eJournals Transforming cities 8/1

Transforming cities
tc
2366-7281
2366-3723
expert verlag Tübingen
10.24053/TC-2023-0004
36
2023
81

Keine Chance für Manipulation und Sabotage

36
2023
Tommy Göring
Kai Nürnberger
Jochen Sauer
Informations- und Kommunikationstechnologie spielen bereits in den heutigen Energieversorgungsnetzen eine zentrale Rolle. Durch die fortschreitende Digitalisierung unter Einbindung aller wesentlichen Erzeugungs-, Übertragungs-, Transformations- und Verbrauchsstrukturen ergeben sich viele Vorteile, aber auch neue Angriffsvektoren.
tc810010
10 1 · 2023 TR ANSFORMING CITIES PRAXIS + PROJEKTE Energie Manipulation oder Sabotage von schwächer gesicherten peripheren Elementen - wie Umspannwerken - können als Einstiegspunkt für Cyberangriffe zu einer großflächigen Beeinträchtigung der Energieversorgung führen. Entsprechende Vorfälle wurden schon dokumentiert, wobei die Auswirkungen noch weitgehend lokal sind. Es bedarf daher stärker integrierter Sicherheitskonzepte, die Daten und Informationen aus der Überwachung betrieblicher Prozesse, dem Perimeterschutz und der IT-Sicherheit für diese Liegenschaften zusammenführen. Faktisch geht es um ein Frühwarnsystem, das bei Seitenangriffen auf die Netzintegrität ebenfalls geeignete Sicherheitsmechanismen zur Schadensminimierung auslöst. Die Bedrohungslage ist ernst zu nehmen, wie verschiedene Veröffentlichungen zur Cyberkriminalität und zum Status der IT-Sicherheit in Deutschland nahelegen. Deshalb sollten Behörden, Industrie und Forschung diese Thematik schnell und umfassend angehen. Schutz der Liegenschaften gegen unbefugtes Eindringen Mit zunehmender Sensibilisierung für die Sicherheit von Steueranlagen in kritischen Infrastrukturen - wie Energieversorgungsnetzen - und immer besseren Lösungen zu deren Absicherung wird der Aufwand für die externe technische Manipulation der Netzsteuersysteme größer. Es scheint naheliegend, dass designierte Angreifer nach weiteren Schwachstellen im Gesamtsystem suchen, die ihnen einen unbemerkten Zugriff auf die IT-Systeme und Netzwerke ermöglichen. Häufig entfalten erfolgreiche Angriffe ihre Wirkung zeitverzögert und sind dann nur unter Inkaufnahme erheblicher Schäden zu beheben. Bei der forensischen Analyse und Bereinigung der Systeme lassen sich nachträglich der Tathergang, die betroffenen Systeme und die abgeflossenen Daten mehr oder weniger gut ermitteln. Dabei treten wiederholt auch ungewöhnliche betriebliche Daten und außerordentliche Systemzugriffe zu Tage. Gleiches gilt für ein auffälliges Verhalten von Personen, die bereits zum Ereigniszeitpunkt eine drohende Gefahr vermuten ließen, jedoch unerkannt, unbeachtet oder falsch interpretiert blieben. Der Kern des Problems liegt in den größtenteils unabhängig arbeitenden Über wa chung smechanismen , die jeweils lediglich bestimmte Facetten des Gesamtsystems Keine Chance für Manipulation und Sabotage Absicherung dezentraler Energieversorgungseinheiten Tommy Göring, Kai Nürnberger, Jochen Sauer Informations- und Kommunikationstechnologie spielen bereits in den heutigen Energieversorgungsnetzen eine zentrale Rolle. Durch die fortschreitende Digitalisierung unter Einbindung aller wesentlichen Erzeugungs-, Übertragungs-, Transformations- und Verbrauchsstrukturen ergeben sich viele Vorteile, aber auch neue Angriffsvektoren. Bild 1: Umspannwerk sowie dezentrale Energieerzeugung durch Windenergie- und Photovoltaikanlagen- © Phoenix Contact 11 1 · 2023 TR ANSFORMING CITIES PRAXIS + PROJEKTE Energie betrachten. Selbst bei richtig antizipierter Bedrohungslage könnten sie kaum adäquate Schutzmaßnahmen einleiten, da geeignete Werkzeuge zur Kollaboration zwischen den unterschiedlichen Verantwortungsbereichen fehlen. Das soll nicht bedeuten, dass Cyberangriffe von außen - wie Distributed- Denialof-Ser vice - Angriffe aus dem Internet - in ihrer Bedeutung abnehmen würden. Diese erfordern keine physische Präsenz, sind einfach skalierbar und erfolgen in der Regel aus anderen Rechtsräumen. Der Umweg über das physische Vordringen auf kritische Liegenschaften, um unmittelbar vor Ort Angriffe ausführen zu können, ist ein zusätzlicher Aspekt, der mehr Bedeutung erlangen wird. Insbesondere, weil die IT-Netzwerke nach außen relativ gut geschützt sind, während eine konsequente Umsetzung von internen Sicherheitsmaßnahmen - etwa nach dem Defence-in-Depth-Prinzip - häufig noch lückenhaft ist. Somit kann ein Angreifer innerhalb des Netzwerks seine Zugriffsrechte systematisch ausweiten, um schließlich den geplanten Angriff durchzuführen. Hier sollte die Bedrohung durch Innentäter oder das sogenannte Spear-Phishing ebenfalls nicht unterschätzt werden. Spear-Phising besagt, dass Personen mit berechtigtem Zugriff innerhalb des Netzwerks ungewollt zu Mittätern werden. Kopplung von Automatisierungssystem und Sicherheitstechnik Es bestehen gute technische Voraussetzungen zur Zusammenarbeit bei der Gefahrenabwehr. Für den Betrieb der elektrischen Anlagen eines Umspannwerks wird schon heute umfassend netzwerkbasierte Automatisierungstechnik eingesetzt, die ihre Informationen an die Leittechnik sendet. Von dort gibt es oft nur eine Kommunikationsschnittstelle zur übergeordneten Netzleittechnik, über die die einzelnen elektrischen Anlagen gesteuert werden. Ein zuverlässiger Betrieb der Anlage wird durch verschiedene Monitoring- und Steuerungsmechanismen sichergestellt, die den Betreiber im Fehler- und Ereignisfall alarmieren. Aktuell arbeiten das Automatisierungssystem und die Sicherheitstechnik in einer Anlage jedoch weiterhin als getrennte Systeme. Die Automatisierungstechnik kann einen Beitrag zur Einschätzung von sicherheitsrelevanten Ereignissen leisten. Beide Systeme nutzen die gleiche Netzwerktechnologie zur Kommunikation. Dadurch lassen sich Informationen, wie Alarm- und Zustandsmeldungen beider Anlagenteile, in einem übergeordneten System zusammenfassen. Beispielsweise könnten das Öffnen einer Schaltschranktür sowie der Ausfall einzelner Geräte oder ganzer Anlagenteile sicherheitsrelevante Informationen darstellen, die nicht nur auf einen fehlerhaften Betrieb der Anlage, sondern auf ein höheres Sicherheitsrisiko hindeuten. In ähnlicher Weise lassen sich Hinweise auf drohende Gefahren für das IT-System aus der IP-basierten Videosicherheitstechnik des Perimeters oder der Liegenschaft ableiten. Als Beispiel sei ein auffälliges Verhalten vermeintlicher Lieferanten oder Dienstleister auf einer Liegenschaft genannt, die sich unerlaubt kritischen Bereichen nähern. Bei einer entsprechenden Eskalation der Gefahr sollten auch derartige Informationen in das Sicherheitsmanagement einfließen. Es geht nicht um die Substitution von Sicherheitskomponenten, vielmehr um die echtzeitnahe Erfassung, Konsolidierung und Auswertung heterogener Daten. So können rechtzeitig Maßnahmen zum Schutz der vernetzten IT- Systeme eingeleitet und flächendeckende Auswirkungen lokaler Ereignisse verhindert werden. Darüber hinaus kann die Korrelation der unterschiedlichen Datenquellen den Anteil an falsch-positiven Meldungen reduzieren helfen und exaktere Reaktionen auf tatsächliche IT-Sicherheitsvorfälle ermöglichen. Eine wesentliche Hürde auf diesem Weg stellen organisatorische und prozessuale Gegebenheiten dar. Konkret handelt es sich um fragmentierte Verantwortlichkeiten, ein unvollständiges Lagebild und mangelhafte Werkzeuge zur Kollaboration bei der Gefahrenabwehr. Zusammenführung der Daten zu einem gemeinsamen Lagebild Die sensiblen Bereiche von Unternehmensnetzwerken sind in der Regel gut gesichert. Angreifer könnten ihr Vorgehen daher variieren und über periphere Infrastrukturelemente in die IT- Netzwerke eindringen. Durch den Aus- und Umbau der Energieversorgung in Deutschland - stark dezentralisierte Erzeugung, räumlich entkoppelter Verbrauch, digitale Vernetzung und Steuerung - entstehen nun reale Gefahren aufgrund neuer Angriffsvektoren, da zum Beispiel unbemannte Umspannwerke an das Netzwerk angebunden sind. Die physische Sicherung dieser peripheren Elemente entspricht nicht dem Niveau von Rechenzentren, weil die dokumentierten Straftaten meist Buntmetall- oder Werkzeugdiebstahl betreffen. Dies sind keine Bagatellen, aber die Auswirkungen räumlich begrenzt und relativ gut zu bewältigen. 12 1 · 2023 TR ANSFORMING CITIES PRAXIS + PROJEKTE Energie Festzuhalten bleibt allerdings, dass die vorhandenen Sicherheitsmaßnahmen - wie Zäune oder Hochspannungs-Warnschilder - bei entsprechender krimineller Energie keine wirkliche Abschreckung bilden. Es ist nicht zu erwarten, dass das bei einem geplanten Angriff auf das geschützte Kernnetzwerk anders aussieht. Die negativen Effekte wären jedoch erheblich. Statt eines lokalen Stromausfalls könnten ein großflächiger Blackout oder der Abfluss sensibler Daten die Folge sein. Es muss also über eine erweiterte Risikobetrachtung und geeignete Schutzmechanismen nachgedacht werden. Das ist eine große Herausforderung, denn Vorfälle in entfernten peripheren Elementen können sich durch die Vernetzung auf das gesamte IT- Netzwerk der Energieversorger auswirken. Der Lösungsansatz hierfür liegt in der Koppelung der Liegenschaftsüberwachung, betrieblichen Kontrollsysteme und IT- Sicherheitssysteme durch die Zusammenführung der Daten in einem gemeinsamen Lagebild. Beispielweise können Informationen über verdächtige Vorfälle auf der Liegenschaft oder in den betrieblichen Anlagen die Intr u s ion - D e te c tion - Sy s te m e gezielt auf die vertiefte Analyse des Datenverkehrs betroffener IT-Komponenten hinweisen. Eine weitergehende Maßnahme wäre die automatisierte Entkoppelung der IT-Anbindung bis zur Klärung des Vorfalls. Eine solche Lösung erfordert folgende Schritte:  Detektion und Klassifikation der relevanten Vorfälle vor Ort in der Peripherie  logische Verknüpfung zur Ableitung potenzieller Auswirkungen, um auf die Relevanz für die IT-Sicherheit zu schließen  Übertragung der bedeutsamen Informationen in ein Security Information and Event Management (SIEM) des Energieversorgers  Durchführung von Maßnahmen in der IT-Sicherheit (intensiviertes Monitoring oder Kappung des Datenverkehrs) sowie physische Sicherheitsmaßnahmen vor Ort  Sicherung der relevanten Daten und Informationen aus der Peripherie und IT-Infrastruktur zur Dokumentation in möglichen Strafverfahren Das unmittelbare Zusammenwirken zwischen physischer Sicherheit und IT-Sicherheit ist hier essenziell. Erst in dem kombinierten Lagebild wird die Bedrohung in ihrem vollen Umfang sichtbar und kann entsprechend adressiert werden (Bild 2). PoE-Switch zur Überwachung aller Kameraverbindungen Eine wesentliche Aufgabe besteht darin, die Daten aus den verschiedenen Bereichen einer Anlage sinnvoll zu verknüpfen und die nützlichen Informationen einem übergeordneten System zur Verfügung zu stellen. Selbst wenn sich ein Umspannwerk als eine Anlage ansehen lässt, werden die Automatisierungs- und Sicherheitstechnik sowie das Netzwerk für die Videosicherheitstechnik oft separat geplant und installiert. Im späteren Betrieb des Umspannwerks haben die einzelnen Bereiche meist keine direkte Kommunikationsverbindung zueinander. An dieser Stelle schaffen intelligente Netzwerkkomponenten wie die Smart Camera Box Abhilfe. Der nach dem All-in-One-Prinzip entwickelte PoE-Switch für den Outdoor-Bereich wird zur Verbindung der Netzwerkteilnehmer - wie IP-Kameras - mit dem Server eingesetzt. Die Smart Camera Bild 3: Smart Camera Box: PoE-Switch für den Outdoor- Einsatz, gemäß All-in-One-Prinzip, zur Videoüberwachung und für andere Ethernet- Anwendungen. © Phoenix Contact Bild 2: Schema eines integrierten Sicherheitsmonitorings in Energieversorgungsnetzen. © Phoenix Contact 13 1 · 2023 TR ANSFORMING CITIES PRAXIS + PROJEKTE Energie Box überwacht eigenständig die Verbindung zu den einzelnen Kameras - ganz gleich, ob Anschlusskabel durchtrennt werden, um Kameras auszuschalten, oder die Tür des Gerätes durch Unbefugte geöffnet wird. Die Box steht im ständigen Austausch mit dem Videomanagementsystem und ermöglicht ein aktives Monitoring aller Komponenten eines Systems. Für die logische Verknüpfung zur Ableitung potenzieller Auswirkungen gibt es Lösungen aus der Forschung zur digitalen Prozessunterstützung, die sich adaptieren lassen. Ähnlich den Abhängigkeiten für das Eintreten von Planabweichungen in Prozessen oder der Koordination knapper Ressourcen können auch logische Abhängigkeiten für Detektionen des Perimeterschutzes hinterlegt werden. Je spezifischer die Informationen an das SIEM-System weitergegeben werden, desto gezielter kann die Reaktion erfolgen. Genauso verhält es sich in der physischen Welt für die Intervention des Perimeterschutzes. Wie so häufig bei Überwachungslösungen gilt es, Alarme frühzeitig auszulösen und Falschalarme auf ein Minimum zu reduzieren. Formulierung erweiterter gesetzlicher Anforderungen Der unmittelbare Nutzen stärker integrierter Sicherheitslösungen unter Auswertung unterschiedlicher Daten- und Informationsquellen besteht in einem verbesserten Lagebewusstsein hinsichtlich der Gefahrensituation. Weitere Vorteile resultieren aus den längeren Vorwarnzeiten zur Einleitung von Gegenmaßnahmen sowie einem breiteren Instrumentarium zum Schutz der Systeme respektive zur Minimierung der Auswirkungen von Angriffen. Dazu ist eine erweiterte Risikobetrachtung unter Einbeziehung aller wichtigen Systemelemente in der Energieversorgung und möglicher Schutzmaßnahmen erforderlich. Die derzeit implementierten Lösungen spiegeln diesen Gedanken nur bedingt wider. Die Konzeption und Realisierung komplexer Lagebilder für Sicherheitsanwendungen in hochvernetzten Umgebungen ist Forschungsgegenstand. Es gibt jedoch bereits Erfahrungen aus anderen Anwendungsdomänen, die sich verwenden lassen. Schwieriger erscheint es, den Weg für die Bereitstellung und Nutzung der notwendigen Daten zu ebnen und ein flexibles Instrumentarium zur Reaktion auf identifizierte Bedrohungen zu entwickeln. Weiterhin müssen rechtliche Aspekte bei der erweiterten Zusammenarbeit von Energieversorgern, Netzbetreibern und Sicherheitsdienstleistern berücksichtigt werden. Perspektivisch könnte die Formulierung erweiterter gesetzlicher Anforderungen zum Betrieb von Anlagen zur Erzeugung, Übertragung, Transformation und Steuerung von Energie mehr Orientierung bieten. Mit Blick auf die voranschreitenden Veränderungen in der Energieversorgung und den sich daraus ergebenden Risiken erweist sich die Bearbeitung dieses Themas als unerlässlich. Mehr Informationen: Webcode: #2458 Als Videosicherheitssystem wird heute das Zusammenspiel von IP-Überwachungskameras sowie dem Videoserver und der Videomanagementrespektive Analysesoftware betrachtet. Die Infrastruktur zur Verbindung und Versorgung dieser einzelnen Systemteile erscheint meist als eigener Anlagenteil. Doch auch die Netzwerkkomponenten können dem Sicherheitssystem relevante Informationen liefern (Bild 3). Bei der Smart Camera Box handelt es sich um einen gemanagten PoE-Switch (Power-over- Ethernet), der Geräte wie IP-Kameras an das Netzwerk ankoppelt und gleichzeitig mit Spannung versorgt. Der PoE-Switch kann verschiedene Anlagenzustände, Veränderungen und Ereignisse überwachen und dem Videomanagementsystem als Meldung über das vorhandene Netzwerk mitteilen:  Das unbefugte Öffnen der Gerätetür sowie das Freilegen der Verkabelung und Ethernet-Ports führt zu einem sofortigen Sabotagealarm.  Falls das Kameraanschlusskabel durchtrennt wird oder einzelne Kameras ausfallen, erfolgt eine entsprechende Meldung.  Der zeitweilige Ausfall von Kameras und anderen PoE-Geräten lässt sich anhand der erfassten Spannungsverläufe rekonstruieren.  Defekte Zusatzmodule - wie Überspannungsschütze - werden vom PoE-Switch erkannt und gemeldet. ÜBERWACHUNG VON ANLAGENZUSTÄNDEN, VERÄNDERUNGEN UND EREIGNISSEN Tommy Göring Strategisches Produktmarketing im Bereich Communication Interfaces Phoenix Contact Electronics GmbH Kontakt: tgoering@phoenixcontact.com Dr. Kai Nürnberger Mitglied der Institutsleitung Fraunhofer FKIE Kontakt: kai.nuernberger@fkie.fraunhofer.de Jochen Sauer Architect & Engineering Manager Axis Communications GmbH Kontakt: jochen.sauer@axis.com AUTOREN