Rhebo Industrial Protector bei Stromnetz Hamburg und MITNETZ Strom

Die Verteilungsnetzbetreiber Stromnetz Hamburg GmbH und Mitteldeutsche Netzgesellschaft Strom setzen bei der Absicherung ihrer Netzleittechnik auf die industrielle Anomalieerkennung Rhebo Industrial Protector des deutschen Unternehmens Rhebo. Nach Angaben des Herstellers sichert die Lösung selbst komplexe Fernwirksysteme entsprechend der Industriestandards ISO 27001 und ISO/IEC TR 27019 sowie Vorschriften wie dem IT-Sicherheitsgesetz und Energiewirtschaftsgesetz ab.

Foto: Rhebo GmbH

Die beiden Unternehmen gehören zu den größten Netzbetreibern für die städtische und Flächenversorgung in Deutschland. Insgesamt versorgen sie 4,2 Millionen Haushalte in der Hansestadt Hamburg sowie den Bundesländern Sachsen, Sachsen-Anhalt, Thüringen und Brandenburg mit Strom. „Als größter Stromnetzbetreiber Mitteldeutschlands tragen wir eine ganz besondere Verantwortung bei der Versorgungssicherheit“, kommentiert Dirk Hollmach, Leiter Netzführung bei MITNETZ. Aus diesem Grund hat MITNETZ erst 2017 seine Leittechnik vollständig erneuert. Das Ziel: Den wachsenden Anforderungen an den Betrieb, bedingt durch Energiewende, Digitalisierung und zunehmenden Cyberbedrohungen, gerecht werden. Ähnlich sieht es bei Stromnetz Hamburg aus. Thomas Volk, Geschäftsführer des Unternehmens erklärt: „Stromnetz Hamburg engagiert sich seit vielen Jahren in der Digitalisierung und Modernisierung der Energieversorgung. Damit steigen selbstverständlich auch die Anforderungen and die Betriebsführung und nicht zuletzt die Cybersicherheit unserer Netzleittechnik.“

Abweichungen im Datenverkehr erkennen Die Anomalieerkennung im Rhebo Industrial Protector basiert auf der einfachen Annahme, dass jede Abweichung in der Netzwerkkommunikation potenziell eine Gefährdung darstellt. Um solche Gefahren frühzeitig zu erkennen, erlernt die Lösung vollautomatisch die vorherrschende Kommunikationsstruktur des gegebenen Prozesssteuerungssystems und definiert diese als anlagentypische Kommunikation. Nach Angaben vor Rhebo geschieht dies binnen kürzester Zeit und ohne Beeinträchtigung der Abläufe. Fortan liest der Industrial Protector die gesamte Netzwerkkommunikation mit. Dazu senden Netzwerk-Taps oder Spiegelports senden jedes im Prozesssteuerungssystem ausgetauschte Datenpaket an Rhebo Industrial Protector, der aus einem Rhebo Controller mit integrierter Analyse-Software besteht. Dort werden die Datenpakete mittels Deep-Packet-Inspection-Technology bis auf Befehlsebene dekodiert, analysiert und mit dem autorisierten Kommunikationsmuster abgeglichen. Jede Abweichung von diesem Normalverhalten wird dann als Anomalie in Echtzeit an den Systemverantwortlichen gemeldet. Die Abweichungen im Verhalten der Kommunikationsprotokolle – wie beispielsweise IEC 60870-5-104, DNP3, IEC 61400-25 und IEC 61850 – werden zusätzlich mit einem Risk Score versehen, erklärt Rhebo. Er soll sowohl das Risiko des verdächtigen Datenpakets als auch die Relevanz der betroffenen Komponenten für die Verfügbarkeit und Datenintegrität berücksichtigen. Dabei gilt: Je disruptiver der verdächtige Befehl und je systemrelevanter die betroffenen Komponenten sind, desto höher fällt der Risk Score aus. Der Systemverantwortliche kann Meldungen nach Risk Score oder auch anderen Kategorien wie Protokolltyp oder Komponenten ordnen und erhält damit eine umgehende Priorisierung der Maßnahmen, so Rhebo. Die aufgezeichneten Kommunikationsdaten werden zudem grafisch und tabellarisch aufbereitet. Die Speicherung der Rohdaten eines Vorfalls und die volle Integration der Daten in bestehende Backendsysteme sollen darüber hinaus helfen, Probleme der Netzleittechnik gezielt zu analysieren und zu beheben.

Dauerhafte Überwachung

Die Anomalieerkennung kam bei Stromnetz Hamburg und MITNETZ bereits Anfang 2018 während eines Rhebo Industrie 4.0 Stabilitäts- und Sicherheitsaudits zum Einsatz. Das Audit diente zur initialen Bestandsaufnahme von Steuerungssystemen. Die Verantwortlichen für die Leitsysteme erhielten binnen weniger Tage einen detaillierten Überblick über alle in der Netzleittechnik aktiven Geräte und ablaufenden Kommunikationsvorgänge sowie eine Detailanalyse und Risikobewertung der Infrastruktur. Anomalien und Sicherheitslücken konnten nachfolgend gezielt adressiert und beseitigt werden. „Rhebo Industrial Protector hat uns mit seiner Funktionalität, Detailtiefe und der Echtzeiterkennung selbst versteckter Anomalien überzeugt“, berichtet Thomas Volk. Auch Dirk Hollmach von Mitnetz äußert sich eindeutig: „Mit Rhebo können wir sichergehen, dass wir jede Auffälligkeit in unserer Netzleittechnik in Echtzeit gemeldet bekommen und umgehend reagieren können.“ In Zukunft werde Rhebo Industrial Protector die Netzleittechnik beider Netzbetreiber rund um die Uhr auf verdächtige Vorgänge untersuchen, die auf Cyberangriffe, Manipulation, Netzwerkstörung oder Sicherheitslücken hinweisen, betonen beide Unternehmen.

www.rhebo.com

www.mitnetz-strom.de

www.stromnetz-hamburg.de

Publikationen des 50,2 Verlages


Der Branchenleitfaden für Stadtwerke und Netzbetreiber
Die "gelben Seiten" der IT-Sicherheit



Der Branchenleitfaden für Stadtwerke und Netzbetreiber
Die "gelben Seiten" des Smart Metering-Marktes

Der Rollout-Leitfaden für die Praxis
Unterstützung bei der Einführung der Smart-Meter-Technologie.