Was ich bei der Prüfung von OT-Netzwerken gelernt habe

1. Sicherheitsrisiken identifizieren 

Kunden stellen uns im Zusammenhang mit ihrem OT-Netzwerk immer wieder eine Frage: „Wo liegen unsere Sicherheitsrisiken?“ 

Trotz unserer umfangreichen Kenntnisse im Bereich Cyber Security bei Stromnetzen und unserer 20-jährigen Erfahrung mit den Automatisierungs- und Leitsystemen der Energieversorger fiel es uns immer noch schwer, diese Frage zu beantworten.

Um zufriedenstellende Antworten darauf zu finden, evaluierten wir drei Jahre lang (von 2017 bis 2020) Kraftwerke und Schaltanlagen auf allen Kontinenten – von der Schweiz über Indien und die USA bis nach Namibia. Die Erfahrungen, die wir in den Bereichen Cyber Security und funktionales Monitoring gesammelt haben, halfen uns dabei, einen neuen Ansatz für die Sicherheit in OT-Umgebungen zu entwickeln – denn beim Schutz von Netzwerken zur Automatisierung von Energieanlagen geht es nicht allein um Cyber Security.

Auch die funktionale Sicherheit und die unterbrechungsfreie Betriebsfähigkeit spielen im Gesamtsicherheitskonzept eine wichtige Rolle. Für die Erstellung und vor allem für die Aufrechterhaltung eines allgemeinen Sicherheitskonzepts müssen alle Faktoren berücksichtigt werden, die für das ordnungsgemäße Funktionieren eines Leittechnik- und Stationsautomatisierungssystems (SAS) relevant sind. 

Heute können wir daher stolz unser Produkt StationGuard vorweisen. StationGuard ist ein Angriffsüberwachungssystem (IDS), mit dem wir nicht nur die Cyber Security von SAS und Leitstellen aufrechterhalten, sondern auch mit noch nie dagewesener Genauigkeit und Benutzungsfreundlichkeit die Sicherheit des OT-Netzwerks bewerten können. 

Ich werde im Folgenden erläutern,  

  • warum wir Sicherheitsbewertungen für Leitstellen-, Kraftwerks- und Anlagen-Netzwerke anbieten,  
  • warum wir diese kostenlos anbieten und  
  • welche wichtigen Erkenntnisse ich dabei gewonnen habe.

    •  

2. Sicherheitsbewertung für das OT-Netzwerk

Der Aufnahme von StationGuard in unser Portfolio gingen Prüfungen und Bewertungen vieler SAS-, Kraftwerks- und Leitstellen-Netzwerke voraus: Wir haben unter anderem Penetrationstests durchgeführt, bei der Entwicklung sicherer Netzwerkarchitekturen geholfen, Kunden bei der Ausarbeitung sicherer OT-Engineering-Verfahren für Schaltanlagen unterstützt und Risikobewertungen in Kraftwerken vorgenommen. Die dabei gesammelten Erfahrungen sind dann in die Entwicklung unseres Angriffsüberwachungssystems StationGuard eingegangen.  
 
StationGuard macht Sicherheitsbewertungen einfach, verständlich und unkompliziert: Das System deckt zuverlässig die wichtigsten Cyber-Security-Lücken der OT-Umgebung auf, die ja regelmäßig mit dem IT-Netzwerk des Unternehmens interagiert.
 
Ende 2020 meldete sich eine Kollegin bei mir und bat mich, mit StationGuard einen Sicherheitsbewertungsbericht für eine:n unserer Kund:innen zu erstellen. Ich bekam vom Kund:innenunternehmen entsprechende Engineering-Dateien und wurde über die Netzwerkarchitektur des Unternehmens informiert. Diese Unterlagen bilden stets die konventionelle Grundlage für eine Sicherheitsbewertung, bevor wir unsere Prüfung vor Ort fortsetzen.  
 
Am Ende unserer Prüfung präsentierten wir unsere Ergebnisse. Im Rahmen unserer Sicherheitsbewertungen liefern wir normalerweise Folgendes:

  • ein vollständiges Bestandsverzeichnis aller Betriebsmittel, die in den Netzwerken kommunizieren,  
  • eine Liste „ungewöhnlicher“ Dienste, die wir im Netzwerk gesehen haben, und  
  • eine Aufstellung funktionaler Probleme, auf die wir im Automatisierungs- oder Leittechniksystem gestoßen sind.

    •  

 
Die Daten meiner ersten Sicherheitsbewertung haben sowohl für die Schaltanlagentechniker:innen als auch für die IT-Spezialist:innen völlig unerwartete Ergebnisse erbracht. Zu den Risiken, die unsere Bewertung zutage gefördert hatte, gehörten mehrere unbemerkt gebliebene Verbindungen nach draußen, unerwartete Geräte im Netzwerk, veraltete Firmware, fehlgeschlagene RTU-Operationen, Konfigurationsfehler sowie Probleme mit dem Netzwerk und seinem Redundanzprotokoll (RSTP).
 
Seitdem haben meine Kolleg:innen und ich weltweit viele Sicherheitsbewertungen durchgeführt (und Verbesserungen daran vorgenommen), und zwar nicht nur für Schaltanlagen, sondern auch für Kraftwerke und Leitstellen, darunter Anlagen mit IEC-61850-, IEC-60870 5 104-, DNP3-, Modbus-TCP/IP- und vielen anderen IT-Protokollen.  
 
Die Ergebnisse unserer Sicherheitsbewertungen waren immer höchst interessant und manchmal alarmierend.

3. Ergebnisse unserer Sicherheitsbewertungen 

IEDs (Intelligent Electronic Devices), die wir bei uns scherzhaft als „emotionale Geräte“ bezeichnen, können auf unerwartete Anfragen von RTUs oder bei Konfigurationsfehlern und Kommunikationsproblemen fehlerhaft reagieren

Bei unseren Sicherheitsbewertungen finden wir in der Regel mehrere solcher Sicherheitsrisiken im Anlagennetzwerk. Dazu gehören insbesondere: 

  • nicht dokumentierte externe Verbindungen, die direkt auf IEDs und Switches zugreifen, 
  • veraltete Firmware mit bekannten Sicherheitslücken, 
  • nicht genutzte Dienste und 
  • nicht autorisierte Zugriffe. 

    •  

Normalerweise werden diese Sicherheitsprobleme durch funktionale Probleme begünstigt, wie z. B.: 

  • Konfigurationsprobleme in IEDs, RTUs und Netzwerk-Switches, 
  • Fehler bei der Zeitsynchronisation und 
  • Probleme mit der Netzwerkredundanz. 

    •  

Meiner Erfahrung nach laufen die meisten Netzwerke in Leitstellen und Kraftwerken nach der Inbetriebnahme zunächst reibungslos, aber nach ein paar Jahren oder auch nur Monaten treten Probleme auf. Selbst in einem scheinbar gut funktionierenden Automatisierungs- oder Leittechniksystem kann es grundlegende Probleme geben.  

So haben wir Netzwerke gesehen, die sich alle 10 Sekunden selbst neu konfigurieren, weil es in der RSTP-Redundanzkonfiguration Probleme gab. Kommt es im Netz zu einem Fehler und es wird mehr Bandbreite benötigt, können ernste Probleme entstehen. Diese Probleme können zu weiteren Fehlern führen und es besteht das Risiko von Ausfällen und Cyberangriffen. 

Ich werde im Folgenden auf einige häufig auftretende Risiken eingehen, die mir in den letzten Jahren begegnet sind. 

 

3.1. Nicht genutzte Dienste 

Ein momentaner Blick auf die Benutzungsoberfläche eines PCs, einer IED oder einer RTU allein reicht nicht aus, um herauszufinden, welche Kommunikationen im Netzwerk stattfinden – Sie müssen das Netzwerk überwachen. Offene/unbenutzte Dienste bieten unverhältnismäßig viele Möglichkeiten für Hacker, Automatisierungs- oder Leittechniksysteme anzugreifen. Glücklicherweise lassen sich ungenutzte Dienste, die im Netzwerk kommunizieren, einfach erkennen: 

Zu den Diensten, die wir am häufigsten gefunden haben, gehören: 

  • IPv6: Das Protokoll war auf den meisten PCs aktiviert, manchmal aber auch auf IEDs. IPv6 wurde nie wirklich genutzt, bietet aber verschiedene Angriffsvektoren im Netzwerk. 
  • Windows-Dateifreigabe: Der Dateifreigabedienst war auf PCs und Windows-basierten RTUs und Gateways immer aktiviert, wurde aber nicht verwendet. 
  • Software-Lizenzierungsdienste: Diese Dienste werden mit Administratorberechtigungen auf PCs und Windows-basierten Gateways ausgeführt, werden aber in einem isolierten Anlagennetzwerk nicht benötigt. Dennoch werden sie bei Engineering-Tools und einigen HMI-Programmen mitinstalliert. Mit diesen Diensten sind mehrere kritische Sicherheitslücken verbunden. 
  • CoDeSys Gateway Server, ein Dienst für die SPS-Programmentwicklungsumgebung, der rund um die Uhr auf kritischen IEDs in Kraftwerken und Schaltanlagen aktiv ist. Auch mit diesem Dienst sind mehrere kritische Sicherheitslücken verbunden. 
  • PTPv2: Dieses Protokoll ist standardmäßig auf einigen industriellen Switches aktiviert, wird aber oft nie verwendet.  

    •  

Allein durch Deaktivieren dieser Dienste lässt sich die Zahl der Cyberrisiken für Geräte im Netzwerk deutlich senken. 

3.2. Externe Verbindungen 

Kraftwerke und Leitstellen mit Remote-Verbindungen zum IT-Netzwerk des Unternehmens sind für einen Cyberangriff immer am anfälligsten. Sehen wir uns das am Beispiel eines Anlagennetzwerks in Südamerika an, das ich 2021 bewertet habe. 

Bei dieser Sicherheitsbewertung haben wir die Aktivitäten mehrerer Clients mit externen IP-Adressen erfasst, die die Webdienste der IEDs und Switches in der Schaltanlage genutzt haben. Das Unternehmen erlaubte es seinen Techniker:innen, sich über eine Remote-Verbindung (VPN-Tunnel) von zu Hause aus mit den IEDs zu verbinden und sie zu konfigurieren.  

Viele Funde beunruhigten die Verantwortlichen für die IT-Sicherheit. Einer davon waren eine IP-Adresse und eine MAC-Adresse, die niemand im Team kannte und die auch nirgends dokumentiert war. Wir konnten die IP-Adresse zurückverfolgen und herausfinden, woher diese Verbindung stammte; wir haben dann ihren Zugriff auf das System blockiert

Trotz all der modernen Sicherheitsmaßnahmen, die in der Schaltanlage vorhanden waren, wie VPN-Tunnel, Firewalls und rollenbasierte Zugriffssteuerung, blieb ein erhebliches Sicherheitsrisiko bestehen: Abgesehen von Bedenken in Bezug auf die Architektur gab es einfach zu viele Verbindungen, von denen einige nicht einmal dokumentiert waren. Wir haben diese durch unsere Sicherheitsbewertung sichtbar gemacht und das Unternehmen hat seine Verbindungen überarbeitet. 

3.3. Veraltete Firmware mit bekannten Sicherheitslücken 

Bei JEDER Sicherheitsbewertung in Versorgungsunternehmen stoße ich auf veraltete Firmware-Versionen.  

Im Rahmen unserer Bewertungen übergeben wir den Techniker:innen und IT-Expert:innen des Unternehmens ein passiv ermitteltes Betriebsmittelverzeichnis. Wir ergänzen die Angaben zum Bestand um weitere Details, wie die Software-Version, die Hardware-Konfiguration und Seriennummern, indem wir Engineering-Dateien, wie z. B. IEC-61850-SCL-Projektdateien und CSV-Bestandslisten, importieren. Dieses Bestandsverzeichnis ist dann eine gute Basis für eine Analyse der Schwachstellen und Risiken.

3.4. Fehler in der Konfiguration der Leittechnikkommunikation

Eine Fehlkonfiguration von RTU- und Leittechnikgeräten kann dazu führen, dass kritische Ereignisse vor Ort nicht an die Leitstelle übertragen werden. Außerdem kann sich die Kommunikation verlangsamen. 

So haben wir in einer Schaltanlage in Europa Konfigurationsfehler in der MMS-Report-Konfiguration gefunden: Die Reports wurden an die falsche Client-IP-Adresse gesendet.  

Durch die Behebung der Konfigurationsfehler verbesserte sich die Kommunikationsgeschwindigkeit der IEDs deutlich. Das Problem an sich war zwar keine Sicherheitsbedrohung, aber die geringere Kommunikationsgeschwindigkeit stellte ein operatives Risiko dar und hätte Reaktionsprozesse behindern können. 

3.5. Erkennen von Änderungen an der Konfiguration 

Es gibt mehrere Möglichkeiten, Änderungen an der Konfiguration wichtiger Betriebsmittel in der OT-Umgebung zu erkennen. 

In einer Schaltanlage in den USA stellten wir eine Fehlkonfiguration von GOOSE-Nachrichten fest. Zu diesem Problem war es gekommen, weil die Geräte von zwei verschiedenen Personen konfiguriert worden waren. Dieser Mangel an Kommunikation zwischen den Techniker:innen führte wiederum zu Kommunikationsproblemen zwischen den OT-Geräten.  

Wir fanden heraus, dass bestimmte Remote-Befehlsaktivitäten in der Schaltanlage aufgrund von ungültigen Verriegelungsbedingungen nicht richtig funktionierten. Die Konsequenz war, dass es in dringenden Fällen nicht möglich gewesen wäre, die Schaltgeräte aus der Ferne zu bedienen. Was die Zuständigen beunruhigte war die Tatsache, dass sie überhaupt nichts von diesem Problem wussten, bevor wir bei einer Sicherheitsbewertung darauf gestoßen waren. 

Dieses Beispiel war auch für mich sehr lehrreich. Es hat mir gezeigt, wie solche kleinen Probleme in der GOOSE-Kommunikation zu größeren Problemen für das Kraftwerk führen können.  

Aus diesem Grund und um unser Wissen zu erweitern und mit anderen Mitarbeiter:innen von Kraftwerken, Schaltanlagen und Leitstellen in Kontakt zu kommen, werden wir auch weiterhin diese grundlegenden Sicherheitsbewertungen kostenlos anbieten.  

4. Vorteile unserer kostenlosen Sicherheitsbewertung 

Egal, ob Sie Cyber-Security-Beauftragte:r, Leit- und Schutztechniker:in, Netzwerktechniker:in, Manager:in oder Systemintegrator:in sind oder in sonstiger Funktion in einer Leitstelle, einem Kraftwerk oder einer Schaltanlage arbeiten, möchte ich Ihnen weitere Gründe nennen, warum sich eine solche Sicherheitsbewertung auf jeden Fall für Sie lohnt.  

 

4.1. Dritte in Ihrem OT-Netzwerk

Es ist kein Geheimnis, dass an der Inbetriebnahme (und Wartung) von SAS und anderen OT-Netzwerken auch viele Drittunternehmen in großem Stil beteiligt sind. Wie bereits erwähnt, kann die Tatsache, dass verschiedene Engineering-Gruppen vor Ort sind, zu Problemen führen, wenn es darum geht, die Zukunftsfähigkeit des OT-Systems zu gewährleisten.  

Ich habe viele Beschwerden über Drittparteien gehört, die Systeme falsch konfigurieren und Verbindungen geöffnet lassen. Ein gut funktionierendes Versorgungsunternehmen setzt alles daran, dieses Chaos in den Griff zu bekommen, und sorgt gleichzeitig für eine kontinuierliche Funktionsfähigkeit des Systems. Oft ist der Umgang mit diesen Risikofaktoren zeitaufwendig, teuer und Ressourcen verschwendend

Unsere Sicherheitsbewertung identifiziert Betriebsmittel und Risiken effektiv und unterstützt Versorger bei der Zusammenarbeit mit Drittunternehmen, damit langfristige Kosten vermieden werden. 

4.2. Eine einfache Möglichkeit für IT-Verantwortliche, die OT-Welt zu verstehen

Klassische IT-IDS-Lösungen sind leider nicht in der Lage, OT-Protokolle und ‑Ereignisse zu evaluieren. Lernbasierte IDS-Ansätze erfordern viel OT-Wissen, um erst einmal die Grundlagen für die Bewertung zu schaffen, welche Aktivitäten erlaubt sind und welche verboten sein sollten.  

Außerdem kennen die Verantwortlichen für die IT-Sicherheit in der Regel die OT-Umgebung und deren Funktionsprinzipien nicht genug, um solche Entscheidungen treffen zu können. Dies wird zum Problem, wenn es um das Verwalten von OT-Vorfällen und die Einführung von Sicherheitsprozessen in der OT geht. 

Unser Produkt StationGuard bietet die Lösung: Es versorgt IT- und OT-Techniker:innen mit verständlichen Daten. Bei unserer Sicherheitsbewertung mit StationGuard werden diese beiden Welten zusammengeführt und es wird die Grundlage für ein gemeinsames Verständnis geschaffen. 

4.3. Die Muster Ihres Netzwerks verstehen 

Wie bereits erwähnt sind OT-Netzwerke voller Überraschungen und sehr komplex. 

Es ist immer besser, heute Gegenmaßnahmen für mögliche Probleme zu ergreifen, die morgen auftreten können: Vielleicht finden wir ja den Grund für ein chronisches Problem in Ihrem Netzwerk? Vielleicht gibt es ein unentdecktes Problem, das nur darauf wartet, gefunden zu werden? 

Vieles bleibt noch zu entdecken, eines ist aber ganz sicher: Jedes Risiko, das Ihren Betrieb in einem zeitkritischen Umfeld beeinträchtigen könnte, wird teuer. 

5. Fragen Sie eine Sicherheitsbewertung für Ihre Schaltanlage an 

Wir bieten unseren potenziellen Kund:innen weltweit eine kostenlose Sicherheitsbewertung! 

Sie sind IT-Verantwortliche:r/‑Manager:in und möchten mehr über den OT-Teil Ihrer Organisation erfahren? Sie möchten wissen, welche Sicherheitsrisiken in Ihrem OT-Netzwerk bestehen?  

Sie sind SAS-Techniker:in/‑Manager:in und möchten Ihre funktionalen Probleme herausfinden (oder lösen) oder Ihre Netzwerkkommunikation verifizieren?  

In jedem Fall können wir der Sicherheit Ihres Systems durch unsere Sicherheitsbewertung helfen! 

Wenn Sie eine Sicherheitsbewertung anfordern möchten, senden Sie mir eine Nachricht mit dem Betreff „SG Free Assessment“ an die folgende E‑Mail-Adresse: info@omicronenergy.com (Aufgrund unserer Datenschutzrichtlinien darf ich hier nicht meine persönliche E-Mail-Adresse angeben. Ich kann Ihnen aber versichern, dass alle E-Mails direkt an mich weitergeleitet werden.) 

Vielen Dank für Ihr Interesse. 

Mit freundlichen Grüßen 

Ozan Dayanc (OT Security Engineer)

Entdecken Sie unsere Coverstories

Aerial view of electrical transmission lines in electrical substation
facility, facility
27. April 2024

Zeitgemäße Schutzprüfung – Reduzieren Sie Aufwand, Kosten und mehr

Weiterlesen
27. April 2024

Unsere ganzheitliche Lösung für Sicherheitsvorfälle und funktionelle Fehler

Weiterlesen
Alle Coverstories

Hören Sie sich unseren Podcast an

23. April 2024

The Importance of Working with Engineering Associations

with Fred Steinhauser & Andreas Nenning Episode 78 - Energy Talks
Weiterlesen
19. April 2024

Measuring C-Divider Capacitance on Capacitor Voltage Transformers

with Thomas Bischof & Felix Feustel Episode 77 - Energy Talks
Weiterlesen
04. April 2024

Partial Discharge Monitoring on Gas-Insulated Switchgear and Lines

with Caspar Steineke Episode 76 - Energy Talks
Weiterlesen
Show all episodes
Sie verwenden eine nicht unterstützte Browser-Version.
Bitte aktualisieren Sie Ihren Browser oder verwenden Sie einen anderen Browser damit diese Seite korrekt dargestellt wird.
×