Cyberbedrohungen

Virtuelle Kraftwerke als potenzielle Zielscheibe

23.11.2023
Von  und
Asiye Öztürk doziert seit 2020 an der Hochschule Niederrhein am Cyber Management Campus Mönchengladbach im Studiengang Bachelor Cyber Security Management. In Ihren Forschungsaktivitäten fokussiert sich Frau Öztürk auf Forschungsfragen im Bereich der Cyber-Defense-Modelle und CERT im Sinne der Resilienzerhöhung der OT-Netze.
Weitere Artikel des Autors
Erfan Koza ist seit 2020 Dozent an der Hochschule Niederrhein am Cyber Management Campus Mönchengladbach im Studiengang Bachelor und Master Cyber Security Management. Aktuell beschäftigt er sich mit dem Thema Human Hacking und untersucht inwieweit der Faktor Mensch in der Informationssicherheit als menschliche Firewall gegen Cyberattacken dienen kann.
Weitere Artikel des Autors

Vom DEA, ÜNB und VNB werden in der Regel Messwerte aus den Datenbankarchiven extrahiert und über ein Datenbankverfahren über einen IPsec-VPN-Tunnel, etwa X.509-Zertifikat (CA), oder über Standleitungen mit verschiedenen standardisierten Datenkommunikationsprotokollen an das VKW gesendet. Für die Erstellung der Zertifikate wird meist eine selbstsignierte Root-Zertifizierungsstelle generiert, die ausschließlich IKEv2 (Internet Key Protocol Version 2) als sicheres Verfahren zur Schlüsselverwaltung in IPsec-basierten virtuellen privaten Netzen verwendet.

Die Fernwirkgeräte des ÜNB und VNB als lokale CRISP-Knoten (Cross Industry Standard Process for Data Mining) bezeichnet, verfügen über zwei getrennte Netzwerkschnittstellen, zwischen denen kein Routing stattfindet. Eine Schnittstelle dient zur Anbindung der jeweiligen Leitstelle von ÜNB und VNB, die andere zur Kopplung an den VPN-Router. Die Fernwirkgeräte des DER verfügen über eine Firewall mit der Strategie "DENY-ALL". In Richtung einer Internetanbindung von DEA, VNB und ÜNB wird ein DENY-ALL-Konzept verwendet, um den Zugriff auf das unsichere "Internet" vollständig auf IP-Ebene kontrollieren zu können.

Versehentlich unerwünschte Kommunikation

Mit diesem Konzept können nur Dienste genutzt werden, die vom Administrator der Firewall explizit zugelassen sind. Die Konfiguration bietet damit das geringste Risiko, versehentlich unerwünschte Kommunikation zuzulassen.

Die Datenübertragung zwischen den Netzknoten wird über den integrierten VPN-Client des lokalen CRISP-Knotens von DEA, ÜNB und VNB hergestellt. Die CRIPS-Knoten von DEA, VNB und ÜNB richten selbständig eine Verschlüsselung über IPSec zum VPN-Gateway im VKW ein.

Die Konfigurationsdatenbank des VKW ist verschlüsselt und passwortgeschützt, um die Integrität und Vertraulichkeit der Daten und IT-Systeme zu gewährleisten. In der Konfigurationsdatenbank des VKW ist eine "rollenbasierte Zugriffskontrolle" (englisch: Role Based Access Control, RBAC) implementiert. Beim RBAC werden die Zugriffsrechte auf Basis eines definierten Rollen- und Berechtigungsmodells vergeben.

Zur Startseite