Ein praktischer Rahmen zum Schutz digitaler Umspannwerke

Um am besten zu verstehen, wie digitale Schaltanlagen geschützt werden können, lassen Sie uns die Perspektive des Angreifers mithilfe der Industrial Control System Kill Chain einnehmen. Diese Tötungskette unterteilt die Aktionen der Angreifer in eine Reihe von Operationen, die aufeinander aufbauen, um am Ende der Kette den beabsichtigten Effekt zu erzielen (in unserem Beispiel in der Ukraine, Stromausfall). Für unsere Zwecke verwenden wir eine verkürzte Version der Tötungskette, die die Schritte als Vorbereitung, Intrusion, Pivot to OT, Execute OT und Attack umreißt.

Vorbereitung

Die Angreifer sammeln zunächst Informationen über ihr Ziel. Für Versorgungsunternehmen könnte dies die Identifizierung der Standorte von Umspannwerken, das Verständnis der SCADA-Architektur, die Recherche nach Geräten des Anbieters und die Kartierung der Netzwerkinfrastruktur beinhalten. Die ukrainischen Angreifer von 2015 verbrachten Monate damit, ihre Ziele zu untersuchen. In ähnlicher Weise begann der Angriff auf die Colonial Pipeline 2021 mit einer Erkundung, bei der anfällige VPN-Zugangsdaten identifiziert wurden.

Defensive Kontrollen: Versorgungsunternehmen sollten ihren digitalen Fußabdruck minimieren, indem sie öffentlich zugängliche Informationen über Schaltanlagenkonfigurationen und Steuerungssysteme einschränken. Die training der Mitarbeiter zum Sicherheitsbewusstsein sollte die Risiken einer übermäßigen Weitergabe betrieblicher Informationen in sozialen Medien oder beruflichen Netzwerken sowie den ordnungsgemäßen Umgang mit sensiblen Daten hervorheben.

Eindringen

Angreifer erhalten Zugang zur Zielumgebung. Zu den gängigen Eingabemethoden gehören Spear-Phishing-E-Mails, kompromittierte Software-Updates, infizierte USB-Laufwerke oder die Ausnutzung von mit dem Internet verbundenen Systemen. Die ukrainischen Angreifer nutzten Spear-Phishing mit bösartigen Microsoft Office-Anhängen, was die Installation der BlackEnergy-Malware und den nötigen Halt für Folgeaktionen ermöglichte.

Defensive Kontrollen: Folgen Sie den Best Practices für die IT-Cybersicherheit von Unternehmen, einschließlich robuster E-Mail-Sicherheitslösungen mit fortschrittlichem Bedrohungsschutz und Sandbox-Funktionen, Antiviren-/EDR-Lösungen für Unternehmensarbeitsplätze, Systeme zur Erkennung von Netzwerkangriffen und Security Operations Center (entweder intern oder Bereitstellung verwalteter Dienste). Stellen Sie sicher, dass die OT-Teams auf die IT-Cybersicherheitsstrategie des Unternehmens abgestimmt sind und über diese auf dem Laufenden sind.

Zu OT wechseln

Nachdem sich Angreifer Zugang zu Unternehmens-IT-Netzwerken verschafft haben, versuchen sie, ihre Reichweite auf OT-Netzwerke auszudehnen, wie sie in digitalen Umspannwerken zu finden sind. Dies geschieht in der Regel durch die Ausnutzung unsicherer Fernzugriffslösungen, den Diebstahl gültiger Benutzeranmeldeinformationen von kompromittierten IT-Systemen oder durch die Verwendung infizierter transienter Geräte wie Telefone und Laptops. Die Verwendung infizierter USB-Laufwerke beim Stuxnet-Angriff ist ein Beispiel dafür, wie selbst Air-Gap-Netzwerke kompromittiert werden können. Bei dem Angriff in die Ukraine nutzten die Angreifer gestohlene Zugangsdaten von IT-Systemen, um über VPN-Verbindungen auf OT-Netzwerke zuzugreifen.

Defensive Kontrollen: Richten Sie strenge Richtlinien für Wechselmedien und externe Geräte ein. Führen Sie ein aktuelles Inventar der gesamten Software und Firmware und halten Sie die Ressourcen mit digital signierten Sicherheitspatches auf dem neuesten Stand (soweit der Betrieb dies zulässt). Network Access Control (NAC) -Lösungen können verhindern, dass sich nicht autorisierte Geräte mit Umspannwerksnetzwerken verbinden, während das Netzwerk zwischen IT- und OT-Netzwerken und Umspannwerkszonen die seitliche Bewegung stört. Setzen Sie industrielle Angriffserkennungssysteme (IDS) ein, die OT-Protokolle verstehen und anomale Kommunikation erkennen können. Sichern Sie den Fernzugriff mithilfe der Multifaktor-Authentifizierung und stellen Sie sicher, dass der Fernzugriff durch Dritte (in der Regel zur Wartung durch den Anbieter) ähnlich gesichert ist. Eliminieren Sie Standardanmeldedaten auf allen IEDs, Relays und Netzwerkgeräten und implementieren Sie idealerweise eine rollenbasierte Zugriffskontrolle. Schließlich helfen regelmäßige Schwachstellenanalysen von OT-Netzwerken dabei, Schwachstellen zu erkennen, bevor es Angreifer tun.

OT-Angriff ausführen

In der letzten Phase erreichen die Angreifer ihre Ziele — ob Datendiebstahl, Systemmanipulation oder zerstörerische Aktionen. In der Ukraine bedeutete das das Öffnen von Leistungsschaltern (über Bediengeräte für Umspannwerke), um Stromausfälle zu verursachen. Die ukrainischen Angreifer nutzten bösartige Firmware-Uploads, um die Kommunikation zu Feldgeräten zu unterbrechen und gleichzeitig Denial-of-Service-Angriffe auf Call Center durchzuführen, was zu verzögerten Wiederherstellungsmaßnahmen und frustrierten Kunden führte, die keine Antworten erhielten.

Defensive Kontrollen: Setzen Sie sicherheitsinstrumentierte Systeme (SIS) ein, die unabhängig von den Kontrollsystemen arbeiten. Pflegen Sie Offline-Backups von Konfigurationen und überprüfen Sie die Wiederherstellungsverfahren. Führen Sie regelmäßig praktische Übungen und Übungen zur Reaktion auf Vorfälle speziell für OT-Umgebungen durch, um eine schnelle Reaktion zu gewährleisten, auch wenn die Cybersicherheitskontrollen versagen.

Bei der Verteidigung digitaler Umspannwerke ist die Implementierung von Sicherheitskontrollen nur die halbe Miete, und Stromversorger müssen die Kontrollen auch an die etablierten regulatorischen und branchenspezifischen Rahmenbedingungen anpassen und Abwehrmaßnahmen sowohl den NERC-CIP-Anforderungen als auch dem NIST Cybersecurity Framework (CSF) zuordnen.

NERC-CIP-Ausrichtung

Die Standards zum Schutz kritischer Infrastrukturen (CIP) der North American Electric Reliability Corporation enthalten verbindliche Anforderungen an die Cybersicherheit von Großanlagen. Zu den wichtigsten Standards, die für digitale Umspannwerke relevant sind, gehören:

CIP-004 (Personal und Schulung): Konzentriert sich auf das kritischste Element der Cybersicherheit: Menschen. Legt die Anforderungen für die Einstellung, training und Onboarding/Offboarding fest.

CIP-005 (Elektronische Sicherheitsperimeter): Behandelt die Maßnahmen zur Netzwerksegmentierung und Zugriffskontrolle, die unter Defend against Intrusion und Pivoting to OT besprochen wurden.

CIP-007 (Systemsicherheitsmanagement): Deckt das tägliche „Blockieren und Beseitigen“ der Cybersicherheit ab: Patch-Management, Malware-Prävention, Überwachung von Sicherheitsereignissen und Kontoverwaltung. Dazu gehören der Endpunktschutz, die Protokollierung und das Schwachstellenmanagement, die für die Früherkennung unerlässlich sind.

CIP-008 (Planung der Reaktion auf Zwischenfälle): Stellt sicher, dass Organisationen ihre Fähigkeit, auf Angriffe zu reagieren, entwickeln, aufrechterhalten und üben.

CIP-009 (Wiederherstellungsplanung): Konzentriert sich darauf, nach einem Angriff zur „Normalität“ zurückzukehren. Stellt sicher, dass Backup-Verfahren eingesetzt und verifiziert werden und dass die Wiederherstellung regelmäßig auf Geschwindigkeit und Genauigkeit getestet wird.

CIP-010 (Verwaltung von Konfigurationsänderungen): Definiert Basiskonfigurationen für Anlagen und richtet einen strukturierten Change-Management-Prozess für diese Baselines ein, der auch Patch-Tests für die Betriebsintegrität beinhaltet. Beinhaltet auch Anforderungen für regelmäßige Schwachstellenanalysen.

CIP-015 (Interne Netzwerksicherheitsüberwachung): Der neueste CIP-Standard, der im Sommer 2025 genehmigt wurde und ab Oktober 2028 in Kraft tritt. Bei CIP-015 geht es darum, zu wissen, was „on the wire“ vor sich geht: OT-Netzwerke zu überwachen, ungewöhnliche Aktivitäten zu erkennen und fundierte Reaktionsentscheidungen zu treffen.

NIST CSF-Integration

Das NIST Cybersecurity Framework bietet einen flexiblen, risikobasierten Ansatz, der auf sechs Kernfunktionen basiert, die eine umfassende Cybersicherheitsstrategie darstellen:

Regieren: Festlegung und Überwachung der Strategie, Erwartungen und Richtlinien des Unternehmens für das Cybersicherheitsrisikomanagement.

Identifizieren Sie: Entwickeln Sie ein gemeinsames Verständnis von Cybersicherheitsrisiken für Systeme, Anlagen, Daten und Personen. Verschaffen Sie sich einen Überblick über die aktuelle Sicherheitslage und die damit verbundenen Risiken.

Schützen: Implementieren Sie die zuvor besprochenen technischen Kontrollen: Netzwerksegmentierung, Zugriffskontrollen, Endpunktschutz usw. Versuchen Sie, die gesamte Angriffsfläche zu reduzieren, die ein Angreifer nutzen kann, um im Netzwerk Fuß zu fassen.

Ermitteln: Stellen Sie Funktionen bereit, um das Auftreten bösartiger Cybersicherheitsereignisse rechtzeitig korrekt zu erkennen. Verwenden Sie aggregierte Daten aus einer Vielzahl von Ressourcen, um der Sichtbarkeit Kontext zu verleihen.

Antworten: Ergreifen Sie nach der Entdeckung eines Cyberangriffs Maßnahmen, um den Fortschritt der Angreifer abzuschwächen, die Auswirkungen zu mildern und letztendlich die Angreifer aus dem Netzwerk zu vertreiben.

Erholen: Nachdem Sie eine Bedrohung neutralisiert haben, stellen Sie alle Funktionen oder Dienste wieder her, die durch den Vorfall beeinträchtigt wurden. Nutzen Sie die gewonnenen Erkenntnisse als Grundlage für zukünftige Sicherheitsstrategien.

Kombination von NERC CIP, NIST CSF und Defensive Controls

Fazit

Der Angriff in der Ukraine 2015 hat gezeigt, dass digitale Umspannwerke kritische Ziele sind, bei denen Cyberschwachstellen direkte physische Folgen haben können. Allerdings können Dienstprogramme ihr Risikoprofil erheblich reduzieren, indem sie die Kill-Chain des Angreifers verstehen und mehrschichtige Abwehrmechanismen implementieren. Mit der Unterstützung sowohl der IT- als auch der OT-Teams und einer durchdachten Anwendung der Strategie können digitale Umspannwerke auf eine außergewöhnlich starke Sicherheitsbasis gestellt werden und auf alles vorbereitet sein, was die Angreifer als Nächstes versuchen könnten.