Sicherheitshindernisse bei der Übertragung von UDP-Broadcast-Daten
Stromerzeugungsanlagen müssen kontinuierlich und in Echtzeit überwacht werden, um die Netzstabilität und optimale Leistung zu gewährleisten. Dies ist umso wichtiger, als die Zahl der Cyberangriffe auf Versorgungsunternehmen laut Check Point Research bis 2024 um 70 Prozent auf 1.162 dokumentierte Cyberangriffe auf Versorgungsunternehmen ansteigen wird . Erschwerend kommt hinzu, dass die North American Electric Reliability Corporation festgestellt hat, dass die Schwachstellen im Stromnetz rapide zunehmen. Jeden Tag kommen etwa 60 neue Schwachstellen im Stromnetz hinzu, da die Versorgungsunternehmen neue Technologien integrieren und ihre Infrastruktur erweitern.
Für diesen großen Stromversorger, der 3 Millionen Kunden in neun Bundesstaaten versorgt, übermittelten die Turbinen kritische Betriebsdaten über Broadcast-UDP-Pakete, die für die Echtzeit-Leistungsüberwachung durch ihr Outage & Switching Management System unerlässlich waren. Die Sicherheits-Firewall des Versorgungsunternehmens blockierte jedoch diesen Broadcast-UDP-Verkehr als Teil der Standard-Sicherheitsprotokolle. Dies könnte die Systeme anfällig für Broadcast-Amplifikationsangriffe machen und die Effizienz des Netzwerks verringern. Auch die Umgehung der Firewall war keine Option ohne eine spezielle Hardware-Alternative, die installiert werden konnte, um diese wichtigen Anlagen zu schützen. Da Stromerzeugungsanlagen gemäß den Bundesvorschriften als kritische Infrastrukturen eingestuft sind, war die Aufrechterhaltung einer robusten Cybersicherheitsstruktur nicht verhandelbar.
Herkömmliche Lösungen hätten umfangreiche Geräteaufrüstungen, komplexe Netzwerk-Neukonfigurationen oder teure Datendiodenlösungen für Unternehmen erfordert, die pro Installation mehrere zehntausend Dollar kosten können. Bei mehreren Turbinenstandorten, die überwacht werden müssen, würden diese Kosten schnell in die Hunderttausende gehen.
Turbinenüberwachung mit einseitigem Datenpfad
Der Energieversorger implementierte OPSWAT MetaDefender Optical Diode (Fend) als gezielte Lösung für seine Turbinenüberwachung.
Durch das Hinzufügen der optischen Datendiode OPSWAT in die Netzwerktopologie zwischen dem zentralen Switch des Standorts und dem OSM-System (Outage & Switching Management) konnte der von jeder Turbine empfangene UDP-Broadcast-Verkehr in einer physikalisch erzwungenen Einbahnstraße sicher an das OSM-System weitergeleitet werden, ohne dass die vorhandene Ausrüstung aus Kompatibilitätsgründen aktualisiert werden musste.
Wie es funktioniert
- Turbinen leiten Daten an jede IP-Adresse im Subnetz im Broadcast-UDP-Modus über einen Switch weiter
- Eingangsseite empfängt Datenverkehr: Die Eingangsseite der Fend-Datendiode ist mit dem Switch verbunden und als UDP-Server im selben Subnetz konfiguriert, der den UDP-Rundfunkverkehr empfängt.
- Optische Einweg-Isolierung: Die Eingangsseite leitet Daten über die interne optische Einwegbarriere an die Ausgangsseite der Diode weiter
- Secure Zustellung an OSM: Die Ausgabeseite, die als UDP-Client im selben Subnetz wie der OSM-UDP-Zielserver agiert, sendet den UDP-Verkehr direkt an die IP-Adresse des OSM-Systems
Ergebnis: Die Daten erreichen ihren Bestimmungsort, aber nichts kann in das geschützte Gerät zurückgelangen - eine vollständige unidirektionale Sicherheit.
Bewährte Industriepraxis: Defense-in-Depth für kritische Infrastrukturen
Dieser Ansatz steht im Einklang mit etablierten Cybersicherheitskonzepten für den Schutz kritischer Infrastrukturen. Das US-Ministerium für Innere Sicherheit empfiehlt den Einsatz von Datendioden zum Schutz von Energieinfrastrukturen als Teil von Defense-in-Depth-Strategien. In einigen Sektoren, wie der Kernenergie, sind Datendioden von der Nuclear Regulatory Commission vorgeschrieben.
OPSWAT MetaDefender Optical Diode (Fend) bietet eine einfach zu implementierende und kosteneffektive Möglichkeit, sowohl die gesetzlichen Anforderungen zu erfüllen als auch die Sicherheitslage zu verbessern - und ist damit für Versorgungsunternehmen jeder Größe zugänglich.
Secure Echtzeit-Zugriff auf Turbinendaten
Heute erhält das Versorgungsunternehmen Betriebsdaten von den Turbinen in Echtzeit, ohne dass die Sicherheit vor Bedrohungen aus der Ferne beeinträchtigt wird. Der physisch erzwungene einseitige Datenfluss stellt sicher, dass Angreifer selbst bei einer Kompromittierung des OSM-Systems nicht zurück in die betriebliche Technologieumgebung gelangen können.
Wichtigste Vorteile
Kosteneffiziente Skalierung
Optische Datendioden OPSWAT kosten nur einen Bruchteil herkömmlicher Datendioden und machen den Einsatz an mehreren Standorten wirtschaftlich sinnvoll
Einfache Bereitstellung
Das kompakte Design passt problemlos in jeden Geräteschrank und zeichnet sich durch einfache Konfiguration und minimalen Wartungsaufwand aus
Keine Aufrüstung der Ausrüstung
Nahtlose Integration in die bestehende Infrastruktur, ohne dass Änderungen an Turbinen oder Switches erforderlich sind
Zuverlässiger Schutz
Hardware unidirektionaler Datenfluss bietet Sicherheitsgarantien, die Softwarelösungen nicht bieten können
Skalierbare Modernisierung des Grid
Mit der erfolgreichen Implementierung von OPSWAT MetaDefender Optical Diode (Fend) an seinen Turbinenüberwachungsstandorten hat das Versorgungsunternehmen ein bewährtes Modell zur Sicherung des betrieblichen Datenflusses eingeführt. Da das Unternehmen seine Netzinfrastruktur weiter modernisiert und neue Überwachungsfunktionen integriert, verfügt es nun über eine skalierbare, erschwingliche Lösung, die es nicht zwingt, zwischen Betriebstransparenz und Cybersicherheit zu wählen.
Secure Sie Ihre kritische Infrastruktur ohne Kompromisse
Steht Ihr Unternehmen vor ähnlichen Herausforderungen bei der Transparenz und Sicherheit von OT-Daten? OPSWAT MetaDefender Optical Diode bietet eine Hardware-gestützte, unidirektionale Datenübertragung, die kritische Infrastrukturen schützt und gleichzeitig die Echtzeit-Betriebseinblicke erhält, die Sie benötigen.
