Local control panel of electrical switchgear 115 Kv.

Warum „offline“ zu prüfen nicht sicher ist und wie das CMC 500 für echte Cybersicherheit sorgt

 

Wenn es um die Sicherheit von Schaltanlagen geht, hieß es jahrelang, ohne diese Annahme zu hinterfragen: „Wir sind sicher, denn wir prüfen ja offline.“ Ein beruhigender Gedanke, der gewissermaßen die Leitschnur für unser Vorgehen war und unser Sicherheitsgefühl geprägt hat. Heute jedoch ist diese Überzeugung eine gefährliche Annahme.

Dieses alte Gefühl der Sicherheit ist jetzt eine Schwachstelle, denn die Bedrohungen selbst haben sich verändert. Sie befinden sich nicht mehr nur außerhalb der Firewall, von wo aus sie einzudringen versuchen. Sie gelangen per USB-Stick oder über eine kompromittierte Einstellungsdatei, bereits direkt innerhalb ihrer Schutzmauern.

Wenn die Bedrohung schon im Raum ist, bringt es nichts mehr, die Verbindung zum Internet zu kappen. Die Prüfung ist also nicht mehr isoliert, sondern sie wird zum Hauptziel und ist möglicherweise das schwächste Glied in Ihrer Sicherheitskette.

Diese neue Realität zwingt Sie zu einer essenziellen Entscheidung: Reicht es aus, sich zum Schutz vor potenziellen Schwachstellen in Ihren Tools ausschließlich auf Prozeduren zu verlassen? Beim CMC 500 bildet die Antwort auf diese Frage die Grundlage für sein Design. Zur Veranschaulichung, was das in der Realität bedeutet, kann uns ein einfaches Beispiel von zwei Menschen dienen, die diesen Konflikt vereinfacht repräsentieren.

Cybersicherheit ist kein Feature, sondern ein nicht verhandelbares Architekturprinzip.

Eine reale Cyberbedrohung aus der Praxis:
Die Geschichte von John und Jane

John ist ein sorgfältiger Schutztechniker, der präzise und nach hohen Standards arbeitet und seinen Tools bedingungslos vertraut. Seine Arbeit trägt entscheidend dazu bei, dass die Integrität des Netzes aufrechterhalten bleibt. 

Jane dagegen ist Hackerin, und sie blüht auf, wenn sie das Vertrauen anderer und ungeprüfte Annahmen ausnutzen kann.

Johns Arbeitstag beginnt mit einer Routineaufgabe an Schaltanlage Alpha. Er lädt die benötigten Prüfdateien vom Dateiserver herunter. Vor Ort erhält er vom Kunden eine Einstellungsdatei auf einem USB-Stick. Er hält sich bei seiner Arbeit exakt an die vorgegebenen Prozeduren: Mit Ausnahme der Verbindung zu seinem Prüfgerät sind alle Netzwerkverbindungen auf seinem PC, auch die zum Büroserver, deaktiviert.

Da kann doch nichts schiefgehen, oder?

Aber Jane ist schon aktiv. Sie hat bereits vor einigen Tagen über Social Engineering Malware in den Dateiserver im Büro eingeschleust. Auf Johns PC sind zwar die neuesten Sicherheitspatches und ein Virusscanner installiert, der sich auf dem neuesten Stand befindet, aber Jane nutzt eine Zero-Day-Schwachstelle.

Schutz vor Man-in-the-Middle-Angriffen durch verschlüsselte Kommunikation

In dem Moment, in dem John seine Prüfung startet, wird die Malware auf seinem PC aktiviert. Zunächst macht sie nichts anderes als zuzuhören. Sie versucht, die Kommunikation zwischen dem PC und dem Prüfgerät zu analysieren, um Passwörter, IP-Konfigurationen oder Firmware-Details in Erfahrung zu bringen. 

Das Ergebnis: Die Kommunikation des CMC 500 ist ab dem allerersten Datenpaket verschlüsselt. Für die Malware sind die Daten, die sie vielleicht doch erwischt, nichts weiter als unverständliches Rauschen.

Frustriert schaltet sie einen Gang höher. Sie positioniert sich in der Mitte und gibt sich gegenüber Johns PC als Prüfgerät und dem Prüfgerät gegenüber als Johns PC aus. Dies ist ein klassischer Man-in-the-Middle-Angriff, der darauf abzielt, Befehle abzufangen und zu manipulieren.

So reagiert das CMC 500: Das CMC 500 arbeitet nicht mit Annahmen. Es nutzt ein Public-Key-Kryptosystem und digitale Zertifikate, die den PC in die Lage versetzen, die Identität des CMC 500 zu verifizieren. Der eindeutige private Schlüssel des CMC 500 ist im hardwarebasierten Trusted Platform Module 2.0 (TPM 2.0) gespeichert, was dessen physische Sicherheit sicherstellt. Da die Malware von Jane kein gültiges Zertifikat vorweisen kann, wird die Verbindung sofort abgelehnt. Dies ist ein deutlicher Unterschied zu herkömmlichen Verfahren, die sich auf ein Offline-Prüfsystem verlassen. Ein solches System würde davon ausgehen, dass die Verbindung vertrauenswürdig ist, und wäre bei einem Identitätsdiebstahl wie diesem völlig ungeschützt.

Kein Zertifikat, keine Verbindung. Keine Identität, kein Zugriff.

Schutz von WLAN-Verbindungen vor unberechtigtem Zugriff

John führt als Nächstes eine Prüfung mittels Primäreinspeisung durch. Zum Einspeisen der Primärströme verwendet er sein multifunktionales Prüfgerät 
CMC 500. Um sich frei bewegen und effizient messen zu können, stellt er eine Verbindung mittels WLAN her. 
    
Jane hat aber noch nicht aufgegeben. Nachdem ihr erster Angriff blockiert wurde, entscheidet sie sich, ihre Taktik zu ändern. Sie fährt selbst zur Schaltanlage, um über das WLAN eine direkte Verbindung zum Prüfgerät herzustellen. Wenn das gelänge, könnte sie böswillige Befehle eingeben, gefährliche Vorgänge auslösen oder sogar Personal in der Umspannstation gefährden. Dies wäre ein direkter Angriff auf die Zugriffssteuerung des Geräts.

So reagiert das CMC 500:  Hier trifft einfache prozedurale Sicherheit auf robustes Design. John stellt nicht einfach eine Verbindung her, sondern schafft mehr Sicherheit. Sein PC hat das CMC 500 standardmäßig bereits authentifiziert. Durch Hinzufügen eines Passworts aktiviert er die gegenseitige Authentifizierung und das CMC prüft jetzt auch, wer da versucht, die Verbindung herzustellen. Da Jane weder die korrekten Anmeldeinformationen noch physischen Zugriff für das Zurücksetzen dieser hat, ist sie ausgesperrt.

Kein Passwort, kein Zugriff. Keine Verteidigungslücken.

Wahrung der Firmware-Integrität mit „Secure and Measured Boot“ 

Da Jane wieder gescheitert ist, steigt sie jetzt auf die grundlegendste Ebene des Angriffs um. Als John eine Verbindung zum Anlagennetzwerk herstellt, um Einstellungen zu aktualisieren, versucht sie, ein bösartiges Firmware-Paket in das CMC 500 einzuschleusen. Diese kompromittierte Firmware könnte unerwünschte Operationen starten, andere IEDs im Netzwerk angreifen oder als Schläfer auf einen kritischen Moment warten.

An dieser Stelle wird deutlich, was ein proaktives Design von einem reaktiven Ansatz unterscheidet. Andere Prüfgeräte würden vielleicht erst ihr Betriebssystem laden und sich darauf verlassen, dass etwaige Bedrohungen durch einen Scan nach der Installation gefunden werden – aber zu diesem Zeitpunkt steht die Tür bereits weit offen.

So reagiert das CMC 500: Für nicht verifizierten Code bleibt die Tür des CMC 500 immer geschlossen. In der Hardware seines TPM 2.0 ist ein Prozess mit der Bezeichnung Secure and Measured Boot verankert. Schon bevor die Installation ihre erste Anweisung ausführt, findet eine Validierung der OMICRON-Signatur in der Firmware statt. Während der Ausführung wird jede Komponente der Firmware kryptografisch verifiziert, gemessen und mit bekannten Prüfsummen verglichen.

Janes kompromittierte Firmware hat keine Signatur. Das Ergebnis? Keine Installation. Die Malware bleibt stumm. 

Keine Verifizierung, keine Ausführung.

Keine Softwareoption, sondern eine Frage der Einstellung:
Was Lebenszyklus-Sicherheit für uns bedeutet

Die Geschichte von John und Jane ist kein Einzelfall. Auch jetzt, während Sie dies lesen, arbeiten Angreifer:innen wie Jane unermüdlich daran, Verteidigungsmaßnahmen zu umgehen und Schwachstellen auszunutzen, gegen die nichts unternommen wird. Deshalb ist Sicherheit nicht etwas, was sich wie eine Softwareoption einfach aktivieren lässt. Sie ist vielmehr eine Frage des Gesamteinstellung, ein fortlaufendes Engagement, das in den gesamten Lebenszyklus eines Produkts eingebettet ist.

Wenn Sie mehr darüber erfahren möchten, wie wir einen transparenten und proaktiven Prozess im Umgang mit Schwachstellen pflegen, lesen Sie unseren Artikel im OMICRON Magazin. Wir kümmern uns um alle potenziellen Schwachstellen, unabhängig davon, ob sie von unseren internen Teams entdeckt oder von Benutzer:innen gemeldet werden. Dazu veröffentlichen wir:

  • Regelmäßige Software-Updates, um das System zu patchen und sicherer zu machen
  • Öffentliche Bekanntmachungen und Gegenmaßnahmen, damit Sie stets informiert sind und alle Informationen zur Hand haben, die Sie für den Schutz Ihrer Betriebsmittel benötigen

    •  

Sicherheit ist nicht einfach ein Feature. Sie ist unser Versprechen. Jeden Tag, in jedem CMC 500-Gerät.

Mehrschichtige Verteidigung:
So sorgt das CMC 500 für Sicherheit beim Prüfen:

Identitätsprüfung und Schutz der Anmeldeinformationen

  • Public-Key-Kryptosystem
  • End-to-End-verschlüsselte Kommunikation
  • Trusted Platform Module (TPM 2.0)
  • Gegenseitige Authentifizierung

    •  

Firmware-Integrität

  • Secure and Measured Boot

    •  

In den Produkt-Lebenszyklus eingebettete Sicherheit

  • Schwachstellenmanagement während der gesamten Lebensdauer des Produkts.

    •  

Sie möchten tiefer in das Thema einsteigen?

So, wie sich Angreifer:innen wie Jane weiterentwickeln, müssen auch wir unser Verständnis von Cybersicherheit beim Prüfen weiterentwickeln.

Wenn Sie mehr über dieses Thema erfahren möchten, empfehlen wir Ihnen unsere nächste Podcast-Folge: #116: Why Testing Offline Is Not Cyber Secure

In dieser Folge sprechen unsere Expert:innen über die folgenden Themen:

  • Warum bedeutet „offline“ nicht „sicher“?
  • Reale Angriffsszenarien und wie sie herkömmliche Sicherheitsvorkehrungen in Schaltanlagen umgehen
  • Wie kann integrierte Sicherheit mit TPM 2.0 und „Secure and Measured Boot“ die Sicherheit von Geräten erhöhen?

    •  

Sicherheit ist nicht einfach ein Feature, sondern eine Einstellungsfrage.

 

Entscheiden Sie sich für ein Prüfgerät, das bereit ist, bevor die Bedrohung eintrifft

Warten Sie nicht, bis die nächste Sicherheitsverletzung das schwächste Glied in Ihrer Sicherheitskette sichtbar macht. Reaktive Maßnahmen reichen nicht mehr aus. Es ist Zeit, Vertrauenswürdigkeit zu einem Wesensmerkmal zu machen und für Sicherheit zu sorgen, die auf proaktiven konstruktiven Verteidigungsmaßnahmen fußt.

Sichern Sie Ihr Netz mit einem Produkt, das nicht für die Annahmen von gestern, sondern für die Bedrohungen von morgen entwickelt wurde.

Sehen Sie sich proaktives Bedrohungsmanagement in Aktion an

Finden Sie heraus, wie das CMC 500 Ihre Prüfabläufe absichern und Ihre kritische Infrastruktur schützen kann.

CMC 500 kennenlernen

Entdecken Sie unsere Coverstories

Alle Coverstories

Hören Sie sich unseren Podcast an

15. Januar 2026

The Important Role of Software in Partial Discharge Testing

Episode 118 - Energy Talks with Burkhard Daniel
Weiterlesen
18. Dezember 2025

CPX 200 – Revolutionizing Power System Testing with Software Innovation

Episode 117 - Energy Talks with Lukas Klingenschmid
Weiterlesen
27. November 2025

Why Testing Offline Is Not Cyber Secure

Episode 116 - Energy Talks with Christopher Pritchard
Weiterlesen
Show all episodes
Sie verwenden eine nicht unterstützte Browser-Version.
Bitte aktualisieren Sie Ihren Browser oder verwenden Sie einen anderen Browser damit diese Seite korrekt dargestellt wird.
×