Sichere Übertragung über LTE

 Daten in Energieerzeugungsanlagen

Daten in Energeierzeugunganlagen

Anbindung dezentraler Anlagen an SCADA-Systeme mit LTE-Routern

Die zunehmende Flexibilisierung der Energienetze stellt Netzbetreiber, sowie Anbieter von Stromdirektvermarktungs- und Regelleistungsanlagen mehr und mehr vor Herausforderungen. Abhängig von Einflüssen wie Wetter, Sonn- und Feiertage sowie Jahreszeiten, variiert das Zusammenspiel von Erzeuger und Verbraucher sehr stark. An einem sonnigen Tag wird zum Beispiel mehr Energie über PV-Anlagen ins Netz eingespeist als an einem wolkigen Herbsttag. Um dieser Flexibilität Herr zu werden, werden SCADA Systeme verwendet. Diese sammeln die entsprechenden Daten der Anlagen an einem zentralen Punkt und stellen sie für weitere Operationen bereit. Üblicherweise geschieht dies im Energiesektor über das IEC60870-5-104 Netzwerkprotokoll.

Um eine Kommunikation zwischen dezentralen Anlagen im Feld und zentralem SCADA-System zu ermöglichen, werden oft LTE-Router verwendet.

Da entsprechende Anlagen in Feld jedoch von verschiedensten Herstellern kommen, steht man hier vor der Herausforderung, ein homogenes und sicheres Kommunikations-Netzwerk über eine Vielzahl variierender Geräte auszubauen. Zwar ist dies durch breit verfügbarere Technologien wie OpenVPN möglich, jedoch warten hier die nächsten Hürden.

Herausforderungen bei der Administration  Kommunikationsinfrastrukturen

Dezentrale Anlagen werden über öffentliche Netze wie z.B. das  LTE-Netz mit der Zentrale verbunden. Um die Daten vor Manipulation oder Diebstahl zu schützen, werden verschlüsselte Verbindungen eingesetzt. Eine weit verbreitete und vom BSI empfohlene Lösung ist OpenVPN. Diese wird  durch digitale Zertifikate geschützt.

Für den reibungslosen Betrieb einer großen VPN-Infrastruktur ist es unerlässlich, die Zertifikate für den Zugriff zentral auszustellen und zu verwalten. Nachdem ein Zertifikat ausgestellt ist, muss sichergestellt werden, dass es auch auf dem richtigen Endgerät implementiert ist. Dieser Prozess wird im Regelfall manuell ausgeführt und bietet somit ein großes Fehlerpotential. Dieses multipliziert sich entsprechend, weil Zertifikate üblicherweise Laufzeiten von weniger als einem Jahr haben und somit erneuert werden müssen.

Neben den Zertifikaten muss ebenfalls dafür Sorge getragen werden, dass die Konfiguration, sowie die Firmware auf den Geräten im Feld aktuell ist. Aktualisierungen von Firmware sowie Anpassung von Konfigurationen sind bei einer kleinen Anzahl von Geräten noch händisch realisierbar. Wenn es jedoch um eine Flotte von hunderten Geräten geht, ist eine zentrale Lösung gefragt.

Welotec VPN Security Suite

Um diesen Anforderungen und Herausforderungen gerecht zu werden, wurde die Welotec VPN Security Suite  entwickelt. Das System umfasst eine zentrale Management-Komponente, eine PKI (Public Key Infrastructure) zum Management der Zertifikate sowie eine zentrale Security und Routing Plattform als VPN Konzentrator auf Basis einer Firewall.

VPN Security Suite overview

Das Herz der Lösung ist das zentrale Element Management System (SMART EMS). Das SMART EMS  verteilt die richtigen Konfigurationen, Updates und Zertifikate auf die LTE-Router im Feld. Zusätzlich kommuniziert das SMART EMS über gesicherte und verschlüsselte Schnittstellen sowohl mit der Security und Routing Plattform als auch mit der zentralen PKI. Durch diese Integration ist es möglich, die komplette Verwaltung einer großen VPN-Infrastruktur von einem zentralen Interface zu realisieren. Nach der initialen Konfiguration erfolgte die Zuweisung von Firmware, Konfigurationen und VPN-Zertifikaten über vordefinierte Templates. Wird nun ein neuer Welotec Router dem Template zugewiesen, wird eine spezifische Konfiguration, VPN-Zertifikate, sowie statische VPN-IP-Adresse vergeben. Größere Batches von Geräten können bequem über einen Excel-Import einem Template zugewiesen werden. Sobald sich der Router am SMART EMS meldet, erhält er entsprechende Konfiguration sowie Zertifikate. Damit kann er eigenständig die Verbindung aufbauen.

Neben den Welotec Routern und Gateways können auch eine Vielzahl von weiteren Geräten wie RTUs, SPSen, Fernwirkgeräte und Edge Gateways  einfach eingebunden werden.  Diese unterstützen entweder VPN-Technologien oder Container. Hierzu wird über das Webinterface ein neues Gerät angelegt und per Knopfdruck das entsprechende Zertifikate sowie VPN-Konfiguration generiert.

Um sicherzustellen, dass alle Geräte aktuelle Sicherheitspatches und die richtige Konfiguration haben bietet das SMART EMS die Möglichkeit, Konfigurationen sowie Firmware-Aktualisierungen zentral über Templates auf Welotec Router und Gateways auszurollen. Für einen flächendeckenden Rollout einer neuen Firmware oder Konfiguration muss lediglich die neue Firmware ins Template eingebunden werden.

Server, zentrale Security und Routing Plattform

Die Firewall auf  OPNsense Basis wird in diesem Setup als VPN Server, zentrale Security und Routing Plattform verwendet. Die Verwendung von VPN ermöglicht es, eine homogene VPN-Infrastruktur über Geräte von verschiedensten Herstellern zu realisieren. Für jedes Endgerät wird eine spezifische VPN-Konfiguration generiert, die dafür sorgt, dass ein und dasselbe Gerät immer wieder die gleiche IP-Adresse im VPN Netzwerk bekommt. Das SCADA-System des Kunden hat nun die Möglichkeit, eben diese gesicherte VPN-Verbindung für die IEC60870-5-104 Kommunikation zu nutzen. Die verschlüsselte VPN-Verbindung erlaubt einen einfachen und standardisierten Zugriff – egal ob das Gerät hinter einem APN, NAT Gateway oder DSL-Anschluss agiert, oder über welche SIM-Karte die Einwahl stattfindet.

Zum Aufbau einer VPN-Verbindung , benötigt das Endgerät ein Zertifikat. Das Managen einer Zertifikats-Infrastruktur – kurz PKI – stellt Unternehmen bei Endgeräten allerdings regelmäßig vor Herausforderungen. Um diesen Schritt zu vereinfachen, bietet VPN Security Suite eine integrierte PKI. Diese arbeitet komplett automatisiert. Einmal eingerichtet werden sämtliche Client VPN-Zertifikate mit der Kunden eigenen CA signiert und die Vertrauensstellung vom Endgerät bis zur Root-CA aufrechterhalten.

Für ein zentrales Monitoring und Event Management kann die VPN Security Suite noch über die JSON basierte API mit einem Security Information and Event Management (SIEM)-System verknüpft werden. Über die Schnittstelle erhält das SIEM-System Informationen wie z.B. Firmware, VPN-IP, Laufzeit des Zertifikates, letzte Aktualisierung, u.v.m. Die nahtlose API-Integration ermöglicht es sogar, neue Geräte anzulegen, VPN-Zertifikate zu revoken sowie Statusinformationen der Router zu akquirieren.

Automatisierte VPN-Infrastruktur in der Praxis

Diese Lösung ermöglicht es die VPN-Struktur zentral zu managen. Das einfache Onboarding von Bestandsgeräten sowie neuer Geräte über einen Excel Import bieten einen großen Mehrwert. Insbesondere in Verbindung mit der automatisierten Zertifikatsverwaltung.

Durch das hohe Maß der Automatisierung können mehr Ressourcen für das eigentliche Kerngeschäft genutzt werden. Die nahtlose Anbindung an bestehende SIEM-Systeme bietet zudem die Möglichkeit, Herausforderungen schnell und zuverlässig zu identifizieren und entsprechende Serviceeinsätze zu planen.