Innovation fürs Smart Metering
Von Jörg Weyermann
Mit dem Ausbau der Smart-Meter-Infrastruktur bis 2027 werden in der Schweiz rund 5,8 Mio. Smart Meter installiert. Die intelligenten Mess- und Regelsysteme gehören zur kritischen Infrastruktur und bedürfen eines umfassenden Schutzes sowohl gegen Cyber-Kriminalität als auch betrieblichen Störungen.
Esolva, eine führende Dienstleisterin für Energieversorgungsunternehmen (EVU) und Industriebetriebe in der Schweiz, setzt zur Überwachung der Smart-Meter-Infrastruktur auf das SIEM – ein Security Information and Event Management System. Es ermöglicht die effiziente Sammlung, Überwachung und Analyse von Log-Daten aus verschiedenen Komponenten eines Netzwerks. Dieses Konzept dient nicht nur der Aufdeckung von Unregelmässigkeiten, sondern auch der frühzeitigen Erkennung potenzieller Cyberangriffe. Esolva hat dieses bewährte Prinzip auf die spezielle Systemumgebung des Smart Metering angewendet und eine einsatzbereite Lösung entwickelt.
Produktreife erreicht
Seit 2020 arbeitet esolva an der Entwicklung des SIEM für Smart Metering. Nach ersten internen Experimenten und zwei Pilotprojekten konnte das Produkt zur vollen Produktreife gebracht werden. Die Erkenntnisse, die esolva aus diesen Pilotprojekten und den ersten Kundenprojekten gewonnen haben, ermöglichten die Entwicklung einer Vielzahl von Use-Cases – spezifisch angepasst auf die Bedürfnisse der EVUs. Diese Use-Cases gehen weit über die reine OT- und IT-Sicherheit hinaus und bieten betriebliche Vorteile. Der entscheidende Unterschied zwischen dem von der esolva entwickelten SIEM für Smart Metering und herkömmlichen SIEM-Lösungen liegt darin, dass hier diverse Detection-Rules und Use-Cases in enger Zusammenarbeit mit Fachexpertinnen und -experten für die jeweiligen Systeme und Hardware entwickelt wurden. Diese Herangehensweise berücksichtigt den Kontext, in dem die Meldungen generiert werden, und verleiht Warnungen und Alarmen eine höhere Relevanz. Es wird dadurch einfacher, inmitten der Informationsflut den Überblick zu behalten.
Neben Log-Files von den Zählern, Datenkonzentratoren und Smart Metering Systemen können auch Log-Files von vielen weiteren Quellen in das SIEM integriert werden. (Grafik: esolva)
Terminologie und Funktionsweise
Im Wesentlichen werden in SIEMs Log-Dateien verschiedener Systemkomponenten zusammengeführt. Im SIEM fürs Smart Metering geht es um die Log-Dateien physischer Zähler im Feld, von Datenkonzentratoren, Gateways, dem Head-End-Systems (HES) und von IT-Systemanmeldungen des Fachpersonals, das mit den Messdatensystemen arbeitet. Einzelne Meldungen, wie beispielsweise «Modem wurde abgeschaltet», werden als «Events» bezeichnet. Diese Events allein liefern jedoch oft nur begrenzte Informationen zur Relevanz oder zur Notwendigkeit von Massnahmen. Daher filtert das SIEM nach Event-Mustern. Erst wenn eine kritische Menge gleicher Events erreicht ist, sind Handlungen erforderlich. Diese Cluster von Events werden in sogenannten «Detection Rules» definiert. Diese können eine Vielzahl von Anomalien im Smart-Meter-System erkennen, z. B. eine ungewöhnliche User-Aktivität.
Wird eine Detection Rule ausgelöst, so erfolgt eine Reaktion. Die Art der Reaktion hängt von der Relevanz ab und kann in Form eines Alarms an eine bestimmte Person oder als Eintrag in einen regelmässigen Bericht erfolgen. Alarme können über verschiedene Kanäle verschickt werden, einschliesslich E-Mail, SMS oder Microsoft-Teams-Nachrichten. Die jeweiligen Empfänger der Alarme variieren je nach Detection Rule. IT-sicherheitsrelevante Detection Rules gehen beispielsweise an andere Personen als Detection Rules, die auf Probleme in der Netzqualität hinweisen. Unabhängig von der Zielrichtung der Alarme werden alle Auslöser in einem Management-Bericht erfasst, der regelmässig exportiert wird, um die Häufigkeit und Veränderungen der Detection Rule-Auslöser zeitlich zu analysieren.
Das esolva SIEM kann mittels maschinellen Lernens die Cluster-Bildung verfeinern. Ebenso lassen sich im Nachgang einer Meldung automatisierte Massnahmen auslösen. So kann beispielsweise die Detektion einer Kommunikationsstörung im Feld automatisiert das zuständige Monteurpersonal informieren.
Zusatznutzen durch Erweiterung der Datenbasis
Mit der Erweiterung der Datenbasis kann rasch ein Mehrwert zum SIEM dazugewonnen werden. So lassen sich beispielsweise Störungsmeldungen von Mobilfunk-Providern automatisiert einlesen. Das SIEM verknüpft dann die Störungsmeldung mit den Events aus dem Feld. Durch diese Verknüpfung können viele unnötige Service-Einsätze vermieden werden.
SIEM-Plattform
Cyber-Gefahren sind alle Unternehmen ausgesetzt, doch mithilfe der SIEM-Plattform lassen sich Manipulationen frühzeitig erkennen. Zudem verbindet sie die OT- und IT-Sicherheit mit einem wirtschaftlichen Nutzen.
- OT-Sicherheit: Jeder Datenkonzentrator und jeder Zähler im Feld kann potenziell manipuliert werden. Die Überwachung der Log-Dateien dieser Geräte schützt vor Manipulationen und Hack-Versuchen.
- IT-Sicherheit: Die Überwachung erfolgreicher oder fehlgeschlagener Anmeldungen in Accounts ermöglicht die Identifizierung kompromittierter Konten. Schadsoftware, die zunächst Systeme beobachtet und dann angreift, kann frühzeitig erkannt werden. Im Falle eines Sicherheitsvorfalls liefern die Log-Dateien eine genaue Aufzeichnung des Vorfallverlaufs. Die Zusammenführung von IT- und OT-Log-Dateien ermöglicht eine präzise Nachverfolgung eines Angriffspfads.
- Wirtschaftlicher Nutzen: Ohne SIEM werden Log-Dateien oft als ungenutzte Datenmengen betrachtet, die lediglich Speicherplatz beanspruchen. Ihre Integration in ein SIEM ermöglicht die Nutzung dieser ohnehin vorhandenen Daten. Log-Dateien können Einblicke in die Netzqualität und den Betrieb liefern, ohne dass zusätzliche Hardware erforderlich ist.