Von der Risikoanalyse zur Maßnahme: Durchführung effektiver OT-Sicherheitsaudits in Umspannwerken
Prayukth K V
5. Juni 2025
Von der Risikobewertung zur Aktion: Durchführung effektiver OT-Sicherheitsaudits in Umspannwerken (mit praktischer Checkliste)
In der sich entwickelnden Cyber-Bedrohungslandschaft haben Umspannwerke, kritische Knoten im elektrischen Netz, sich als hochwertige Ziele für Cyberangreifer herausgestellt. Da Umspannwerke zunehmend digitalisiert werden mit Intelligent Electronic Devices (IEDs), SCADA-Integration und IP-fähiger Kommunikation, hält das traditionelle Sicherheitsmodell durch Isolation (auch als Air Gap bekannt) nicht mehr. Um dem entgegenzuwirken, sind Operational Technology (OT) Sicherheitsaudits nun unerlässlich, um Schwachstellen zu bewerten, die Einhaltung (z. B. mit CEA- oder NERC-CIP-Standards) durchzusetzen und die Cyber-Abwehr auf Umstationsebene zu stärken.
Der heutige OT-Sicherheitsblog untersucht die Anatomie eines effektiven CPS/ICS-Sicherheitsaudits in Umspannwerken, bricht Phasen, technische Prioritäten herunter und endet mit einer praktischen Checkliste für Praktiker.
Bitte kontaktieren Sie uns, falls Sie Fragen haben.
Warum Umspannwerks-OT-Sicherheitsaudits entscheidend sind
Bedrohungskonvergenz
Staatliche Akteure, Ransomware-Gruppen und Cyberkriminelle zielen zunehmend auf Umspannwerke ab, da sie als Verstärker des Stromnetzes fungieren und große Regionen bei einem Kompromiss beeinträchtigen können. Angriffe wie Industroyer und BlackEnergy haben gezeigt, wie Protokollmissbrauch (wie IEC 60870-5-101 oder IEC 61850) Schutzrelais oder Schaltgeräte stören kann.
Bedrohungen können auch über längere Zeit in Umspannwerken unentdeckt bleiben.
Altsysteme in einer digitalen Welt
Umspannwerke basieren oft auf jahrzehntealter Infrastruktur, die nun mit modernen IT-Systemen verbunden ist. Geräte wie RTUs, PLCs und Schutzrelais wurden nicht mit Sicherheit im Sinn entwickelt und erfordern eine mehrschichtige Absicherung.
Regulatorische Treiber
Die Einhaltung von Standards wie OTCC, NIS2, CEA Cybersecurity-Richtlinien, NERC CIP und IEC 62443 verlangt zunehmend proaktive Bewertungen, Risikominderungspläne und Nachweise der Widerstandsfähigkeit.
Phasen eines effektiven OT-Sicherheitsaudits in Umspannwerken
Phase 1: Planung und Festlegung des Umfangs vor dem Audit
Bevor Werkzeuge bereitgestellt oder Protokolle gesammelt werden, müssen Auditoren:
· Umfangsgrenzen identifizieren: Definieren, ob das Audit primäre Umspannwerke, Verteilungsumspannwerke oder beides abdeckt.
· Den Umfang mit IEC 62443 abstimmen
· Alle OT-Vermögenswerte katalogisieren: IEDs, PLCs, RTUs, serielle zu IP-Gateways, Switches, Firewalls und HMI-Systeme einbeziehen.
· Interdisziplinäre Teams einbinden: Elektronikingenieure, Eigentümer von Steuerungssystemen, Cybersicherheitsteams und Anbieter einbeziehen.
· Die Ziele der Risikobewertung klar festlegen
· Die Netzwerkarchitektur verstehen: Aktualisierte Topologiediagramme anfordern oder erstellen, einschließlich VLANs, Protokollen und Vertrauenszonen.
· Mit einem OT-Sicherheitsspezialisten wie Shieldworkz sprechen, um eine OT-Risiko- und Lückenbewertung sowie VAPT durchzuführen
Vermeiden Sie die Verwendung traditioneller IT-Tools ohne mehrstufige Validierung, da sie unerwartetes Verhalten in sensibler Ausrüstung wie Schutzrelais verursachen können.
Phase 2: Passive Netzwerkanalyse und Vermögensstoffinventar
Verwenden Sie anstelle von intrusiven Scans passive Netzwerkmessung und Network Detection and Response (NDR)-Tools wie Shieldworkz, um Folgendes zu identifizieren:
· Kommunikationsgeräte und deren Rollen
· Protokollnutzung (DNP3, IEC 61850, Modbus)
· Kommunikationsmuster (z. B. Abfragezyklen, Sollwerte, Ereignisauslöser)
· Das Vermögensinventar sollte aktuell sein
Diese Phase schafft eine Basislinie für normales Verhalten und hebt unbekannte oder nicht autorisierte Geräte hervor, oft ein Zeichen für Fehlkonfiguration oder Kompromittierung.
Phase 3: Überprüfung der Konfiguration und Firmware
· Überprüfen Sie die Firmwareversionen der Geräte: Sind sie aktuell? Enthält eines bekannte CVEs? Arbeiten sie gemäß der Basislinie?
· Analysieren Sie die Sicherheitsverschärfungen: Überprüfen Sie für IEDs und PLCs die Passwortrichtlinien, USB-Ports, ungenutzte Funktionen (wie Webserver) und Fernzugriffsparameter.
· Suchen Sie nach Standardanmeldeinformationen oder unverschlüsselten Sitzungen: Telnet oder Klartext-SNMP sind rote Flaggen.
Phase 4: Netzwerksegmentierung und Firewall-Audit
Auditoren interner Firewalls einschließlich Richtlinienanpassung, Layer-2-Segmentierung und Fernzugriffspfade. Überprüfen Sie:
· Abgrenzung zwischen OT und IT: Gibt es eine sichere DMZ?
· Verwendung von Jump-Servern oder Bastion Hosts für den Remote-Ingenieurszugang.
· ACLs und VLAN-Isolierung zur Verhinderung seitlicher Bewegungen
· Relevanz der Richtlinien- und Verkehrsverwaltung
· Gibt es eine mögliche Möglichkeit, wie die Segmentierung umgangen werden könnte?
Umspannwerke sollten eine zonierte Architektur gemäß IEC 62443 folgen, mit definierten Vertrauensstufen zwischen HMI, SCADA-Frontend, Steuerungs-LAN und Geräte-LANs.
Phase 5: Schwachstellen- und Patchbewertung
· Führen Sie eine Schwachstellenmappung auf Firmware- und OS-Versionen durch (z. B. Windows XP-basierte HMIs, Linux-Kernel-Versionen).
· Überprüfen Sie die Patchhistorie: Wann wurde der letzte OT-Patch angewendet? Gibt es eine spezifische Patchrichtlinie für Umspannwerke? Wie häufig wird sie angewendet?
· Identifizieren Sie EOL- (End-of-Life) Software, die nicht gepatcht werden kann und Kompensationskontrollen benötigt
· Ist das Vermögensinventar aktuell?
· Gibt es Altsysteme, die zusätzlichen Schutz erfordern?
· Wurden die Angriffswege identifiziert und unterbrochen?
Es wird empfohlen, Schwachstellenscans zunächst in Testumgebungen durchzuführen, um zu vermeiden, dass Live-Systeme gestört werden.
Phase 6: Protokollierung, Überwachung und Bereitschaft zur Reaktion auf Vorfälle
· Überprüfen Sie die OT-spezifische Protokollierung: Viele IEDs bieten nur begrenzte Protokolle, daher korrelieren Sie Ereignisse über Syslog, SNMP-Traps oder gespiegelte Ports in SIEM/NDR-Plattformen wie Shieldworkz.
· Notfallmanagementplan: Gibt es ein IR-Playbook und einen Plan auf Umstationsebene? Wissen die field Engineers, wie sie bösartige Geräte sicher trennen können? Wurde dieser Plan getestet?
· Zeitsynchronisation: Verwenden alle Systeme NTP, und ist es manipulationssicher?
Phase 7: Physische Sicherheit und menschliche Faktoren
· Überprüfen Sie die physikalischen Zugangskontrollsysteme: Wer kann physisch den Kontrollraum oder die Panelbereiche des Umspannwerks betreten? Brauchen sie solchen Zugang?
· Überprüfen Sie die Verwendung tragbarer Medien: Werden USBs vor dem Anschluss an Relais-Notebooks mit einer Medienscanning-Lösung gescannt?
· Überprüfen Sie die Schulungsunterlagen: Haben die Betreiber Schulungen zur Cybersicherheitsbewusstheit erhalten, die speziell auf OT-Systeme einschließlich Notfallmanagement abzielen?
· Wurden Erkenntnisse aus dem letzten Vorfall genutzt, um die Sicherheit zu verbessern?
Vom Befund zur Aktion übergehen
Nach der Identifizierung aller Schwachstellen und Lücken verlagert sich der Fokus auf die Behebung:
· Identifizieren und an dem Ziel-Sicherheitsniveau von IEC 62443 arbeiten
· Ein Team von Spezialisten zusammenstellen, um den Plan in Gang zu setzen und den Fortschritt zu verfolgen
· Hochprioritäre Befunde mithilfe einer Risikomatrix (Wahrscheinlichkeit × Auswirkungen) priorisieren
· Einen Fahrplan zur Behebung entwickeln, wobei die OT-Downtime-Fenster zu berücksichtigen sind
· Anbieter für Firmware-Updates, Konfigurationsanleitungen und Unterstützung bei der Segmentierung mit Unterstützung von einem OT-Sicherheitspartner einbeziehen
· Sensibilisierungsmaßnahmen für lokale Betreiber und Ingenieure durchführen
Ein gutes Audit endet nicht einfach mit einem gesperrten und schreibgeschützten PDF-Bericht, es sollte eine Kette von Sicherheitsverbesserungen, Schulungen und Risikominderungen auslösen.
OT-Sicherheitsaudit-Checkliste für Umspannwerke
Verwenden Sie diese praktische Checkliste während Ihres nächsten Umspannwerksaudits:
Bereich | Checklistenpunkt |
Vermögensinventar | Identifizieren Sie alle IEDs, RTUs, PLCs, HMIs, Switches und Protokoll-Gateways |
Bestätigen Sie Firmwareversionen und den Unterstützungsstatus des Herstellers | |
Netzwerkanalyse | Kartieren Sie Kommunikationsflüsse (z. B. SCADA-Abfragen, Relais-GOOSE-Nachrichten) |
Identifizieren Sie nicht autorisierte oder unbekannte Geräte | |
Konfigurationsüberprüfung | Überprüfen Sie auf Standardpasswörter, offene Ports, ungesicherte Protokolle |
Überprüfen Sie Zugriffsprotokolle und Berechtigungsstufen für alle Geräte | |
Segmentierung und Firewalls | Überprüfen Sie die Netzwerksegmentierung (Zonen und Leitungen gemäß IEC 62443) |
Auditieren Sie Firewall-Regeln, ACLs und Fernzugriffspfade | |
Schwachstellen- und Patchmanagement | Stimmen Sie Firmware- und OS-Versionen mit bekannten CVEs ab |
Überprüfen Sie die Patch-Zeitpläne und -einschränkungen für OT-Systeme | |
Protokollierung und Überwachung | Sicherstellen, dass kritische Protokolle an ein zentrales SIEM oder OT-NDR gesendet werden |
| Bestätigen Sie die NTP-Synchronisation für forensische Bereitschaft |
Physische und Standort-Sicherheit | Validieren Sie die Türzugangskontrollen, CCTV-Abdeckung und Badge-Logs |
Überprüfen Sie die Richtlinien zur Verwendung von USB/Medien und Unfallprotokolle | |
Schulung und Sensibilisierung | Überprüfen Sie, ob das Fachpersonal an Schulungen zur Cybersicherheitsbewusstheit für OT-Systeme teilgenommen hat |
Testen Sie den IR-Plan mit Tischübungen unter Einbeziehung des Ingenieurpersonals. Führen Sie Drittanbieter-Audits durch, um die Bereitschaft auf Vorfälle zu überprüfen |
Interessiert an einem auf IEC 62443 basierenden Cyber-Risiko-Bewertungs-Audit für Ihre Umspannwerke? Sprechen Sie mit uns.
