Suchen

Stuxnet und Co.

Malware-Schutz im Energiesektor

Seite: 2/2

Firmen zum Thema

Prozesssteuerung und IT verquicken

Heute gibt es zwei wesentliche Netzwerktypen im Energiebereich: Prozesssteuerungsnetzwerke und IT-Netzwerke. Erstere sind das operative Herzstück des Energiemarktes, weil sie die einzelnen Komponenten innerhalb eines Kraftwerks kontrollieren. Die Verantwortung für den Betrieb und die Wartung des Netzwerks obliegt der Operationsgruppe.

IT-Netzwerke hingegen stellen die Grundlage moderner vernetzter Büroumgebungen dar und dienen zur Bereitstellung von Servern und Datenbanken. Zudem läuft darüber die Koordination der Managementtätigkeiten zwischen den einzelnen Akteuren des Energiemarktes: vom Produzenten über den Kunden bis zum intelligenten Stromnetz (Smart Grid). Die IT-Abteilung verantwortet die Wartung dieses Netzwerks.

Beide Netzwerktypen sind in modernen Infrastrukturen miteinander verbunden. Verglichen mit vorherigen Architekturen, in denen es nur geringe Überschneidungen gab, sind nun Überschneidungen von internen Anschlüssen vorhanden. Somit bietet sich eine Angriffsoberfläche zwischen den zwei Netzwerken. Höhere Sicherheitslevel bieten der Einsatz interner sowie von Informationssicherheitsplattformen gesteuerter Abwehrmechanismen.

Angriffe folgen Kettenschema

Nicht erst seit den Angriffen durch Stuxnet ist klar, dass eine vernetzte Welt auch Gefahren mit sich bringt. Vieles in der Struktur und Vorgehensweise des Wurms Stuxnet war bereits von anderen Attacken bekannt. Prinzipiell läuft dabei eine „Angriffskette“ von Ereignissen ab:

  • Ziel finden
  • Angriff erzeugen, um die Schwachstelle herauszufinden
  • Angriff ausführen

Über die entstehende Lücke wird anschließend ein viel komplexerer Angriff gestartet, der beispielsweise dazu dienen kann, Zentrifugen zu zerstören oder auch vertrauliche Pläne und Daten zu entwenden. Um die Angriffskette effektiv zu verhindern bzw. zu stören, sollten Abwehrmaßnahmen zu jedem Zeitpunkt während der Attacke greifen. Die klassische Risikokalkulation für interne Netzwerksicherheitsabwehr drückt dies so aus:

Risiko (R) = Bedrohung (B) x Schwachstellen (S) x Folge/Auswirkungen (F)

Werden alle Parameter der Risikoberechnung gegen Null gesteuert, verringert sich das Sicherheitsrisiko immens. Daher sollte eine genaue Prüfung des Internetverkehrs erfolgen, beispielsweise mithilfe von Black- und Whitelisting.

Verbindungspunkte am Perimeter werden im Idealfall nur an die Standorte und Dienste freigegeben, die hinsichtlich gesetzlicher und interner Sicherheitspolitik und Risikoprofile einschließlich ISO/IEC 2700x als valide eingestuft sind. Im Rahmen einer Deep-Packet-Inspection, wie sie eine Next Generation Firewall bietet, lassen sich sogar unbekannte Datenströme oder Komponenten in bekannten Daten blockieren.

Ergänzendes zum Thema
Empfehlung: PAP-Modell

Laut BSI-Grundschutz-Katalog M2.73 soll ein mehrstufiges Firewall-Konzept genutzt werden. Die Bezeichnung PAP-Modell steht für Packetfilter – Application Level Gateway – Packetfilter; ein Modell, bei dem ein Application Level Gateway User- und Netz-seitig von einem Paketfilter geschützt wird. Der erste Paketfilter tritt in Form des Routers auf, der Applikationsfilter sowie der zweite Paketfilter dann als Next-Generation-Firewall.

Externe Devices kommunizieren per (IPSec-)VPN mit dem Prozessnetz, der VPN-Tunnel wird erst in der zweiten (Next-Generation-)Firewall terminiert. Die zweite Firewall erhält ein Regelwerk, das innerhalb des Prozess-Netzwerkes ein Positiv-Regelwerk repräsentiert und somit ausschließlich das zulässt, was gewünscht ist.

Im Hinblick auf Datensicherheit haben Unternehmen der Energiebranchen ebenfalls Richtlinien zu beachten – nicht nur bei intelligenten Stromzählern, die Stromverbrauchsdaten direkt über das Internet oder klassische Telefonleitungen übertragen. Ebenso herkömmliche Sicherheitsrisiken wie Datenmigration, -trennung und -speicherung sowie der sichere Austausch von Kundeninformationen, z.B. zur Bonitätsprüfung, stehen im Fokus.

Gesetzliche Verordnungen und Vorschriften leisten ihr Übriges zu einem besonders sensiblen Umgang mit Daten. Professionelle Lösungen helfen dabei, die Vorgaben einzuhalten. Empfehlenswert sind regelbasierte Sicherheitsauthentifizierungen, bei denen einzelnen Benutzern oder Benutzergruppen beliebig viele Dienste und Nutzungsrechte individuell zugeordnet werden.

Fazit

Vom Energiesektor hängt für Firmen- und Privatkunden einiges ab, nicht nur Produktivität und Komfort, sondern auch Gesundheit (man denke an Krankenhäuser) und Sicherheit. Dieser Verantwortung ist sich die Branche noch nicht durchgängig bewusst.

Passende Lösungen, die den Besonderheiten der Prozess- und IT-Architekturen Rechnung tragen, sind bereits erhältlich. Sie errichten einen umfassenden Schutz der Infrastrukturen, während sie gleichzeitig bei der Einhaltung von Datenschutzvorgaben behilflich sind und es ermöglichen, die Performance zu sichern und Bedienfehler weitgehend auszuschließen.

Ergänzendes zum Thema
Über Gateprotect

Damit eine Angriffskette effektiv gestört werden kann, sollten Abwehrmaßnahmen zu jedem Zeitpunkt während der Attacke greifen. Diesen Ansatz verfolgt Security-Spezialist Gateprotect mit der Methodik „Echelons der internen Abwehr“. Sie liegt der Next-Generation-Firewall-Serie gateprotect NP zugrunde und umfasst das Reduzieren von Bedrohungen, den Zugang zu Schwachstellen, das Begrenzen möglicher Folgen sowie die Interaktion mit anderen Security-Systemen.

Bei den gateprotect NP-Lösungen ermöglicht die Applikationserkennung eine Whitelisting-Methode, die über Deep-Packet-Inspection sogar die Filterung und Bewertung innerhalb von Applikationen unterstützt. So wird jeglicher Verkehr, der die Firewall passieren möchte, eindeutig identifiziert und validiert. Unbekannte Datenströme, selbst unbekannte Komponenten in bekannten Daten, werden blockiert. Gateprotect ist offizieller Zeichenträger des Siegels „IT Security Made in Germany“.

* Klaus G. Meckel ist Sales Director DACH bei sysob IT-Distribution.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 43223639)