Praxis

Wie Gasversorger sichere Netzwerke aufbauen

Creos Deutschland GmbH

Die Creos Deutschland GmbH hat die Umstellung auf All-Ip bereits erfolgreich umgesetzt.

Die Telekommunikationsanbieter sind dabei, ihre analogen Anschlüsse sukzessive auf All-IP umzustellen. Dies ist eine Herausforderung, mit der früher oder später alle Gasversorger konfrontiert sein werden.

Mit dem zunehmenden Einsatz von IP-Technologien in ihren Prozessnetzwerken müssen sich Gasversorger umfassend vor Cyber-Attacken schützen. Eine schlagkräftige Methode dafür ist die Einrichtung von Sicherheitszonen gemäß des Defence-in-Depth-Prinzips.

Die Creos Deutschland GmbH mit Sitz in Homburg transportiert über ihr Gashochdrucknetz Erdgas für Industrieunternehmen und Stadtwerke im Saarland und in Rheinland-Pfalz. Abrechnungsrelevante Messdaten rief der Gasnetzbetreiber in der Vergangenheit über ISDN- oder Analog-Verbindung ab. Nun hat das Unternehmen die Umstellung auf All-Ip erfolgreich umgesetzt.

vonPatrick Mathy, prego services GmbH

Die Umstellung der TK-Anbieter auf All-IP ist aber nur ein Grund dafür, warum es die Gasversorger zunehmend mit IP-Technologie zu tun haben. Viele von ihnen nutzen sie auch, um neue Außenanlagen im Feld kostengünstig über das Internet anzubinden oder ganz generell, um ihre Anlagen im Zuge der Digitalisierung mit modernen IT- und TK-Systemen effizient zu steuern. In sämtlichen Fällen führt die Nutzung von IP-Kommunikation dazu, dass sich die Prozessnetzwerke nach außen öffnen, dadurch der Gefahr von Cyber-Angriffen ausgesetzt sind – und deshalb entsprechend geschützt werden müssen.

Wollen Gasversorger ihre Netzwerke absichern, orientieren sie sich am besten an den Empfehlungen, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) an die Energiewirtschaft zur Umsetzung des IT-Sicherheitsgesetzes ausgesprochen hat. Von zentraler Bedeutung ist dabei das sogenannte Defence-in-Depth-Prinzip. Es verlangt, dass Sicherheitsrisiken nicht durch einzelne Schutzmaßnahmen angegangen, sondern durch die Implementierung gestaffelter, auf mehreren Ebenen ansetzender und sich ergänzender Sicherheitsmaßnahmen minimiert werden.

Aus diesem Prinzip ergibt sich die Anforderung, ein Prozessnetzwerk in einzelne Sicherheitszonen einzuteilen, diese durch Firewalls voneinander zu trennen und abhängig von ihrer Kritikalität gezielt zu schützen. Die gesamte Kommunikation zwischen diesen Zonen sollte ausschließlich über die Firewalls laufen, die dabei nach dem Whitelisting-Prinzip agieren. Das heißt: Sie erlauben ausschließlich Zugriffe von einer Zone auf die andere, die explizit als genehmigt definiert sind. Auf diese Weise kann gezielt für jede Zone das passende Schutzniveau geschaffen werden.

Keine Zugriffe aus dem Internet zulassen!

Anhand eines vereinfachten Beispiels soll das grundlegende Funktionsprinzip dieses Ansatzes erläutert werden: Ein Gasversorger steuert von seinen Servern aus über das Internet seine Außenanlagen im Feld. Die Außenanlagen, das Internet und die Server werden deshalb in drei verschiedene Sicherheitszonen unterteilt, die durch Firewalls voneinander getrennt sind. Die Sicherheitszone Internet weist die niedrigste Kritikalität auf, weil hier keinerlei Anwendungen oder Daten des Gasversorgers liegen; gleichzeitig ist sie aber die Zone, die naturgemäß das größte Einfallstor für potenzielle Cyber-Attacken darstellt. Die Sicherheitszone Außenanlagen weist eine hohe Kritikalität aus, da sich hier das Prozessleitsystem befindet, und es durch unbefugte Zugriffe zu Manipulationen kommen kann. Die Sicherheitszone Server weist die höchste Kritikalität auf, denn in ihr befinden sich die sensiblen Daten, und von hier aus werden die Außenanlagen gesteuert.

Die Firewalls zwischen den drei Zonen werden nun so eingestellt, dass aus der Sicherheitszone Internet heraus keine direkten Zugriffe auf die beiden anderen Zonen möglich sind. Sie wird lediglich als Durchgangsstation für die Kommunikation zwischen Servern und Außenanlagen genutzt, und diese Kommunikation findet ausschließlich über einen gesicherten VPN-Tunnel statt. Außerdem sorgen die Firewall-Regeln dafür, dass zwar Zugriffe aus der Sicherheitszone Server auf die Sicherheitszone Außenstellen möglich sind, der umgekehrte Weg aber versperrt ist. Das heißt: Weder die Sicherheitszone Internet, noch die Sicherheitszone Außenstellen können auf die Sicherheitszone Server zugreifen.

 

Dieses Szenario zeigt den Kernnutzen der Sicherheitszonen: Viele Cyber-Angriffe können eingedämmt werden. Sollte eine Attacke auf eine weniger kritische Sicherheitszone – in diesem Fall das Internet – erfolgreich sein, so ist den Hackern dennoch der weitere Weg in die kritischen und hochkritischen Sicherheitszonen versperrt. Hinzu kommt, dass professionelle Cyber-Kriminelle ein sicher konzipiertes Netzwerk erkennen können – und sich davon unter Umständen abschrecken lassen.

Dieser Ansatz wurde auch für die Creos Deutschland GmbH umgesetzt. Anhand der Empfehlungen des BSI wurde ein Metering-Netzwerk konzipiert und implementiert, welches diese hohen Sicherheitsstandards erfüllt. So wurde das Netzwerk gemäß des Defence-in-Depth-Prinzips in verschiedene Sicherheitszonen eingeteilt und ein gezieltes Regelwerk für die Firewalls aufgebaut. Darüber hinaus wurden die im Netzwerk eingesetzten Firewalls und Router gemeinsam mit ihren jeweiligen Anbietern speziell gehärtet. Ihre Firmware wurde so angepasst, dass die Geräte beispielsweise automatisch eine Meldung absetzen, wenn jemand versucht, sich mit ihnen zu verbinden, oder selbständig einen kompletten Reset durchführen, wenn bestimmte Angriffsszenarien eintreten. Auf diese Weise gelang es, ein Netzwerk zu etablieren, das nach aktuellem Stand der Technik sicher ist.

Zusätzliche Sicherheitsschichten erhöhen die IT-Security

Ein nach dem Defence-in-Depth-Prinzip sicher konzipiertes Netzwerk ist die Grundlage für IT-Security bei Gasversorgern. Durch zusätzliche Sicherheitsschichten wurde sie für die Creos Deutschland GmbH weiter erhöht. Dazu zählen ein Information Security Management System (ISMS), ein Security and Information Event Management (SIEM) und ein Security Operations Center (SOC). Zu den zentralen Aufgaben des ISMS gehört es, Richtlinien für den richtigen Umgang mit Informationen festzulegen sowie Prozesse und Verantwortlichkeiten für den Eintritt eines Sicherheitsvorfalls zu definieren.

Ein SIEM ist ein Softwaresystem, mit dem Gasversorger ihre Netzwerke überwachen und die Prozesse unterstützen können, die sie im Rahmen ihres ISMS definiert haben. Die für Creos Deutschland eingesetzte SIEM-Lösung sammelt laufend sämtliche Sicherheitsmeldungen der Netzwerk-Hardwarekomponenten und bringt sie miteinander in Verbindung. Tritt dabei ein Zusammenhang zutage, der per Definition auf einen Sicherheitsvorfall hindeutet, informiert das System automatisch die zuständigen Verantwortlichen. Daneben trägt das SIEM-System maßgeblich dazu bei, das ISMS immer weiter zu verbessern. Indem es Sicherheitsmeldungen zusammenfasst und ihre Entwicklung über den Lauf der Zeit aufzeigt, liefert es wertvolle Analysen zur Verfeinerung der im ISMS festgelegten Prozesse.

Das SOC ist eine zentrale Leitstelle, in der IT-Sicherheitsexperten das Netzwerk der Creos Deutschland GmbH rund um die Uhr überwachen und mit dem SIEM-System sowie weiteren modernen Software-Erkennungswerkzeugen monitoren. Da in diesem SOC auch die aktuellsten Informationen von Herstellern, nationalen IT-Sicherheitsbehörden, Branchen-Arbeitsgruppen und anderen Partnern über Bedrohungen, Sicherheitsschwachstellen von Systemen und Angriffswellen einlaufen, ist immer ein Abgleich zwischen der allgemeinen, globalen Gefährdungslage und der lokalen Anlage möglich. Damit können die Sicherheitsverantwortlichen sofort und proaktiv mit den erforderlichen Maßnahmen auf Cyber-Bedrohungen reagieren.

Über den Autor

Patrick Mathy ist Netzwerk-Architekt mit Spezialisierung Security im Team Communication & Network bei prego services. Der IT- und Businesspartner konzipiert, implementiert und betreibt seit über zehn Jahren sichere Netzwerke für Energieversorger. Außerdem ist das Unternehmen Teilnehmer der Allianz für Cyber-Sicherheit im Bereich Kritische Infrastrukturen.

E-Mail: patrick.mathyprego-servicesde
Website: www.prego-services.de