Die deutschen Netzbetreiber stehen durch die Energiewende und der damit einhergehenden Digitalisierung vor großen Herausforderungen. Benötigt werden unter anderem speziell angepasste IT-Sicherheitstechnologien.

Im BMWK-Projekt »MEDIT« wurden durch Fraunhofer FIT, Fraunhofer FKIE, die Schleswig-Holstein Netz AG, die devolo AG, die umlaut AG, die KISTERS AG, die RWTH Aachen und die Hochschule Bremen Methoden für Energienetzakteure zur Detektion, Prävention und Reaktion bei IT-Angriffen und IT-Ausfällen entwickelt. Das digitale Projektabschlusstreffen, an dem auch diverse Interessierte aus dem Industrieumfeld teilnahmen, fand am 20. Januar 2022 statt.

Entwicklung von IT-Sicherheitstechnologien für die Energiebranche

Im Bereich der IT-Sicherheitstechnologien konnte eine Vielzahl von aufeinander aufbauenden Methoden im Rahmen des Projektes entwickelt werden. Für das Monitoring der IKT-Infrastruktur von Akteuren wurden verschiedene sowohl allgemeine als auch technologiespezifische Ansätze – beispielsweise im Bereich der Power Line Communication – untersucht. Das Ergebnis dessen ist ein umfassender Ansatz zur Beobachtung und Bewertung des IKT-Netzzustandes, der eine Qualitätsbewertung des Gesamtsystems und seiner Komponenten vornimmt und eine georeferenzierte Visualisierung ermöglicht. Auf Basis einer Fehler-Ursachen-Analyse können Fehlerquellen identifiziert werden, die anderweitig unerkannt bleiben würden. Damit kann es als wesentlicher Bestandteil des Asset Managements und der Diagnose im IKT-Bereich eingesetzt werden und sorgt für zusätzliche Transparenz im Betrieb des IKT-Systems.

Darüber hinaus wurden mehrstufige, interdisziplinäre Ansätze zur Detektion von Cyberangriffen entwickelt, die auf der Basis von energietechnischem sowie informationstechnischem Wissen die der Erkennung von IT Sicherheitsvorfällen im Prozessnetz dienen. Ein besonderer Fokus von Fraunhofer FIT lag hierbei bei der Deep Packet Inspection des SCADA-Protokolls IEC 60870-5-104. In den frühen Phasen der Detektion werden auf Basis des Normalverhaltens der zu schützenden Systeme zuverlässig Angriffsindikatoren und Anomalien identifiziert, die Rückschlüsse auf Cyberangriffe oder fehlerhafte Zustände im System zulassen. Anhand dieser Informationslage werden im späteren Schritt die Indikatoren kontextuell zusammengeführt und im Hinblick auf die Rekonstruktion von mehrstufigen Cyberangriffen zu einem situationsbeschreibenden Abbild der IT-Sicherheitslage ausgewertet.

Für die Reaktion auf Sicherheitsvorfälle sind nicht nur Technologien erforderlich, sondern auch operative Leitlinien mit Handlungsempfehlungen. Im Rahmen des Projektes wurde deswegen ein Leitfaden für technisches Personal entwickelt, der auf Basis von Beobachtungen aus dem Betrieb konkrete Empfehlungen für die schrittweise Identifikation und Aufarbeitung der Ursache gibt. Indikatoren für Störungen, die das zuständige Personal beobachten können hierbei sowohl aus dem regulären Netzbetrieb, aber auch aus den entwickelten Systemen zum Monitoring und der Angriffserkennung entstehen. Eine in MEDIT durch das Fraunhofer FKIE entwickelte Übungsumgebung ermöglicht außerdem die Anwendung des Leitfadens im Rahmen verschiedener Testszenarien, in denen diverse Störungs- und Angriffsszenarien abgebildet werden können. Der zugehörige Leitfaden ist unter Fraunhofer-Publica frei verfügbar.

Forschungs- und Validierungsumgebungen für zukünftige Verteilnetze

Des Weiteren wurde das Labor der RWTH Aachen um IKT für Prozessnetze von Netzbetreibern als auch um Smart Meter Gateway Infrastruktur erweitert und eine entsprechende feldnahe Umgebung bei der Schleswig-Holstein Netz AG aufgebaut, um die in MEDIT entwickelten Technologien praxisnah validieren zu können. Die Laborumgebung wurde außerdem durch das Fraunhofer FIT um eine Co-Simulationsumgebung für Energie- und IKT-Netze erweitert, die einen skalierbaren Ansatz zur Generierung von plausiblen Normal- und Angriffsdaten des Prozessnetzes ermöglicht. Dies diente beispielsweise der Entwicklung von domänenspezifischen Ansätzen zur Angriffserkennung.

Wenn wir Ihr Interesse geweckt haben, besuchen Sie die Projektwebsite oder kontaktieren Sie uns.