergy.com

Cybersecurity, Omicron, StationGuard, Cyberangriff, Cyberangriffe, Schaltanlage, Cybersicherheit, IEC61850, IEC 61850, SCL-Koniguration,, SCL Konfiguration, schutztechnik,  Andreas Klien
Andreas Klien leitet den Bereich Power Utility Communications bei Omicron in Klaus/Österreich. andreas.klien@omicronenergy.com
Omicron