Das IDS wurde nach Unternehmensangaben speziell für das rechtzeitige Erkennen von Cyber-Angriffen auf Schaltanlagen entwickelt. Können Sie die zugrunde liegende Problematik aus Sicht des Kunden an einem Beispiel näher erläutern?

Andreas Klien, Omicron: Die Anforderungen an Security-Lösungen für Schaltanlagen und die klassische IT unterscheiden sich stark. In Schaltanlagen gibt es kein Plug-and-Play, sondern fix vordefinierte, stellenweise proprietäre, Netzwerke.

Auch in einer modernen Schaltanlage mit IEC 61850 ist klar vordefiniert, wer mit wem was kommuniziert. Und das bleibt in dieser Anlage so, über Jahre hinweg. Wenn diese Kommunikation beeinträchtigt wird, fallen wichtige Steuerungs- und zum Teil auch Schutzfunktionen aus.

Angriffe haben gezeigt, dass vor allem Wartungsprozesse ein Risiko darstellen.

— Andreas Klien Omicron

Per se ist die Risikobewertung eines Netzes nichts Neues. Was macht die Risikobewertung im digitalen Zeitalter aus?

Zur normalen Risikobewertung kommt nun noch die Risikobewertung von Cyber-Bedrohungen hinzu. Diese beschäftigt sich mit Angriffsvektoren: Wie könnte ein Angreifer oder eine Schadsoftware bis in die Schaltanlage vordringen? Welches davon ist für einen Angreifer der Pfad mit dem geringsten Aufwand oder der geringsten Schwierigkeit?

Hier ist für den Betreiber der erste Ansatzpunkt. Bisher endeten diese Risikobewertungen in der Leitstelle. Schaltanlagen wurden meist auch von Security-Auditoren ausgeklammert, weil sie zum Beispiel über serielle Verbindungen an die Leitstelle angebunden sind. Mittlerweile haben Angriffe aus der jüngsten Vergangenheit gezeigt, dass vor allem die Wartungsprozesse ein Risiko darstellen. Die Diagnosen werden mittels Remote-Verbindungen durchgeführt oder kritische Geräte mit Bürolaptops parametriert. Beides sind Vektoren, die in der Vergangenheit schon von Angreifern benutzt wurden.

Unter anderem analysieren Sie den Netzwerkverkehr in Schaltanlagen. Worauf kommt es dabei ganz besonders an, und was unterscheidet diese Analyse von herkömmlichen IT-Netzen?

Die Analyse des Netzes zum Schutz vor Cyber-Angriffen erfolgt optimalerweise mit einem Intrusion Detection System, kurz IDS. Ein effektives und effizientes IDS muss die im Netz verwendeten Protokolle nicht nur auf ›Rechtschreibfehler‹ prüfen können, es muss vielmehr auch verstehen, was da inhaltlich übertragen wird.

VITA

Andreas Klien

Seit 2018 leitet er den Bereich Power Utility Communications bei Omicron mit Sitz in Klaus in Vorarlberg.

Seine Schwerpunktthemen sind Kommunikation in Schaltanlagen, Leittechnik und Cyber Security in Energiesystemen.

Als Mitglied der WG10 im TC57 der IEC arbeitet er an der Normenreihe IEC 61850 mit.

Ansonsten können viele Angriffsszenarien vom IDS gar nicht erkannt werden. Ein tieferes Verständnis der Vorgänge in der Anlage ist auch deshalb notwendig, damit das IDS einfache und verständliche Alarmmeldungen liefern kann, die nicht kryptisch sind.

Das IDS muss dabei auch die routinemäßigen Prüf- und Wartungshandlungen verstehen, um die Betreiber in solchen Fällen nicht mit Fehlalarmen zu überfluten.

Wo liegen die Chancen und Grenzen der Digitalisierung im Netzbetrieb?

Es gibt Kritiker, die würden aufgrund der Cyber-Bedrohungen am liebsten die Digitalisierung in Schaltanlagen auf herkömmliche Kupfer-Verkabelungen zurückbauen.

Wenn man sich etwas mit den Angriffsvektoren einer Schaltanlage beschäftigt, stellt sich jedoch heraus, dass dann trotzdem noch viele Angriffsvektoren bestehen bleiben würden, sofern man nicht auf elektromechanische Schutzgeräte umsteigt.

Wer moderne Schutztechnologie einsetzt, kann beziehungsweise muss auch moderne Cyber-Security-Mechanismen einsetzen. Dadurch lässt sich ein effizienter Schutz erreichen und es muss trotzdem nicht auf moderne Schutz- und Leittechnik verzichtet werden. hd