Einleitung Die Stadtwerke Schwäbisch Hall führen für zahlreiche Kunden Netzführungen als Dienstleistung zentral durch und schlagen diesen Wachstumspfad erfolgreich weiter ein. Deshalb entschlossen sich die Stadtwerke Schwäbisch Hall noch bevor das IT-Sicherheitsgesetz überhaupt öffentlich diskutiert wurde in der Abteilung Netzleittechnik ein IT Security Assessment durchzuführen. Als Berater und Projektpartner empfahl die Fichtner IT Consulting AG (FIT), dieses in einem ersten Schritt mit stark technischem Fokus auf der Basis des BDEW- Whitepapers unter weiterer Berücksichtigung der IEC/TS 62443-1-1 der NERC-CIP etc. durchzuführen. Abbildung 1: Aktuelle Betriebsführungen im Bereich Netzführung Denkbare Bedrohungsszenarien im Umfeld des Netzleitsystems vor allem auch für die angeschlossenen Betriebsführungen sollten ausgeschlossen werden, um ein mögliches Risiko zu beherrschen. Prozessankopplung der Netzleittechnik-Systeme Die Sicherheits-Problematik eines Netzbetreibers bezüglich seines Netzleitsystems mit den angeschlossenen Anlagen stellte sich in der Vergangenheit wie folgt dar: Die eigenen Anlagen wie Umspannwerke und teilweise auch Kleinerzeugung sind mit direkten (eigenen) Signalverbindungen an das Netzleitsystem angebunden. Die sogenannte Bürowelt ist meist über DMZ angebunden. Bezüglich Zugängen von außerhalb waren nur zwei Arten zu unterscheiden, siehe auch Abbildung 2: Meist hat der Systemlieferant einen Wartungszugang, ansonsten gibt es Systemzugriffe von Lieferanten bei Konfigurierungsarbeiten in den Umspannwerken und sonstigen dezentralen Systemen. 201508_Hattingen_Security-Assessment_Netzführung_QS.docx Seite 1 von 8
Abbildung 2: Bedrohungen in der "alten" Welt Über die letztgenannten Systemzugriffe mittels USB-Stick, von denen dann vorkonfigurierte Systemeinstellungen von einem Dritten in ein Leitsystem eingespielt werden, hat sich ein Virus wie Stuxnet verbreitet. Untersuchungen in Umspannwerken in der Schweiz haben ergeben, dass alle dortigen Leitsysteme mit Viren befallen waren. Über offene Wartungszugänge (z.b. permanent eingeschaltetes Modem) sind auch für Unbefugte mit entsprechenden Systemkenntnissen (z.b. Generalpasswort eines Leitsystems) entsprechende Manipulationen möglich. Aktuelle Entwicklung bezüglich Prozessankopplung der Netzleittechnik In der heutigen Zeit werden immer mehr Verbindungen direkt über das Internet (hierunter sind auch GPRS-Verbindungen zu sehen) zu dezentralen Anlagen wie EE-Anlagen, bestimmten Trafostationen, Messungen im Netz etc. mangels vorhandener eigener Signalverbindungen aufgebaut. Für die Stadtwerke Schwäbisch Hall sind hier neben den Anbindungen von EE-Anlagen vor allem die Betriebsführungen ein Thema. 201508_Hattingen_Security-Assessment_Netzführung_QS.docx Seite 2 von 8
Abbildung 3: Internet -Zugänge in ein Netzleitsystem in der heutigen Zeit Alle diese Zugänge sind zu schützen, um einen Missbrauch zu verhindern. FIT hat zu dieser Thematik ein generelles Assessment in mehreren Durchgängen nach dem BDEW-Whitepaper von 2008 durchgeführt, das jetzt auch in der Norm ISO/IEC TR 27019 referenziert wird. Ziel war es, die generelle Situation zu ermitteln und bei Identifikation von Schwachstellen, erste Maßnahmen zu definieren. Assessments nach BDEW-Whitepaper Bei den Stadtwerken Schwäbisch Hall wurde im Dezember 2012 ein erstes Assessment nach BDEW-Whitepaper mit der entsprechenden Gliederung vorgenommen. Die Ergebnisse des ersten Assessments, nach einer reinen Selbsteinschätzung, sind in den folgenden Grafiken in der linken Spalte dargestellt. Da schon während des ersten Assessments mit dieser Selbsteinschätzung einige Aspekte identifiziert wurden, die wohl doch nicht so eindeutig waren, wurde ein zweites Assessment angesetzt. Die Ergebnisse des zweiten Assessments, nach einer moderierten Selbsteinschätzung und der vierten Antwort-Kategorie nicht bekannt, sind in der folgenden Tabelle in der rechten Spalte dargestellt. Dabei wurden die Ergebnisse auf der 2. oder 3. Ebene der Überschriften des BDEW- Whitepapers aggregiert. Teilweise wurden die Thematiken aufgeteilt und detaillierter behandelt und aggregiert dargestellt. 201508_Hattingen_Security-Assessment_Netzführung_QS.docx Seite 3 von 8
201508_Hattingen_Security-Assessment_Netzführung_QS.docx Seite 4 von 8
201508_Hattingen_Security-Assessment_Netzführung_QS.docx Seite 5 von 8
Die gesamthaft aggregierte Auswertung der beiden Assessments ergab das untenstehende Ergebnis. Dieses war nun wesentlich differenzierterer mit einer hohen Rate für nicht bekannt. Nicht bekannt bezog sich dabei meist auf Verfahren des Leitsystem-Lieferanten IDS. Maßnahmen nach den Assessments Stilllegung des permanenten Wartungszugangs im Dezember 2012 Die Schwachstelle des permanent offenen Wartungszugangs wurde mit einer Sofortmaßnahme und im Folgenden mit einer modifizierten Vorgehensweise abgeschafft. Zunächst wurde der Wartungszugang nur noch bei Bedarf eingeschaltet. 201508_Hattingen_Security-Assessment_Netzführung_QS.docx Seite 6 von 8
Später wurde ein Zugang via VPN eingerichtet mit Anmeldeprozedur, die einen Missbrauch ausschließt. Maßnahmen in Kooperation mit IDS in 2013 und 2014 Das zweite Assessment zeigte die Notwendigkeit einer Kontaktaufnahme mit IDS. In 2013 wurden Besprechungen mit IDS durchgeführt, mit dem Ziel, die internen Maßnahmen von IDS bezüglich der Anforderungen des BDEW-Whitepapers kennenzulernen sowie Vorschläge mit IDS zu entwickeln, um das Netzleitsystem der Stadtwerke Schwäbisch Hall mit seinen angebundenen Betriebsführungen und EE-Anlagen im Sinne der IT-Security unangreifbarer zu machen. 2013 wurden bereits 2 Terminalserver der neuesten Generation gekauft und in Betrieb genommen. Ein neuer gehärteter Terminalserver wurde im August 2014 bestellt. Im November 2014 erfolgte der Austausch der bisherigen Server, somit sind nur noch gehärtete und entsprechend modifizierte Systeme im Einsatz. Daneben wurden weitere Maßnahmen initiiert wie u.a. Einsatz von freigegebenen USB-Sticks Festlegung einer Passwortrichtlinie Schaffung von Spezialsoftware, die ein Abtrennen von externen Servern und MMI ermöglicht Einführung von Zugangskontrollen in allen Räumen sofortige Löschung von Zugängen nach Austritt oder bei längerer Krankheit neue Software wird vorab an Rechner 3 (DAB) getestet Prüfung der Zugänge bei IP-Ust Dokumentation aller Netzwerkverbindungen einschl. Prüfung Segmentierung Leitstellennetzwerk mit automatischer Trennung von SW Netz (derzeit in Planung) Diverse Maßnahmen laufen derzeit parallel weiter, da diese Einfluss haben auf das erstellte Risikomanagement im Rahmen des LSM (Leistellensicherheitsmanagement). Penetrationstest Ende Juli 2014 Zur Verifizierung der Sicherheits-Konfiguration und der ergriffenen Maßnahmen, um Angriffe von außen sowohl auf die Systeme in Schwäbisch Hall als auch bei den Betriebsführungen zu verhindern, schlug FIT einen Penetrationstest vor. Nach Zustimmung der Stadtwerke Schwäbisch Hall wurde der Penetrationstest Ende Juli 2014 auf 4 Servern von der darauf spezialisierten Firma SySS aus Tübingen durchgeführt. Bei diesem Penetrationstest wurde untersucht, ob man sich einen Zugriff hätte verschaffen können. Die für die Stadtwerke Schwäbisch Hall in Summe positiven Ergebnisse wurden in einem 22-seitigen Bericht der SySS dargestellt. Weitere Entwicklung der Systemlandschaft Die Systemlandschaft wurde in Abstimmung mit IDS überarbeitet. Überprüfung und Archivierung der Ethernet-Verkabelungen in den Serverräumen Einführung spezieller VPN-Bintec Router mit Firewalls etc. Résumé Die Zusammenarbeit zwischen den Stadtwerken und Fichtner IT Consulting hat trotz des schon bestehenden hohen fachlichen Niveaus der Netzführung bei den Stadtwerken wichtige 201508_Hattingen_Security-Assessment_Netzführung_QS.docx Seite 7 von 8
Anregungen hinsichtlich Weiterentwicklung von IT-Security-Maßnahmen definiert, die gemeinsam mit der IDS als Systemlieferant angestoßen und umgesetzt wurden. Die Ergebnisse dieser Kooperation bildeten darüber hinaus auch den Nukleus für die Zertifizierung der Stadtwerke für Certified Grid Control im Juni 2014 sowie den Start der Vorbereitungen für die Einführung eines ISMS nach dem IT-Sicherheitsgesetz. Autoren Peter Breuning, Abteilungsleiter Netzleittechnik der Stadtwerke Schwäbisch Hall Dr.-Ing. Thomas Hattingen, Leitender Berater bei Fichtner IT Consulting AG 201508_Hattingen_Security-Assessment_Netzführung_QS.docx Seite 8 von 8