01.10.2019

Cyber Security von ETOS® bestätigt

Technische Sicherheitsprüfung belegt, dass das weltweit erste offene Betriebssystem für intelligente Transformatoren von MR die technischen BDEW Whitepaper-Anforderungen vollumfänglich erfüllt.


In der Energieversorgung genießt Sicherheit oberste Priorität. Das gilt umso mehr für den Bereich der Cyber Security. Deshalb war eine der wichtigsten Prämissen bei der Entwicklung von ETOS®, dass wir unseren Kunden eine State of the Art-Lösung bieten – von der Produktarchitektur bis zum Support. Dass uns dies gelungen ist, bestätigte nun ein unabhängiges Informationssicherheits-Beratungsunternehmen in einer technischen Sicherheitsprüfung.

Das Ergebnis: Die technische Umsetzung des geprüften ETOS-Systems¹ entspricht vollständig den Anforderungen des BDEW/OE Whitepapers 2.0.

Ein Hacker-Angriff auf das Stromnetz – ein absolutes Horror-Szenario, nicht nur für die Stromversorger: Angreifer die konkret versuchen, steuernd in die Versorgung einzugreifen, indem sie zum Beispiel unautorisierte Schalthandlungen auslösen. Sollte ein solcher Angriff auf die Netzinfrastruktur erfolgreich sein, würde es im schlimmsten Fall zu einem Versorgungsausfall kommen.

Um ETOS®, unser offenes Betriebssystem für intelligente Transformatoren, von Anfang an gegen Hacker-Angriffe zu schützen, haben wir das Thema IT-Security bereits in der Designphase berücksichtigt. Der sichere Entwicklungsprozess, die sichere Produktarchitektur, der Support sowie die Mitwirkung in Normen- und Gremienarbeit und abschließende Audits gewährleisten unseren Kunden (Betreibern und Herstellern) größtmögliche Sicherheit.

Mit ETOS haben wir eine 100%-Abdeckung zur geltenden Vorschrift BDEW Whitepaper 2.0 erhalten. Dies wurde durch folgende Merkmale erreicht:

PRODUKTARCHITEKTUR

  • Vorkonfigurierte, integrierte Firewall
    Verfügbarkeit durch Netzwerksegmentierung und Reduktion der Angriffsfläche
  • TLS 1.2-Verschlüsselung
    Validierung der Authentizität, Integrität und Vertraulichkeit der Kommunikation (RSA und ECC)
  • Security Log zum Speichern von sicherheitsrelevanten Änderungen
    Login, Logout, Ändern von Werten und Einstellungen, Import, Export, Konfigurationsänderungen, Eventquittierung, …
  • Rollenbasierte Benutzerverwaltung „Role-Based Access Control (RBAC)“
    Integrität und Vertraulichkeit der Daten auf dem Gerät
    Need-to-know-Prinzip und separation of duties
  • Passwortmanagement
    Passwortkomplexität und sichere Passwortspeicherung
  • Defense in depth
    Gehärtetes und robustes Betriebssystem (VxWorks 5)
    Schnittstellenkontrolle (Deaktivierbarkeit nicht benötigter Hardwareschnittstellen)
  • Integrität von Firmware, Software und Daten
    Jeder Stand der ISM®-Firmware wird mittels kryptographischer Methoden signiert und beim Aufspielen hinsichtlich Integrität überprüft. So wird sichergestellt, dass nur freigegebene Softwareversionen als Schutz gegen Manipulation eingesetzt werden können.
  • Normenkompatibilität
    Bei der Entwicklung von Sicherheitsfunktionen und Hinsichtlich der Absicherung der Geräte werden diverse (inter)nationale Normen und Standards zu Rate gezogen: IEC62443, IEC 62351, BDEW Whitepaper, IEEE 1686, OWASP, BSI TR 02102, FIPS-PUB 180-4, ...

SUPPORT

  • Explizite Kundenschnittstelle zur IT-Security
    Produktsicherheitsmanagement durch CERT-Team
    Proaktives Schwachstellenmanagement
    Empfehlungen und Unterstützung bei IT-Security-Fragen
 

¹ Geprüft wurde ETOS® ISM, die Kernkomponente jedes ETOS®-Systems. Da diese sicher ist, ist das gesamte ETOS-System sicher.


 

Cybersecurity @ MR

Bei MR wird das Thema Cybersicherheit bei allen Komponenten von Anfang an mitgedacht und umgesetzt. Dafür arbeitet MR kontinuierlich an einer hohen Produktsicherheit, optimiert stetig seine Prozesse in Hinsicht auf die Sicherheit und pflegt ein umfangreiches Risikomanagement. Ein bei MR eigens gegründetes Cybersecurity-Emergency-Response-Team (CERT) ist zentraler Ansprechpartner für alle Fragen rund um das Thema IT-Security. Die MR-Spezialisten beraten die Kunden und sind von Anfang an in die Entwicklung eines Produkts eingebunden. Dabei legen sie unter anderem fest, welche Normen und Richtlinien für ein entsprechendes Vorhaben zu berücksichtigen sind.


 
T.Gruber@reinhausen.com  
 
0

Informiert bleiben

Reinhausen TV

Verwandte Themen