Operational Technology

Der Begriff Operational Technology, OT, war bisher im breiten Sprachgebrauch kaum bekannt, obwohl OT-Technologien schon lange eingesetzt werden. Seit etwa 1960 werden Umspann- und Kraftwerke automatisiert und mit Leitstellensystemen (Scada) betrieben. Für die Fernsteuerung und Überwachung eines Umspannwerkes genügte damals ein Datendurchsatz von 50  bit/s. Was heute als OT bezeichnet wird, war unter dem Begriff Fernwirk- oder Leittechnik bekannt. Durch die stetig steigende Leistung der Systeme und die Weiterentwicklung können komplexere, schnellere und intelligentere Anwendungen umgesetzt werden. Wichtig ist bei heutigen OT-Systemen auch eine erhöhte Verfügbarkeit und eine lange Lebensdauer der Geräte.

Bei den Centralschweizerischen Kraftwerken AG, CKW, wurden die ersten Computersysteme in der OT eingesetzt, um Unterstationen fernzusteuern. Erst nach und nach wurden Rechenschieber und Schreibmaschinen durch IT-Systeme abgelöst.

Revolution der IT im Vergleich zur OT

In der IT wurden die Systeme rasch weiterentwickelt und immer breiter eingesetzt. Inzwischen werden IT-Systeme in nahezu allen Lebensbereichen eingesetzt und umfangreich genutzt. Ein Computer deckt heute eine Vielzahl von Funktionen und Anwendungen ab. Es können Dokumente bearbeitet, Videos geschaut oder E-Mails versendet werden. In der OT hingegen wurden Systeme für einen spezifischen Zweck entwickelt. Dies führte zu robusten Systemen mit langen Lebenszyklen. Bei Weiterentwicklungen wurde auf Rückwärtskompatibilität geachtet, um bereits bestehende Anlagen mit neuen Funktionen auszustatten und gleichzeitig bestehende Anlagenteile zu nutzen. Hersteller- oder anwendungsspezifische Protokolle und Architekturen sind weit verbreitet.

Verschmelzung von IT und OT

Auch die OT entdeckte die Vorteile der IT. Es wurde vermehrt versucht, proprietäre Systemumgebungen in standardisierte IT-Umgebungen zu überführen. Da in IT-Umgebungen die Grundsätze der OT wie hohe Stabilität, höchste Verfügbarkeit und lange Lebensdauer nicht zentral sind, entstanden neue Herausforderungen für die OT. Beispielsweise können bestimmte Patches in Betriebssystemen dazu führen, dass einzelne Funktionen verschwinden und auf diese Weise eine Leitsystemapplikation beeinträchtigen. Es kann auch vorkommen, dass ganze Systeme auf eine neue Systemversion migriert werden müssen, da eine bestehende Version nicht mehr unterstützt wird.

Technologien der IT und OT verschmelzen weiter, jedoch nicht in allen Bereichen. Grosse Synergien sind zwar vorhanden, aber die beiden Anwendungsbereiche unterscheiden sich vor allem in den Punkten Datenmenge, Langlebigkeit und Updatezyklen. Updates werden bei OT-Systemen oft auf das Nötigste beschränkt, um eine möglichst hohe Verfügbarkeit der Systeme zu gewährleisten. Durch die Verschmelzung und engere Vernetzung werden OT-Umgebungen näher an das Internet gebracht. Dies kann Systemschwachstellen wie unbefugte Zugriffe oder gar Manipulationen der OT-Systeme schaffen. Durch die langen Updatezyklen und die Nähe zum Internet können Schwachstellen leichter für Cyberangriffe genutzt werden. OT-Systeme, die bisher abgeschottet von der IT betrieben wurden, sind nun mit der IT vernetzt, um Daten aus dem Netzbetrieb direkt in den Business-Prozess weiterzureichen. In der OT besteht daher ein besonderer Bedarf an Sicherheitsvorkehrungen zur Cyber-Abwehr. Netzwerke in der OT werden aufgrund ihrer langen Lebenszyklen meist statisch aufgebaut. Protokolle, Ports und IP-Adressen für die Kommunikation unter den Systemen sind bekannt. Dies ermöglicht eine Kontrolle des Datenverkehrs zum Beispiel durch eine Deep Packet Inspection Firewall.

In einer OT-Umgebung im EVU-Umfeld stehen viele IT-fremde Anforderungen und Funktionen im Vordergrund. Die Anwendung von spezifischen Protokollen, wie z.  B. nach den IEC 61850- oder IEC 60870-Standards sind in der OT üblich. Ihre Prüfung und Überwachung ist elementar. Zudem sind die Anforderungen an die Datenübertragung oft völlig unterschiedlich. IT-Umgebungen fordern hohe Bandbreiten für Big-Data-Anwendungen, OT-Umgebungen hingegen sind oft mit kleinen Bandbreiten zufrieden, brauchen dafür aber stabile, kurze Laufzeiten. Als Beispiel kann die Übertragung von Schutzsignalen verwendet werden: Hier müssen die Daten über weite Distanzen in wenigen Millisekunden gesichert und redundant übertragen werden. Gängige IT-Übertragungssysteme genügen diesen Anforderungen nicht.

Wo wir heute stehen

Aus heutiger Sicht ist es sinnvoll, IT- und OT-Systeme getrennt zu betreiben. Systeme für das Business und Systeme mit einem direkten Einfluss auf die Versorgungssicherheit sollten physisch und organisatorisch voneinander getrennt werden. Synergien können genutzt werden, wenn dies sinnvoll ist. Auch bieten heute einige grosse IT-Firmen Elemente wie Windows LTSC an, die besser für die OT geeignet sind. Eine OT-Umgebung muss heute nach einem Zonenmodell aufgesetzt sein (siehe Grundschutz «Operational Technology» in der Stromversorgung, VSE). Durch klar definierte Zonenübergänge wird ein kontrollierbarer Datenfluss sichergestellt und direkte Zugriffe aus dem Internet oder der Business-Umgebung auf die Kernsysteme verhindert. Zonenübergänge vom Business werden, wenn notwendig, zugelassen und mit den nötigen Sicherheitsmassnahmen umgesetzt.

Bei CKW wird das Zonenkonzept schon viele Jahre angewendet. Gleichzeitig wird auf eine starke Segmentierung der Netzwerke und die Schaffung von kontrollierbaren Übergängen gesetzt. Durch die Segmentierung wird eine konsequente Überwachung und Kontrolle des Datenverkehrs durch Firewalls ermöglicht. Die Kommunikation in der OT findet grundsätzlich nach dem Whitelisting-Ansatz statt. Vor der Inbetriebnahme von neuen Systemen wird mit einer Portmatrix festgelegt, wie die einzelnen Systemkomponenten untereinander kommunizieren und wer die Verbindung aufbaut. Nur in der Portmatrix definierte Verbindungen (Ports und Protokolle) werden auf der Firewall freigeschaltet. Mit der neusten Generation von Umspannwerken wird dieses Konzept bis auf die Feldebene angewendet. Daten werden ausserhalb der Rechenzentren oder Anlagen grundsätzlich nur verschlüsselt übertragen. Um dem breiten Spektrum an Kommunikationsanforderungen gerecht zu werden, wurde das Datenübertragungssystem auf den neusten Stand der Technik gebracht.

Im Konzept von CKW sind in Umspannwerken stehende Ethernet-Verbindungen nicht erlaubt. Wenn Verbindungen benötigt werden, müssen sie zugeschaltet werden. Bereits 2019 wurde eine IT-unabhängige OT-Client-Umgebung geschaffen, um den sicheren Fernzugriff auf die OT-Systeme zu gewährleisten. Mit der OT-Client-Umgebung werden Service-Notebooks von Lieferanten längerfristig überflüssig. Die permanente Netzwerküberwachung wird durch den Einsatz von Intrusion Detection Systemen (IDS) sichergestellt. Die IDS zeichnen Datenpakete im Netzwerk von der Zentrale bis zur Feldebene auf und senden sie an eine zentrale Stelle (Security Information and Event Management, SIEM). Die OT-Umgebung als Ganzes ist an einen Security Operations Center (SOC) Provider angeschlossen, um allfällige Cyberattacken frühzeitig zu erkennen.

Aber man setzt nicht nur auf technische Massnahmen, um eine sichere und stabile OT-Umgebung zu erreichen, sondern auch auf Massnahmen im Bereich der Mitarbeiterschulung, um das Sicherheitsbewusstsein zu schärfen. Die OT-Umgebung wird bei CKW kontinuierlich nach einem risikobasierten Ansatz analysiert und auf Schwachstellen überprüft. Nötige Verbesserungen werden priorisiert, geplant, umgesetzt und anschliessend geprüft.

Synergien werden genutzt, wo sie sinnvoll sind. Virtuelle Umgebungen ermöglichen hardwareunabhängige Systeme und nutzen Hardware optimal aus. IT-übliche Backupsoftware wird für die Langzeitsicherung der Daten genutzt. Ebenfalls unterstützen Systeme aus der IT bereits heute OT-Systeme bei der Userauthentisierung oder stellen Betriebssystemupdates für den OT-Bereich zur Verfügung. Durch die Kaskadierung von IT und OT nach Zonenkonzept ist eine enge Zusammenarbeit zwischen OT und IT unabdingbar.

Neue Herausforderungen

Durch die Digitalisierung werden immer wieder neue Anforderungen an die OT-Systeme gestellt. So müssen beispielsweise Fernzugriffe auf Systeme, Anbindungen an einen SMS-Versanddienst oder direkter Datenaustausch mit Businessanwendungen realisiert, oder ein einfacher Datenaustausch über Filetransfers durch dynamische Datenbankabfragen oder Webschnittstellen ersetzt werden. Innerhalb der OT ist ein breites Spektrum an unterschiedlichen Geräten von diversen Lieferanten vorhanden. Feldgeräte wie Schutz- und Steuergeräte kommunizieren mit lokalen Leitstellensystemen in den Umspannwerken. Diese wiederum sind mit den zentralen Systemen zur Netzsteuerung und Überwachung verbunden. Systeme zur Datenübertragung und Datennetzüberwachung verbinden alles miteinander. All diese Einrichtungen verlangen nach eigenen Parametrierumgebungen und Updatesystemen, und stellen unterschiedliche Anforderungen an die Datenübertragung. So werden innerhalb der Umspannwerke Protokolle wie IEC 61850 eingesetzt, um einen schnellen Austausch von Verriegelungssignalen sicherzustellen, oder Daten werden in der Leitstelle aus dem Langzeitspeicher mit Hilfe einer Rest (https)-Schnittstelle direkt von der Business-IT abgerufen.

Wo die Reise noch hingehen wird

Die Verschmelzung von IT und OT wird auch in Zukunft weitergehen. In den einzelnen Bereichen wird es aber stets Spezialdisziplinen geben, die nicht mit einem Standardprodukt abgedeckt werden können. Die Datenbeschaffung über Internet-of-Things-Sensoren wird auch in der OT Einzug halten. Voraussetzung für die Nutzung solcher Sensoren ist ein bewusster Umgang mit der Datenqualität und der Sicherheit solcher Daten in der OT. Für zukünftige OT-Systeme werden auch Teilanwendungen in der Cloud ein Thema werden. So könnten Applikationen ohne direkten Einfluss auf die Versorgungssicherheit in der Cloud gehostet werden, sofern dies sinnvoll ist und im Zonenkonzept abgebildet werden kann. Ähnliche Anforderungen stellt der Einsatz von mobilen Geräten wie Handy oder Tablet. Für künftige Systeme können Applikationen auf solchen Geräten eine wichtige Rolle spielen, um beispielsweise Schaltprogramme oder Anweisungen zu übertragen. Hier müssen allerdings erst die Grundlagen geschaffen werden. Die Systemsicherheit in der OT hängt auch von einem aktuellen Patchlevel ab. Mit umfassenden Testsystemen können Patches oder Softwareanpassungen getestet und anschliessend auf das Livesystem übertragen werden. Dies ermöglicht einen stabilen Betrieb der OT-Umgebung. Im Bereich der Security könnten Systeme zur automatischen Isolierung von potenziell gefährlichen Netzwerkteilnehmern eingesetzt werden. Natürlich stets mit Priorität auf dem Weiterbetrieb der kritischen Infrastruktur.

Kooperation und Kompetenz

Um den heutigen und den künftigen Anforderungen in der OT gerecht zu werden, wird eine enge Zusammenarbeit der einzelnen Teilbereiche innerhalb der OT wie auch der IT vorausgesetzt. Der Einbezug von Lieferanten und die gemeinsame Lösungserarbeitung werden noch weiter an Bedeutung gewinnen. Je früher alle Disziplinen innerhalb der OT integriert werden, desto eher lässt sich eine gute Lösung für die Umsetzung von modernen Systemen finden. Um die Anforderungen der OT umsetzen zu können, sind gut ausgebildete Fach- und Führungskräfte mit einem breiten Wissen über den gesamten OT- und IT-Bereich notwendig.