Wie Gasversorger sichere Netzwerke aufbauen

Der zunehmende Einsatz von IP-Technologie in ihren Prozessnetzwerken erfordert von Gasversorgern, sich umfassend vor Cyber-Attacken zu schützen. Eine schlagkräftige Methode dafür ist die Einrichtung von Sicherheitszonen gemäß des „Defence in Depth“-Prinzips. Die Creos Deutschland GmbH hat sie bereits erfolgreich umgesetzt.

Die Creos Deutschland GmbH mit Sitz in Homburg transportiert über ihr Gashochdrucknetz für Industrieunternehmen und Stadtwerke im Saarland und in Rheinland-Pfalz Erdgas. Abrechnungsrelevante Messdaten rief die Creos Deutschland GmbH in der Vergangenheit über ISDN- oder Analog-Verbindung ab. Die Telekommunikationsanbieter sind dabei, ihre analogen Anschlüsse sukzessive abzuschalten und die Umstellung ihrer Leitungen auf All-IP einzuleiten. Dies ist eine Herausforderung, mit der früher oder später alle Gasversorger konfrontiert sein werden: der Einbeziehung von IP-Kommunikation in ihre Prozessnetzwerke.

Die Umstellung der TK-Anbieter auf All-IP ist aber nur ein Grund dafür, warum es die Gasversorger zunehmend mit IP-Technologie zu tun haben. Viele von ihnen nutzen sie auch, um neue Außenanlagen im Feld kostengünstig über das Internet anzubinden oder ganz generell, um ihre Anlagen im Zuge der Digitalisierung mit modernen IT- und TK-Systemen effizient zu steuern. In sämtlichen Fällen führt die Nutzung von IP-Kommunikation dazu, dass die Prozessnetzwerke sich nach außen öffnen und dadurch der Gefahr von Cyber-Angriffen ausgesetzt sind – und deshalb entsprechend geschützt werden müssen.

Vorgaben für sichere Netzwerke

Wollen Gasversorger ihre Netzwerke absichern, orientieren sie sich am besten an den Empfehlungen, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) an die Energiewirtschaft zur Umsetzung des IT-Sicherheitsgesetzes ausgesprochen hat. Von zentraler Bedeutung ist dabei das sogenannte „Defence in Depth“-Prinzip. Es verlangt, dass Sicherheitsrisiken nicht durch einzelne Schutzmaßnahmen angegangen, sondern durch die Implementierung gestaffelter, auf mehreren Ebenen ansetzender und sich ergänzender Sicherheitsmaßnahmen minimiert werden.

Aus diesem Prinzip ergibt sich die Anforderung, ein Prozessnetzwerk in einzelne Sicherheitszonen einzuteilen, diese durch Firewalls voneinander zu trennen und abhängig von ihrer Kritikalität gezielt zu schützen. Die gesamte Kommunikation zwischen diesen Zonen sollte ausschließlich über die Firewalls laufen, die dabei nach dem „Whitelisting“-Prinzip agieren. Das heißt: Sie erlauben ausschließlich Zugriffe von einer Zone auf die andere, die explizit als genehmigt definiert sind. Auf diese Weise kann für jede Zone gezielt das passende Schutzniveau geschaffen werden.

Keine Zugriffe aus dem Internet heraus zulassen!

Anhand eines vereinfachten Beispiels soll das grundlegende Funktionsprinzip dieses Ansatzes erläutert werden: Ein Gasversorger steuert von seinen Servern aus über das Internet seine Außenanlagen im Feld. Die Außenanlagen, das Internet und die Server werden deshalb in drei verschiedene Sicherheitszonen unterteilt, die durch Firewalls voneinander getrennt sind. Die Sicherheitszone „Internet“ weist die niedrigste Kritikalität auf, weil hier keinerlei Anwendungen oder Daten des Gasversorgers liegen; gleichzeitig ist sie aber die Zone, die naturgemäß das größte Einfallstor für potenzielle Cyber-Attacken darstellt. Die Sicherheitszone „Außenanlagen“ weist eine hohe Kritikalität aus, da sich hier das Prozessleitsystem befindet, und es durch unbefugte Zugriffe zu Manipulationen kommen kann. Die Sicherheitszone „Server“ weist die höchste Kritikalität auf, denn in ihr befinden sich die sensiblen Daten, und von hier aus werden die Außenanlagen gesteuert.

Die Firewalls zwischen den drei Zonen werden nun so eingestellt, dass aus der Sicherheitszone „Internet“ heraus keine direkten Zugriffe auf die beiden anderen Zonen möglich sind. Sie wird lediglich als Durchgangsstation für die Kommunikation zwischen Servern und Außenanlagen genutzt, und diese Kommunikation findet ausschließlich über einen gesicherten VPN-Tunnel statt. Außerdem sorgen die Firewall-Regeln dafür, dass zwar Zugriffe aus der Sicherheitszone „Server“ auf die Sicherheitszone „Außenstellen“ möglich sind, der umgekehrte Weg aber versperrt ist. Das heißt: weder die Sicherheitszone „Internet“, noch die Sicherheitszone „Außenstellen“ können auf die Sicherheitszone „Server“ zugreifen.

Mehrstufiges Sicherheitskonzept

Dieses Szenario zeigt den Kernnutzen der Sicherheitszonen: Viele Cyber-Angriffe können eingedämmt werden. Sollte eine Attacke auf eine weniger kritische Sicherheitszone – in diesem Fall das Internet – erfolgreich sein, so ist den Hackern dennoch der weitere Weg in die kritischen und hochkritischen Sicherheitszonen versperrt. Hinzu kommt, dass professionelle Cyber-Kriminelle ein sicher konzipiertes Netzwerk erkennen können – und sich davon unter Umständen abschrecken lassen.

Diesen Ansatz hat auch die Creos Deutschland GmbH gemeinsam mit dem auf die Energiebranche spezialisierten IT- und Business-Partner prego services GmbH umgesetzt. Anhand der Empfehlungen des BSI konzipierte und implementierte die prego services ein Metering-Netzwerk, das diese hohen Sicherheitsstandards erfüllt. So wurde das Netzwerk gemäß des „Defence in Depth“-Prinzips in verschiedene Sicherheitszonen eingeteilt und ein gezieltes Regelwerk für die Firewalls aufgebaut. Darüber hinaus wurden die im Netzwerk eingesetzten Firewalls und Router gemeinsam mit ihren jeweiligen Anbietern speziell gehärtet. Ihre Firmware wurde so angepasst, dass die Geräte beispielsweise automatisch eine Meldung absetzen, wenn jemand versucht, sich mit ihnen zu verbinden, oder selbständig einen kompletten Reset durchführen, wenn bestimmte Angriffsszenarien eintreten. Auf diese Weise gelang es, ein Netzwerk zu etablieren, das nach aktuellem Stand der Technik sicher ist.

Zusätzliche Sicherheitsschichten erhöhen die IT-Security

Ein nach dem „Defence in Depth“-Prinzip sicher konzipiertes Netzwerk ist die Grundlage für IT-Security bei Gasversorgern. Durch zusätzliche Sicherheitsschichten hat Creos Deutschland GmbH sie gemeinsam mit prego services weiter erhöht. Dazu zählen ein Information Security Management System (ISMS), ein Security and Information Event Management (SIEM) und ein Security Operations Center (SOC). Zu den zentralen Aufgaben des ISMS gehört es, Richtlinien für den richtigen Umgang mit Informationen festzulegen sowie Prozesse und Verantwortlichkeiten für den Eintritt eines Sicherheitsvorfalls zu definieren.

Ein SIEM ist ein Softwaresystem, mit dem Gasversorger ihre Netzwerke überwachen und die Prozesse unterstützen können, die sie im Rahmen ihres ISMS definiert haben. Die von prego services entwickelte SIEM-Lösung sammelt laufend sämtliche Sicherheitsmeldungen der Netzwerk-Hardwarekomponenten und bringt sie miteinander in Verbindung. Tritt dabei ein Zusammenhang zutage, der per Definition auf einen Sicherheitsvorfall hindeutet, informiert das System automatisch die zuständigen Verantwortlichen. Daneben trägt das SIEM-System maßgeblich dazu bei, das ISMS immer weiter zu verbessern. Indem es Sicherheitsmeldungen zusammenfasst und ihre Entwicklung über den Lauf der Zeit aufzeigt, liefert es wertvolle Analysen zur Verfeinerung der im ISMS festgelegten Prozesse.

Das SOC ist eine zentrale Leitstelle, in der IT-Sicherheitsexperten von prego services das Netzwerk von Creos Deutschland GmbH rund um die Uhr überwachen und mit dem SIEM-System sowie weiteren modernen Software-Erkennungswerkzeugen monitoren. Da in diesem SOC auch die aktuellsten Informationen von Herstellern, nationalen IT-Sicherheitsbehörden, Branchen-Arbeitsgruppen und anderen Partnern über Bedrohungen, Sicherheitsschwachstellen von Systemen und Angriffswellen einlaufen, ist immer ein Abgleich zwischen der allgemeinen, globalen Gefährdungslage und der lokalen Anlage möglich. Damit können die Sicherheitsverantwortlichen sofort und proaktiv mit den erforderlichen Maßnahmen auf Cyber-Bedrohungen reagieren.