Beschleunigte Angriffserkennung in Umspannwerken

Version 3.3 des Rhebo Industrial Protector ermöglicht eine schnelle und umfassende Gefahren- und Angriffserkennung in elektrischen Schaltanlagen sowie der Netzleit- und Fernwirktechnik (Operational Technology oder OT). Das Update ergänzt die bewährte OT-Anomalie-Erkennung der Lösung um Whitelisting-Funktionen, die durch Nutzung der IEC 61850-Umspannwerksbeschreibung ermöglicht werden.

Die Norm IEC 61850 definiert Kommunikationsprotokolle für intelligente elektronische Geräte (IED) in elektrischen Schaltanlagen. Damit stellt die Norm die Interoperabilität zwischen verschiedenen IEDs auf der Protokoll- und Datenmodellebene sicher und deckt die Bedürfnisse der Stationsautomatisierung dezentraler Energiesysteme ab. Das Herzstück der Norm ist die sogenannte Substation Configuration Description Datei, kurz .scd. Diese Datei fungiert als digitaler Zwilling eines Umspannwerks und der zugehörigen elektrischen Infrastruktur und dokumentiert die gesamte zulässige Kommunikation zwischen IEDs.

Ab Version 3.3 unterstützt Rhebo die IEC 61850 .scd-Dateien als Mittel zur Konfiguration seiner OT-Überwachungs- und Anomalieerkennungskomponente Rhebo Industrial Protector. Da die .scd-Datei die gesamte legitime Kommunikation in einer Schaltanlage beschreibt, meldet die Anomalieerkennung nach dem Import der Digitalen-Zwillings-Datei nur den IEC 61850-Datenverkehr (etwa über die Protokolle MMS und Goose), der nicht in der Datei beschrieben ist. Alle dokumentierten Kommunikationen werden als legitim eingestuft und die in der .scd-Datei definierten Geräte oder Hosts werden der Host-Whitelist hinzugefügt.

Dadurch müssen Betreibende während der Lernphase des Systems zur Anomalie- und Angriffserkennung normale Ereignisse in der Schaltanlage nicht mehr manuell freigeben. „Dieses Update unserer OT-Anomalieerkennung spart den Betreibern kritischer Infrastrukturen wertvolle Zeit“, erklärt Rhebo-Produktmanager Jérome Arnaud. „Darüber hinaus sorgt die Nutzung der Digitalen-Zwillings-Datei des Umspannwerks dafür, dass die Zahl der falsch-positiven Ereignismeldungen auf ein Minimum reduziert wird, da es sich bei den gemeldeten Ereignissen definitiv um eine Abweichung handelt, die Aufmerksamkeit erfordert.“

Typische Beispiele für abweichende Kommunikationen, die in Echtzeit gemeldet werden, sind unbekannte Host-Kommunikation oder ungültige Goose- oder MMS-Datenpakete. Beides kann auf potenzielle Cyberangriffe oder Fehlkonfigurationen hinweisen, die die kritischen Dienste bedrohen. Goose und MMS sind Industrieprotokolle, die anfällig für Manipulationen und insbesondere Man-in-the-Middle-Angriffe sind.

Die IEC61850-spezifische Funktion ist ein Add-on zur grundlegenden OT-Monitoring- und Anomalieerkennungskomponente von Rhebo. „Whitelisting allein ist nicht ausreichend für eine nahtlose Sicherheitsarchitektur kritischer Infrastrukturen“, warnt Jérome Arnaud. „Denn für Betreibende kritischer Infrastrukturen ist es im Alltag nicht nur eine Herausforderung, die Aktualität der referenzierten .scd-Datei sicherzustellen, sondern auch Inkonsistenzen aufgrund des komplexen IEC 61850-Konfigurationsworkflows zu vermeiden.“ 

Die erste Herausforderung spiegelt den Alltag in industriellen Infrastrukturen wider, in denen OT-System-Aktualisierungen häufig mit starker Verzögerung umgesetzt werden, da die Prozessstabilität Vorrang vor Sicherheitsbedenken hat.

Die zweite Herausforderung bezieht sich auf den komplexen IEC 61850-Modellierungsworkflow, bei dem die Konfigurationsdateien oft hunderter IEDs mehrfach zwischen verschiedenen Konfigurationswerkzeugen hin- und hergeschickt werden, um schließlich die .scd-Datei für die Schaltanlage zu erhalten. Aufgrund der Komplexität dieses immer wiederkehrenden Prozesses kann es zu Inkonsistenzen kommen, die den fehlerfreien Betrieb der kritischen Infrastrukturen gefährden. Sowohl Verzögerungen bei der Aktualisierung als auch Inkonsistenzen können zu Sicherheitslücken führen, die Angreifer auszunutzen wissen. Weiterhin können technische Fehlerzustände entstehen, welche die Prozessstabilität gefährden. „Die Anomalieerkennung stellt sicher, dass jede Inkonsistenz oder jedes bösartige Verhalten innerhalb der IEC 61850-Infrastruktur, das nicht durch das Whitelisting abgedeckt ist, in Echtzeit erkannt wird“, ergänzt Arnaud.

Die Kombination aus der IEC 61850 Whitelisting-Funktion und der OT-Anomalieerkennung hilft Betreibern, ihre elektrische Infrastruktur effizient und effektiv gegen Cyberangriffe und betriebliche Bedrohungen zu schützen.