Cyber-Sicherheit für kritische Energieinfrastrukturen – Handlungsempfehlungen zur Umsetzung einer Zero-Trust-Architektur

Kritische Infrastrukturen bilden die Grundlage einer funktionierenden, modernen Gesellschaft. Typische Beispiele für kritische Infrastrukturen sind etwa Wasser, Energie und Ernährung (Blokus-Roszkowska und Dziula 2016). Eine Kompromittierung dieser Infrastrukturen kann zu verheerenden Auswirkungen wie weitreichenden Störungen und Gefahren für Leib und Leben führen (Aradau 2010). Der Schutz sowie die Sicherstellung des Betriebs kritischer Infrastrukturen ist deshalb von besonders hoher Relevanz. Zu den wichtigsten Schutzzielen im Kontext kritischer Infrastrukturen neben den klassischen Sicherheitszielen (Verfügbarkeit, Integrität und Vertraulichkeit) gehören Kontinuität und Resilienz, wodurch sowohl die Minimierung von Einschränkungen als auch eine schnellstmögliche Wiederherstellung der Funktionalität im Falle eines Ausfalls umgesetzt sein sollen (Blokus-Roszkowska und Dziula 2016). Während in der Vergangenheit hauptsächlich der physische Schutz vor Angriffen im Mittelpunkt stand, entstehen durch die zunehmende Digitalisierung kritischer Infrastrukturen neue Risiken und Angriffsszenarien (McCreight 2022; Yusta et al. 2011). U. a. durch die zunehmende Dezentralisierung von Infrastrukturen – besonders im Energiesektor-, sind digitale Technologien zu zentralen Bausteinen des kritischen Infrastrukturbetriebs geworden. So hat im Zuge der räumlichen Dezentralisierung die Bedeutung von Fernzugriffen im Kontext mobilen Arbeitens oder die Vielzahl zu integrierender, vernetzter Geräte unterschiedlicher Organisationszugehörigkeiten stark zugenommen (Ackerman 2017; Gheorghe und Schlapfer 2006). Ein Resultat dieser Entwicklungen sind komplexere Netzwerkarchitekturen, in der signifikant mehr Systeme und Akteure miteinander interagieren und infolgedessen mehr Angriffspunkte entstehen (Moubayed et al. 2019; Chen et al. 2019). Typische Angriffsszenarien auf kritische Energieinfrastrukturen sind hierbei u. a. Angriffe auf Software-Lieferketten sowie die Verbreitung von Schadcode über reguläre Update-Mechanismen (Bundesamt für Sicherheit in der Informationstechnik 2022).

Herkömmliche (Netzwerk‑) Sicherheitsarchitekturen zum Schutz kritischer Infrastrukturen sind diesen Gegebenheiten nicht ausreichend gewachsen (Compastié et al. 2016). Die meisten der entsprechend zugrunde liegenden Konzepte beruhen noch auf einer Trennung zwischen internen und externen Netzwerken, wie Buck et al. (2021) erläutern. Alle Benutzer:innen, Geräte und Dienste innerhalb dieser geschützten Netzwerke werden ohne weitere Prüfung als vertrauenswürdig eingestuft, während externe Benutzer:innen, Geräte und Dienste als nicht vertrauenswürdig gelten (Chen et al. 2019). Problematisch ist allerdings, dass heutige Netzwerkarchitekturen keine homogenen Systeme mehr sind, bei denen alle Applikationen im eigenen Rechenzentrum gehostet werden und Zugriffe primär von intern erfolgen. Vielmehr haben sich komplexe Strukturen entwickelt, welche sich u. a. aus On-Premises-Lösungen, externen Cloud-Services und IoT-Geräten zusammensetzen (Moubayed et al. 2019). Daher befinden sich viele Applikationen und Geräte heute nicht mehr ausschließlich in geschlossenen Netzwerken und Zugriffe erfolgen von überall. Infolgedessen können Angreifer Sicherheitsschwachstellen oder ungesicherte Geräte ausnutzen, um sich Zugang zu einem internen Netzwerk zu verschaffen und ungehindert im „sicheren“ Netzwerk zu operieren (Mcginthy und Michaels 2019; Moubayed et al. 2019). Zudem können auch böswillige „Insider:innen“ eine Bedrohung darstellen (Mehraj und Banday 2020; Pan und Yang 2018). Sowohl in der Wissenschaft als auch in der Praxis hat sich daher ein Konsens herausgebildet, wonach kein Netzwerk – ob intern oder extern – als generell vertrauenswürdig eingestuft werden sollte (Mehraj und Banday 2020; Zaheer et al. 2019).

Das Zero-Trust-Paradigma ist durch die Problematik des generell vorausgesetzten Vertrauens menschlicher oder maschineller Entitäten motiviert. Anstatt jegliche Art von als intern klassifizierten Zugriffen ohne weitere Prüfung zu erlauben, erfordert eine Zero-Trust-Architektur (ZTA) stets eine passende Autorisierung sowie Authentifizierung vor der Freigabe (D’Silva und Ambawade 2021). Selbst „interne“ Entitäten müssen ihre Vertrauenswürdigkeit demnach zunächst beweisen, anstatt dass diese – wie in traditionellen Architekturen – vorausgesetzt wird (Buck et al. 2021; Chen et al. 2019). Trotz erkennbarer Vorteile ist es ZTAs allerdings noch nicht gelungen, die bestehenden Lösungen flächendeckend zu ersetzen, weshalb bisher wenig praktische Erfahrung mit dem neuen Paradigma gesammelt werden konnte (He et al. 2022). Auch eine strukturierte Literaturrecherche von Buck et al. (2021) hat gezeigt, dass die bisherige Forschung insbesondere die Domäne der kritischen Infrastruktur nur unzureichend adressiert und entsprechende Einblicke in die Einführung von ZTAs erfordert.

Zur Anreicherung der bestehenden ersten Erfahrungen zu ZTAs im Bereich kritischer Infrastrukturen berichtet diese Arbeit aus einem Projekt über die prototypischen Entwicklungen sowie Implementierungen von ZTAs in drei Anwendungsfällen, welche nach dem Action Design Research (ADR) Prinzip nach Sein et al. (2011) durchführt wurden. Basierend auf den Erkenntnissen des laufenden Projekts wurden Handlungsempfehlungen abgeleitet, welche insbesondere die technischen und organisationalen Aufgabenbereiche der Einführung entsprechender Systeme adressieren. Neben der Erweiterung der Wissensbasis innerhalb der Wirtschaftsinformatik, hat diese Arbeit zum Ziel interessierten Praktiker:innen fundierte Erkenntnisse bereitzustellen, um bestehende Unsicherheiten durch einen Mangel an praktischen Erfahrungsberichten zu senken.

In den nächsten Abschnitten folgen neben einer Einführung in ZTAs, eine Vorstellung der betrachteten Anwendungsfälle sowie die Präsentation gewonnener Erkenntnisse, ehe im Anschluss die abgeleiteten Handlungsempfehlungen erläutert werden und eine Zusammenfassung sowie ein Ausblick diese Arbeit schließen.

Eine zukunftsträchtige Absicherung kritischer Infrastrukturen bedarf eines ganzheitlichen und integrierten Ansatzes zum Schutz von Industrieanlagen (Isom 2019). Umzusetzen sind hierbei u. a. eine individuelle und feingranulare Absicherung von Applikationen und Geräten, die Analyse von Nutzerverhalten inkl. Kontextfaktoren (z. B. Ort und Zeitpunkt von Zugriffen) sowie eine Echtzeitüberprüfung des Datentransfers (Alcaraz und Zeadally 2015; Gadze et al. 2007). ZTAs werden in diesem Zusammenhang als passende Lösungen diskutiert (Ahmed et al. 2020). Gemäß des Zero-Trust-Ansatzes kann Nutzenden der Zugang zu einem Dienst in vollem Umfang oder zu bestimmten Funktionen bzw. Daten nur nach einer erfolgreichen Authentifizierung sowie im Falle von passenden Berechtigungen gewährt werden (Rose et al. 2020). Nutzende können in diesem Fall sowohl menschliche als auch maschinelle Entitäten umfassen (Rose et al. 2020). Die Überprüfung von Berechtigungen können hierbei neben den jeweiligen Zugriffsrechten weitere Faktoren und Informationsquellen wie die verwendeten Geräte oder Standortzeiten berücksichtigen (Omar und Abdelaziz 2020).

In Anwendungsfällen, die eine Echtzeitkommunikation erfordern, wie u. a. im kritischen Energieinfrastruktursektor häufig gegeben, kann eine Vielzahl an Authentifizierungen und Autorisierungsprüfungen jedoch zu höheren Zugriffszeiten führen, die eine Echtzeitkommunikation verhindern (Richardson und Goel 2022). Um eine effiziente Kommunikation in Echtzeit dennoch gewährleisten zu können, kann die zeitaufwendigere Authentifizierung – bspw. mittels Multifaktorauthentifizierung (MFA) – für einzelne Sitzungen einmalig durchgeführt und im Anschluss nur noch die Autorisierungen für Zugriffe geprüft werden. Ein vergleichbares Vorgehen ist etwa bei etablierten Standards wie TLS analog umgesetzt (Bhargavan et al. 2014; Eckert 2018).

Insgesamt handelt es sich bei ZTA nicht um eine fest definierte, technische Lösung, sondern um ein Lösungsparadigma, welches spezielle Prinzipien und Komponenten beinhaltet, die im Folgenden genauer vorgestellt werden (Rose et al. 2020). Zudem grenzt sich ZTA von bestehenden Instrumenten zur Sicherstellung von Netzwerksicherheit wie Firewalls, Virtual Private Networks (VPN) oder Identity und Access Management (IAM) insofern ab, als dass es sich bei Letzteren um Technologien und Ansätze handelt, die Teil von Netzwerkarchitekturen wie ZTAs sein können. Eine ZTA stellt also ein umfangreiches Sicherheitskonzept dar, das neben Cyber-Sicherheitstechnologien zusätzliche Aspekte wie u. a. die Systemumgebung, die Infrastruktur, Asset Management, oder Monitoring berücksichtigt (Mehraj und Banday 2020; Rose et al. 2020).

Obwohl sich bis heute eher generische ZTA-Standards herausgebildet haben, beinhalten alle hieraus entwickelten Lösungen mindestens folgende Komponenten: Policy Engine (PE), Policy Administrator (PA) und Policy Enforcement Points (PEPs). Während die PE über Zugriffserlaubnisse oder -verweigerungen anhand von konfigurierten Regeln entscheidet, nehmen PAs eingehende Zugriffsanfragen an und leiten diese an die PE weiter. Sofern der Zugriff genehmigt wurde, stellt der PA eine Verbindung zwischen der anfragenden Entität und der Ressource über PEPs her. PEPs setzen die Anweisungen der PE um und lassen nur von der PE genehmigte Zugriffe zu. Ein hiermit verbundenes wichtiges Prinzip von ZTAs lautet „vertraue niemals, kontrolliere immer“ und wird dadurch umgesetzt, dass es in ZTAs für Zugriffe auf Ressourcen keinen anderen Weg als über eine Anfrage über PAs gibt (Rose et al. 2020).

Die Entscheidungsgrundlage der PE stellen hierbei bspw. anwendungs- sowie domänenspezifische Regeln dar, die auf Nutzer:innen(-gruppen) mit entsprechenden Eigenschaften angewendet werden. Zudem können diese Regeln statisch (z. B. org. Zugehörigkeit eines Akteurs) oder dynamisch (z. B. Verhalten eines Akteurs) definiert sein (Pan und Yang 2018). Häufig verwendete Kriterien sind hierbei Informationen wie bspw. organisationsinterne Rolle, Standort, Zeitpunkt des Zugriffs, usw. (Rose et al. 2020). Bspw. könnten Funktionen wie die Notfalldeaktivierung von wichtigen Systemen auf eine bestimmte Gruppe und nur auf Arbeitszeiten eingegrenzt werden oder einige Wartungsfunktionen nur abrufbar sein, wenn sich Nutzende im unmittelbaren Umfeld der jeweiligen Maschine befinden. Bei der Definition dieser Regeln ist in ZTA zudem das Least Privilege-Prinzip zu berücksichtigen, nach dem Berechtigungen nur für individuell erforderliche Ressourcen erteilt werden dürfen (Eidle et al. 2017). Es ist daher essenziell, Zugriffsrichtlinien für alle Akteure passend zu definieren und deren Aktualität fortlaufend sicherzustellen (Rose et al. 2020). PAs sind in ZTAs für das Herstellen sowie für die Verwaltung von sicheren Verbindungen zwischen PE und PEPs verantwortlich (Rose et al. 2020). Der Schutz der PE als zentralen Ausfallpunkt ist also dadurch sichergestellt, dass Zugriffe niemals direkt, sondern jegliche Art von Kommunikation über den PA läuft (Rose et al. 2020).

Die Entwicklung einer ZTA für kritische Energieinfrastrukturen erfolgt in dieser Arbeit im Rahmen eines interdisziplinären Forschungsprojekts. Konkret wird an der Erforschung, Entwicklung, Prototypisierung und Evaluierung einer solchen Architektur für drei verschiedene Anwendungsfälle, die sich hinsichtlich der jeweiligen technischen Systeme, Akteurskonstellationen und der betrachteten Marktsegmente unterscheiden, gearbeitet. Näher zeichnen sich die betrachteten Systeme der Anwendungsfälle durch variierende Größen (u. a. Anzahl der Maschinen und Leistung) sowie verschiedene Grade von Dezentralität und Mobilität aus. Durch die unterhalb beschriebene Diversität der gewählten Anwendungsfälle kann eine Vielzahl an potenziellen Anforderungen und Herausforderungen berücksichtigt werden.

Der erste Anwendungsfall charakterisiert sich durch den Einsatz eines Steuerungs- und Monitoring-Gerätes in einem räumlich entfernten Kraftwerk sowie durch die Überführung der gesamten Einheit in eine ZTA. Ermöglicht werden soll die Weiterleitung von Steuerungsbefehlen an die Kraftwerksanlage sowie der Empfang aktueller Betriebsdaten aus dem laufenden Prozess zur Auswertung.

Im zweiten Anwendungsfall wird auf Basis einer ZTA die Anbindung eines Kraftwerks mit Kraft-Wärme-Kopplung (KWK) an einen Cloud-Service und die dortige Integration von Echtzeitdaten wie Strommarktpreisen und Wetterinformationen zur Optimierung des Anlagenfahrplans untersucht. Die Besonderheit dieses Anwendungsfalls ist neben der Vielzahl an potenziell zusätzlich zu steuernden Anlagen die Kombination mehrerer innovativer Technologien und Ansätze.

Im Rahmen des dritten Anwendungsfalls wird ein grundlegendes Problem mobiler Heizkraftwerke gelöst. Typische Einsatzzwecke dieser Systeme sind bspw. der Ersatz von ausgefallenen Wohnbeheizungen oder die Notversorgung von Krankenhäusern. Durch die Integration einer Fernsteuerungseinheit mithilfe einer ZTA wird eine dynamische Regelung des Betriebs ermöglicht und somit signifikante Effizienzsteigerungen realisiert, ohne zugleich den Bedarf an Personalaufwand zu erhöhen.

Trotz der Diversität und Unterschiede der Anwendungsfälle, sind die zentralen Ziele identisch: eine generelle Verbesserung der Cyber-Sicherheit sowie Effizienzsteigerungen des Infrastrukturbetriebs durch die sichere Nutzung digitaler Technologien – insbesondere in Bezug auf die Steuerung von Anlagen sowie die Verwaltung und Nutzbarkeit von gesammelten Daten.

Das Projekt wurde nach dem Vorbild des ADR nach Sein et al. (2011) konzipiert. Diese Methodik eignet sich besonders aufgrund der integrierten Betrachtungsweise des Entwicklungs- und Bewertungsprozesses für interdisziplinäre Projekte, in denen Akteure aus der Wissenschaft und Praxis zusammenarbeiten (Redlich et al. 2020). Konkret beinhaltet ADR vier Phasen:

Da sich das Projekt zum Zeitpunkt der Erstellung des Artikels in Phase 3 des ADR nach Sein et al. (2011) befindet, wird nachfolgend der Prozess sowie die vorläufigen Ergebnisse entlang der ersten drei Phasen vorgestellt.

Als Ergebnis der dritten Phase des ADR-basierten Entwicklungsprozesses, wurden vier besonders wirkungsvolle Handlungsempfehlungen für eine kosteneffiziente Einführung einer ZTA im kritischen Energieinfrastruktursektor erarbeitet. Während einige technische Voraussetzungen erfüllt sein sollten, können auch mehrere organisationale Faktoren begünstigend für die Einführung einer ZTA sein. Tab. 1 fasst die einhergehenden Handlungsempfehlungen des Projektteams zusammen, bevor diese nachfolgend detaillierter erläutert werden.

Der vorliegende Forschungsbeitrag bietet Einblicke in die Einführung einer ZTA im Umfeld kritischer Energieinfrastrukturen. In diesem Kontext wurde eine grundlegende Architektur entwickelt und in drei verschiedenen Anwendungsfällen umgesetzt. Basierend auf einem technischen Artefakt als Ergebnis eines ADR-Entwicklungsprozesses wurden Handlungsempfehlungen für vergleichbare Vorhaben abgeleitet, die interessierten Praktiker:innen bei der kosteneffizienten Einführung von ZTAs unterstützen sollen. Diese umfassen die Prüfung der Eignung bestehender Systeme, die Kontrolle aktueller Sicherheitselemente auf Wiederverwendbarkeit, die Evaluation der Anforderungen der Geschäftsprozesse sowie die Entwicklung eines holistischen Realisierungskonzepts.

Die vorgestellte Forschung unterliegt Grenzen. Sie basiert u. a. auf einer ersten Version eines ADR-orientierten Vorgehens. Evaluation und Untersuchungen in der Praxis sind insbesondere über einen längeren Zeitraum hinweg durchzuführen, um ein nachhaltiges Verständnis über die Cyber-Sicherheit und verwandte Prozesse zu erlangen. Zum anderen wurden die Perspektiven aller Endnutzer:innen bisher nicht vollständig evaluiert, welche jedoch einen maßgeblichen Effekt auf den Erfolg und die Umsetzung von Cyber-Sicherheitsmaßnamen haben könnten.

Aufgrund dieser Einschränkungen lassen sich weitere Forschungsvorhaben für die Zukunft ableiten. Insbesondere mangelt es aufgrund des jungen Forschungsfelds an längerfristigen Studien. Außerdem wird eine stärkere Einbindung von Endnutzer:innen in die Forschung rund um ZTAs empfohlen und bereits in einschlägiger Literatur als essentieller Bereich deklariert (Kerman et al. 2020). Vor dem Hintergrund steigender Cyber-Sicherheitsrisiken in kritischen Infrastrukturen sind ZTAs vielversprechende Konzepte, deren Entwicklungen es in Zukunft aufmerksam zu beobachten gilt.