So testen Sie die OT-Cybersicherheit für SCADA- und Steuerungssysteme im Stromnetz

Wichtigste Erkenntnisse

• Tests die Betriebstechnik in Versorgungsunternehmen müssen die Auswirkungen auf physische Prozesse messen und dürfen sich nicht nur auf die Netzwerksicherheit oder die Abdeckung durch Richtlinien beschränken.
• Die Einhaltung der NERC-CIP-Vorgaben wird zuverlässiger, wenn die Nachweise reproduzierbar sind, sich auf die jeweiligen Anlagen beziehen und auf Tests basieren, die die Vertrauensgrenzen von Umspannwerken widerspiegeln.
• Cyber-physikalische Testumgebungen mit geschlossenem Regelkreis bieten Ingenieur:innen sichere Möglichkeit, Angriffe zu simulieren, Szenarien nachzustellen und den Schutz von Steuerungssystemen unter zeitlichem Druck zu überprüfen.

Wirksame Tests das Stromnetz werden nachweisen, dass Cybervorfälle keine unsicheren Steuerungsmaßnahmen erzwingen können.

Versorgungsunternehmen betrachten Tests reine Compliance-Maßnahme, doch eigentlich geht es darum, zu überprüfen, wie sich Relais, HMIs, Gateways und Steuerungen verhalten, wenn der Zeitablauf unterbrochen wird oder Befehle in falscher Reihenfolge eintreffen. Diese Lücke ist von Bedeutung, denn die CISA im Geschäftsjahr 2023 536 Sicherheitshinweise zu industriellen Steuerungssystemen veröffentlicht hat im Geschäftsjahr 2023 veröffentlicht hat. Eine Checkliste zeigt Ihnen nicht, was passiert, wenn ein Engineering-Arbeitsplatz einen fehlerhaften Sollwert in einen Regelpfad einspeist. Sie benötigen wiederholbare Tests, die den Cyber-Datenverkehr mit der physikalischen Systemreaktion verknüpfen.

Die OT-Cybersicherheit in Energiesysteme die Prozessintegrität

„Die OT-Cybersicherheit bei Energiesysteme die Prozessintegrität, indem sie Tests Zusammenhang zwischen Cybervorfällen und physikalischen Vorgängen Tests .“

Ein nützlicher Test stellt eine direkte Frage: Kann ein Angreifer, ein Fehler oder ein zum falschen Zeitpunkt ausgeführter Befehl den Zustand eines Leistungsschalters, die Relaislogik, die Spannung oder die Frequenz so verändern, dass die Betreiber dies nicht unter Kontrolle halten können?

Ein Schutzkonzept für die Einspeisung liefert ein anschauliches Beispiel. Wenn ein kompromittierter Technikarbeitsplatz die Relais-Einstellungen ändert, wird das Cyberproblem dann relevant, wenn das Relais bei einem Fehler zu spät, zu früh oder gar nicht auslöst. Dabei überprüfen Sie nicht nur die Zugriffsprotokolle, sondern auch, ob der Prozess nach der böswilligen Aktion weiterhin innerhalb der sicheren Betriebsgrenzen bleibt.

Dieser Fokus sorgt dafür, dass Tests am operativen Risiko Tests . Außerdem hilft er dabei, Störfälle von Systembedrohungen zu unterscheiden. Ein fehlgeschlagener Anmeldeversuch ist zwar von Bedeutung, doch ein unbefugter Steuerbefehl ist noch wichtiger, wenn er einen Leistungsschalter unter Last öffnen oder eine Verriegelung blockieren kann. Teams, die die OT-Cybersicherheit anhand der Prozessintegrität definieren, entwickeln Tests, denen Betreiber, Compliance-Mitarbeiter und Ingenieur:innen .

Die OT-Sicherheit unterscheidet sich von der IT-Sicherheit, da der Zeitpunkt das Risiko bestimmt

Die OT-Sicherheit unterscheidet sich von der IT-Sicherheit dadurch, dass Timing, Determinismus und der physikalische Zustand über den Ausgang eines Vorfalls entscheiden. Versorgungssysteme können Verzögerungen nicht so auffangen wie Bürosysteme; daher müssen Sie Latenz, Abfolge und ausfallsicheres Verhalten im Rahmen der Sicherheitsvalidierung testen und nicht als separate Zuverlässigkeitsprüfung.

Ein Unternehmensserver kann nach der Installation von Patches ohne größere Beeinträchtigungen neu gestartet werden. Ein Schutzrelais, das bei einer Störung pausiert, kann sein Auslösefenster verpassen, und eine SCADA-Abfrageverzögerung kann die ersten Anzeichen einer Gerätefehlfunktion verschleiern. Aus diesem Grund müssen bei OT-Tests in Versorgungsunternehmen die Paketzeit, die Protokollsequenz und der Status der Steuerung berücksichtigt werden. Auf diese Weise überprüfen Sie gleichzeitig die Sicherheit und die Kontinuität.

Sicherheitsmitarbeiter übertragen manchmal IT-Testroutinen auf die Umspannstation und erwarten dort dieselben Ergebnisse. Bei diesem Ansatz wird jedoch der Teil des Systems außer Acht gelassen, der ein Risiko darstellt. Die Arbeit im Bereich der operativen Technik (OT) von Energieversorgern beginnt mit der Prozesszeitmessung, da man die Cyber-Risiken nicht einschätzen kann, ohne zu wissen, welche Auswirkungen eine Verzögerung oder ein fehlerhafter Befehl auf die Schutz- und Steuerungssysteme hat. Sobald die Zeitabläufe getestet wurden, gewinnen die Ergebnisse operative Bedeutung.

Die Einhaltung der NERC-CIP-Vorschriften erfordert nachprüfbare Nachweise für die Steuerungssysteme

Die Einhaltung der NERC-CIP-Vorgaben erfordert nachprüfbare Nachweise, die belegen, dass jede vorgeschriebene Sicherheitsmaßnahme bei den von Ihnen identifizierten Anlagen funktioniert. Die Prüfer erwarten mehr als nur den Wortlaut von Richtlinien. Sie benötigen den Nachweis, dass Zugriffskontrolle, Patching, Überwachung, Notfallwiederherstellung und Konfigurationskontrolle in allen Cybersystemen, die den Betrieb des Stromgroßnetzes unterstützen, zuverlässig funktionieren.

Ein Umspannwerk mit einem elektronischen Sicherheitsperimeter veranschaulicht diesen Punkt. Man kann zwar Firewall-Regeln und Genehmigungen für den Fernzugriff dokumentieren, benötigt aber dennoch Testprotokolle, die belegen, dass der Datenverkehr wie vorgesehen gefiltert wird und dass genehmigte Zugriffe mit vollständiger Protokollierung auf dem richtigen Jump-Host landen. Dasselbe gilt für Patch-Kontrollen. Ein Wartungsprotokoll ist wichtig, doch eine wiederholbare Validierung nach dem Patchen ist noch wichtiger, da sich Relais-Einstellungen und Dienste ändern können.

Gute Nachweise sind konsistent, datiert und mit dem Anlagenverzeichnis verknüpft. Dabei wird jedes Mal dieselbe Prüfmethode angewendet, sodass ein Prüfer erkennen kann, was sich geändert hat und was unverändert geblieben ist. Diese Vorgehensweise kommt auch Ihrem Ingenieurteam zugute. Wenn später ein Problem mit der Steuerung auftritt, verfügen Sie bereits über eine Basislinie, aus der hervorgeht, wie sich das Gerät vor und nach der Änderung verhalten hat.

Bei Tests von Unterstationen Tests zunächst jede Vertrauensgrenze priorisiert werden

Tests von Substations Tests zunächst die einzelnen Vertrauensgrenzen priorisiert werden, da die meisten schädlichen Pfade einen Übergabepunkt passieren, bevor sie eine Steuerungsmaßnahme erreichen. Sie erzielen eine bessere Abdeckung, wenn Tests der Datenverkehr zwischen den Zonen verläuft, anstatt jedes Gerät mit derselben Routine zu scannen und darauf zu hoffen, dass kritische Pfade von selbst auftauchen.

Ein Umspannwerk verfügt in der Regel über mehr Vertrauensgrenzen, als das Diagramm vermuten lässt. Eine Fernzugriffssitzung eines Anbieters, eine HMI der Station, ein Relais-Engineering-Port und ein Gateway-Backhaul schaffen unterschiedliche Zugangswege zu demselben Prozess. Jeder Zugangsweg unterliegt eigenen Annahmen hinsichtlich Authentifizierung, Protokoll und Überwachung. Tests dort, wo diese Annahmen auf die Live-Steuerungslogik treffen.

• Die entmilitarisierte Zone der Leitstelle erfordert eine strenge Filterung auf zugelassene Dienstprotokolle.
• Das Gateway der Umspannstation benötigt eine Sitzungssteuerung für jede Fernwartungsverbindung.
• Der Stationsbus erfordert eine klare Trennung zwischen dem Betreiberverkehr und dem Relais-Engineering-Verkehr.
• Der Prozessbus muss auf gefälschte Nachrichten und Zeitabweichungen überprüft werden.
• Der serielle Anschluss oder der Hersteller-Serviceanschluss erfordert eine physische Zugriffskontrolle und eine Protokollierung der Sitzungen.

Dieser Ansatz sorgt für eine praxisorientierte Vorgehensweise. Sie Tests zunächst Tests Engpässe, an denen in der Regel Fehler beim Fernzugriff, falsch geleiteter Datenverkehr und zu großzügige Firewall-Regeln auftreten. Dies unterstützt zudem die NERC-CIP-Maßnahmen, da die Vertrauensgrenzen mit den Perimeterkontrollen, den Zugangspunkten und den protokollierten Sitzungen übereinstimmen. Teams, die an den Grenzen beginnen, finden in der Regel schneller die Pfade mit dem höchsten Risiko und verschwenden weniger Aufwand für Scans mit geringer Auswirkung.

Testpläne sollten Bedrohungen für das Geräteverhalten abbilden

Testpläne sollten Bedrohungen dem Geräteverhalten zuordnen, sodass jedes Szenario eine Cyber-Technik mit einem Kontrollergebnis verknüpft. Ein auf diese Weise erstellter Plan gibt Ihnen Auskunft darüber, was Sie einspeisen müssen, welchen Gerätezustand Sie beobachten müssen, welchen Prozesswert Sie überwachen müssen und welches Ergebnis als sicher, unsicher oder ungewiss gilt.

Eine Änderung der Relais-Einstellung, ein gefälschter Befehl an eine Leistungsschalter-Steuerung und ein Verlust der Zeitsynchronisation sollten niemals in derselben generischen Testkategorie zusammengefasst werden. Jeder dieser Fälle wirkt sich unterschiedlich auf den Prozess aus. Die öffentliche ICS-Technikmatrix listet mehr als 100 Techniken auf, die gegen industrielle Steuerungssysteme eingesetzt werden. Diese Bandbreite verdeutlicht, warum Sie Bedrohungsszenarien benötigen, die Techniken mit der Reaktion der Geräte verknüpfen, anstatt sich auf weit gefasste Begriffe wie Malware oder unbefugten Zugriff zu verlassen.

Ein Szenario kann nachverfolgen, wie ein gefälschter Öffnungsbefehl von einer kompromittierten HMI zu einem intelligenten elektronischen Gerät gelangt, und anschließend den Status des Leistungsschalters, den Zeitpunkt des Alarms und die Bestätigung durch den Bediener überwachen. Ein anderes Szenario kann auf einen Historien-Feed abzielen und überprüfen, ob der Prozess sicher bleibt, wenn Bediener veraltete Daten sehen. Wenn Sie Bedrohungen auf diese Weise abbilden, wird Ihr Testplan messbar. Sie können ihn nach Firmware-Updates, Netzwerkänderungen oder Überarbeitungen der Schutzeinstellungen wiederholen und die Ergebnisse eindeutig vergleichen.

Für eine sichere Angriffssimulation ist ein cyber-physikalisches Testbed mit Regelkreis erforderlich

Für eine sichere Angriffssimulation ist ein cyber-physikalisches Testumgebung mit geschlossenem Regelkreis erforderlich, da Produktionssysteme während der Sicherheitsvalidierung keine kontrollierten Ausfälle verkraften können. Sie benötigen eine Laboraufstellung, in der Netzwerkverkehr, Steuerungen, Schutzvorrichtungen und das Modell des Stromnetzes in Echtzeit reagieren, sodass unsichere Auswirkungen sichtbar werden, ohne den Betrieb vor Ort zu beeinträchtigen.

Eine sinnvolle Konfiguration kann ein digitales Netzsystemmodell mit Relais, einer HMI, einem SCADA-Master und einem Netzwerksegment kombinieren, in das fehlerhafter Datenverkehr, Verzögerungen oder unbefugte Befehle eingespeist werden. Dieser Regelkreis ist entscheidend, denn der Angriff ist nur die halbe Geschichte. Das Modell zeigt, wie sich die Zuleitung, die Schalterlogik und die Schutzsequenz nach dem Eintreten des Cybervorfalls verhalten. OPAL-RT eignet sich für diese Aufgabe, wenn Ingenieur:innen das elektrische Modell und den Steuerungsstack bei Laborgeschwindigkeit gegeneinander laufen lassen Ingenieur:innen .

Mit dieser Methode erzielen Sie sicherere und aussagekräftigere Ergebnisse als bei einem Testlauf auf den Produktionssystemen. Der Testumgebung ermöglicht zudem eine hohe Wiederholbarkeit. Sollte ein Angriff zu einer Fehlauslösung führen, können Sie denselben Datenverkehr nach einer Änderung der Firewall-Regeln oder einem Firmware-Patch erneut abspielen und prüfen, ob sich das tatsächliche Ergebnis verbessert. Ein solcher Nachweis lässt sich allein anhand von Produktionsprotokollen nur schwer erbringen.

Das Bestehen von Audits hängt von wiederholbaren Nachweisen aus jedem Test ab

Das Bestehen von Audits hängt von wiederholbaren Nachweisen aus jedem Test ab, da ein einmaliges Ergebnis die Wirksamkeit der Kontrollen über einen längeren Zeitraum hinweg nicht belegen kann. Sie benötigen Aufzeichnungen, aus denen hervorgeht, welche Anlage geprüft wurde, unter welchen Bedingungen die Prüfung stattfand, welches Ergebnis erwartet wurde, was tatsächlich passiert ist und wer das Ergebnis überprüft hat.

Zu einem aussagekräftigen Beweismaterialpaket aus einem Fernzugriffstest gehören das genehmigte Änderungsfenster, Gerätekennungen, aufgezeichnete Firewall- und Authentifizierungsprotokolle, Screenshots oder Exporte des beobachteten Sitzungsverlaufs sowie eine kurze Stellungnahme zu den Auswirkungen auf den Prozess. Bei einem Relay-Wiederherstellungstest sollten zudem die Einstellungsdateien vor und nach dem Test, die Auslösebedingung sowie die Bestätigung des Bedieners aufbewahrt werden. Anhand dieser Aufzeichnungen können Sie dieselbe Frage auch Monate später beantworten, ohne das gesamte Ereignis aus dem Gedächtnis rekonstruieren zu müssen.

Diese Struktur ist nicht nur im Auditraum von Nutzen. Sie unterstützt die Wartungsplanung, die Nachbereitung von Vorfällen sowie die Übergabe zwischen Betrieb und Technik. Es kommt seltener zu Diskussionen darüber, was der Test bedeutet hat, da die Erfolgskriterien bereits vor der Durchführung festgelegt wurden. Durch wiederholbare Nachweise werden Tests einer kontrollierten Kontrollmaßnahme, die einer genauen Prüfung standhält.

Die meisten Programme scheitern, wenn die Validierung bei den papierbasierten Kontrollen endet

Die meisten Programme scheitern, wenn die Validierung bei der Überprüfung der schriftlichen Kontrollmaßnahmen endet, da schriftliche Anforderungen keine operative Widerstandsfähigkeit belegen. Richtlinien, Bestandsaufnahmen und Verfahren sind zwar wichtig, zeigen jedoch lediglich die beabsichtigte Vorgehensweise auf. Versorgungsunternehmen erhalten verlässliche Ergebnisse, wenn sie testen, wie sich Cyber-Störungen, missbräuchlicher Zugriff und zeitliche Fehler auf das tatsächliche Kontrollverhalten auswirken, und diese Nachweise stets auf dem neuesten Stand halten.

„Schriftliche Vorschriften sind wichtig, doch sie beweisen lediglich, dass jemand die Regel aufgeschrieben hat.“

Ein Team vor Ort muss noch prüfen, wie sich das Relais nach einem Firmware-Update verhält, wie das Gateway mit einer Flut fehlerhafter Pakete umgeht und wie die Bedienstation reagiert, wenn sich die Datenqualität verschlechtert. Diese Überprüfungen machen die Cybersicherheit im Bereich der Betriebstechnik glaubwürdig. Sie zeigen, dass das System einen Angriff verkraften, einen sicheren Zustand aufrechterhalten und auf vorhersehbare Weise wiederhergestellt werden kann.

Auch deshalb ist eine disziplinierte Durchführung im Labor so wichtig. OPAL-RT spielt in diesem Zusammenhang eine Rolle, wenn eine wiederholbare Validierung im geschlossenen Regelkreis erforderlich ist, die die Netzaktivität mit Reaktion des Stromnetzes Reaktion des Stromnetzes unter engen zeitlichen Vorgaben verbindet. Teams, die Tests Prozessintegrität, Vertrauensgrenzen und wiederholbare Nachweise Tests , werden im Laufe der Zeit eine stärkere NERC-CIP-Konformität und einen zuverlässigeren Schutz des Steuerungssystems erreichen.