Angriffserkennung in Umspannwerken nach dem BSI

Klaus Hunsänger vom BSI gibt Tipps, wie in Umspannwerken eine Angriffserkennung nach BSI-CS 153 “Stationsautomatisierung” umgesetzt werden kann. Der Praktiker aus dem Referat für industrielle Steuerungs- und Automatisierungssysteme beleuchtet die Hintergründe des BSI-Dokuments und an welcher Stelle ein netzbasiertes IDS (NIDS) sinnvoll ist.

Dauer:

26 min

Zu Gast in dieser Folge:

Klaus Hunsänger

Referent für Industrielle Steuerungs- und Automatisierungssysteme BSI

FAQ

Fakten zum Thema

Was fordert das BSI-Dokument BSI-CS 153 für die Stationsautomatisierung?

Das Dokument BSI-CS 153 konkretisiert die Anforderungen an die Cybersicherheit in der Peripherie der Energieversorgung, insbesondere in Umspannwerken. Da herkömmliche Sicherheitsstrategien über die zentrale Leitstelle heute nicht mehr ausreichen, fokussiert sich das BSI-CS 153 auf die Implementierung einer robusten Angriffserkennung. Ziel ist es, moderne Angriffsvektoren in der Fernwerktechnik und auf dem Stationsbus frühzeitig zu identifizieren, um die Versorgungssicherheit zu gewährleisten.

Warum ist ein netzbasiertes IDS (NIDS) in Umspannwerken so effektiv?

In der OT (Operational Technology) können viele Komponenten wie IEDs (Intelligent Electronic Devices) oder RTUs nicht einfach mit zusätzlicher Security-Software ausgestattet werden. Ein netzbasierte Angriffserkennung (NIDS) ist hier die effizienteste Lösung:

‍Schnelle Implementierung: Ein NIDS lässt sich oft mit geringem Aufwand in bestehende Strukturen integrieren.‍
Anomalieerkennung: Da die Kommunikation in OT-Netzen deterministisch ist, erkennt ein NIDS Abweichungen vom Normalzustand (Anomalien) zuverlässig – auch ohne bekannte Signatur.‍
Sichtbarkeit: Es bietet sofortigen Überblick über den Datenverkehr auf dem Stationsbus.

Was ist der Unterschied zwischen hostbasierter und netzbasierter Angriffserkennung nach BSI-Standard?

Netzbasierte Angriffserkennung (NIDS): Überwacht den gesamten Datenverkehr im Netzwerk. Es ist ideal für Umspannwerke, da es passiv arbeitet und die Kommunikation der Feldgeräte nicht beeinflusst.

Hostbasierte Angriffserkennung: Hier werden Log-Daten direkt von den Endgeräten (Workstations, moderne IEDs) ausgewertet. Das BSI empfiehlt eine Kombination: Während das NIDS die schnellsten Ergebnisse liefert, sollten Log-Files moderner Komponenten ergänzend für eine tiefergehende Analyse genutzt werden.

Welche Rolle spielt das SCD-File (IEC 61850) für die Cybersicherheit?

In Anlagen nach IEC 61850 ist das SCD-File (Substation Configuration Description) das Herzstück der Dokumentation. Für die SEO-relevante Angriffserkennung ist es "Gold wert", weil:

Es als Referenz für die Konfiguration dient.
Es das Training eines NIDS massiv beschleunigt.
Im Falle eines Fehlers oder Angriffs ohne diese Datei eine schnelle Wiederherstellung oder Analyse kaum möglich ist.

Warum reicht die klassische Signatur-Erkennung in der OT nicht aus?

Im Gegensatz zur klassischen IT, wo Angriffe oft über bekannte Muster (Signaturen) erkannt werden, agieren Angreifer im Bereich der industriellen Steuerungssysteme oft mit Advanced Persistent Threats (APT). Diese sind hochindividuell. Da die Kommunikation in der Stationsautomatisierung jedoch sehr stabil und vorhersehbar ist, ist die Anomalieerkennung hier deutlich überlegen, um auch unbekannte Angriffe (Zero-Day) über die Lieferkette zu identifizieren.

Zusammenfassung

‍

Keywords

BSI, SzA, Angriffserkennung, Stationsautomatisierung, NIDS, BSI-CS 153, netzbasierte Angriffserkennung, IEC 6180, hostbasierte Angriffserkennung

‍

Gut gesagt

"Die Angriffsvektoren verlagern sich in die Fernwerktechnik oder noch weiter runter in den Stationsbus."

"Ich glaube, der Energiesektor ist da schon sehr gut aufgestellt, verglichen mit anderen Sektoren, auch mit anderen Kritis-Sektoren."

"In den einen oder anderen Fällen haben sich Energiebetriebe bei der Dokumentation der OT zu sehr auf ihre Dienstleister verlassen."

"Den meisten Benefit kriege ich über die netzbasierte Erkennung in dem System, weil ich auf die ganzen IEDs und RTUs nicht einfach ein Stück Software draufwerfen kann."

"APT sind sehr individuell unterwegs, heute so, morgen so. Da kann ich gar nicht so mit diesen Signaturen draufgehen."

"Es nutzt nichts, wenn im Umspannwerk eine Kiste steht, die die ganze Zeit am Schreien ist und morgen kommt mal wieder einer vorbei und sieht dann: 'Ach, guck mal, da blinkt ein Lämpchen.'”

‍

Kapitel

00:00 Vorstellung

01:28 Hintergrund zum BSI-Dokument BSI-CS 153 zur Stationsautomatisierung

04:19 Wie sich die technischen Rahmenbedingungen in Umspannwerken geändert haben

06:25 Schritte zur Umsetzung von OT-Sicherheit in Umspannwerken

07:05 Sicherheitsbeauftragte und Schutztechniker:innen an einen Tisch bekommen

08:26 Relevanz der Dokumentation in der Cybersicherheit

10:11 Relevanz des .scd-Files in IEC 61850 Anlagen für Fehlersuche, Angriffserkennung und Sichtbarkeit.

12:20 Wo muss ein netzbasiertes Angriffserkennungssystem (NIDS) in Umspannwerken sitzen?

14:26 Wo ergibt hostbasierte Angriffserkennung Sinn?

15:34 Taugen IEDs als Informationsquellen?

17:10 Passive vs. aktive Angriffserkennung

19:00 Wie detektiert ein NIDS mit Anomalieerkennung Angriffe über die Lieferkette?

22:10 Unabhängigkeit und Air-Gap bei NIDS

25:14 Zusammenarbeit mit Dienstleistern

‍

Angriffserkennung in Umspannwerken nach dem BSI

Das digitale Nervensystem: Warum Gebäudeautomation echte OT ist

CE-Kennzeichen für Digitales: Wie der CRA die OT-Schieflage korrigiert

Ferrari ohne Führerschein? Die richtige Reihenfolge zur OT-Sicherheit für CEOs

Risikoanalyse in der OT

Angriffserkennung in der OT

Aufbau des OT-Cybersicherheits-Knowhows

SIEM-Integration

Gesetzliche Compliance

Asset Discovery in der OT

Zustandsüberwachung in der OT

Mitre Att&ck for ICS Integration