Umspannwerke und Cisco: ein energetischer Verbund
Cisco
Als Energieversorger sind starke Sicherheit und adäquater Schutz des Stromnetzes für uns allerhöchstes Gebot, stehen wir unseren Kunden gegenüber doch in einer ganz besonderen Verantwortung. Sicherheit und Schutz zu gewährleisten bedeutet heute nicht nur, die interne Integrität des elektrischen Systems zu wahren, sondern auch externen Bedrohungen wie Cyberangriffen einen Riegel vorzuschieben, die zur Abschaltung oder Fremdkontrolle der Kraftwerke und Verteilernetze führen könnten.
Die CKW AG mit Sitz in Luzern steht als einer der wichtigsten Energiedienstleiter der Zentralschweiz für eine zuverlässige Versorgung von Industrie-, Unternehmens- und Privatkunden mit Elektrizität. Von Privathaushalten, Krankenhäusern und Rechenzentren bis hin zu kritischen Anlagen und regionalen Verteilern nutzen verschiedenste Kundengruppen unsere Leistungen. So erhalten etwa Privathaushalte im Rahmen unseres Portfolios für smarte Energie Solarmodule und Batterien, Wärmepumpen sowie Apps zur Überwachung und Steuerung des Energieverbrauchs. Auch erzeugen wir in verschiedenen Anlagen Strom aus Wasserkraft und bieten darüber hinaus über unsere Sparte für IT-Dienstleistungen Glasfaser-, Rechenzentrums- und andere Enterprise-Services für Unternehmen in der Schweiz.
Bei der CKW AG arbeite ich inzwischen seit 30 Jahren. Tätig bin ich heute in erster Linie in der Gewährleistung lückenloser Datenübertragungen in unserem Unternehmen: Als Senior System Engineer bin ich für die Absicherung unserer Ressourcen aus der Betriebstechnik bzw. Operational Technology (OT) verantwortlich. Betriebstechnik, Hardware und Software sind als Fundament zur Überwachung und Steuerung der physischen Anlagen und Einrichtungen des Stromnetzes sowie auch unserer Netzwerkinfrastruktur von enormer Bedeutung für uns. In der Vergangenheit waren OT- und IT-Infrastruktur bei uns in Sachen Management jedoch voneinander getrennt. Auf OT-Seite hatten uns dadurch eine Reihe von Funktionen für Segmentierung und Automatisierung gefehlt, die wir benötigten, um den gesamten Bestand adäquat zu schützen.
Als die CKW AG 2018 im Kanton Luzern den Bau einer Unterstation beschloss, war ich ebenfalls mit von der Partie. Realisiert wurde die Unterstation, die als Umspannwerk den Strom aus dem regionalen Hochspannungsnetz auf eine tiefere Spannung zur Verteilung über das Mittelspannungsnetz umwandelt, im Industriegebiet von Rothenburg. Prägend für das Vorhaben war, dass es angesichts der zunehmenden Gefahr von Cyberangriffen auf die elektrische Systeminfrastruktur galt, bei unserem Konzept zum Schutz der OT-Ressourcen in dieser Einrichtung neue Wege zu gehen.
Sicherheit neu gedacht am Umspannstandort Rothenburg
Bislang hatten wir bei der CKW AG Ruggedcom-Switches von Siemens in unseren Unterstationen im Einsatz. Diese Geräte stammten jedoch noch aus einer Zeit, als Netzwerke in Unterstationen autonom betrieben wurden und weder Überwachung noch Segmentierung aufwiesen. Sicherheitsfunktionen dieser Art erachtete man zur damaligen Zeit einfach noch nicht als relevant für Anlagen wie Unterstationen.
In der neuen Unterstation setzen wir jedoch die Norm IEC 61850 um, nach der die International Electrotechnical Commission (IEC) eine Referenzarchitektur für Kommunikationsprotokolle intelligenter elektrischer Systeme in Umspannwerken definiert. Die Norm ist zwar bereits für sich genommen durchaus umfassend auch in puncto Sicherheit in der Betriebstechnik. Neue Entwicklungen rund um Management und Sicherheit im Bereich der IT-Netzwerke werden in ihr jedoch noch nicht berücksichtigt. Für uns galt aber, dass wir über die Grundvorgaben der Norm hinaus auch unsere IT-Infrastruktur automatisieren und zudem unser Datennetzwerk in so kleine Teilbereiche wie möglich segmentieren wollten. Dies geht in bestimmten Fällen tatsächlich so weit, dass in einem Netzwerksegment nur ein einziger Host zugelassen wird.
Warum wir die Segmente so klein halten, ist einfach erklärt: Sollten wir einmal auf ein technisches Problem stoßen oder laterale Bewegungen erkennen, können wir das betroffene Segment einzeln isolieren, ohne andere Bereiche des Netzwerks dadurch zu beeinträchtigen. Und sollte es zu einem systemweiten Ausfall kommen, können wir uns zunächst auf die Wiederherstellung der kritischsten Hosts oder Segmente konzentrieren, um uns dann den sekundären Systemen zu widmen. Dieser Grad der Segmentierung ermöglicht es uns zudem, den Zugriff auf die OT-Infrastruktur bis auf Ebene der Unterstation zu optimieren. So können wir Firewall-Regeln und Zugriffsberechtigungen für bestimmte Hosts festlegen, mit denen wir sogenannte Airwalls schaffen, die der Unterstation zugehörige Netzwerksegmente von unserem primären Netzwerk und der Außenwelt isolieren.
Durch die Implementierung weiter reichender Automatisierung wiederum vermeiden wir benutzerseitige Fehler, die häufig mit Problemen oder Bedenken bei der Sicherheit im Zusammenhang stehen. Zudem ist Automatisierung unabdingbar, wenn es um das Management einer großen Anzahl von Geräten und Konfigurationen und eine schnellstmögliche Reaktion auf verdächtige Aktivitäten geht.
Partnerschaften mit Zukunft
Im weiteren Verlauf des Bauvorhabens stand die Implementierung von OT-Netzwerksystemen für den ummauerten Außenbereich der Anlage in Rothenburg an. Hierfür brauchte es Geräte, die sowohl für die Umgebung geeignet waren, als auch IT-Tools boten, welche adäquaten Schutz vor Bedrohungen von außen gewährleisten konnten. Zudem wollten wir das Netzwerkmanagement stärken und vereinfachen und dabei von mehr Sicherheit, Optimierung und Automatisierung profitieren. Eine Unterstation ist ca. 10 bis 15 Jahre in Betrieb, daher war Hardware und Software gefragt, die sich durch eine lange Nutzungsdauer auszeichnet.
Nachdem wir ein erstes Design ausgearbeitet hatten, suchten wir nach einem geeigneten Partner für die Umsetzung unserer Vision. Der Anbieter, mit dem wir zu der Zeit zusammengearbeitet hatten, fiel aus, da seine Angebote dem Umfang unseres Projekts nicht gerecht werden konnten und seine Expertise zudem nur auf Netzwerktechnologie für Anwendungsszenarien im Bereich der OT für Umspannwerke beschränkt war. Von einem anderen Unternehmen aus der Energiewirtschaft wurde uns dann die Netcloud AG empfohlen, ein in der Schweiz ansässiger Anbieter von IT-Services mit umfassendem Know-how in den Bereichen Unternehmensnetzwerke, Cybersicherheit und Infrastrukturoptimierung.
Schon kurz nach den ersten Gesprächen mit dem Team wurde deutlich: In der Netcloud AG hatten wir genau den Anbieter gefunden, der über die breit gefächerte Erfahrung verfügte, die für die Umsetzung unsere Pläne nötig war. So fiel auf, dass das Team der Netcloud AG unsere Pläne nicht einfach nur analysierte. Vielmehr nahm es das Gesamtbild in den Blick und untersuchte, ob die Netzwerkinfrastruktur Lücken irgendeiner Art etwa auch im Kontext des Sicherheitsstatus aufwies. Nach sorgfältiger Evaluierung unserer Anforderungen befand die Netcloud AG, dass wir diese wohl am besten mit Cisco erfüllen könnten.
Tatsächlich hatten wir in unserem Kernnetzwerk bereits langjährige Erfahrung mit dem Einsatz von Cisco Technologie. Dass Cisco aber auch all das bot, was wir für die Erweiterung des Netzwerks in die Unterstation benötigten, wurde uns erst dank der Netcloud AG klar. Tatsächlich offerierte der führende Netzwerkausrüster sogar ein enorm breites Spektrum an Lösungen, die für Sicherheit und Automatisierung in der Betriebstechnik geeignet waren. Mit der Zuverlässigkeit von Cisco waren wir ohnehin bereits vertraut, wussten außerdem, wie einfach zu aktualisieren, hochgradig flexibel und anpassungsfähig die Technologien des Herstellers waren. Damit waren sie also die perfekte Wahl für den langjährigen Einsatz in unseren Unterstationen. Mit der Erweiterung unserer Cisco Umgebung um Lösungen für Industrie- und OT-Netzwerke sowie Security, so waren wir uns sicher, würden wir ein dauerhaft robustes Konzept entwickeln können.
Aufbau der Umspannwerks-Infrastruktur auf Basis von Cisco OT- und IoT-Lösungen
In Zusammenarbeit mit der Netcloud AG konzeptionierten wir vom Team der CKW AG eine Lösung auf Basis von Cisco Technologie zur Implementierung in der Unterstation. Die erste Komponente bildete Cisco Secure Firewall Management Center, mit dem wir neben Firewall-Management, Anwendungskontrolle und Intrusion Detection auch Kontrolle für Ports und Protokolle zentralisiert und somit unkompliziert umsetzen konnten. Auf Hardwareseite bauten wir die Infrastruktur rund um die Cisco Secure Firewall ISA 3000 auf, eine speziell für den Einsatz in OT- und IoT-Security-Szenarien konzipierte Internet-Appliance. Dabei wurden beinahe ausnahmslos alle Elemente zunächst umfassenden Labortests unterzogen, um sie für den Einsatz in Hochspannungsanlagen zu validieren. Dies erfolgte zudem größtenteils remote: Das Team der Netcloud AG musste dafür nur äußerst selten bei uns vor Ort zugegen sein.
Die ISA 3000 erfüllt die Vorgaben nach IEC 61850 und bietet umfassende Transparenz und Kontrolle für Protokolle und Anwendungen diverser Anbieter für industrielle Automatisierungslösungen wie etwa Omron, Rockwell, GE, Schneider oder Siemens. Die Appliance greift zum Schutz nicht gepatchter OT-Geräte zudem auf die Threat-Intelligence von Cisco Talos zurück.
Ferner haben wir die ISA 3000 mit der Cisco ASA-5500-X mit FirePOWER-Services kombiniert, um so von der branchenweit ersten bedrohungsorientierten Next-Generation Firewall (NGFW) zum Schutz vor komplexen Cyberangriffen zu profitieren. Die Cisco ASA-5500-X haben wir an den zentralen Standorten (Rechenzentren) im Einsatz. Im Standardbetrieb ist die über das Transit-Netzwerk umgesetzte Verbindung von ISA 3000 und Cisco ASA-5500X unterbrochen, kann aber bei Bedarf über ein Hardware-Relais hergestellt werden. Ihre Syslog-Nachrichten sendet die ISA 3000 über eine Datendiode an das Cisco CSM und stellt dadurch sicher, dass das System durchgängig überwacht wird.
Ebenfalls implementiert haben wir Cisco Switches der Industrial Ethernet (IE) 4000- und 4010-Serie für Gigabit-Ethernet auf Layer 2 und 3. Diese Switches werden zentral über Cisco DNA Center verwaltet und fungieren auch als SD-Access-Knoten.
Ergänzend dazu haben wir in unserem Kernnetzwerk Cisco Secure Network Analytics bereitgestellt. Im Verlauf des Jahres 2022 arbeiten wir uns umfassend in die Lösung ein, um sie schließlich auch in unseren Unterstationen einzuführen. So können wir dann innerhalb der ihnen zugehörigen Infrastruktur alles anhand erweiterter Telemetriedaten überwachen und die Netzwerksegmentierung zudem noch intelligenter gestalten. Bei Verbindung der ISA 3000-Firewall mit dem Core-Netzwerk scannt Secure Network Analytics sämtliche zugehörigen Verbindungen.
Darüber hinaus haben wir mit der Cisco Identity Services Engine (ISE) softwaredefinierte Zugriffskontrollen in unser Netzwerk implementiert. Die ISE ist für die AAA-Kontrolle (Authentication, Authorization, Accounting) in den Unterstationen zuständig. Das Netzwerk wird mit ihr statisch via VLAN segmentiert, während die ISA 3000-Firewall die Übergangspunkte im Netzwerk absichert. Ein IDS eines Drittanbieters ergänzt KI-gestützte Endpunktanalytik in den Unterstationen und überwacht zudem sämtliche Flow-Steuerungen im Netzwerk. Der große Vorteil der Cisco Identity Services Engine (ISE) ist, dass sie AAA in vollem Umfang abdeckt. Denn dadurch können wir sowohl MAB als auch zertifikatsbasierte Zugriffskontrollen implementieren. Darüber kann die ISE als Radius-Server für RBAC verwendet werden, den wir vollständig implementieren können. So bietet die ISE alle Funktionen, die wir benötigen, um AAA im Zuge der Entwicklung der Infrastruktur für die Unterstationen umfassend umzusetzen.
Im Ergebnis haben wir nun eine umfassende Komplettlösung auf Basis der Technologie von nur einem Hersteller, die uns tiefgehende Einblicke in das Netzwerk unserer Unterstationen, erweiterte OT- und IT-Infrastrukturkontrollen und eine skalierbare Umgebung liefert, die zudem höhere Standards in Sachen Cybersicherheit erfüllt.
Mit einem Anbieter wie Cisco, der uns alles aus einer Hand liefern kann, ist außerdem auch der Ansprechpartner bei Problemen klar. Und nicht zuletzt profitieren wir von der Erfahrung eines führenden Players, der seit Jahrzehnten eine feste Größe in der Branche bildet. Cisco wird es also sehr wahrscheinlich noch geben, wenn kleinere Anbieter vielleicht längst von der Bildfläche verschwunden sind.
Zukunftsweisende Konzepte zur Stromversorgung in der Schweiz
Es macht mich stolz, dass die CKW AG der erste Stromversorger in Europa ist, der seine Umspannwerks-Infrastruktur rund um Cisco Technologie aufgebaut hat. Und ich bin mir sicher, dass wir nicht der Letzte sein werden. Denn als wir jüngst auf einer Konferenz in Berlin einen Vortrag über die Infrastruktur abhielten, waren unsere Branchenkollegen und -kolleginnen geradezu erstaunt: Ein Komplettkonzept, das OT-und IT-Management mit Segmentierung und Automatisierung in Unterstationen umfassend und nahtlos integriert, war für sie ein absolutes Novum.
Diese Chance hat die CKW AG genutzt und sich mit Unternehmen zusammengeschlossen, die über IEC 61850-Technologien hinausgehen. Und diese gemeinsamen Bemühungen waren ein großer Erfolg: Wir haben bereits eine zweite Unterstation unter Einsatz von Cisco Technologie eingerichtet, planen zudem 10 weitere für die Zukunft. Mit Unterstützung von Cisco und der Netcloud AG sind wir in der Lage, neue und vor allem bessere Wege zur Versorgung von Stromkunden in der Schweiz zu beschreiten.