Wie Netzbetreiber ihre Fernwirknetze effektiv gegen Anomalien schützen


Netzbetreiber stehen vor den Herausforderungen, sowohl neuen gesetzlichen Maßgaben zum Schutz ihrer IT-Infrastrukturen nachzukommen, als auch den destabilisierenden Effekten der zunehmenden Vernetzung ihrer Fernwirknetze Rechnung zu tragen.Ein sächsischer Netzbetreiber antwortete Anfang 2017 mit einer IT-Sicherheitsstrategie, die drei wesentliche Aufgaben im Fokus hat:

  1. Vollständige Transparenz des Fernwirknetzes herstellen
  2.  Missbrauch der Fernwartungszugänge erkennen
  3.  Restrisiko durch Cyberangriffe minimieren

Über eine API-Schnittstelle sollten die Analyseergebnisse zudem in die bestehenden Prozesse im Leitstand integriert werden.

Transparenz, Compliance und Kontrolle

Visualisierung der Anomalieerkennung

Entscheidendes Ergebnis der industriellen Anomalieerkennung ist die vollständige Transparenz des Netzwerkes. Die Abbildung zeigt alle im Netzwerk existierenden Akteure samt Vernetzung untereinander. ©Rhebo

Im Rahmen der Sicherheitsstrategie installierte der Netzbetreiber 2017 eine industrielle Anomalieerkennung. Im Gegensatz zu gängigen IT-Sicherheitstechnologien wird damit lückenlos jede Veränderung oder Anomalie im Netzwerk detailliert gemeldet. Dadurch werden für den Netzbetreiber neben den bekannten Schadprogrammen erstmals auch unbekannte Angriffe sowie Netzwerkprobleme und Kommunikationsfehler angezeigt. Die Anomalieerkennung liefert seitdem zuverlässig und detailliert Antworten zu Kernfragen der Überwachung von Fernwirk- und Netzleittechnik. Dazu gehören:

  • neue Kommunikationsteilnehmer;
  • neue Kommunikationsverbindungen zwischen Komponenten;
  • neue Protokolltypen;
  • Veränderungen von Autorisierungen oder Befehlen zwischen Komponenten;
  • Veränderungen der Kommunikationsflüsse und -häufigkeiten.

Alle Fragen zielen auf Hinweise für Fremdzugriffe und Manipulationsversuche. Zusätzlich werden mit dem letzten Punkt interne Probleme bei der Netzkommunikation wie z. B. durch sporadische Verbindungsausfälle oder Kapazitätsengpässe aufgedeckt. Jede Anomalie wird inklusive aller Rohdaten (im PCAP-Format) für eine spätere forensische Analyse gespeichert. Die Meldungen erhalten zudem eine Risikobewertung (»Risk Score«). So können Meldungen nach deren Risikopotential gefiltert und priorisiert behandelt werden.

Die Anomalieerkennung gewährleistet dem Netzbetreiber seitdem:

  • volle Transparenz über alle Teilnehmer und Vorgänge im eigenen Fernwirknetz;
  • die detaillierte Echtzeitmeldung jeder Anomalie im Fernwirknetz;
  • effiziente Handlungsfähigkeit durch Risk Score und Integration in bestehende Backend-Systeme;
  • die Einhaltung der Meldepflicht.

Schlussendlich kann der Netzbetreiber durch die industrielle Anomalieerkennung das Sicherheitsniveau seines Fernwirknetzes signifikant erhöhen und ist auf zukünftige Herausforderungen bestens vorbereitet.

Über den Autor:

Klaus Mochalski ist CEO der Rhebo GmbH.
[Sponsored Article]