Sichere Datenübertragung von 
Energieerzeugungsanlagen über LTE

Sichere Datenübertragung von  Energieerzeugungsanlagen über LTE 

Anbindung dezentraler Anlagen an SCADA-Systeme mit LTE-Routern.

Die zunehmende Flexibilisierung der Energienetze stellt Netzbetreiber, sowie Anbieter von Stromdirektvermarktungs- und Regelleistungsanlagen mehr und mehr vor Herausforderungen. Abhängig von Einflüssen wie Wetter, Sonn- und Feiertage sowie Jahreszeiten, variiert das Zusammenspiel von Erzeuger und Verbraucher sehr stark. An einem sonnigen Tag wird zum Beispiel mehr Energie über PV-Anlagen ins Netz eingespeist als an einem wolkigen Herbsttag. Um dieser Flexibilität Herr zu werden, werden SCADA Systeme verwendet, die entsprechende Daten der Anlagen an einem zentralen Punkt sammeln und für weitere Operationen bereitstellen. Üblicherweise geschieht dies im Energiesektor über das IEC60870-5-104 Netzwerkprotokoll.

Um eine Kommunikation zwischen dezentralen Anlagen im Feld und zentralem SCADA-System zu ermöglichen, werden oft LTE-Router verwendet.

Da entsprechende Anlagen in Feld jedoch von verschiedensten Herstellern kommen, steht man hier vor der Herausforderung, ein homogenes und sicheres Kommunikations-Netzwerk über eine Vielzahl variierender Geräte auszubauen. Zwar ist dies durch breit verfügbarere Technologien wie OpenVPN möglich, jedoch warten hier die nächsten Hürden.

Herausforderungen bei der Administration von VPN-Kommunikationsinfrastrukturen.

Dezentrale Anlagen werden über öffentliche Netze wie z.B. das LTE-Netz mit der Zentrale verbunden. Um die Daten vor Manipulation oder Diebstahl zu schützen werden verschlüsselte Verbindungen eingesetzt. Eine weit verbreitete und vom BSI empfohlene Lösung ist OpenVPN, geschützt durch digitale Zertifikate.

Für den reibungslosen Betrieb einer großen VPN-Infrastruktur ist es unerlässlich, die Zertifikate für den Zugriff zentral auszustellen und zu verwalten. Nachdem ein Zertifikat ausgestellt ist, muss sichergestellt werden, dass es auch auf dem richtigen Endgerät implementiert ist. Dieser Prozess wird im Regelfall manuell ausgeführt und bietet somit ein großes Fehlerpotential. Dieses Fehlerpotential multipliziert sich entsprechend, wenn man berücksichtigt, dass Zertifikate üblicherweise Laufzeit von weniger als einem Jahr haben und somit erneuert werden müssen.

Neben den Zertifikaten muss ebenfalls dafür Sorge getragen werden, dass die Konfiguration, sowie die Firmware auf den Geräten im Feld aktuell ist. Aktualisierungen von Firmware, sowie Anpassung von Konfigurationen sind bei einer kleinen Anzahl von Geräten noch händisch realisierbar, wenn es jedoch um eine Flotte von hunderten Geräten geht, ist eine zentrale Lösung gefragt.

Welotec VPN Security Suite

Um diesen Anforderungen und Herausforderungen gerecht zu werden, wurde die Welotec VPN Security Suite entwickelt. Das System umfasst eine zentrale Management-Komponente, eine PKI (Public Key Infrastructure) zum Management der Zertifikate sowie eine zentrale Security und Routing Plattform als VPN Konzentrator auf Basis einer Firewall.

VPN Security Suite overview

Das Herz der Lösung ist das zentrale Element Management System (SMART EMS). Das SMART EMS verteilt die richtigen Konfigurationen, Updates und Zertifikate auf die LTE-Router im Feld. Zusätzlich kommuniziert das SMART EMS über gesicherte und verschlüsselte Schnittstellen sowohl mit der Security und Routing Plattform als auch mit der zentralen PKI. Durch diese Integration ist es möglich, die komplette Verwaltung einer großen VPN-Infrastruktur von einem zentralen Interface zu realisieren. Nach der initialen Konfiguration erfolgte die Zuweisung von Firmware, Konfigurationen und VPN-Zertifikaten über vordefinierte Templates. Wird nun ein neuer Welotec Router dem Template zugewiesen, wird eine spezifische Konfiguration, VPN-Zertifikate, sowie statische VPN-IP-Adresse vergeben. Größere Batches von Geräten können bequem über einen Excel-Import einem Template zugewiesen werden. Sobald sich der Router dann am SMART EMS meldet, erhält er entsprechende Konfiguration sowie Zertifikate und baut eigenständig die Verbindung auf.

Neben den Welotec Routern und Gateways können auch eine Vielzahl von weiteren Geräten wie RTUs, SPSen, Fernwirkgeräte und Edge Gateways die entweder VPN-Technologien oder Container unterstützen einfach eingebunden werden.  Hierzu wird über das Webinterface ein neues Gerät angelegt und per Knopfdruck das entsprechende Zertifikate sowie VPN-Konfiguration generiert.

Um sicherzustellen, dass alle Geräte aktuelle Sicherheitspatches und die richtige Konfiguration haben bietet das SMART EMS die Möglichkeit, Konfigurationen sowie Firmware-Aktualisierungen zentral über Templates auf Welotec Router und Gateways auszurollen. Für einen flächendeckenden Rollout einer neuen Firmware oder Konfiguration muss lediglich die neue Firmware ins Template eingebunden werden.

Die Firewall auf OPNsense Basis wird in diesem Setup als VPN Server und zentrale Security und Routing Plattform verwendet. Die Verwendung von VPN ermöglicht es, eine homogene VPN-Infrastruktur über Geräte von verschiedensten Herstellern zu realisieren. Für jedes Endgerät wird eine spezifische VPN-Konfiguration generiert, die dafür sorgt, dass ein und dasselbe Gerät immer wieder die gleiche IP-Adresse im VPN Netzwerk bekommt. Das SCADA-System des Kunden hat nun die Möglichkeit, eben diese gesicherte VPN-Verbindung für die IEC60870-5-104 Kommunikation zu nutzen. Die verschlüsselte VPN-Verbindung erlaubt einen einfachen und standardisierten Zugriff egal ob das Gerät hinter einem APN, NAT Gateway oder DSL-Anschluss agiert, oder über welche SIM-Karte die Einwahl stattfindet.

Damit eine VPN-Verbindung überhaupt aufgebaut werden kann, benötigt das Endgerät ein Zertifikat. Das Managen einer Zertifikats-Infrastruktur – kurz PKI – stellt Unternehmen bei Endgeräten allerdings regelmäßig vor Herausforderungen. Um diesen Schritt zu vereinfachen, bietet VPN Security Suite eine integrierte PKI. Die PKI arbeitet komplett automatisiert. Einmal eingerichtet werden sämtliche Client VPN-Zertifikate mit der Kunden eigenen CA signiert und die Vertrauensstellung vom Endgerät bis zur Root-CA aufrechterhalten.

Für ein zentrales Monitoring und Event Management kann die VPN Security Suite noch über die JSON basierte API mit einem Security Information and Event Management (SIEM)-System verknüpft werden. Über die Schnittstelle erhält das SIEM-System Informationen wie z.B. Firmware, VPN-IP, Laufzeit des Zertifikates, letzte Aktualisierung, u.v.m. Die nahtlose API-Integration ermöglicht es sogar, neue Geräte anzulegen, VPN-Zertifikate zu revoken sowie Statusinformationen der Router zu akquirieren.

Automatisierte VPN-Infrastruktur in der Praxis

Diese Lösung ermöglicht es die VPN-Struktur zentral zu managen. Insbesondere das einfache Onboarding von Bestandsgeräten, sowie neuer Geräte über einen Excel Import, in Verbindung mit der automatisierten Zertifikatsverwaltung, bieten einen großen Mehrwert.

Durch das hohe Maß der Automatisierung können mehr Ressourcen für das eigentliche Kerngeschäft genutzt werden. Die nahtlose Anbindung an bestehende SIEM-Systeme bietet zudem die Möglichkeit, Herausforderungen schnell und zuverlässig zu identifizieren und entsprechende Serviceeinsätze zu planen.

Passend dazu