OT-Monitoring im Energiesektor

2015 wurde das ukrainische Stromnetz durch einen Hackerangriff großflächig gestört. Über 200.000 Einwohner waren über Stunden ohne Strom. Angefangen hatte der Angriff schon Monate zuvor, als Rechner mit Phising Mails oder E-Mails mit manipulierten Office Dateien gezielt attackiert wurden. Diese Rechner wurden dann als Brückenkopf genutzt und von dort aus das Netzwerk analysiert und Stück für Stück heimlich übernommen. Dadurch konnten auch mehrere Umspannwerke welche nahezu völlig automatisiert waren, kontrolliert werden.

Während des eigentlichen Angriffes wurden dann Computer lahmgelegt, indem Systemdateien gelöscht und ein Telefonzentrum mittels eines Distributed Denial of Service (DDoS) Angriff unbrauchbar gemacht wurde. Damit sollte verhindert werden, dass man zeitnah die Kontrolle über die Systeme zurückbekommt. Trotz aller Mühe der Angreifer waren die Stromversorger in der Lage innerhalb von wenigen Stunden die Stromversorgung wiederherzustellen.

Es können nicht nur Umspannwerke, sondern auch Kraftwerke überwacht werden. Von einem einfachen Sensor über Transformatoren und Schaltungen hin bis zu einer Turbine oder Generator. Heutzutage ist alles vernetzt und für Angreifer potenziell erreichbar.
Wenn hier Werte manipuliert werden, kann es nicht nur zu Störungen im Stromnetz kommen, sondern auch zu dauerhaften Schäden der Infrastruktur. Aber nicht nur Angreifer können dadurch identifiziert und abgewehrt werden. Auch technische Defekte können so früher erkannt werden und je nachdem behoben werden, bevor es zu einem Totalausfall der Komponente kommt.


Was ein Defekt auslösen kann, hat man im Jahr 2009 in Russland sehen können, als im Wasserkraftwerk des Sajano-Schuschensker Stausee zu einem Unfall kam, bei dem 75 Menschen getötet wurden. Der Schaden war massiv. Die Reparatur dauerte fünf Jahre. Betroffen von dem Ausfall war in erster Linie eine Fabrik für Aluminium, die der Hauptabnehmer des Wasserkraftwerks war. Durch den Ausfall des Kraftwerks musste die Produktion gedrosselt werden. Man schätzt, das pro Jahr ca. 500.000 Tonnen weniger Aluminium hergestellt werden konnten.

Als dritte Ursache für einen Zwischenfall bleibt der unzufriedene Mitarbeiter, die Sabotage von innen. Diese sind meist die gefährlichsten, da die Mitarbeiter mit dem Netzwerk bereit vertraut sind und die Schwachstellen kennen. So kann gezielt ein hoher Schaden verursacht werden. Dabei wäre sowohl ein Angriff, als auch ein Zwischenfall vermeidbar gewesen, mit einer Monitoring Lösung für die Operational Technology (OT).

Eine Lösung, welche nur die IT überwachen würde, würde nicht sehen was in der OT geschieht und andersherum. Deshalb bietet sich eine Lösung an, die das große Ganze sieht, IT und OT. Dabei ist natürlich wichtig, dass die Lösung sowohl die IT Protokolle versteht, aber auch die OT Protokolle. Nur mit einer Packetinspektion kann sichergestellt werden, was sich im Unternehmen tut.

Wir arbeiten hier mit dem Anbieter Nozomi Networks zusammen, welcher auch schon den international tätigen Energieversorger Enel von der SCADAGuardian Lösung überzeugen konnte. Ihre Infrastruktur und die Kommunikation wird dabei kontinuierlich überwacht. Nach einer kurzen Lernphase, welche von den Prozessen im Unternehmen abhängig ist, überwacht der SCADAGuardian sowohl die Geräte, als auch die Kommunikation. Je nach Dichte der Sensoren, können Sie dann jedes Paket im Netzwerk zurückverfolgen und eine forensische Analyse eines Zwischenfalls vornehmen. Falls ein Angriff oder eine Abweichung festgestellt wird, kann der SCADAGuardian einen Alarm schlagen, sei es per E-Mail, ffene Schnittstellen oder falls vom Kunden gewünscht aktiv eingreifen.

Sollten Sie an der Lösung oder einer Teststellung interessiert sind, können Sie uns gerne per E-Mail, Telefon oder unser Kontaktformular erreichen.

Die mit einem * markierten Felder sind Pflichtfelder.