Kritische Infrastruktur : Wie ein Energieversorger seine Anlagen vor Cyberangriffen schützt

Anlagen zur Erzeugung erneuerbarer Energien sind besonders gefährdet, Angriffsziele von Cyberkriminellen zu werden. Die meist nationale bis globale Verteilung der Anlagen erschwert die lückenlose Absicherung sowie die Minimierung der Zugriffspunkte.

In einem Pilotprojekt zwischen dem OT-Cybersicherheitsanbieter Rhebo, dem Hersteller für Industriekomponenten Insys icom und dem Energieversorger BayWa r.e. wurden ein Wind- und ein Photovoltaikpark mit einem dedizierten Cybersicherheitssystem für Leittechnik und industrielle Netze umgesetzt. Auf den leistungsstarken Industrie-Gateway von Insys icom wurde dazu das industrielle Netzwerkmonitoring mit Anomalieerkennung von Rhebo integriert. Die Installation erfolgte rein softwarebasiert, so dass die Erweiterung des bestehenden Sicherheitssystems und die Überwachung vollständig ferngesteuert umgesetzt werden konnte. Rhebo analysiert jede Kommunikation, die zwischen den Energieanlagen, dem Leitsystem des virtuellen Kraftwerks und Servern des Unternehmens stattfindet, und meldet jegliche Abweichung vom zu erwartenden Kommunikationsverhalten. Durch diesen verhaltensanalytischen Ansatz werden auch neuartige Angriffe, auf die reguläre Firewalls und Intrusion Detection Systeme nicht reagieren können, in Echtzeit erkannt.

»Durch die einfache Integration der Rhebo-Lösung in unserer SystemSafe-Infrastruktur auf Insys icom Gateways können wir alle ferngesteuerten Wind- und Solarparks ohne größeren Aufwand gegen technische Störungen und Cyberangriffe absichern«, erklärt Mohamed Harrou, Head of SCADA bei BayWa r.e., die Vorteile des Systems.

Bereits das initiale Stabilitäts- und Sicherheitsaudit gab den Verantwortlichen von BayWa r.e. erstmals einen detaillierten Einblick in das Wirken ihrer Leittechnik. Für das Audit wurde die Kommunikation zwischen Anlagen, Steuerungen und Server mehrere Tage lückenlos aufgezeichnet und von Rhebo analysiert. Die Analyse zeigte, dass knapp Dreiviertel des gesamten Traffic auf Kommunikation der Geräte mit Herstellerservern fiel. Weiterhin wurden mehrere zuvor unbekannte Sicherheitsrisiken identifiziert. Unter anderem fand die Anomalieerkennung Kommunikation über einen ungeschützten FTP-Server mit verwundbarer Firmware, unverschlüsselte Datenübertragung und private Kommunikation über einen Whatsapp-Client. Darüber hinaus wurden Kommunikationsfehler und fehlerhafte Verbindungsversuche identifiziert, welche die Netzwerkqualität beeinflussten. Alle Anomalien konnten durch BayWa nachfolgend abgestellt werden. Das bereinigte Kommunikationsmuster fungiert im laufenden Betrieb als Blaupause für die Anomalieerkennung. Jede Veränderung wird gemeldet, so dass Sicherheitsvorfälle und technische Fehlerzustände sofort sichtbar werden.