- Nach IEC 61850 operierende Energieinfrastrukturen benötigen besonders intensiven Cyberschutz
- Neue Version der Rhebo-Lösung für OT-Monitoring- und Angriffserkennung kombiniert .scd-Datei basiertes Whitelisting mit OT-Anomalieerkennung
- Integration des digitalen Zwillings eines Umspannwerks reduziert Trainingszeit der Anomalieerkennung auf Null
Rhebo veröffentlicht eine Erweiterung seiner OT-Überwachungs- und Anomalieerkennungskomponente der Rhebo OT Security Lösung. Version 3.3 des Rhebo Industrial Protector ermöglicht eine schnelle und umfassende Gefahren- und Angriffserkennung in elektrischen Schaltanlagen sowie der Netzleit- und Fernwirktechnik (Operational Technology oder OT). Das Update ergänzt die bewährte OT-Anomalie-Erkennung der Lösung um Whitelisting-Funktionen, die durch Nutzung der IEC 61850-Umspannwerksbeschreibung ermöglicht werden.
Die Norm IEC 61850 definiert Kommunikationsprotokolle für intelligente elektronische Geräte (IED) in elektrischen Schaltanlagen. Damit stellt die Norm die Interoperabilität zwischen verschiedenen IEDs auf der Protokoll- und Datenmodellebene sicher und deckt die Bedürfnisse der Stationsautomatisierung dezentraler Energiesysteme ab. Das Herzstück der Norm ist die sogenannte Substation Configuration Description Datei, kurz .scd. Diese Datei fungiert als digitaler Zwilling eines Umspannwerks und der zugehörigen elektrischen Infrastruktur und dokumentiert die gesamte zulässige Kommunikation zwischen IEDs.
Angriffe sofort erkennen
Ab Version 3.3 unterstützt Rhebo die IEC 61850 .scd-Dateien als Mittel zur Konfiguration seiner OT-Überwachungs- und Anomalieerkennungskomponente Rhebo Industrial Protector. Da die .scd-Datei die gesamte legitime Kommunikation in einer Schaltanlage beschreibt, meldet die Anomalieerkennung nach dem Import der Digitalen-Zwillings-Datei nur den IEC 61850-Datenverkehr (z. B. über die Protokolle MMS und GOOSE), der nicht in der Datei beschrieben ist. Alle dokumentierten Kommunikationen werden als legitim eingestuft und die in der .scd-Datei definierten Geräte oder Hosts werden der Host-Whitelist hinzugefügt.
Dadurch müssen Betreibende während der Lernphase des Systems zur Anomalie- und Angriffserkennung normale Ereignisse in der Schaltanlage nicht mehr manuell freigeben. »Dieses Update unserer OT-Anomalieerkennung spart den Betreibern kritischer Infrastrukturen wertvolle Zeit«, erklärt Rhebo-Produktmanager Jérome Arnaud. »Darüber hinaus sorgt die Nutzung der Digitalen-Zwillings-Datei des Umspannwerks dafür, dass die Zahl der falsch-positiven Ereignismeldungen auf ein Minimum reduziert wird, da es sich bei den gemeldeten Ereignissen definitiv um eine Abweichung handelt, die Aufmerksamkeit erfordert«.
Typische Beispiele für abweichende Kommunikationen, die in Echtzeit gemeldet werden, sind unbekannte Host-Kommunikation oder ungültige GOOSE- oder MMS-Datenpakete. Beides kann auf potenzielle Cyberangriffe oder Fehlkonfigurationen hinweisen, die die kritischen Dienste bedrohen. GOOSE und MMS sind Industrieprotokolle, die anfällig für Manipulationen und insbesondere Man-in-the-Middle-Angriffe sind.
Anomalieerkennung bleibt trotz Whitelisting-Funktion unverzichtbar
Die IEC61850-spezifische Funktion ist ein Add-on zur grundlegenden OT-Monitoring- und Anomalieerkennungskomponente von Rhebo. »Whitelisting allein ist nicht ausreichend für eine nahtlose Sicherheitsarchitektur kritischer Infrastrukturen«, warnt Jérome Arnaud. »Denn für Betreibende kritischer Infrastrukturen ist es im Alltag nicht nur eine Herausforderung, die Aktualität der referenzierten .scd-Datei sicherzustellen, sondern auch Inkonsistenzen aufgrund des komplexen IEC 61850-Konfigurationsworkflows zu vermeiden«.
Die erste Herausforderung spiegelt den Alltag in industriellen Infrastrukturen wider, in denen OT-System-Aktualisierungen häufig mit starker Verzögerung umgesetzt werden, da die Prozessstabilität Vorrang vor Sicherheitsbedenken hat.
Die zweite Herausforderung bezieht sich auf den komplexen IEC 61850-Modellierungsworkflow, bei dem die Konfigurationsdateien oft hunderter IEDs mehrfach zwischen verschiedenen Konfigurationswerkzeugen hin- und hergeschickt werden, um schließlich die .scd-Datei für die Schaltanlage zu erhalten. Aufgrund der Komplexität dieses immer wiederkehrenden Prozesses kann es zu Inkonsistenzen kommen, die den fehlerfreien Betrieb der kritischen Infrastrukturen gefährden. Sowohl Verzögerungen bei der Aktualisierung als auch Inkonsistenzen können zu Sicherheitslücken führen, die Angreifer auszunutzen wissen. Weiterhin können technische Fehlerzustände entstehen, welche die Prozessstabilität gefährden. »Die Anomalieerkennung stellt sicher, dass jede Inkonsistenz oder jedes bösartige Verhalten innerhalb der IEC 61850-Infrastruktur, das nicht durch das Whitelisting abgedeckt ist, in Echtzeit erkannt wird«, ergänzt Arnaud.
Die Kombination aus der IEC 61850 Whitelisting-Funktion und der OT-Anomalieerkennung hilft Betreibern, ihre elektrische Infrastruktur effizient und effektiv gegen Cyberangriffe und betriebliche Bedrohungen zu schützen. Für weitere Informationen besuchen Sie https://rhebo.com.
Rhebo bietet einfache und effektive Cybersicherheitslösungen für die Netzleit-, Fernwirk- und Steuerungstechnik sowie verteilte industrielle Anlagen in Energieunternehmen, Kritischen Infrastrukturen und Industrieunternehmen. Das Unternehmen unterstützt Kunden auf dem gesamten Weg der OT-Sicherheit von der initialen Risikoanalyse bis zum betreuten OT-Monitoring mit Anomalie- und Angriffserkennung. Rhebo ist seit 2021 Teil der Landis+Gyr AG, einem global führenden Anbieter integrierter Energiemanagement-Lösungen für die Energiewirtschaft mit weltweit rund 5.000 Mitarbeiter:innen in über 30 Ländern.
Rhebo ist Partner der Allianz für Cyber-Sicherheit des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Teletrust – Bundesverband IT-Sicherheit e.V.. Als vertrauenswürdiges IT-Sicherheitsunternehmen ist Rhebo offizieller Träger der Gütesiegel »IT Security Made in Germany« sowie »Cybersecurity Made In Europe«.
Rhebo GmbH
Spinnereistr. 7
04179 Leipzig
Telefon: +49 (341) 393790-180
Telefax: +49 (341) 393790-0
http://www.rhebo.com
Public Relations
Telefon: +49 (341) 393790191
E-Mail: jens.pacholsky@rhebo.com