Stromversorgungsunternehmen betreiben stark verteilte, sicherheitskritische Steuerungsumgebungen, und Systeme wie SCADA, EMS, Schutzrelais und Umspannwerke müssen unterbrechungsfrei laufen. Viele dieser Cyber-Assets kommunizieren ausschließlich über veraltete Protokolle, und die meisten Geräte wurden lange vor dem Aufkommen moderner Cyberbedrohungen entwickelt, sodass die notwendigen Upgrades, um mit der Entwicklung Schritt zu halten, unmöglich erscheinen.
Trotz dieser Einschränkungen wird von Versorgungsunternehmen in der heutigen Zeit erwartet, dass sie eine zentralisierte Überwachung anbieten, Echtzeit-Einblick in den Betrieb gewähren und zwangsläufig Daten an die Unternehmens-IT, SOCs und Aufsichtsbehörden weitergeben. Dies führt zu einem ständigen Spannungsfeld zwischen betrieblicher Isolation und organisatorischer Transparenz.
Im Versorgungssektor beschränkt sich ein Cybervorfall nicht nur auf Datenverlust oder Betriebsausfälle. Zu den schwerwiegenderen Risiken zählt der Verlust der Netzzuverlässigkeit, der weitere Ausfälle nach sich ziehen und zu Sicherheitsrisiken für Mitarbeiter und die Öffentlichkeit führen kann. Hinzu kommt, dass Verstöße gegen die NERC-CIP-Vorschriften hohe Geldstrafen sowie finanzielle und rechtliche Haftungsrisiken nach sich ziehen können.
Viele moderne Unternehmen setzen Firewalls und VPNs ein, um grundlegende Sicherheitskontrollen zu gewährleisten. Doch der Einsatz dieser Sicherheitslösungen setzt die Unternehmen einer kritischen Schwachstelle aus: Sie sind von Natur aus bidirektional. Firewalls müssen gemäß gängigen Kommunikationsszenarien den Rückverkehr zulassen und können daher häufig falsch konfiguriert oder ausgenutzt werden. Selbst streng konfigurierte Firewalls sind auf die korrekte Softwareeinstellung durch erfahrene Administratoren angewiesen und erfordern eine kontinuierliche Pflege der Regeln, um sicherzustellen, dass die Richtlinien wirksam bleiben und gleichzeitig präzise Änderungen zugelassen werden.
Aus der Perspektive eines BES mit hoher Auswirkungsstärke, wie sie in den CIP-Standards gefordert wird, bedeutet dies, dass eingehende Risiken niemals vollständig beseitigt werden können – sie lassen sich bestenfalls kontrollieren –, vorausgesetzt, man verfügt über ein starkes Team aus Experten und Betreibern. Das Vorhandensein jeglicher eingehender elektronischer Pfade wird zum zentralen Risiko, gegen das Compliance-Teams bei Audits komplexe Konfigurationen verteidigen müssen, beispielsweise durch den Nachweis der Erfüllung der Anforderungen in CIP-005-8 Tabelle R1 zur Sicherung des elektronischen Sicherheitsperimeters (ESP) und in CIP-007-7 Tabelle R1 zur Systemhärtung. Wenn ein Überwachungs-, IT- oder Anbieternetzwerk kompromittiert wird, nutzen Angreifer zulässige Rückwege, um sich wieder in OT-Umgebungen einzuschleusen und Befehle, Malware oder fehlerhaften Datenverkehr einzuschleusen, um irreversiblen Schaden anzurichten.
Aus diesem Grund legt NERC CIP den Schwerpunkt darauf, eingehenden Datenverkehr zu minimieren und streng zu kontrollieren – und nicht nur Missbrauch zu erkennen. Eine Datendiode erzwingt auf Hardwareebene einen einseitigen Datenfluss. Informationen können aus einer geschützten OT-Umgebung nach außen gelangen, aber nicht zurück, unabhängig vom Softwarezustand, der Konfiguration oder einer möglichen Kompromittierung. Dieser Ansatz wandelt das Sicherheitsmodell von „eingehender Datenverkehr wird durch Regeln blockiert“ zu „eingehender Datenverkehr ist physisch unmöglich“ um.
Durch den Einsatz einer Datendiode können Versorgungsunternehmen weiterhin wichtige betriebliche Berichtsanforderungen erfüllen, wie beispielsweise den Export von SCADA- oder EMS-Telemetriedaten, die Replikation von Historien sowie die Übermittlung von Protokollen und Warnmeldungen an SOC-Plattformen – und das alles, ohne einen Angriffsweg von außen in die BES-Cybersystemumgebung zu eröffnen.
Wie in der folgenden Abbildung dargestellt, bleibt die Sichtbarkeit erhalten, während die Belichtung unterdrückt wird.
Architektonisch gesehen ist die Änderung einfach, aber entscheidend: Software-Vertrauensgrenzen werden durch physikalische Durchsetzung ersetzt. Prüfer müssen nicht mehr „den Regeln vertrauen“, sondern können sich auf die Architektur und die Gesetze der Physik verlassen.
Der eigentliche Vorteil besteht darin, dass gemäß den Standards CIP-002 bis CIP-013 der Einsatz eines unidirektionalen Gateways bzw. einer Datendiode ein Versorgungsunternehmen von mehreren Compliance-Anforderungen befreien kann (z. B. von 21 der 26 Regeln in bestimmten NRC-Kontexten). Der Einsatz einer Datendiode hilft dabei, Dokumentationsanforderungen gemäß CIP-010-5 Tabelle R1 für das Konfigurationsänderungsmanagement und die Überwachung zu vermeiden, da keine Änderungen an der Firewall-Konfiguration erforderlich sind. Die Diode erfüllt zudem die Anforderungen in CIP-011-4 Tabelle R1 für den Informationsschutz, da nur bestimmte Informationen in einem vollständig nachverfolgbaren Pfad übertragen werden können, während andere Informationen gemäß den Richtlinien nicht durch die Einwegkommunikation geleitet werden können.
Dieser Fast Pass ermöglicht die Einhaltung von Vorschriften und die Vorbereitung auf Audits, um erklärbare Kontrollmaßnahmen im Einklang mit den Vorgaben der NERC CIP besser zu dokumentieren, den Umfang der Begründung für eingehende Zugriffe effektiv zu reduzieren und in Umgebungen mit hoher Auswirkungsreichweite überzeugende Nachweise für die Sorgfaltspflicht zu liefern. Als oberstes Ziel des Versorgungsunternehmens gewährleistet die Betriebskontinuität, dass keine Auswirkungen auf die Verfügbarkeit des Steuerungssystems auftreten, keine Änderungen an bestehenden OT-Protokollen vorgenommen werden und vorhersehbare, stabile Datenflüsse gewährleistet sind.
Für Energieversorger, die einseitige Sicherheitsarchitekturen in Betracht ziehen,Optical Diode Lösungen wie MetaDefender Optical Diode speziell für regulierungsorientierte Umgebungen mit hohen Sicherheitsanforderungen entwickelt, in denen eingehende Risiken nicht akzeptabel sind. Ob nun aufgrund der Einhaltung der NERC-CIP-Vorschriften, zur Reduzierung operativer Risiken oder zur Gewährleistung langfristiger Ausfallsicherheit – ein hardwaregestützter unidirektionaler Datenfluss bleibt eine der sichersten Sicherheitsentscheidungen, die ein Energieversorger treffen kann.
Erfahren Sie mehr darüber, wie MetaDefender Optical Diode Ihnen dabei helfenOptical Diode , die NERC-CIP-Vorschriften zu erfüllen.
