IT-Sicherheit für OHP Leit- und Fernwirktechnik

IT-Sicherheit ProWin Prozessleittechnik – ProSGA SmartGrid Assistent – OHP Fernwirktechnik

Das Leitsystem ProWin, wie auch die OHP Fernwirktechnik – sind seit mehr als 30 Jahren im Bereich Kritischer Infrastrukturen (KRITIS) – wie etwa der Strom- und  Wasserversorgung – im Einsatz. Die Verfügbarkeit und Sicherheit der IT-Systeme spielt in diesen Bereichen eine zentrale Rolle.

ProWin, ProSGA wie auch die OHP Fernwirktechnik sind genau dafür entwickelt – IT-Sicherheit auf höchstem Niveau. OHP verfolgt dabei eine ganzheitliche – nach dem “Security by Design” und “Defense in Depth” Prinzip aufgebaute – Sicherheitsphilosophie.

OHP bietet durch die tiefgreifende und durchgängige Eigenentwicklung der gesamten ProWin Leittechnik, des ProSGA SmartGrid Assistant bis hin zur OHP Fernwirktechnik eine einzigartige IT-Sicherheit.

Gängige Softwarepakete oder Steuerungstypen können dabei an die genormten oder marktgängigen Schnittstellen der OHP Produkte angeschlossen werden, so das OHP in praktisch jede Umgebung integrierbar ist.

OHP unterhält im Rahmen seiner DIN ISO/IEC 27001 Zertifizierung ein Rechtskataster mit dem kontinuierlich gesetzliche Anforderungen und Empfehlungen einschlägiger Fachgremien und Behörden überprüft und nach einer Kritikalitätsanalyse in den Produkten und Dienstleistungen der OHP nach dem PDCA-Zyklus (Plan, Do, Check, Act) implementiert werden.

Regelmäßig werden so u.a. folgende Gesetze und Empfehlungen auf Kritikalität geprüft:

  • BDEW Whitepaper Version 2.0
  • Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)
  • Dokumente und Empfehlungen des BSI (Bundesamt für Sicherheit in der Informationstechnik)
  • Zyklische Prüfung relevanter IT-Security Datenbanken auf neue potentielle Sicherheitsrisiken

OHP Produkte werden in umfangreichen Kundenanlagen bei Energieversorgern und Stadtwerken im Rahmen deren gesetzlich vorgeschriebenen DIN ISO/IEC 27001 ISMS (Information Security Management System) regelmäßig durch unabhängige zertifizierte Fachfirmen hinsichtlich der IT-Sicherheit auditiert. Dadurch ist die Konformität der IT-Sicherheit von OHP Produkten im praktischen Einsatz auf höchstem Niveau sichergestellt.

Darüber hinaus entspricht die OHP Fernwirktechnik den IT-Sicherheitsanforderungen für geschlossene Benutzergruppen zur Erbringung von Regelreserve. Dies wurde von vom innogy Cyber Security Incident Response Team getestet.

OHP ist nach ISO 9001 und ISO 27001 zertifiziert und betreibt einen hohen Aufwand dafür, dass unsere Produkte immer auf dem neuesten Stand IT-Sicherheit gehalten werden.

In regelmäßigen Weiterbildungen und Sensibilisierungen werden die Entwicklerteams auf dem neuesten Stand der Technik gehalten. Die Grundlage hierfür bildet der Security-By-Design Prozess den wir über Jahre entwickelt haben und der die Vorgaben für einen sicheren Entwicklungsprozess enthält. So entwickelte Software-Versionen werden getrennt von der Entwicklung operierenden Testteams nach dem Vieraugenprinzip in umfangreichen Testanlagen überprüft. Mit unserer über 30 jährigen Erfahrung haben wir so fundierte Kenntnisse in diesem Bereich aufgebaut und in vielen Kundenanlagen praktisch angewendet.

Im Bereich der Kritischen Infrastrukturen (KRITIS) ist neben der funktionellen Verarbeitung eines Prozessleitsystems die Überwachung der IT-Infrastruktur essentiell.

ProWin bietet hierfür in der Version 10 ein neuartiges IT-Sicherheitsprotokoll zur transparenten Echtzeit-Protokollierung IT-Sicherheitsrelevanter Vorgängen an, die sonst u.U. unbemerkt im Hintergrund Schaden anrichten können.

Abweichungen zum Normalzustand der IT-Anlage können einen Schaden an Hard- oder Software, oder einen Kompromittierungsversuch frühzeitig anzeigen. Im Idealfall kann so schon im Vorfeld auf eine mögliche Bedrohung reagiert werden, bevor es zu einer Beeinträchtigung des Anlagenbetriebes kommt.

Anbei eine Auswahl der Meldungen aus über 100 sicherheitskritischen Bereichen:

  • Anmeldevorgänge: Anmelden und Abmelden von Benutzern, Fehler beim Einloggen, Kontosperrung nach n-Versuchen, Ablaufzeiten…
  • Software: Kommunikationsangriffe auf alle Pipe-Servern, Pufferüberläufe, Thread- bzw. Prozessausfälle, Manipulation von Dateien, Doppelrechnerumschaltungen,
  • Steuerungen: Überwachung der angeschlossenen Steuerungen, Einspielen von Applikationssoftware, Start/Stoppen der Software, (OHP  FW-Steuerungen)
  • Hardware-Überwachung: CPU-Frequenz, CPU-Performance, Anzahl Handles, verfügbarer Arbeitsspeicher, Fehler in der Speicherverwaltung, Überprüfung der Festplatte.
  • Netzwerk: Verfügbarkeit, Auslastung, Erhöhung von Reaktionszeit, SNMP-Meldungen, Veränderungen der Portbelegung,

Selbstverständlich können relevante Vorgänge über die ProWin Fernalarmierung per SMS, Email, VoIP usw. direkt an die zuständigen Mitarbeiter weitergemeldet werden.

ProWin Systemprozesse laufen in einer Versionsüberwachten und geschützten Systemumgebung. Versuche mit einer manipulierten Software zu starten werden erkannt und verhindert.

Sicherheitskritische Software-Prozesse werden mit einem ausgefeilten Überwachungs-mechanismus dynamisch im laufenden Betrieb überwacht. Werden hierbei unzulässige Veränderungen festgestellt, so wird der betreffende Prozess beendet und in einer validierten Umgebung neu gestartet.

Ergebnis ist höchste Stabilität und Verfügbarkeit des Systems.

Besondere sicherheitstechnische Sorgfalt genießt bei ProWin der Anschluss von Fernwirksteuerungen.

ProWin deckt hier alle gängigen Verfahren ab und kann neben einer nativen Punkt zu Punkt Verschlüsselung auf verschiedene Provider, Service Anbieter, Hersteller und Router-Konfigurationen abgestimmt werden:

  • Laut BSI ist die Kommunikationsverschlüsselung mit statischen Zertifikaten nicht erlaubt. ProWin ist auch hier BSI konform und unterstützt mit der IEC 60870-5-104 neben der TLS 1.2 Verschlüsselung die IEC 62351 mit dynamischem Zertifikatsaustausch mit einem SCEP Server.
  • Einhaltung der Mindestanforderungen an die Informationstechnik des Reservenanbieters zur Erbringung von Regelreserve der vier Übertragungsnetzbetreiber 50Hz, Amprion, Tennet und TransnetBW
  • Alle Sicherheitsfeatures von OPC UA

Über IT-Sicherheit in Fernwirkstationen selbst wird in der Informationsbroschüre “IT-Security in der Fernwirktechnik” eingegangen.

Die in ProWin unterstützte Passwortpolicy entspricht dem Stand der Technik. Eine zentrale, personalisierte Authentifizierung und Autorisierung wird unterstützt werden.(z.b. Anbindung an einen zentralen Directory Service oder Radius- Authentifizierung)

  • Mind. 10 Zeichen, jeweils 3 der folgender Kategorien, Groß-/Kleinbuchstaben, Ziffern 0-9, Sonderzeichen
  • Passwörter laufen nach einer einstellbaren Zeit ab.
  • Die Passwörter werden verschlüsselt abgelegt und übertragen
  • Die letzten 6 verwendeten Passwörter dürfen nicht benutzt werden.
  • Passwörter dürfen nicht automatisiert eingegeben oder gespeichert werden.
  • Benutzername darf nicht dem Passwort entsprechen.
  • Nach Erstanmeldung muss Passwort geändert werden.

Vertrauliche Daten wie z.B. Authentifizierungsinformationen) werden nur verschlüsselt gespeichert und bzw. übertragen. Es werden sowohl Informationssicherheitsaspekte als auch Datenschutzanforderungen berücksichtigt. Applikationsprotokolle werden durch Verschlüsselung auf den unteren Netzwerkebenen geschützt. Hierbei werden nur Verschlüsselungsstandards nach derzeitig anerkanntem Stand der Technik eingesetzt.

Ansprechpartner:

Steffen Ott
Steffen OttGeschäftsführer
Herr Ott ist Geschäftsführer der OHP Firmengruppe

Begleitende Dokumente
Weitere Informationen können Sie folgendem Dokument entnehmen: