Der Verteilernetzbetreiber Wiener Netze benötigte eine Verschlüsselungslösung, mit der die Kommunikation zwischen dem SCADA-System und der Leitstelle geschützt werden kann. Heute kommen dafür mehrere SafeNet Ethernet Encryptoren CN6010 und CN4010 zum Einsatz. [...]
Bei den Wiener Netzen handelt es sich um einen so genannten Kombinationsnetzbetreiber, der Wien und das Umland mit Strom und Gas versorgt. Dabei agiert das Unternehmen nur als Transporteur, nicht als Produzent. Da die Einrichtungen des Unternehmens als „kritische Infrastruktur“ gelten, spielen die Faktoren Sicherheit, Nachvollziehbarkeit und Transparenz für den Geschäftsbetrieb eine wichtige Rolle. Schließlich gilt es, die Stadt Wien und ihr Umland jeden Tag und rund um die Uhr zuverlässig mit Strom und Gas zu versorgen.
SCADA-SYSTEME SCHÜTZEN
Die Wiener Netze betreiben in der ganzen Stadt und im Umland mehrere miteinander verbundene Außenstellen, an denen Erdgas in das Netz eingespeist wird. Dieses SCADA-System erzeugt eine Menge Daten und kommuniziert mit der Leitstelle über ein eigenes Netz. Es hat aus Sicherheitsgründen keinerlei Verbindung zum Internet. Allerdings besteht durchaus die Gefahr, dass die entsprechenden Leitungen physisch angezapft und die Kommunikation manipuliert wird. Vor einem solchen Angriff wollten sich die Wiener Netze schützen.
Der Schutz ihrer Infrastruktur ist für die Wiener Netze seit jeher ein wichtiges Anliegen. Damit gehört das Unternehmen zu den Vorreitern in diesem Bereich. Bereits heute erfüllt der Versorger die strengen Anforderungen der einschlägigen Sicherheitsstandards, die bald Gesetzeskraft erlangen. So wird vermutlich 2016 in Österreich das Cybersecurity-Gesetz in Kraft treten, das auf Initiative der Europäischen Union mehr Sicherheit bei der Vernetzung von Industriesystemen bringen soll.
„Der Schutz von Industrieanlagen ist in den vergangenen Jahren immer stärker in den Fokus der IT-Welt gerückt“, erklärt Michael Reschreiter, Referatsleiter Systembetreuung bei den Wiener Netzen. Er vermutet, dass auch der Stuxnet-Fall zu einem Umdenken innerhalb der Branche geführt hat. „Stuxnet hat gezeigt, wie leicht Schadsoftware eingeschleust werden kann. Dies hat zugleich dafür geführt, dass die Industrie-IT-Welt stärker darauf geschaut hat, welche weiteren Einfallstore gesichert werden müssen.“
DIE LÖSUNG
Die Wiener Netze entschlossen sich zum Einsatz mehrerer Netzwerkverschlüsselungs-Appliances aus dem Gemalto-Porfolio. Um die teilweise älteren Geräte innerhalb des SCADA-Systems anzusprechen, benötigten die Wiener Netze ein Gerät, das auf Layer 2 arbeitet. Standardtechniken wie VPN oder IPsec waren damit keine Alternative. Der Lieferant des Unternehmens empfahl die Lösungen von Gemalto, bevor der Hersteller den Wiener Netzen eine Teststellung anbot. „Wir waren von Anfang an von den Produkten und dem Hersteller überzeugt“, berichtet Reschreiter. „Das Preis-Leistungs-Verhältnis passte, die Teststellung verlief reibungslos und der Support war absolut professionell.“
Zum Einsatz kommen die Geräte CN4010 für kleinere Außenstellen sowie die CN6010 für größere Installationen. Die beiden Ethernet-Verschlüsselungsgeräte von Gemalto bieten ein zentrales Management, das einfache Administration und einfaches Audit-Reporting über mehrere Kreise und Netzwerkprotokolle hinweg zur Verfügung stellt. Der CN6010 ermöglicht die nahezu latenzfreie Verschlüsselung für Ethernet oder Fiber Channel und gewährleistet FIPS-, Common Criteria- und CAPs-zertifizierte Sicherheit. „Wir haben uns für dieses Gerät entschieden, weil wir damit auch dann gut gerüstet sind, wenn wir unsere Infrastruktur erweitern und einen höheren Traffic haben.“
Mit Hilfe der Verschlüsselungs-Appliances ist die Kommunikation in diesem Bereich der Wiener Netze optimal abgesichert. Hacker, denen es gelänge, den Datenverkehr abzugreifen, bekämen nur nutzloses Material und hätten keine Chance die Kommunikation zu beeinflussen. Manipulierte Datenpakete erkennen die Geräte sofort und schalten die Übertragung ab. Zugleich wird auf eine zweite, ebenfalls sichere Netzverbindung umgeschaltet und der Datenverkehr erreicht über einen anderen Weg sein Ziel.
Auch für künftige Erweiterungen sind die Wiener Netze gut gerüstet. „Durch das flexible Lizenzmodell müssen wir erst einmal keine neue Hardware kaufen, sondern können die Kapazität für mehr Bandbreite je nach Bedarf erhöhen“, so Reschreiter. „Damit zeigt sich einmal mehr, dass das Gesamtpaket bei dieser Lösung für unsere Ansprüche einfach ideal ist.“ (pi)
Be the first to comment