Absicherung des Netzes: Ein tiefer Einblick in die OT-Sicherheit für Umspannwerke

Als Teil des Monats der Cyber-Security Awareness tauchen wir tief in die OT-Sicherheitsstrategien und -maßnahmen für verschiedene kritische Infrastruktursektoren ein. Heute untersuchen wir die Cyber-Sicherheitsmaßnahmen, die wir für Umspannwerke empfehlen.

Umspannwerke sind zweifellos die kritischen Knotenpunkte unseres Stromnetzes. Sie verwalten, transformieren und verteilen Elektrizität an unsere Häuser, Krankenhäuser und Industrien. Doch diese kritische Rolle macht sie auch zu einem begehrten Ziel für Cyberangriffe und sie stehen ständig im Fokus von staatlich unterstützten Bedrohungsakteuren und Hacktivisten. Da sich Umspannwerke von isolierten, luftgetrennten Einrichtungen in hochvernetzte digitale Drehkreuze entwickeln, hat sich ihre Angriffsfläche für Betriebstechnologie (OT) drastisch erweitert.

Die Sicherung dieser Umgebungen kann auf keinen Fall mit der Sicherung einer typischen IT-Einrichtung gleichgesetzt werden. Wir bewegen uns in einer komplexen und risikoreichen Welt, in der ein Cybervorfall zu einem physischen Stromausfall führen kann. Kombinieren Sie dies mit dem rasanten Anstieg der Zahl staatlich unterstützter Akteure, Konflikte und KI-basierter Malware und Zielstrategien, wird das Ausmaß des Problems deutlich. Der heutige Beitrag beleuchtet die einzigartigen Herausforderungen der Sicherheit von Umspannwerken und bietet eine mehrschichtige Strategie zum Aufbau einer resilienten Verteidigung.

Vergessen Sie nicht, unseren vorherigen Beitrag zur Sicherung von Flughafen-MRO-Einrichtungen hier anzuschauen.

Das einzigartige Anlagenprofil, das in Umspannwerken gehostet wird 

Die Kernherausforderung bei der Sicherheit von Umspannwerken ist ihr komplexes Anlagenprofil, das im Wesentlichen eine funktionale Mischung aus alten und neuen Anlagen, unterschiedlichen Prozessen und Überwachungstechniken darstellt. Jedes Umspannwerk kann ein eigenes Cyber-Sicherheitsrisikoprofil haben, basierend auf den oben genannten Faktoren sowie anderen Faktoren wie geografischer Lage und Bewusstseinsgrad der Mitarbeiter.

Ein einzelnes Umspannwerk ist meistens eine Mischung aus:

• Veraltete Geräte: Jahrzehntealte Fernsteuerungseinheiten (RTUs) und speicherprogrammierbare Steuerungen (PLCs), die auf Zuverlässigkeit, aber nicht auf Sicherheit ausgelegt sind. Viele dieser Geräte verfügen über begrenzte Rechenleistung und können moderne Verschlüsselungs- oder Authentifizierungsmechanismen nicht unterstützen.

• Moderne Technologie: Neue intelligente elektronische Geräte (IEDs), Sensoren und SCADA-Systeme (Supervisory Control and Data Acquisition), die hochgradig vernetzt sind.

• Proprietäre Protokolle: Die Kommunikation erfolgt häufig über Industrieprotokolle wie DNP3, Modbus und IEC 61850, die oft unverschlüsselt sind und grundlegende Sicherheitsprüfungen vermissen lassen.

• Die "IT/OT-Konvergenz": Die einst klare Trennung zwischen dem IT- (Geschäfts-)Netzwerk und dem OT- (Steuerungs-)Netzwerk hat sich verwischt. Fernzugriff für Wartung und Datenaustausch für Analysen schaffen neue Wege für Angreifer, um vom IT- in die kritische Steuerungsumgebung zu "pivotieren".

• Unterschiedliche Prozesse: Zur Steuerung des durch sie fließenden Stroms.

Die Bedrohungslage

Die Bedrohungen für Umspannwerke sind real und bereits nachgewiesen. Viele von Ihnen erinnern sich vielleicht an den Cyberangriff auf das ukrainische Stromnetz 2015, bei dem Hacker ferngesteuerte Leistungsschalter einsetzten, um Umspannwerke abzuschalten. Es galt damals als Weckruf für die gesamte Branche. Seitdem gab es viele Weckrufe. Tatsächlich gab es seitdem komplexe Angriffe auf Netze und Umspannwerke in Indien, den USA, Spanien, Japan und Großbritannien. Fast alle diese Angriffe wurden von staatlich unterstützten Akteuren durchgeführt.

Cyber-Bedrohungen für Umspannwerke fallen in der Regel in folgende Kategorien:

• Nationalstaatliche Akteure: Die Spionage betreiben oder sich auf zukünftige Störungen der kritischen Infrastruktur eines Rivalen vorbereiten wollen. Sie können auch latent in einem Zielnetzwerk verbleiben und einen Angriff auslösen, wenn ein geopolitisches Ereignis eintritt.

• Cyberkriminelle: Ransomware-Gruppen und digitale Gauner haben den immensen Hebel erkannt, den sie durch die Lahmlegung kritischer Infrastrukturen gewinnen, wie beim Angriff auf die Colonial Pipeline.

• Bedrohungen von innen: Ob böswillig (ein unzufriedener Mitarbeiter) oder versehentlich (ein Ingenieur klickt auf einen Phishing-Link oder steckt ein infiziertes USB-Laufwerk ein), Insider mit legitimen Zugang stellen ein erhebliches Risiko dar.

• Hacktivisten: Getrieben von politischen oder sozialen Agenden, sind es Elemente, die durch das Verursachen einer Störung ein Statement setzen wollen.

Häufige Angriffsvektoren sind das Ausnutzen ungepatchter Fernzugriffs-VPNs, Spear-Phishing-Kampagnen, die auf Ingenieure abzielen, Lieferkettenangriffe über kompromittierte Hardware und physische Sicherheitsverletzungen.

Eine mehrschichtige Verteidigung: Schlüsselkomponenten zur Sicherheit von Umspannwerken

Wie das Klischee sagt, gibt es kein einziges "Wundermittel". Eine robuste Verteidigung für ein Umspannwerk sollte stattdessen auf einer integrierten Defense-in-Depth-Strategie beruhen.

Anlagen- und Netzwerktransparenz ist der Schlüssel: Netzwerküberwachung und -reaktion (NDR)

In OT-Umgebungen können Sie keine "aktiven" Schwachstellen-Scanner ausführen, wie Sie es in der IT tun würden, da sie sensible Steuerungsgeräte überfordern, stören oder zum Absturz bringen könnten. Wie erfahren Sie also, was Ihre Anlagen tun?

Hier wird eine Netzwerkerkennung und Reaktion (NDR)-Lösung für OT unerlässlich.

• Passives Monitoring: NDR-Tools wie Shieldworkz verbinden sich mit dem Netzwerk und "lauschen" dem Datenverkehr, ohne Pakete zu senden. Dies bietet 100-prozentige Transparenz ohne betriebliches Risiko. Da das Tool für OT entwickelt wurde, arbeitet es innerhalb der von der OT-Infrastruktur auferlegten Einschränkungen.

• Verhaltensbaselines: Das System nutzt Maschinelles Lernen, um eine Basislinie dessen zu erstellen, was für Ihr Umspannwerk "normal" ist. Es lernt, welche Geräte miteinander kommunizieren, welche Protokolle sie verwenden und welche Befehle typischerweise gesendet werden. NDR-Lösungen wie Shieldworkz können noch einen Schritt weiter gehen und eine Basislinie von Baselines erstellen, um falsch-positive Meldungen weiter zu reduzieren.

• Anomalie-Erkennung: Wenn eine Anomalie auftritt, wie z.B. ein nicht autorisiertes Laptop, das sich verbindet, ein PLC, das einen "Shutdown"-Befehl von einer unbekannten Quelle erhält, oder Daten, die exfiltriert werden, gibt die NDR-Plattform sofort einen Alarm aus.

• Eine NDR-Lösung kann auch bei der Einhaltung von Vorschriften helfen

Kennen Sie Ihre Sicherheitslücken

Die Cyber-Bedrohungslandschaft und Ihr eigenes Netzwerk ändern und entwickeln sich ständig. Eine Risikoanalyse, die nur einmal im Jahr durchgeführt wird, reicht bei weitem nicht aus. Versorgungsunternehmen müssen regelmäßige, OT-spezifische Risikoanalysen auf Umspannwerksniveau und darüber hinaus durchführen, um:

• einen genauen Bestand aller angeschlossenen Anlagen (Hardware, Software und Firmware) zu führen.

• Bekannte Schwachstellen in diesen Anlagen zu identifizieren.

• Die potenziellen betrieblichen Auswirkungen eines Kompromisses zu analysieren.

• Sanierungsmaßnahmen zu priorisieren, wobei der Schwerpunkt auf den kritischsten Schwachstellen liegt.

• ihre Sicherheitsstufen zu messen und Lücken zu schließen

• alle Beteiligten über die vorherrschende Sicherheitsstufe zu informieren

Spezialisiertes OT-Sicherheitstraining

Ihre Mitarbeiter sind ein wesentlicher Bestandteil Ihrer Verteidigung, aber nur, wenn sie ordnungsgemäß geschult sind. Es geht um ein Bewusstsein, das handlungsfähig ist und zu fundierten Entscheidungen führt. Standardmäßiges IT-Phishing-Training ist unzureichend. OT-spezifisches Training muss folgende Themen abdecken:

• Physische Sicherheit: Erkennen von Social-Engineering-Versuchen, um physischen Zugang zu erlangen, Nachlaufen und Sichern unbeaufsichtigter Arbeitsstationen.

• Digitale Hygiene: Strikte Richtlinien für die Verwendung von Wechselmedien (insbesondere USB-Laufwerke), die ein häufiger Infektionsvektor sind.

• OT-spezifisches Phishing: Schulung zum Erkennen von böswilligen E-Mails, die als Hersteller-Updates, Wartungspläne oder technische Zeichnungen getarnt sind.

• Vorfallsreaktion und -meldung: Ein klarer, schuldfreier Prozess zur sofortigen Meldung verdächtiger Aktivitäten und zur angemessenen Reaktion.

Ein robustes Incident Response (IR)-Plan

Es ist nicht die Frage, ob ein Vorfall auftreten wird, sondern wann. Ein OT-spezifischer IR-Plan ist von entscheidender Bedeutung. Das Hauptziel der OT-Vorfallsreaktion unterscheidet sich von der IT: Die Priorität liegt auf der Sicherheit und Betriebskontinuität (die Stromversorgung aufrechterhalten), nicht nur auf der Datensicherheit.  

Ein starker Plan umfasst:

• Ein definiertes CSIRT: Ein Cyber Security Incident Response Team mit klaren Rollen, darunter OT-Ingenieure, Bediener und IT-Sicherheit.

• Eindämmungshandbücher: Vorgegebene Schritte, um betroffene Netzwerksegmente schnell zu isolieren und zu verhindern, dass ein Angriff sich ausbreitet.

• Wiederherstellungsprozeduren: Geprüfte Pläne, um den Betrieb schnell und sicher von einem bekannten guten Zustand aus wiederherzustellen.

• Forensik: Die Fähigkeit, Beweise zu sichern und eine Spur zu hinterlassen, um die Ursache des Angriffs zu verstehen, ohne die Wiederherstellung des Dienstes zu beeinträchtigen.

Integrierte Cyber-Verteidigungsmaßnahmen

Dies ist die "Defense-in-Depth"-Architektur, die alles zusammenführt.

• Netzwerksegmentierung: Anwendung des Modells "Zonen und Kanäle" (aus IEC 62443), um das Steuerungsnetzwerk vom Geschäftsnetzwerk zu trennen und Mikrosegmente innerhalb des Steuerungsnetzwerks zu schaffen.

• Zugriffskontrolle: Durchsetzung des Prinzips der "Minimalen Rechte", sodass Benutzer und Geräte nur den minimalen Zugang haben, der für ihre Arbeit erforderlich ist. Dies umfasst die Verwendung von Multi-Faktor-Authentifizierung (MFA) für jeden Fernzugriff.

• Systemhärtung: Deaktivieren ungenutzter Ports und Dienste auf IEDs, Servern und Arbeitsstationen.

• Sicherer Fernzugriff: Jeder Fernzugriff muss über einen sicheren, überwachten "Jump Host" oder eine entmilitarisierte Zone (DMZ) geleitet werden.

Der Plan: Eine IEC 62443-Checkliste für Umspannwerke

Der IEC 62443-Standard ist der globale Goldstandard für die Sicherung von industriellen Automatisierungs- und Steuerungssystemen (IACS). Statt einer generischen Checkliste bietet er einen Rahmen zur Risikobewertung und Anwendung von Kontrollen. Hier ist eine vereinfachte Checkliste basierend auf seinen Kernkonzepten:

Zonen und Kanäle definieren:

• Haben Sie Ihr gesamtes Umspannwerksnetzwerk kartiert?

• Haben Sie Anlagen in logische "Zonen" gruppiert, basierend auf ihrer Funktion und Kritikalität (wie "Schutzzone", "SCADA-Zone", "Remote Access Zone")?

• Haben Sie alle Kommunikationswege ("Kanäle") zwischen diesen Zonen identifiziert?

Ziel-Sicherheitsstufen (SLs) ermitteln:

• Haben Sie für jede Zone eine Ziel-Sicherheitsstufe (SL-T) von 1 (niedrigste) bis 4 (höchste) basierend auf dem Risiko definiert?

• SL 1: Schutz vor versehentlichem Missbrauch.

• SL 2: Schutz vor absichtlichem Angriff mit einfachen Werkzeugen.

• SL 3: Schutz vor ausgeklügelten Angriffen durch erfahrene Akteure (z.B. Cyberkriminelle).

• SL 4: Schutz vor Angriffen auf Nationeniveau.

Gründlegende Anforderungen (FRs) umsetzen:

• Wenden Sie für jede Zone die sieben grundlegenden Anforderungen an, um Ihre Ziel-Sicherheitsstufe zu erreichen?

• FR1 (Zugangskontrolle): Wer kann auf was zugreifen? (z.B. Benutzerauthentifizierung, MFA).

• FR2 (Nutzungskontrolle): Was darf wer tun? (z.B. Berechtigungen).

• FR3 (Systemintegrität): Sind die Geräte und die Software vertrauenswürdig? (z.B. Patch-Management, Malware-Schutz).

• FR4 (Datenschutz): Sind sensible Daten verschlüsselt?

• FR5 (Eingeschränkter Datenfluss): Kontrollieren Sie den Datenverkehr zwischen Zonen? (z.B. OT-fähige Firewalls).

• FR6 (Rasche Reaktion): Können Sie ein Ereignis erkennen und darauf reagieren? (z.B. NDR, IR-Plan).

• FR7 (Ressourcenverfügbarkeit): Kann Ihr System einem Denial-of-Service-Angriff standhalten?

Die Lieferkette sichern:

• Prüfen Sie Ihre Lieferanten und deren Lieferketten?

• Verlangen Sie, dass neue Geräte (IEDs, PLCs) nach IEC 62443-4-2 (Komponentenanforderungen) zertifiziert werden und führen Sicherheitsakzeptanztests durch?

Die Sicherung unserer Umspannwerke ist ein unverzichtbarer Aspekt der nationalen Sicherheit aus einer menschen- und wirtschaftlichen Perspektive. Sie erfordert einen kontinuierlichen Prozess der Bewertung, mehrschichtige technische Verteidigungen und gut geschulte menschliche und virtuelle Barrieren. Durch die Annahme einer modernen Strategie, die auf Standards wie IEC 62443 basiert, können wir ein Netz aufbauen, das nicht nur zuverlässig, sondern wirklich widerstandsfähig ist.

Sprechen Sie mit einem Shieldworkz-Experten über Sicherheits bedarfe für Ihr Umspannwerk

Testen sie das Shieldworkz OT Security NDR durch eine Demo.