Cyber-Sicherheit in der Schaltanlage

Mit StationGuard hat OMICRON einen neuartigen Ansatz für IEC 61850-Anlagen umgesetzt.

Schaltanlagen bieten einige potenzielle Angriffsvektoren für Cyber-Angriffe. Effektive Maßnahmen für die Cyber-Sicherheit müssen deshalb nicht nur in der Leitstelle, sondern auch dort umgesetzt werden. Beim österreichischen Anbieter OMICRON beschäftigt man sich bereits seit vielen Jahren mit den Anforderungen und hat mit dem Analysegerät DANEO 400 schon 2015 eine dezentrale und hybride Lösung für die 24/7-Überwachung von Sampled Values, GOOSE und der PTP-Zeitsynchronisierung im Portfolio. „Daraus ergab sich, dass wir von Ingenieuren der Centralschweizer Kraftwerke AG (CKW) angesprochen wurden, die nach einer passenden Lösung für ihre Schaltanlagen suchten“, erinnert sich Andreas Klien, der den Bereich Power Utility Communications bei OMICRON leitet. Aus dieser Anfrage entstand in enger Zusammenarbeit mit den Schutz- und Leittechnikern der CKW das funktionale Sicherheitsüberwachungssystem StationGuard. Mittlerweile flossen durch mehrere Proof-of-Concept-Installationen auch Erfahrungen von anderen Energieversorgern weltweit in die Entwicklung ein.

StationGuard

Im Kern setzt die Lösung bei den SCL-Dateien an, in denen das gesamte Automatisierungssystem mit allen Geräten, den Datenmodellen und den Kommunikationsmustern der IEC 61850-Anlagen in einem standardisierten Format, der SCL (Substation Configuration Language), beschrieben ist. Auch Informationen über primäre Betriebsmittel und vielfach sogar das Einlinienersatzschaltbild der Schaltlanlage sind dort hinterlegt. „Auf Basis dieser Informationen ist es möglich, einen völlig anderen Ansatz für das Erkennen von Cyber-Angriffen zu verwenden“, führt Andreas Klien aus. Das Monitoring-System kann demnach ein vollständiges Modell des Automatisierungssystems und der Schaltanlage erstellen und jedes einzelne Paket im Netzwerk mit dem Live-Systemmodell vergleichen. Sogar die in den Telegrammen (GOOSE, MMS, SV) enthaltenen Datenwerte lassen sich anhand der aus dem Systemmodell abgeleiteten Erwartungen bewerten. „Dieser Prozess ist ohne Lernphase und allein durch die Konfiguration der SCL möglich“, betont Andreas Klien.

Funktionale Überwachung

Ein IDS wird so in eine IEC 61850-Anlage integriert, dass es an allen relevanten Switches eine Kopie des gesamten Netzwerkverkehrs erhält, um diesen zu überprüfen. Foto: OMICRON electronics GmbH

Im Wesentlichen führt StationGuard eine sehr detaillierte funktionale Verifikation des gesamten Datenverkehrs durch, um Cyber-Bedrohungen im Netzwerk zu erkennen. StationGuard hat ein detailiertes Modell der gesamten erwarteten Kommunikation und vergleicht die Netzwerkpakete dagegen. Aufgrund der kontinuierlichen inhaltlichen Überprüfung des Datenverkehrs werden nicht nur Bedrohungen für die IT-Sicherheit, wie unzulässige Pakete und Steuervorgänge, erkannt, sondern auch Kommunikationsfehler, Probleme mit der Zeitsynchronisation und damit auch verschiedene Arten von Fehlfunktionen in der Schaltanlage. „Kennt das System auch das Schaltbild der Anlage und können die Messwerte in der MMS-Kommunikation beobachtet werden, dann sind die Möglichkeiten für die Überwachungstiefe grenzenlos“ erläutert Andreas Klien und nennt als Beispiel 33 verschiedene Alarmcodes, die StationGuard allein für GOOSE vorhält – von einfachen Status- und Sequenznummer- Störungen bis hin zu komplexeren Problemen, wie zu langen Übertragungszeiten von Telegrammen. Letztere werden durch das genaue Messen der Differenz zwischen dem EntryTime-Zeitstempel im Telegramm und der Ankunftszeit erkannt. Ist die Übertragungszeit des Netzwerks für eine Trip-GOOSE (gemäß IEC 61850-5) länger als 3 ms, deutet dies auf ein Problem im sendenden IED, im Netzwerk oder zumindest bei der Zeitsynchronisation hin.

Auch für die MMS-Kommunikation greift das Konzept. Aus dem Systemmodell ist bekannt, welche logischen Knoten welche Betriebsmittel steuern. Somit kann zwischen korrekten/nicht korrekten beziehungsweise kritischen/nicht kritischen Aktionen unterschieden werden. „Das Schalten eines Leistungsschalters und das Schalten des IEC 61850-Testmodus nutzen dieselbe Sequenz im MMS-Protokoll. Die Auswirkung in der Anlage ist jedoch eine ganz andere“, führt Andreas Klien aus. „Schaltet ein Prüf-PC den IEC 61850-Testmodus eines Relais um, kann dies eine gerechtfertigte Aktion während einer Schutzprüfung sein. Höchstwahrscheinlich wäre es aber nicht erlaubt, wenn der Prüf-PC einen Leistungsschalter schaltet.“

Verständliche Meldungen

Neben der Vermeidung von Fehlalarmen ist es von entscheidender Bedeutung, dass die angezeigten Alarmmeldungen für die verantwortlichen Schutz- und Leittechnik-Ingenieure klar verständlich sind. Das ermöglicht schnellere Reaktionszeiten, zudem können dadurch auch IT-Sicherheitsexperten mit den Schutz- und Leittechnikern besser zusammenarbeiten. Damit Alarme auch besser zu Feldern und Geräten zugeordnet werden können, werden sie in StationGuard nicht nur als Alarmliste, wie man es von Firewalls kennt, sondern auch grafisch, in einem „Zero-Line“-Diagramm – eine Übersichtsdarstellung, die mit OMICRON StationScout eingeführt wurde – dargestellt.

Wartungsmodus

Um Fehlalarme weiter zu reduzieren, werden in StationGuard auch routinemäßige Prüf- und Wartungsvorgänge im Systemmodell der Anlage berücksichtigt. Dies bedeutet, dass die Prüfausrüstung, einschließlich der Schutzprüfgeräte, in das Systemmodel einbezogen werden kann.

Konfiguration des IDS-Systems

Foto: shutterstock

„Die Überwachung beginnt sofort nach dem Starten des Gerätes und kann aus Sicherheitsgründen auch nicht ausgeschaltet werden“, berichtet Andreas Klien. Bis die SCD-Datei der Anlage geladen ist, werden alle IEDs als unbekannte Geräte dargestellt. Danach erscheinen die IEDs und die Anlagenstruktur im „Zero-Line“-Diagramm. „Die Konfiguration kann auch im Büro vorbereitet und anschließend vor Ort schnell in Betrieb genommen werden“, informiert Andreas Klien. Sofern nicht alle IEDs in einer SCD-Datei zusammengefasst wurden, lassen sich zusätzliche IEDs auch einzeln importieren. Nach dem Import hat der Benutzer zudem die Möglichkeit, den verbleibenden unbekannten Geräten Rollen wie „Prüf-PC“, „Engineering- PC“ etc. zuzuweisen.

Alarmanzeige

Ist eine Aktion „nicht erlaubt“, wird ein Alarm ausgelöst. Dieser Alarm kann über das Gateway/ RTU (Remote Terminal Unit) an die Leitstelle übermittelt werden. Alternativ können Alarme auch an ein separates System übermittelt werden, das Sicherheitswarnungen sammelt und Security Incident Event Management System (SIEM) genannt wird. Je nach gewählter Hardwarevariante stehen auch Binärausgänge zur Verfügung, mit denen Alarme unkompliziert an eine RTU weitergegeben werden können. In diesem Fall erfolgt die Alarmmeldung ohne Netzwerkkommunikation und die Alarme können wie jedes andere fest verdrahtete Signal der Anlage in die normale Signalliste der Leitstelle integriert werden.

Cyber-Sicherheit des IDS

„Aus Hollywood-Filmen kennt man es, Einbrecher greifen immer zuerst die Alarmanlage an“, sagt Andreas Klien. Ein wichtiges Sicherheitsmerkmal des StationGuard ist es daher, dass eine eigenständige, sichere Hardware verwendet wird und keine virtuelle Maschine. Beide Hardwarevarianten von StationGuard, die 19″-Variante (RBX1) für die permanente Installation in Schaltanlagen, aber auch die mobile Variante (MBX1), haben dieselbe Plattformhärtung und beide verfügen über einen sicheren Kryptochip nach ISO/IEC 11889. Dadurch wird sichergestellt, dass kryptografische Schlüssel nicht auf dem Flash-Speicher, sondern auf einem separaten Chip gespeichert werden, der vor Manipulationen geschützt ist. Durch die Installation der Zertifikate von OMICRON auf diesem Chip, die während der Produktion vorgenommen wird, entsteht eine sichere, sich gegenseitig verifizierende Bootkette. Das bedeutet, dass jeder Schritt im Boot-up- Prozess der Firmware die Signaturen des nächsten zu ladenden Moduls oder Treibers überprüft. So wird sichergestellt, dass nur Software mit einer Signatur von OMICRON ausgeführt und installiert werden kann. Der Gerätespeicher wird mit einem für diese Hardware eindeutigen Schlüssel verschlüsselt und ist im Kryptochip geschützt. Weitere Mechanismen sorgen dafür, dass die Prozesse auf dem Gerät nicht angegriffen oder missbraucht werden können, sodass der Ansatz der „Defense in Depth“ auch tief in die auf dem Gerät laufende Software verfolgt wird. (pq)

Kontakt: OMICRON electronics GmbH, Andreas Klien, A-6833 Klaus, Tel. +43 59495, andreas.klien@omicronenergy.com

Publikationen des 50,2 Verlages


Der Branchenleitfaden für Stadtwerke und Netzbetreiber
Die "gelben Seiten" der IT-Sicherheit



Der Branchenleitfaden für Stadtwerke und Netzbetreiber
Die "gelben Seiten" des Smart Metering-Marktes

Der Rollout-Leitfaden für die Praxis
Unterstützung bei der Einführung der Smart-Meter-Technologie.