Kontrollraum
gen_A / Fotolia
19.09.2018 Fachinformation 118 0

Wir brauchen bessere Zugriffs- und Zugangskontrollen

Die Energienetze der Zukunft vor Attacken zu schützen, wird zunehmend zur Herausforderung: Sowohl Hacker-Angriffe von außen als auch Insider-Manipulationen von innen gefährden die Zuverlässigkeit der Stromversorgung. Im Interview erklärt Professor Karl Christoph Ruland, Leiter des Lehrstuhls für Digitale Kommunikationssysteme an der Universität Siegen, wo genau die Schwachstellen liegen, wie sich diese schützen lassen und welche Rolle Security by Design sowie Blockchains dabei spielen.

Kontakt

VDE-Pressestelle
Downloads + Links
Porträt Prof. Karl Christoph Ruland

Prof. Karl Christoph Ruland: „Wenn ein Rechner mal nicht läuft, dann ärgern sich zwar die Mitarbeiter im Büro. Wenn aber eine Transaktion im Energiebereich nicht durchgeführt werden kann, hat das möglicherweise schwerwiegende Folgen – bis hin zum Stromausfall."

| Universität Siegen

Was ist das Besondere, wenn es um die IT-Security in der Energieversorgung geht?

Ruland: Das Besondere ist, dass wir es in der Energieversorgung mit zwei Netzen zu tun haben: Das eine ist das Energienetz, das aus den Stromleitungen besteht. Das zweite dient der Steuerung des Energienetzes. Ich kann mich noch erinnern: In den 1960-er Jahren gab es Attacken auf Strommasten, um die Energieversorgung zu stören. Wer heute die Energieversorgung lahmlegen möchte, greift das Steuerungsnetz an.

Das heißt, wir reden hier von einem Smart Grid?

Ruland: Richtig, von Netzen mit einer intelligenten Steuerung, die sehr komplex ist. Denn jeder Teilnehmer ist nicht nur Verbraucher, sondern kann auch Erzeuger sein. Hinzu kommt: In einem Moment wird in einer Region sehr viel Strom erzeugt, und in einer anderen weniger. Das kann sich innerhalb kurzer Zeit auch wieder ändern. Darauf müssen Netzbetreiber immer intelligent reagieren.

Aber was genau ist der Unterschied zur klassischen IT-Sicherheit?

Ruland: Wir unterscheiden hier zwischen IT- und OT-Sicherheit – also Operational Technology. Bei der IT-Sicherheit müssen Daten geschützt werden. Wenn ein Schaden entdeckt wird, kann dieser häufig im Nachhinein wieder behoben werden. Bei der OT werden zwar auch Daten übertragen. Doch hier geht es um eine Prozesssteuerung. Wenn dabei etwas schief läuft, gibt es irreparable Schäden, weil die Energieversorgung zusammenbrechen kann. Das kann auch Leben gefährden. Es hängt somit auch die Safety – also die funktionale Sicherheit – von der Sicherheit des Netzes ab.

Wo genau liegen die Schwachstellen?

Ruland: Durch die Vernetzung gibt es viele Zwischenstationen, an denen Daten gesammelt, verarbeitet und neue Kommandos weitergegeben werden. Das heißt: Es entstehen Transaktionsketten. Am Ende dieser Ketten ist aber nicht mehr klar, von wem das ursprüngliche Kommando kam. Wenn etwas passiert, muss aber klar sein: Wo war die Quelle der Transaktion? Und welche Zwischenstation wurde kompromittiert? Wo ist das Loch in der Befugniskette?

Woher kommen die meisten Attacken?

Ruland: Bisher hat man sich auf externe Angriffe konzentriert. Aber das reicht nicht mehr aus. Denn außer den Externen gibt es auch Insider – also Leute, die die Protokolle und Zugangsmöglichkeiten kennen. Um das Energienetz zu schützen, muss kontrolliert werden, wer welche Befugnisse hat. Also: Darf er genau diesen Parameter setzen? Darf er diesen Parameter im aktuellen Systemzustand setzen? Wir brauchen hier deutlich bessere Zugriffs- und Zugangskontrollen.

Damit sind wir bei den Schutzmaßnahmen: Wie lässt sich die Sicherheit des Energienetzes umsetzen?

Ruland: Dazu bedarf es einer Sicherheitsinfrastruktur – unter anderem mit Zertifikatsservern und Attributszertifikats-Servern. Diese schaffen die Voraussetzung, Zugriffsmöglichkeiten zu regeln. Schließlich gibt es im Energienetz der Zukunft sehr viele Player. Und es muss geregelt sein, wer von diesen wann welche Zugriffsrechte hat.

Was heißt das konkret?

Ruland: Eine solche Infrastruktur braucht eine Policy. Diese enthält Regeln, auf deren Basis entsprechende Rechte vergeben werden. Diese Berechtigungen entscheiden, wer Zugang zu den Steuer- und Leitstationen erhält und was er dabei machen darf. Das sind die sogenannten Attributszertifikate, die als Zusatz zu einem normalen Zertifikat zum Beispiel vom Betreiber ausgestellt werden. Die Zertifikate werden dann an die im Netz installierten Firewalls oder an die Geräte verteilt. Bei einem Zugriff kann dann kontrolliert werden, ob dieser erlaubt ist.

Das klingt recht aufwändig?

Ruland: Der große Aufwand besteht darin, die Zertifikate auszustellen und zu verwalten. Hier entstehen auch die höchsten Kosten. Wenn der Firewall nur vertrauenswürdige Informationen vorliegen, ist die Zugangsentscheidung recht einfach.

In den bestehenden Netzen gibt es viele Altsysteme, die noch nicht mit Sicherheitstechnologien wie Firewalls ausgerüstet sind.

Ruland: Das ist richtig. Für die Altsysteme besteht die Möglichkeit, Geräte – also spezielle Firewalls – davor zu schalten. Diese kontrollieren dann die Kommandos für das Gerät, das sich dahinter befindet.

Wenn solche Funktionen schon von Beginn an im Gerät installiert sind, werden solche Konstrukt überflüssig. Inwiefern ist Security by Design entscheidend für die Absicherung kritischer Infrastrukturen wie die Energienetze?

Ruland: Sie ist notwendig. Technologien, die bei Altgeräten vorgeschaltet werden, müssen bei den neuen Systemen von Anfang an in der Produktentwicklung berücksichtigt werden. Zu Security by Design gehören auch Hardware-Aspekte. Wenn eine Station unbemannt ist und nicht klar ist, wer Zugang zu dieser hat, dann ist auch sichere Hardware gefordert.

Welche weiteren Maßnahmen gibt es, um die Steuerung des Energienetzes zu schützen?

Ruland: Wichtig sind auch Monitoring und Logging – also das Mitprotokollieren von Zuständen/Vorfällen im Netz. So lässt sich einerseits nach einem Zwischenfall nachverfolgen, was genau geschehen ist. Andererseits lassen sich die aufgezeichneten Daten für Intrusion-Detection-Systeme nutzen. Solche Systeme überwachen die gesamte Kommunikation in den Transaktionsketten und melden, wenn sie etwas Verdächtiges bemerken.

Auch das klingt nicht trivial.

Ruland: Das ist es auch nicht. Die gesammelten Daten werden in die Cloud geleitet. Dort können sie mit Blockchains gespeichert werden. Auf diese Weise sind die Daten sicher vor Manipulationen.

Sind solche Blockchain-Lösungen schon im Einsatz?

Ruland: Wir am Lehrstuhl für Digitale Kommunikationssysteme an der Universität Siegen arbeiten gerade an einer solchen Lösung. Dazu suchen wir derzeit noch Mitstreiter aus der Industrie, denn für unsere Tests brauchen wir reale Geräte von den Herstellern.

Intrusion Detection gibt es auch in anderen IT-Sicherheitskonzepten. Werden für den Schutz der Energieversorgung die gleichen Technologien eingesetzt wie in der klassischen IT?

Ruland: Im Grunde ist es die gleiche Technik, allerdings sind die Anforderungen an die Security-Systeme im Energiebereich höher. So müssen die Systeme echtzeitfähig sein. Bei Statusmeldungen über Kurzschlüsse beispielsweise darf es keine Zeitverzögerung geben. Diese müssen mit höchster Priorität gesendet werden. Außerdem ist Robustheit gefordert. Wenn es zu Störungen bei den Security-Technologien kommt, müssen diese möglichst schnell behoben werden. Die Verfügbarkeit der Netztechnologien darf nicht reduziert werden, nur weil in den Security-Protokollen etwas nicht schnell genug funktioniert. In der Office-IT ist das in der Regel anders: Wenn ein Rechner mal nicht läuft, dann ärgern sich zwar die Mitarbeiter im Büro. Wenn aber eine Transaktion im Energiebereich nicht durchgeführt werden kann, hat das möglicherweise schwerwiegende Folgen – bis hin zum Stromausfall.