Die International Electrotechnical Commission beschäftigt sich mit der Festlegung von Standards, die die Funktionen im Bereich der Energiewirtschaft regeln. Unter einer Vielzahl von Standards, deren Abkürzungen manchmal ein wenig gewagt sind, hat ein Standard eine ganz besondere Stellung, da er die Kommunikationen der Stromversorgungsinfrastrukturen definiert... Erläuterungen zu IEC 61850 angesichts des Cyberrisikos.
Auch wenn es ganz selbstverständlich erscheint, öffentliche Verkehrsmittel zu benutzen, fernzusehen, Radio zu hören oder Wasser zu kochen, dann nur deshalb, weil diejenigen, die im Bereich Energie, und insbesondere der Stromwirtschaft, arbeiten, alles daransetzen, eine kontinuierliche Stromversorgung und den Zugang zu Strom sicherzustellen. Dieser Sektor unterliegt strengen Regelungen und muss den Anforderungen vieler internationaler Standards entsprechen. Einer davon ist der Standard IEC 61850, der den Betrieb von Smart Grids - also intelligenten Stromnetzen - regelt. Und wenn man von Smart Grids redet, dann bedeutet das zum einen nach außen verbundene Netze und zum anderen Interoperabilität. In beiden Fällen fügt dieser Austausch somit eine zusätzliche Dimension für diesen Sektor hinzu, der sich nun auch mit der Frage der Cybersicherheit der Stromversorgungsinfrastrukturen befassen muss. Aber die Cyber-Akteure, allen voran die Softwarehersteller, sind dazu da, den Übergang zur Anwendung der Cybersicherheit zu erleichtern. Dabei werden sowohl die durch den Standard IEC 61850 auferlegten Einschränkungen als auch die Sicherheitsprobleme berücksichtigt.
IEC 61850: Was versteckt sich dahinter?
Was genau ist der Standard IEC 61850? Dieser internationale Standard ist dem Bereich Energie und insbesondere der Energiewirtschaft gewidmet. Auch wenn die materiellen Anforderungen für elektrische Umgebungen ebenfalls Teil dieses Standards sind, sind es vor allem die darin definierten Protokolle, die uns hier interessieren. Diese Protokolle zielen vor allem auf die „IEDs“ (Intelligent Electronic Devices - intelligente elektronische Geräte) ab, intelligente Netzwerkkomponenten, die sich in elektrischen Schaltanlagen befinden. Welche Herausforderungen gibt es bei diesen Protokollen? Es geht dabei darum, die Funktionalität dieser intelligenten Netze rund um die Definition von Kommunikation, Verbindungen zwischen Energieerzeugung und Stromnetzen usw. gezielt zu lenken und sicherzustellen. „IEC 61850 strukturiert die Kommunikation und die Arbeit zwischen den Anlagen, wodurch es möglich wird, das Modell der ausgetauschten Daten und den Abstraktionsgrad zu definieren: Wer macht was in einer elektrischen Umgebung?Etc. Es ermöglicht den Übergang vom Entwurf bis zum Betrieb“, erklärt Simon Dansette, Produktmanager bei Stormshield.
Der Standard IEC 61850 soll daher das Management und die Steuerung von elektrischen Schaltanlagen vereinfachen und deren Integrität und Verfügbarkeit gewährleisten. Beispielsweise werden die von diesen Schaltanlagen ausgeführten Aktivitäten mit sehr kurzen Latenzzeiten durchgeführt, und IEC 61850 reagiert auf diese Einschränkung, indem er eine Echtzeit-Überwachung des Systembetriebs empfiehlt. Um die entsprechenden Spezifikationen für elektrische Schaltanlagen korrekt zu erfüllen, enthält dieser Standard daher mehrere Protokolle, die eine regulierende Rolle haben und den Betrieb des elektrischen Netzes gewährleisten. Drei der wichtigsten Kommunikationsprotokolle für IEDs sind: das MMS-Protokoll (Manufacturing Message Specification), mit dem Konfigurationsaktionen versendet werden können, das GOOSE-Protokoll (Generic Object Oriented Substation Event), ein Echtzeitprotokoll, das eine echte Interoperabilität zwischen Geräten verschiedener Hersteller und sehr kurze Latenzzeiten für die Entscheidungsfindung ermöglicht, und schließlich das SV-Protokoll (Sampled Values), das ebenfalls ein Echtzeitprotokoll ist und die Übertragung von Werten an IEDs handhabt. Dieses ganze Universum hat demnach eine festgelegte Aufstellung, um das ordnungsgemäße Funktionieren der elektrischen Schaltanlagen sicherzustellen.
Ursprünglich sind die Infrastrukturen der Schaltanlagen nicht an externe Netzwerke angeschlossen, so dass sie entwickelt wurden, ohne Aspekte der Cybersicherheit zu berücksichtigen. Aber mit dem Aufkommen intelligenter Stromnetze ändert sich das Paradigma.
Simon Dansette, Produktmanager bei Stormshield
Auch wenn der Standard IEC 61850 einen streng standardisierten und formalisierten Rahmen vorgibt, scheinen alle Kommunikationen, die die verschiedenen Protokolle durchlaufen, aus der Cyber-Perspektive verwundbar zu sein. Die Daten, die in diesen Kommunikationen übertragen werden, sind unverschlüsselt, und es gibt keinen Mechanismus zur Überprüfung der Authentizität der Nachrichten (z. B. bei PACS, Systeme für Schutz und Automatisierung). „Ursprünglich sind die Infrastrukturen der Schaltanlagen nicht an externe Netzwerke angeschlossen, so dass sie entwickelt wurden, ohne Aspekte der Cybersicherheit zu berücksichtigen. Aber mit dem Aufkommen intelligenter Stromnetze ändert sich das Paradigma“, erklärt Simon Dansette. Um den Anforderungen von Wirtschaft und Umwelt gerecht zu werden, muss die Optimierung der Stromerzeugung und des Stromtransports eine größere Verbundfähigkeit beinhalten. Und sich den Cyberrisiken stellen.
Stromnetze waren bisher bereits Ziele von Cyber-Angriffen, wie z. B. Bounce-Back-Angriffen (Befall einer Schaltanlage, um dann in das Stromnetz einzudringen und z. B. die Kommunikation zu beeinträchtigen). Die intelligenten Stromnetze werfen zweifellos die Frage der Cybersicherheit von elektrischen Schaltanlagen auf.
Intelligente Stromnetze, ein Angriffsziel, ganz nach dem Geschmack von Hackern.
Der Standard IEC 61850 berücksichtigt daher die Kommunikationssicherheit und die Frage der Cybersicherheit kaum oder gar nicht (diese Begriffe sind in einem anderen Standard – IEC 62351– enthalten). Elektrische Schaltanlagen sind jedoch Schlüsselpunkte im gesamten Stromversorgungsprozess, wo das Abschalten oder die Sabotage eines elektrischen Systems äußerst kritisch sein kann. „Sich mit der Stromversorgungsindustrie zu beschäftigen, bedeutet, sich mit dem Herzstück des Funktionierens der Gesellschaft zu beschäftigen. Wenn ein Cyberangriff zum Beispiel einen Stromausfall verursacht, kann das dramatische Folgen haben und großen Personen- und Sachschaden anrichten“, warnt die Nebras Alqurashi, Business and Technical Development Manager für den Nahen Osten und Afrika bei Stormshield.
Da alle Punkte, aus denen sie sich zusammensetzt, miteinander verbunden sind, ist die gesamte Infrastruktur der Stromindustrie anfällig und sensibel.Und egal, ob es sich um den Ausfall einer Stromleitung, eine Stromüberlastung oder ein totales Blackout handelt, die Energiewirtschaft muss über die Mittel verfügen, schnell zu reagieren, um die Auswirkungen zu begrenzen. Italien erinnert sich noch immer an den größten Stromausfall, von dem das Land 2003 betroffen war. Dies geschah nicht aufgrund eines Cyberangriffs, sondern weil ein Baum auf eine elektrische Leitung gefallen war. Der größte Teil des Landes war plötzlich nicht mehr in der Lage, normal zu funktionieren. Unter anderem standen alle Züge, die zum Zeitpunkt des Stromausfalls unterwegs waren, auf den Gleisen still. 30.000 Passagiere waren damals in den Zügen blockiert.„Man muss sich vorstellen, dass ohne Strom nichts funktioniert und die Folgen unmittelbar spürbar sind. Wenn zum Beispiel die Ampeln ausfallen, kommt es zu Serienunfällen, oder die Wasserversorgung in den entlegeneren Gebieten wird unterbrochen“, sagt Nebras Alqurashi. Eine Fehlfunktion im Bereich der Energieversorgung wird daher unweigerlich einen Dominoeffekt auslösen und Auswirkungen auf mehrere Sektoren haben, die davon abhängen - trotz der Notfallsysteme. Deutschland hat 2011 in einem Bericht die möglichen materiellen Folgen eines Stromausfalls aufgelistet: Verringerung der Telekommunikation, Stillstand der Wasseraufbereitungsanlagen, Unterbrechung der Kühlkette usw. Die britische Versicherungsgesellschaft Lloyd's hat 2015 den wirtschaftlichen Schaden am Beispiel eines Stromausfalls untersucht, von dem 15 amerikanische Bundesstaaten gleichzeitig betroffen waren. Dies hätte die Vereinigten Staaten eine bescheidene Summe zwischen 243 Milliarden und 1.000 Milliarden Dollar kosten können.
Sich mit der Stromversorgungsindustrie zu beschäftigen, bedeutet, sich mit dem Herzstück des Funktionierens der Gesellschaft zu beschäftigen. Wenn ein Cyberangriff zum Beispiel einen Stromausfall verursacht, kann das dramatische Folgen haben und großen Personen- und Sachschaden anrichten.
Nebras Alqurashi, Business and Technical Development Manager für den Nahen Osten und Afrika bei Stormshield
Ein erfolgreicher Cyber-Angriff auf die Stromversorgungsindustrie hätte daher ein phänomenales Ausmaß.Um so einen Angriff durchführen zu können, muss man jedoch über ausgezeichnete Kenntnisse der Protokolle, Systeme und Infrastruktur von elektrischen Netzwerken verfügen. Und die Angreifer, die sich heranwagen, sind oft von staatlichen Akteuren beauftragte Gruppen. Tatsächlich ist die Energiewirtschaft im Allgemeinen und die Stromindustrie im Besonderen das Ziel von Cyberangriffen mit geopolitischer Reichweite. Die Ukraine und deren Stromnetz mussten diese Erfahrung bereits mehrfach machen. Im Jahr 2016 wurde die Malware BlackEnergy eingesetzt, um einen Teil der Stromressourcen des Landes auszuschalten. Davon waren etwa 1,5 Millionen Menschen betroffen. Die Angreifer zielten auf einen Stromversorger in der Westukraine ab und haben einen Teil der Leitungen ausgeschaltet. Forschern zufolge bestand die Vorgehensweise der Angreifer darin,die Funktionen der Malware BlackEnergy zu verwenden, um einen Teil der Festplatte der Stromanlage zu löschen und einen Neustart der Betriebssysteme zu verhindern, bevor sie die Kontrolle über die mit der Malware infizierten Stationen aus der Ferne übernahmen. Auch Russland steht im Verdacht, hinter diesem Angriff zu stecken.
2017 wurde die ukrainische Hauptstadt ins Visier genommen, als ein Angriff auf den Energieversorger Ukrenergo einen Teil der Stadt Kiew ohne Strom ließ.Während Russland erneut verdächtigt wird, der Auftraggeber des Angriffs zu sein, war die Vorgehensweise der Angreifer eine andere. Es wurde die Malware Industroyer verwendet, die dafür bekannt ist, die Kontrolle über elektrische Schaltanlagen zu übernehmen und sich an das Funktionieren ihrer Kommunikationsprotokolle anzupassen.„Ein Angreifer kann die Funktionalitäten der Protokolle nutzen, um seinen Angriff durchzuführen“, sagt Marco Genovese, Pre-Sales Engineer bei Stormshield. Im Rahmen des Standards IEC 61850 muss das GOOSE-Protokoll eine Hochgeschwindigkeitskommunikation gewährleisten und hat keine Zeit, auf die Bestätigung des korrekten Empfangs von Paketen zu warten. Ein Angreifer könnte diese Schwäche ausnutzen, um schädliche Datenpakete in das Netzwerk einzuschleusen.“
Nach der Ukraine waren es die Vereinigten Staaten, die 2018 über das Heimatschutzministerium des Landes bestätigten, dass das Land seit 2016 Ziel von Cyberangriffen auf seine Stromversorgungsinfrastruktur sei. Die Angriffe wurden angeblich von der mit Russland in Verbindung stehenden Gruppe Energetic Bear (auch Dragonfly genannt) durchgeführt. Nach Angaben der US-Behörden infizierte Energetic Bear zunächst das Netzwerk von kleinen Produktionsstätten und führte dann gezielte Phishing-Kampagnen (Spear Phishing) durch, um nach und nach zu den größten Industrien vorzudringen und die Steuerung der Netzwerke der Energieunternehmen aus der Ferne zu übernehmen.
Die Stromindustrie ist daher einer der kritischsten Sektoren für Cyber-Angriffe, und, obwohl man sich des zunehmenden Cyber-Risikos bewusst ist, bleiben Systeme und Infrastruktur komplex. Ihr Wandel erfolgt in kleinen Schritten. Daher kommt den Softwareherstellern eine Schlüsselrolle bei der Unterstützung dieser Branchen zu, indem sie Lösungen anbieten, die den betrieblichen Vorgaben des Standards IEC 61850 entsprechen und gleichzeitig die IT-Sicherheit der Infrastrukturen gewährleisten.
Wie geht man mit Cybersicherheit und den Anforderungen des Standards IEC 61850 um?
Die Berücksichtigung sowohl der IT-Sicherheitsanforderungen als auch der Anforderungen des Standards IEC 61850 stellt für die Herausgeber eine große Herausforderung dar. Denn wenn die Herausgeber den betrieblichen Vorgaben dieser Branche nicht gerecht werden, ist es schwer, wenn nicht gar unmöglich, sich vorzustellen, den Cyber-Vorgaben gerecht zu werden. So gehören im Rahmen von IEC 61850 die drei in diesem Standard enthaltene Protokolle - GOOSE, MMS und SMV - zu den wenigen, die verwendet werden können, auch wenn andere Protokolle wie IEC 104 diese Sicherheitsanforderung manchmal auch erfüllen können. Der Standard bringt also starke Hardware-Beschränkungen mit sich, während die Protokolle Auswirkungen auf den Sektor haben, an die sich die Lösungen für Cybersicherheit anpassen müssen. Das Ziel der Herausgeber ist es daher, die bestehenden Infrastrukturen um eine Ebene der Cybersicherheit zu erweitern. „Die Lösungen müssen in der Lage sein, sich nahtlos in Stromnetze zu integrieren und die Konformität der Nachrichten mit allen drei Protokollen zu überprüfen“, erläutert Simon Dansette. Ein weiterer Punkt, der zu berücksichtigen ist, sind die Latenzzeiten, mit denen in der Energiewirtschaft gearbeitet wird. Da diese sehr kurz sind, ist es wichtig, so weit wie irgendwie möglich zu vermeiden, Lösungen vorzuschlagen, die das Tempo der Schaltanlagen verlangsamen würden. Schließlich gibt es noch eine weitere nicht zu vernachlässigende Schwierigkeit: Die Herausgeber müssen die Sicherheitsprobleme von elektrischen Schaltanlagen außerhalb des OT-Bereichs berücksichtigen. Da das GOOSE-Protokoll beispielsweise auf dem Ethernet-Netzwerk funktioniert, würden alle erfolgreichen Angriffe auf dieses Netzwerk auch für das GOOSE-Protokoll funktionieren.
Wenn die Herausgeber den betrieblichen Vorgaben dieser Branche nicht gerecht werden, ist es schwer, wenn nicht gar unmöglich, sich vorzustellen, den Cyber-Herausforderungen gerecht zu werden.
Khobeib Ben Boubaker, Head of Industrial Business Line Stormshield
Aber was sind die Lösungen, die sowohl die Anforderungen des IEC 61850 erfüllen als auch jene Ebene der Cybersicherheit bieten, die die Stromversorgungsindustrie benötigt?Es gibt mehrere Optionen: Als erster Schritt muss unbedingt eine Netzwerksegmentierung auf der Ebene der verschiedenen Infrastrukturen der elektrischen Netze vorgenommen werden, um die Risiken eines unbefugten Zugriffs auf die Systeme zu begrenzen. Die IPS-Funktionen (Intrusion Prevention System) einiger Industrie-Firewalls stützen sich auf signaturbasierte Erkennung, um Angriffe oder Anomalien abzuwehren. Dieses System allein reicht jedoch nicht aus, um die Sicherheit der Stromnetze zu gewährleisten, denn, wie Marco Genovese betont:„Signaturbasiertes IPS erkennt nur, was bekannt und gelistet ist. Aber es ist schwierig, im Voraus einen Cyberangriff und seine Form vorherzusagen.“Einige Softwareanbieter haben auch Lösungen mit integrierten Plug-ins entwickelt, um die Konformitätsprüfungen für die Kommunikationen in Schaltanlagen zu verstärken und sicherzustellen, dass diese Kommunikationen die Anforderungen von IEC 61850 erfüllen.„Durch die Implementierung von Industrie-Firewalls ermöglicht dieser Ansatz eine Deep Packet Inspection, indem sie den Kommunikationskontext (Stateful DPI) berücksichtigen. Dabei gilt ein einfacher Grundsatz: nur das zuzulassen, was als berechtigt erkannt wird“, sagt Nebras Alqurashi. Die Energiewirtschaft braucht Systeme, die in der Lage sind, den Datenverkehr zu analysieren und zu rekonstruieren, um ihn zu rekontextualisieren und festzustellen, ob er berechtigt ist oder ob beispielsweise versucht wurde, Datenpakete mit schädlichem Inhalt in die Kommunikation einzuspeisen.
Die Berücksichtigung des Cyberrisikos muss für die Energiedomäne das sein, was der Standard IEC 61850 für den Bereich der elektrischen Schaltanlagen ist: ein unverzichtbarer Bestandteil!