blog-background-1920px

Sicherheit im Smart Metering: Wie kann ich mein Bestandssystem auf High-Level-Security umstellen?

15. September 2020 13:40:30 MESZ

photo-1581626221838-9715c0e06049Die Digitalisierung der Stromversorgung bringt Vorteile für Versorger und Kunden. Smart Meter, Kommunikations- und Netzwerkinfrastruktur und Systemsoftware bieten aber auch potenzielle Angriffsflächen für Cyber-Attacken, deren Ziele von finanziellem Gewinn bis hin zur Störung der Energieversorgung reichen können.

In der Schweiz stellen neue regulatorische Sicherheits-Anforderungen den Schutz der Smart-Meter Infrastruktur sicher. Darüber hinaus gilt auch die Sorgfaltspflicht eines jeden Systembetreibers, die richtigen Schritte zu tun, um Sicherheit über den gesamten Lebenszyklus der Smart Metering Infrastruktur zu gewährleisten.

Hierbei gilt es, Sicherheit ganzheitlich zu betrachten: von der Produktion mit sicheren Initialschlüsseln, über dem sicheren Rollout mit elektronischen Arbeitsaufträgen, zeitlich und auch logisch auf zu installierende Geräte beschränkter Zugriff des Installateurs bis zu einem sicheren „Onboarding“ mit korrekter Zuordnung zu rechtmässigen Messpunkten. Nach der Installation muss ein automatischer Schlüsseltausch erfolgen, um sicherzustellen, dass die Geräteschlüssel und -Credentials im Betrieb im alleinigen Besitz des EVU bzw. Betreibers sind. Der gesamte Betrieb, die Wartung und eine allfällige Migration der Gerätepopulation zu einem anderen Systembetreiber muss bezüglich System- und Datensicherheit unterstützt sein.

Durch die lange Nutzungsdauer von Smart Metern über 10-15 Jahre und die enorme Anzahl installierter Geräte kommt der zuverlässigen, verschlüsselten Speicherung der Geräteschlüssel grosse Bedeutung zu. Es ist aus Sicherheitsperspektive eine bewährte Praxis, Chiffrierungsschlüssel für die Speicherung der Geräteschlüssel und CA-Schlüssel für die Ausstellung neuer TLS-Zertifikate in einem Manipulationssicheren Hardware Security Modul (HSM) zu speichern. Landis+Gyr empfehlt deshalb allen AMI-Kunden, diese HSM oder ein alternativer Cloud Service mit gleicher Sicherheit einzusetzen.

Welche High-Level-Security-Mechanismen sind in Landis+Gyr Geräten vorhanden?

Gerätesicherheit: Zunächst sind die Memory-Encryption für die sichere Speicherung von Schlüsselmaterial und Daten sowie die Sicherung aller Geräteschnittstellen inklusive der Debug-Ports auf Prozessorebene zu nennen. Auch die Manipulations- und Betrugserkennung wurde schrittweise ausgebaut.

Rollenbasierter Zugriff: Beim Zugriff auf Geräte hat jede Rolle vordefinierte Berechtigungen. Diese können angepasst werden, die meisten Kunden verwenden jedoch die vordefinierten Berechtigungen. Weit flexibler ist die Rollendefinition auf Systemebene, wo alle benötigten Rollen, die in einem Betrieb vorkommen, abgebildet werden können.

Client-Server-Authentifizierung: Damit wir der sichere Zugriff verschiedener Clients, etwas ein lokales Tool oder ein Head-End-System, auf ein Gerät sichergestellt. Vor jeder Kommunikation authentifizieren sich Client und Server gegenseitig, um danach die verschlüsselte Kommunikation zu starten (Authenticated Encryption).

Identity Management und Benutzerzugriff: Zusätzlich zur Client Authentifizierung gibt es die Identifikation auf Benutzerebene. Beim Zugriff auf Geräte und auf Systeme müssen Benutzer zuverlässig identifiziert werden, zum Beispiel durch Passwort-Richtlinien oder Zwei-Faktor-Authentifizierung.

Das Identitäts- und Zugriffsmanagement ist in den letzten Jahren immer wichtiger geworden, um die Anforderungen an die Einhaltung gesetzlicher Vorschriften sicherzustellen. Die Integration von Benutzern via LDAP/ AD ermöglicht Versorgungsunternehmen, das Identity- und Access Management mit den Benutzerkonten für alle integrierten Systeme zentral zu administrieren.

Alarme und Event Logs: Als Konzept nicht neu, doch wurde die Geräteüberwachung schrittweise ausgebaut und verfeinert. Alarme und Log Events, wie Zugriffs- oder Betrugsdetektions-logs, werden in den Smart Meters erfasst. Zusätzlich wird auch gemeldet, wenn etwa eine Authentifizierung fehlschlägt. Ausgewählte Events könnten als Alarme definiert werden, um - abhängig von der Kommunikation - in Realtime benachrichtigt zu werden. Alarme und Eventlogs können vom Head-End-System ans Meter Data Management System (MDM) oder an Integrierte Security Management Systeme weitergeleitet werden.

Aufrüstbarkeit: Firmware-Updates können für grosse Gerätepopulationen vom Head-End-System aus verteilt werden und nach erfolgreichem Download per Stichtag aktiviert werden. Eine Authentifizierung der FW stellt sicher, dass nur eine von Landis+Gyr signierte, zum Gerät passende Firmware aktiviert werden kann.

Der Weg zu einem sicheren System und Systembetrieb

Um ein System auf High Level Security anzuheben, startet man üblicherweise mit einem kleinen Konzept, das zusammen mit dem Kunden erstellt wird. Anschließend kommt es zum initialen Set-Up, dann eine Funktionsprüfung und Abnahmetests, so dass die anschliessende Einrichtung auf dem Produktionssystem zielgerichtet und problemlos vorgenommen werden kann.

An dieser Stelle lohnt sich die Überlegung, wie der weitere Betrieb erfolgen soll. Zu einem sicheren Systembetrieb gemäss Datenschutzrichtlinie gehören eine Risikobewertungen nach Addendum 2 bzw. dem ISO 27001 Framework, das Implementieren der notwendigen Abläufe und Prozesse sowie regelmässige Audits zur kontinuierlichen Verbesserung. Diese Aufgaben können vom EVU selbst übernommen werden und das System wird „On Premise“ betrieben. Alternativ dazu bietet Landis+Gyr den Betrieb als As-a-Service-Modell an über eine Hosting-Plattform an. Der Betrieb wird von spezialisiertem Personal gemäss zertifizierten Prozessen überwacht und unsere Kunden müssen sich nicht mit den Security-Details und der kontinuierlichen Wartung und Optimierung der Systemplattform herumschlagen.

Ausblick: Von Sicherheit als Hygienefaktor zum integralen Security Management

Sichere Produkte, sichere Infrastrukturen und der sichere Betrieb werden zunehmend zum Standard. Alle Massnahmen dienen dem Vorhersehen von Risiken und dem Schutz vor Angriffen. Über die sichere Entwicklung und Verifikationstests vor Produktfreigaben hinaus wird auch „Threat-Intelligence“, d.h. die automatische Benachrichtigung und Verfolgung bekannter Schwachstellen genutzter Betriebssystem- oder Technologie-Komponenten über die ganze Produktlebensdauer immer wichtiger – auch bei Geräten und Systemen für Smart Metering.

Die Sicherheit von Smart-Metering-Systemen und Operational Technology (OT) allgemein entwickelt sich weiter in Richtung kontinuierlicher Überwachung der Infrastruktur. Hier geht es um Erkennung von Anomalien und Cyber-Angriffen, um automatisierte Reaktionen zur Eingrenzung betroffener Komponenten und der Aufzeichnung forensischer Daten bei einem Vorfall. Darüber hinaus gehören Massnahmen für rasche Datenwiederherstellung oder ein Disaster-Recovery-Konzept, um im Notfall ein System rasch wiederherstellen zu können, schon heute zu den Vorkehrungen eines professionellen Hosting-Dienstleisters oder Systembetreibers.

Welche gesetzlichen Vorgaben es in der Schweiz zu erfüllen gilt, was sie für EVU bedeuten, lesen Sie hier.

Ein Video zu unserem 40-minütigen Webinar zum Thema „Sicherheit im Smart Metering: Wie sich Schweizer EVU schützen können“ können Sie sich hier ansehen.

Nehmen Sie Kontakt zu uns auf