Ausgabe Dezember 2022

Mit Wirken des 2. IT-Sicherheitsgesetzes sind Betreiber Kritischer Infrastrukturen verpflichtet angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Schutzziele „Verfügbarkeit“, „Integrität“, „Authentizität“ und „Vertraulichkeit“ zu treffen. Um dies flächendeckend umzusetzen, wird im neuen § 8a Absatz 1a des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) ausdrücklich auf die Einführung von Systemen zur Angriffserkennung (SzA) hingewiesen [1]:

„Systeme zur Angriffserkennung im Sinne dieses Gesetzes sind durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme. Die Angriffserkennung erfolgt dabei durch Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten.“
(§ 2 Absatz 9b BSIG)

Für die Umsetzung hat das BSI am 29.09.2022 eine Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung veröffentlicht [2], welche die Einführung der SzA für Betreiber Kritischer Infrastruktur beschreibt, indem drei Aufgabenbereiche definiert werden: Protokollierung, Detektion und Reaktion (s. Bild).

Die verschiedenen Schritte der Planung und Umsetzung benötigen vor allem die grundlegende Analyse der eigenen Infrastruktur als Basis auf dem Weg zur erfolgreichen Planung und Implementierung geeigneter Systeme.

Auf dem Weg der Erfüllung des § 8a Absatz 1 unterstützen wir Sie gerne und erarbeiten mit Ihnen Konzepte zur erfolgreichen Einführung der SzA in den spezifischen Gegebenheiten Ihres Unternehmens und Ihrer Prozessstrukturen. In der nächsten Ausgabe gehen wir auf dieses Thema expliziter ein. 

[1] https://www.gesetze-im-internet.de/bsig_2009/__8a.html
[2] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KRITIS/oh-sza.pdf

Die voranschreitende Konvergenz der IT- und OT-Infrastrukturen im Bereich der elektrischen Energieversorgung führt zu einer zunehmenden kommunikationstechnischen Vernetzung von Sensorik und Aktorik sowie einer Automatisierung in der Steuerung und Überwachung elektrischer Netze. Die überwiegende Nutzung TCP/IP-basierter Übertragungsprotokolle ist dabei kaum hinreichend geschützt und eine umfassende Berücksichtigung von IT-Sicherheitsaspekten spielt in der elektrischen Netzbetriebsführung eine eher untergeordnete Rolle. Insbesondere der Bereich der Energieversorgung und davon abhängige Infrastrukturen sind durch IT-Angriffe einem besonders hohen Risiko ausgesetzt (siehe z.B. Black-Energy-Angriff in der Ukraine).

Netzwerkbasierte Intrusion-Detection-Systeme (NIDS) sind ein weitverbreiteter Ansatz zur Angriffserkennung in Computernetzwerken. Auf dieser Grundlage wurde das speziell für Netzbetreiber ausgerichtete Monitoringsystem CyPhAn entwickelt, welches eine tiefgreifende Dekodierung und Auswertung der Kommunikation inkl. der dabei übertragenen Mess- und Steuersignale zwischen Feld- und Leitebene durchführt. Dabei zum Einsatz kommende Expertensysteme und KI-Modelle (z.B. rekurrente Seq2Seq-Netze) werden in einem Hybrid-Ansatz kombiniert und ermöglichen auf Basis der Analyse aller relevanten Protokollinformationen eine gleichzeitige Überwachung des Zustands der Datenkommunikation und des elektrischen Netzes. Hierzu stellt CyPhAn die folgenden Überwachungsfunktionen zur Verfügung:

• die Erkennung kommunikationsbezogener Anomalien oder IT-Angriffe (CyPhAn.Network),

• die Erkennung prozessbezogener Anomalien (CyPhAn.Phasor) sowie

• die Klassifikation des Betriebszustands inkl. einer simultane Ortung und Identifikation technischer Betriebsstörungen (CyPhAn.Class).

Somit können u.a. Auswirkungen einer fehlerhaften oder korrumpierten Kommunikation auf Betriebsvorgänge direkt erfasst und entsprechende Gegenmaßnahmen eingeleitet werden. Als plattformunabhängige, modulare Softwarelösung bietet CyPhAn zusätzliche Funktionen

• zum Datenmanagement (Message-Bus),

• zur Konfiguration bzw. zum Training der Überwachungsalgorithmen,

• zum interoperablen Datenaustausch über standardisierte Schnittstellen (z.B. CIM) und

• eine web-basierte Visualisierungsoberfläche.

Dies ermöglicht eine flexible Integration in bestehende Leitsystemarchitekturen sowie eine direkte Ankopplung an überlagerte Leitsystemanwendungen (z.B. SCADA). Die prinzipielle Systemarchitektur sowie einige Visualisierungsbeispiele zeigt hierzu die Abbildung.

Durch die gleichzeitige Informationsauswertung auf Kommunikations- und Prozessebene können verschiedene Anomalien eingeordnet sowie der tatsächliche Betriebszustand des elektrischen Netzes und der Kommunikationszustand der Datenübertragung korrekt bewertet werden. Somit stellt CyPhAn insbesondere unter Gewährleistung einer sicheren Datenübertragung eine ganzheitlich und leistungsfähige Überwachungslösung zur Absicherung des Netzbetriebs für Leitstellenbetreiber dar. Dieses stellt eine neue Qualität vor allem in der zunehmenden Verschmelzung des klassischen Leitstellenbetriebs und der neuen Anforderungen an den Aufbau von SOCs (Security Operation Center) dar. Die Lösung stellt ein wichtiges Werkzeug in Hinblick auf die Etablierung der Cyber-Resilienz in der Energieversorgung dar. Mit dem Einsatz von CyPhAn können insbesondere IT-Angriffe bereits im Vorfeld erkannt und entsprechende Folgewirkungen wie Datendiebstahl, Versorgungsausfälle oder sogar Netzinstabilitäten minimiert werden. Dies erhöht die Versorgungsqualität im Netzgebiet und kann zukünftig als neues Qualitätsmerkmal „IT-sichere Energie“ für eine Aufwertung von Energiedienstleistungen genutzt werden.

Trotz hoher Anforderungen im Rahmen gesetzlicher Vorgaben wie dem IT-Sicherheitsgesetz oder der Einführung von IT-Sicherheitsmanagementsystemen (ISMS) bleiben Energieversorger im Fokus von Cyberangriffen. Besonders sensibel sind dabei die für einen sicheren Netzbetrieb zuständigen Netzleitwarten. In ihnen werden täglich tausende Daten und Messwerte analysiert, daraus kritische Betriebssituationen erkannt und entsprechende Schalt- und Regelvorgänge abgeleitet. Verschafft sich ein Angreifer hier von außen Zugriff und werden z.B. Messwerte absichtlich manipuliert, kann das zu falschen Schalthandlungen bis hin zum Black-Out als Worst-Case-Szenario führen.

In einem Vorgängerprojekt wurden bereits KI-Methoden zur automatischen Fehlererkennung sowie zur Detektion kritischer Netzzustände (Leitungsausfälle, Kraftwerksausfälle) basierend auf so genannten PMU-Sensoren entwickelt. Im vom Bundesministerium für Wirtschaft und Klimaschutz (BMWK) geförderten Forschungsprojekt „Digital-Twin-zentrische Dienste und Applikationen für den dynamischen Betrieb und den Schutz des zukünftigen Energieversorgungssystems“ (HyLITE) wurde dieser Ansatz nun auf den gesamten Netzwerkverkehr inkl. übermittelter PMU- und SCADA-Messungen zwischen Netz- und Leitsystem weiterentwickelt, ein besonders sensibler Bereich im Netzbetrieb. Projektpartner sind die Technische Universität Ilmenau (Fachgebiet Elektrische Energieversorgung), die SIEMENS AG sowie das Fraunhofer-Institut für Fabrikbetrieb und -automatisierung IFF.

Unter der Berücksichtigung neuster Entwicklungen in der Netzleittechnik sowie dem zunehmenden Einsatz Digitaler Zwillinge wurde zunächst eine Bedrohungsanalyse für die zugrundeliegende Systemarchitektur durchgeführt. Darauf aufbauend wurde am Fraunhofer IOSB-AST ein neuer Ansatz entwickelt, welcher automatisiert und in Echtzeit sämtliche Netzwerk- und Prozessinformationen zwischen Netz- und Leitsystem überwacht und auf Manipulationen überprüft. Das Ergebnis ist eine KI-unterstützte, intelligente Überwachungslösung für Netzleitsysteme, welche zunächst das Normalverhalten auf Mess- und Kommunikationsebene automatisch anlernt. Die Software kann dabei nicht nur die aktuelle Betriebssituation sowie technische Ausfälle oder Störungen, sondern auch Anomalien in den Messwerten bzw. dem Datenverkehr zwischen elektrischem Netz und Leitsystem erkennen. Damit ist eine ganzheitliche Überwachung des Netzbetriebs und der eingesetzten Kommunikationsmittel für den verantwortlichen Operator in Echtzeit möglich. Der Zugang erfolgt über eine webbasierte Echtzeitvisualisierung, die einen schnellen Überblick über die KI-gestützte Anomaliebewertungen ermöglicht.

Die KI-basierte Überwachungslösung wurde innerhalb der Laborumgebung am Fraunhofer IOSB-AST unter Verwendung von Echtzeitsimulationen erfolgreich getestet. Dabei können neben verschiedenen Betriebssituationen und technischen Störungen auch IT-Angriffe auf gängige Übertragungsprotokolle wie IEC 61850 oder IEEE C37.118 nachgestellt sowie deren Auswirkungen auf den dynamischen Netzbetrieb untersucht werden.

»Das Thema Cyber-Resilienz wird in den nächsten Jahren bei den Sicherheitsverantwortlichen eine immer größere Rolle spielen.«

Die Cyberangriffe auf die Netze von Energieversorgern haben in den vergangenen Jahren stark zugenommen. Wenn der Strom ausfällt, gehen nicht nur in der Wohnung die Lichter aus, U-Bahnen bleiben stehen, Mobilfunknetze funktionieren nicht mehr. Die Energieversorger haben ihre Schutzmaßnahmen in den letzten Jahren verbessert und investieren in die Sicherheit ihrer IT.

Unser Experte Steffen Nicolai erklärt, wie KI hilft, die Attacken aus dem Netz noch schneller zu erkennen – und welche Fortschritte die Energieversorger schon gemacht haben.

Spotify

iTunes

In dieser Rubrik möchten wir Ihnen unsere Kollegen vorstellen. Heute machen wir Sie mit Oliver Nitschke– unserem Forschungsmitarbeiter bekannt. Oliver ist ebenfalls seit den Anfängen im Lernlabor Cybersicherheit (LLCS) für die Energie- und Wasserversorgung tätig. Was seinen Job als Forschungsmitarbeiter im LLCS besonders spannend macht, erklärt er in diesem Interview. 

Was genau machst Du im Lernlabor als wissenschaftlicher Mitarbeiter?

Meine Tätigkeit umfasst viele verschiedene Aspekte, welche ein gemeinsames Ziel verfolgen: Kontinuierliche Anhebung des Sicherheitsniveaus unserer kritischen Infrastrukturen. In Trainings vermittle ich dazu die notwendigen Kenntnisse und Fähigkeiten – am liebsten unterhaltsam, informativ und vor allem praxisnah. Durch die Prüfung von Digitalisierungskonzepten und IT/OT-Infrastrukturen decke ich Schwachstellen auf, bevor es die Angreifer können und unterstütze die Betreiber bei der Absicherung. Beide Schwerpunkte erfordern zudem die Entwicklung und Implementierung von Schulungs- und Testplattformen. Den Prototypen unserer Schulungsplattform habe ich maßgeblich mitentwickelt. Aktuell beschäftige ich mich mit dem Aufbau einer CTF-Umgebung (Capture the Flag) innerhalb unseres Labors. Selbstverständlich betreue ich auch mehrere Studierende als wissenschaftliche Hilfskräfte, Praktikanten und Absolventen als Nachwuchs für das Lernlabor als auch dringend benötigte Fachkräfte für Versorgungsunternehmen.

Was macht Deiner Meinung nach das Lernlabor so einzigartig?

Durch die bestehenden und zukünftigen Konsortien deckt das Lernlabor alle Themenschwerpunkte im Kontext IT-Sicherheit ab und schafft die Möglichkeit, auch breit aufgestellte Unternehmen, Versorger und Gesellschaften bei der Absicherung ihrer Infrastrukturen ganzheitlich zu unterstützen.

Das Lernlabor für die Energie- und Wasserversorgung am AST bietet den Kunden reale Umgebungen, um Angriffe und Sicherungsmaßnahmen zu erleben, zu verstehen und anzuwenden. Dies zeigt sich vor allem in Schulungen deutlich, wenn unsere Teilnehmer den hohen Praxisanteil, die vielen „AHA-Momente“ und den Inhouse-Komfort durch unsere mobile Schulungsplattform hervorheben.

Wo siehst Du die größten Herausforderungen für die Energie- und Wasserversorger im Kontext der Cybersicherheit in der heutigen Zeit?

Die „Top-5“ dürften allen bekannt sein. Ergänzen möchte ich folgendes: Fachkräftemangel, Komplexität, gesetzliche Anforderungen und die allgemeine Situation sind Herausforderungen, welche eine strukturierte, positive und zielgerichtete Herangehensweise für eine ganzheitliche Sicherheitsbetrachtung deutlich erschweren und bei Mitarbeitern durchaus Resignation hervorrufen. Hier gilt es, als CIO, ISB und Vorgesetzter Vorbildfunktion einzunehmen und die Informationssicherheitskultur am Leben zu erhalten und weiter auszubauen. Es gibt kein Unternehmen, kein Versorger, der nicht angegriffen wird – aber der überwiegende Teil ist sicher und resilient genug, keine (ernsthaften) Schäden zu verzeichnen – diese Basis muss erhalten und ausgebaut werden.

Du bist bereits seit den Anfängen im Team des Lernlabors Cybersicherheit. Wie konntest Du Dich weiterentwickeln und welche persönlichen Stärken bringst Du mit in das Lernlabor ein?

Der Blick über den Tellerrand hinaus, die richtige Frage an der richtigen Stelle, dass Interesse an und die Kommunikation zwischen fachlichen Schnittstellen sowie die ein oder andere schräge Idee – so könnte man den Einsatz meiner persönlichen Stärken für das LLCS beschreiben. Persönlich habe ich vor allem im Bereich IT/OT vieles dazugelernt. Es stellt sowohl technisch als auch menschlich eine interessante Kombination dar. Auch als Trainer lernt man nie aus und hat mit der Fraunhofer Academy einen guten Partner zur Seite. Vor wenigen Tagen konnte ich mit der erfolgreichen Prüfung zum Certified Scientific Trainer nun auch formal meine Kompetenzen als Dozent bestätigen.

Beschreibe das LLCS für die Energie- und Wasserversorgung am Fraunhofer IOSB-AST mit drei Worten.

interdisziplinär, (inter)aktiv, befähigend.