Industrielle Automatisierung

Einhaltung der NERC-CIP-Standards zum Schutz kritischer Energieinfrastrukturen

Zane Blomgren, Guilhermme Lisboa und Mohid Hasan
06.08.2024
Ähnliche Tags
Stromverteilung
Cybersicherheit
Teilen
Versorgungsunternehmen stehen ganz oben auf der Liste der Ziele von Cyberattacken. Es ist von entscheidender Bedeutung, Ihre Stromübertragungs- und -verteilungssysteme zu schützen, und dabei sollte der Fokus auf der Einhaltung der NERC-CIP-Standards liegen.

 

Cyberattacken auf Stromnetze können verheerend sein und nicht nur zu großflächigen Stromausfällen, sondern auch zu Störungen der wirtschaftlichen Entwicklung, Sicherheitsproblemen und Chaos führen, während die Versorgungsunternehmen daran arbeiten, den Service wiederherzustellen. Das US-amerikanische Stromnetz ist ein komplexes Netz, das es zu schützen gilt, mit 200.000 Meilen an Übertragungsleitungen, 55.000 Umspannwerken und 5,5 Millionen Meilen an Verteilungsleitungen.

 

In diesem Jahr waren bereits mehr als zwei von drei Versorgungsunternehmen weltweit von Ransomware-Attacken betroffen. Innerhalb dieser Gruppe geben fast alle dieser Unternehmen (98 %) an, dass die Angreifer auch versucht haben, ihre Backups zu kompromittieren.

 

Dies sind die gängigsten Arten von Attacken:

  • Ausgenutzte Schwachstellen (49 %)
  • Kompromittierte Anmeldedaten (27 %)
  • Bösartige E-Mails (14 %)
  • Phishing (7 %)
  • Downloads (2 %)
  • Brute-Force-Attacken (1 %)

Deshalb ist es wichtig zu verstehen, wie Sie Ihre unternehmenskritischen Systeme schützen können – und das beginnt mit der Einhaltung der NERC-CIP-Standards.

 

Diese Standards werden im Laufe der Zeit weiterentwickelt, um sich an die sich ständig verändernden Arten von Bedrohungen anzupassen, mit denen Stromübertragungs- und -verteilungsunternehmen konfrontiert sind. So wurde beispielsweise im Jahr 2023 CIP-015 (Internal Network Security Monitoring) hinzugefügt, um Versorgungsunternehmen bei der Erkennung anomaler oder nicht autorisierter Netzwerkaktivitäten zu unterstützen, damit sie eine Attacke schnell erkennen und darauf reagieren können. Im Juni dieses Jahres reichte die NERC bei der FERC einen Zulassungsantrag ein. Mit der Zulassung wird dieser Standard in Kraft treten.

 

Was sind die NERC-CIP-Standards?

Bei den NERC-CIP-Standards handelt es sich um eine Reihe von CIP-Standards (Critical Infrastructure Protection), die von der North American Electric Reliability Corporation (NERC) entwickelt wurden. Diese Standards wurden entwickelt, um das US-amerikanische Stromversorgungssystem BES (Bulk Electric System) vor Cyberbedrohungen zu schützen, die von Malware- und Ransomware- bis hin zu DDoS-Attacken reichen.

 

Die grundlegenden Cybersicherheitsmaßnahmen, die sie der Branche zur Verfügung stellen, sollen als Rahmenwerk kritische Infrastruktur schützen und überprüfen, ob die richtigen Sicherheitskontrollen durchgeführt werden, um einen ausfallsicheren, sicheren und zuverlässigen Betrieb aufrechtzuerhalten.

 

Die NERC wurde in den späten 1960er-Jahren gegründet, um als Reaktion auf den Stromausfall im Nordosten der USA 1965 die ersten Zuverlässigkeitsprinzipien der Elektroindustrie zu entwickeln. Aufgrund dieses durch ein defektes Relais verursachten Stromausfalls waren 30 Millionen Menschen stundenlang ohne Strom.

 

Die NERC-CIP-Standards, wie wir sie heute kennen, wurden erstmals im Jahr 2008 von der Federal Energy Regulatory Commission zugelassen.

 

Für wen wurden die NERC-CIP-Standards festgelegt?

Die NERC-CIP-Standards regeln die unternehmenskritische Infrastruktur für alle Interessengruppen, die sich auf die Zuverlässigkeit des BES auswirken, einschließlich Eigentümer, Betreiber und Benutzer. Diese Standards gelten für Stromversorgungsunternehmen sowie für Stromerzeugungs-, -übertragungs- und -verteilungsunternehmen.

 

Was decken die NERC-CIP-Standards ab?

Die NERC-CIP-Standards bieten präskriptive Leitlinien für unterschiedlichste Kategorien. Die Standards sind anhand dieser Kategorien in verschiedene Bereiche unterteilt. (Hinweis: CIP-001 ist eingestellt und kein Bestandteil aktiver CIP-Standards.)

 

Identifizierung und Klassifizierung von Assets (NERC CIP-002)

Dieser Standard verlangt von Versorgungsunternehmen, dass sie ihre BES-Systeme zur Gewährleistung einer optimalen Cybersicherheit danach kategorisieren, wie sie sich auf die Netzzuverlässigkeit auswirken: nach hohen, mittleren oder geringen Auswirkungen. Außerdem werden die erforderlichen Sicherheitskontrollen basierend auf den Auswirkungen festgelegt.

 

Richtlinien und Governance (NERC CIP-003)

CIP-003 unterstützt Stromübertragungs- und -verteilungsunternehmen bei der Erstellung und Überwachung ihrer Pläne zur Förderung der Cybersicherheit und des Sicherheitsmanagements. Außerdem sind darin die Anforderungen an die Entwicklung und Pflege von Sicherheitsrichtlinien und -verfahren festgelegt.

 

Personal und Training (NERC CIP-004)

Um das Risiko einer durch interne Teams verursachten Kompromittierung des BES, die zu Ausfallzeiten oder Instabilität führen könnte, so gering wie möglich zu halten, bietet dieser Standard einen Leitfaden zur Förderung eines Bewusstseins für Cybersicherheit und für Trainings. Er umfasst ebenfalls das Risiko- und Zugriffskontrollmanagement, wie z. B. das Entfernen von Berechtigungen, wenn eine Person ein Unternehmen verlässt.

 

Elektronischer Sicherheitsperimeter (NERC CIP-005)

CIP-005 enthält Anforderungen, die Versorgungsunternehmen dabei unterstützen, den Netzwerkzugriff auf unternehmenskritische Anlagen über elektronische Sicherheitsperimeter oder virtuelle Barrieren zur Überwachung des Datenflusses zu kontrollieren. Außerdem enthält er einen Leitfaden für Aspekte wie den Fernzugriff.

 

Physische Sicherheit (NERC CIP-006)

Bei der Cybersicherheit geht es nicht nur um Netzwerkkomponenten, sondern auch um physische Sicherheitskomponenten. Dieser CIP-Standard legt Schritte zur Erstellung physischer Sicherheitspläne fest, einschließlich Systeme zur Kontrolle von Besuchern, Überwachung und Meldung physischen Einbruchs.

 

Systemsicherheitsmanagement (NERC CIP-007)

Um die Angriffsfläche von BES zu minimieren, enthält dieser Standard Richtlinien für die Verwaltung, Steuerung und Beschränkung des Zugriffs auf Netzwerkkomponenten wie Ports und Dienste. Außerdem enthält er Anleitungen zur Verwaltung von Sicherheitspatches und -updates sowie zur Überwachung potenzieller Sicherheitsereignisse.

 

Meldung von Vorfällen und Reaktionsplanung (NERC CIP-008)

Wenn Versorgungsunternehmen Opfer einer Cyberattacke werden, müssen sie optimal vorbereitet sein, um darauf reagieren zu können. CIP-008 enthält Richtlinien für die Erstellung und Pflege eines Reaktionsplans für Cybersicherheitsvorfälle, einschließlich der Meldung versuchter und tatsächlicher Kompromittierungen und an wen diese zu melden sind.

 

Pläne zur Wiederherstellung (NERC CIP-009)

Eine schnelle Wiederherstellung nach einem Cybersicherheitsvorfall ist von entscheidender Bedeutung. CIP-009 unterstützt Versorgungsunternehmen bei der Planung und Sicherstellung der Kontinuität ihres Betriebs, um sicherzustellen, dass der Betrieb kritischer Anlagen nach einer Unterbrechung wiederhergestellt werden kann.

 

Umgang mit Änderungen an Cyber-Assets und Schwachstellenmanagement (NERC CIP-010)

Um eine sichere Umgebung zu gewährleisten, enthalten diese CIP-Standards Anforderungen in Bezug auf den Umgang mit Änderungen an Cyber-Assets und die Behebung von Schwachstellen. Benutzer erhalten Einblicke in die Verwaltung von Konfigurationsänderungen und die Durchführung von Schwachstellenbewertungen.

 

Schutz von Informationen in Zusammenhang mit dem BES (NERC CIP-011)

Um Versorgungsunternehmen beim Schutz von Informationen in Zusammenhang mit dem BES zu unterstützen, legen die CIP-011-Anforderungen fest, wie sensible BES-Informationen für einen optimalen Schutz identifiziert, klassifiziert und verarbeitet werden müssen.

 

Kommunikation in Kontrollzentren (NERC CIP-012)

Um einen zuverlässigen Netzbetrieb, eine zuverlässige Netzsteuerung und -verwaltung zu gewährleisten, legt dieser Standard die Anforderungen an sichere, zuverlässige Kommunikationssysteme fest, wie z. B. Verschlüsselung und Authentifizierung, um Cyberangriffe und unbefugten Zugriff zu verhindern.

 

Verwaltung von Lieferkettenrisiken (NERC CIP-013)

Der Standard CIP-013 wurde Ende des Jahres 2020 zu den NERC-CIP-Standards hinzugefügt und implementiert Sicherheitskontrollen zur Verwaltung von Lieferkettenrisiken, um die Probleme anzugehen, die in den letzten Jahren in der Branche zu einer Priorität geworden sind. Der Standard unterstützt Versorgungsunternehmen bei der Bewertung und Verwaltung der Risiken, die mit der Beschaffung und Installation von BES-Komponenten von Anbietern verbunden sind, indem es Anleitungen zur Gewährleistung der Sicherheit von Hardware, Software und Diensten bietet, die von Versorgungsunternehmen genutzt werden.

 

Physische Sicherheit von Umspannwerken (NERC CIP-014)

Dieser Standard konzentriert sich auf die Abwehr von Attacken auf kritische Umspannwerke, die als Bindeglied zwischen Kraftwerken und Benutzern fungieren. Er erläutert die Anforderungen an die Durchführung von Risikobewertungen für Umspannwerke, die Entwicklung von Sicherheitsplänen zum Schutz vor Sabotage und unbefugtem Zugriff sowie die Meldung verdächtiger Aktivitäten, die sich auf Umspannwerke auswirken.

 

Überwachung der internen Netzwerksicherheit (NERC CIP-015)

CIP-015 die neueste Ergänzung der NERC-CIP-Standards. Der Standard wurde hinzugefügt, um die Sicherheit des Stromnetzes zu erhöhen. Er erläutert, wie der Datenverkehr innerhalb von Zonen überwacht werden kann, um böswillige Aktivitäten und potenziellen unbefugten Zugriff zu erkennen, damit Versorgungsunternehmen bösartige Aktivitäten früher erkennen und darauf reagieren können.

 

Wie oft werden die Standards aktualisiert?

Aufgrund technologischer Veränderungen, Trends und neu aufkommender Probleme und Cyberbedrohungen werden im Laufe der Zeit immer wieder Änderungen an den NERC-CIP-Standards vorgenommen. So wurde beispielsweise der Standard CIP-001, der sich auf die Berichterstattung über Sabotage konzentrierte, außer Kraft gesetzt. Erst im vergangenen Jahr wurden die Anforderungen aktualisiert, um auf die Änderungen innerhalb der Branche zu reagieren. Der bereits erwähnte Standard CIP-015 ist ein gutes Beispiel für diese Aktualisierungen.

 

Muss mein Unternehmen die NERC-CIP-Standards erfüllen?

Da es sich bei diesen Standards um gesetzliche Vorschriften handelt, müssen diese auch eingehalten werden. Stromversorgungsunternehmen sowie Stromübertragungs- und -verteilungsunternehmen müssen diese Anforderungen erfüllen.

 

Durch Off-Site- und On-Site-Audits und Stichproben verfolgt, bewertet, untersucht, bewertet und setzt die NERC die Einhaltung der Vorschriften durch ihr Compliance Monitoring and Enforcement Program durch.

 

Falls Ihr Unternehmen diese Vorschriften nicht einhält, kann dies Geldstrafen, Sanktionen und andere Maßnahmen zur Konsequenz haben.

 

Unterstützung beim Schutz Ihrer Energieinfrastruktur

Unsere Branchenexperten verfügen über eine jahrzehntelange Erfahrung in der Unterstützung von Versorgungsunternehmen bei der Vorbereitung auf die Zukunft und gleichzeitigen Optimierung des Betriebs und Maximierung des Werts von Altgeräten. Unsere Digital Automation Consultants, Solution Consultants und Solution Architects kennen die Eigenheiten der Versorgungsbranche und die sich Ihnen stellenden Herausforderungen aus eigener Erfahrung. Wenn Sie Fragen zur idealen Anwendung der NERC-CIP-Standards haben, sind wir gerne für Sie da.

 

Die Experten in unseren Customer Innovation Centers arbeiten eng mit Ihnen zusammen, um die Stärken, Mängel und Arbeitsabläufe Ihres Versorgungsunternehmens zu bewerten. Auf dieser Grundlage unterstützen wir Sie dabei, praktische Ziele für die Cybersicherheit zu definieren. Wir zeigen Ihnen, wie Sie den Wert steigern und betriebliche Leistungskennzahlen erreichen und ein Konzept erstellen können, das Ihnen als Leitfaden auf dem Weg dorthin dient.

 

Wir informieren Sie über die kontinuierlichen Änderungen, die an den NERC-CIP-Standards vorgenommen werden. Wir werden kontinuierlich weitere Bildungsinhalte zur Verfügung stellen, einschließlich weiterer Informationen über den Standard CIP-015.

 

Erfahren Sie mehr über die Energielösungen von Belden.

Verwandte Links

Vorheriger Beitrag Single Pair Ethernet: Interessenvertreter der industriellen Automatisierung äußern sich
Nächster Beitrag Ein Power-Paar: SPE und OPC UAFX optimieren die industrielle Automatisierung

Über den Autor

Zane Blomgren

Director, Industrial Cybersecurity bei Belden

Zane Blomgren ist Director Industrial Cybersecurity bei Belden. Mit über 20 Jahren Erfahrung im Bereich Cybersicherheit wurde Zane damit betraut, beim Aufbau grundlegender Sicherheitskontrollen zu helfen und nach dem Beginn von Cyberangriffen zu helfen. Zane verbindet seine Leidenschaft für Sicherheit und sein Interesse an der Zusammenarbeit mit einer Vielzahl von Kunden und dem Lernen von ihnen, um Best Practices selbst in den schwierigsten Situationen anzuwenden und so zuverlässigere und sicherere Systeme für Unternehmen in Sektoren wie Energie, Verkehrswesen, Fertigung und vielen anderen zu schaffen.

Über den Autor

Guilhermme Lisboa

Elektroingenieur

Guilhermme Lisboa ist Elektroingenieur und in Brasilien geboren und aufgewachsen. Er erwarb 2007 seinen Bachelor-Abschluss in Elektrotechnik an der UFPR und absolviert derzeit seinen Master-Abschluss an derselben Universität. Er arbeitet seit 15 Jahren als Systemintegrator mit Schutz- und Steuerungssystemen, vom Lösungsdesign bis zur Inbetriebnahme für Übertragungs- und Verteilungsunternehmen sowie andere große Industrien und U-Bahn-Systeme. Er kam 2021 als Digital Automation Consultant zu Belden und konzentriert sich auf den Energiesektor.