02 May 2022
Soll man die Sicherheit der OT- Netze der EVUs wirklich ausschließlich der IT überlassen - wer Bauchschmerzen hat, geht ja auch nicht zum Zahnarzt, oder?
Autor: Thomas Friedel, Omicron electronics GmbH
Es ist quasi eine Binsenweisheit: Cyberangriffe nehmen stetig zu und die Methoden werden perfider. Vor allem kritische Infrastrukturen stehen mehr denn je im Fokus, denn die potenziellen Schäden können verheerend sein.
Es ist quasi eine Binsenweisheit: Cyberangriffe nehmen stetig zu und die Methoden werden perfider. Vor allem kritische Infrastrukturen stehen mehr denn je im Fokus, denn die potenziellen Schäden können verheerend sein.
Während einige Ländern ihre gesetzlichen Vorgaben verschärfen, arbeiten auf europäischer Ebene Energieversorger verstärkt zusammen, um schnell Informationen über mögliche Angriffe auszutauschen. Dies geschieht getreu dem Motto „time is money“ – hier aber besser übersetzt mit „Schnelligkeit garantiert Helligkeit“.
Dazu werden Sicherheitslösungen benötigt, die auf die Belange der OT-Netze der Energieversorger abgestimmt sind; seien es Schwachstellendatenbanken, die aktuelle Informationen über die eingesetzten Steuer- und Schutzkomponenten enthalten oder Monitoring-Systeme, die akkurat und schnell die spezifischen Protokolle analysieren können.
Gute und erprobte Lösungen für die IT bedeutet längst nicht, dass sie sich auch für die OT eignen. Der „One size fits all“-Ansatz ist hier nicht das Gebot der Stunde.
Die Bedingung ist klar: Geeignete Lösungen zum Schutz vor Cyber-Attacken schnellst möglich zu etablieren. Doch warum scheitern immer wieder Projekte, die es zum Ziel haben, die Cyber Security in den OT- Netzen der EVUs zu verbessern, z. B. durch Etablierung von Systemen zur Angriffserkennung (Intrusion Detection Systeme (IDS))?
Das liegt zum einen daran, dass die OT und die IT im übertragenen Sinne unterschiedliche Sprachen sprechen und grundsätzlich andere Anforderungen an die Systeme haben. In der Office-IT ist es völlig normal, Datenpakete zwischen zu speichern, zu analysieren und gegebenenfalls gar nicht auszuliefern oder zur Prüfung zurückzuhalten, um den potentiellen Schadcode vor Auslieferung des gesamten Datenpakets zu entfernen. In den meisten Fällen bemerkt der Empfänger einer Emailnachricht es nicht einmal, dass sie ein paar Minuten später ausgeliefert worden ist.
Die gleiche Vorgehensweise in den Steuernetzen (OT- Netzen) der EVUs hätte unter Umständen fatale Folgen, da dadurch ein zeitkritisches Signal wie z.B. der Auslösebefehl eines Schutzrelais stark verzögert oder komplett unterbunden werden kann. Dies könnte im schlimmsten Fall zu kompletten Versorgungsausfällen führen.
Ein Blocken des Datenverkehrs ist hier im Gegensatz zur IT absolut unerwünscht - komplett passiv und rückwirkungsfrei agierende Systeme sind ein Muss.
Andererseits liegt in vielen Unternehmen die Verantwortung zur Auswahl von Cybersicherheits-Lösungen häufig noch komplett bei der IT. Die OT wird oft spät oder auch gar nicht involviert, da die Prozesse dies dort immer noch nicht vorsehen.
In der Konsequenz führt dies nicht selten dazu, dass z.B. Schutztechniker:innen in den EVUs mit Systemen arbeiten müssen, die nicht ihren Anforderungen entsprechen. Es entsteht Frustration und dies ist letztlich nicht förderlich für die dringend notwendige enge Zusammenarbeit zwischen dem OT-Fachpersonal und den Mitarbeiter:innen der IT-SOCs (Security Operations Center), wo die Alarme auflaufen, korreliert und forensisch bearbeitet werden.
Dies ist eine völlig kontraproduktive Herangehensweise für eine schnelle Klärung des Vorfalls und für die Akzeptanz des eingeführten Systems. Nicht selten führt es zum Scheitern kompletter Projekte.
Um dies zu verhindern, kommt der Wahl der geeigneten Lösung grosse Bedeutung zu. Es ist wichtig, das interne OT- Fachpersonal sowie allenfalls weitere OT-Spezialistinnen und -Spezialisten frühzeitig einzubinden. Diese können dann gemeinsam mit den IT-Abteilungen Testprozeduren zur Auswahl der geeigneten Produkte entwickeln. Mittels einer fachgemässen Evaluation wird sichergestellt, dass die die realen Anforderungen der Schutz- und Leittechnik bestmöglich abgedeckt sind.
Das Ziel ist und bleibt der bestmögliche Schutz der kritischen Infrastruktur.