IT-Sicherheitsgesetz
IT-Sicherheitskatalog für kritische Infrastrukturen veröffentlicht
Fortsetzung des Artikels von Teil 1
Kundenanforderungen
Mit der konsequenten Weiterentwicklung aller Digicomm Produkte in Bezug auf Daten-, Übertragungs- und Ausfallsicherheit, erfüllen alle Lösungen die Grundforderungen auf Basis der DIN ISO/IEC 27001:2015-03 und gehen in weiten Teilen noch darüber hinaus.
Als Beispiel dazu dient eine häufig gestellte Anforderung der Digicom-Kunden.
Anwendung:
Das Fernwirknetz des Kunden besteht aus eigenen Kupfer- und LWL-Leitungen, es sollen auch Stationen über öffentliche Netze angebunden werden (DSL oder Mobilfunk, vorrangig LTE wenn verfügbar).
Forderungen:
- Das eigene Netz soll eine möglichst einfache redundante Infrastruktur besitzen, damit bei Ausfall der Komponenten die Bereitschaft schnell und ohne spezielles Wissen Geräte tauschen kann.
- Die Außenstationen ohne eigene Anbindung über Kabel sollen mit integriert werden
- Die Übertragung soll gesichert über VPN-Verbindungen realisiert werden.
Lösung:
- Das eigene Netz wird mit einem LWL-Backbone für die wichtigsten Stationen über entsprechende Switche realisiert.
Die Stationen mit Kupferleitungen werden über Ethernetmodem SHDTU-09is (2 x G.SHDSL) oder SHDTU-10is (4 x G.SHDSL) redundant an die Backbone-Switche angebunden. - Bei Stationen mit LWL- und Kupfer-Anbindung kommen die SHDTU-08is-SFP 09is (2 x G.SHDSL und 2 x SFP für LWL).
- Bei reinen LWL-Anbindungen werden gemanagte Switche eingesetzt, die ebenfalls alle Sicherheitsforderungen und Routing (Layer 3) unterstützen.
- Die Außenstationen werden mit DSR-Routern und einem zentralen VSS-01 Server an das Netz angebunden.
- Ebenfalls werden alle Fernwirkstationen des eigenen Netzwerkes (Forderungen Punkt 1) mit DSR-Routern ausgerüstet um eine geschlossene Benutzergruppe mit VPN-Schutz zu erreichen.
Durch die Nutzung der VPN-Technik ist eine sichere Authentifizierung und eine starke Verschlüsselung garantiert, so dass nur Befugte auf die vertraulichen Firmendaten zugreifen können. Vor allem bei der Übertragung über öffentliche Netze.
Mit der VSS-Lösung geht Digicom noch einen Schritt weiter, denn es müssen alle Teilnehmer – auch die im eigenen Netzwerk (zum Beispiel das Leitsystem) - eine VPN-Verbindung zu unserem VSS-01 aufbauen. Damit bieten wir eine geschlossene Benutzergruppe in der nur zertifizierte Anwender VPN-verschlüsselt miteinander kommunizieren können.
Eine zentrale Rolle im Betrieb eines Fernwirknetzes spielt die Zuordnung von Zugriffsrechten, d. h. wer mit wem kommunizieren darf.
In der Regel fragt das Leitsystem die Außenstellen ab, muss also mit allen kommunizieren. Häufig besteht aber auch die Notwendigkeit, dass Stationen untereinander Daten austauschen müssen oder eine Fernwartung von externen Mitarbeitern durchgeführt werden muss.
Speziell im Bereich der Fernwartung durch Fremdfirmen soll nicht auf das gesamte Netz sondern nur auf spezielle Stationen zugegriffen werden.
Im Falle eines zentralen Routers für VPN-Anbindungen erfordert das ein hohes Maß an Konfigurationsarbeiten.
Bei der VSS-01 Lösung können Awender sehr einfach mit Gruppen arbeiten. Bei der Grundkonfiguration sind alle Teilnehmer zunächst keine Gruppenmitglieder. Durch einfaches einrichten einer Gruppe und Auswahl durch Klick auf die Stationen können die Teilnehmer einer Gruppe ausgewählt werden. Jeder Teilnehmer kann Mitglied in beliebig vielen Gruppen sein.
Im Hintergrund werden aus den Gruppenzuordnungen Firewallregeln erstellt, die in die Router der Außenstationen übertragen werden.
Bei einer Neu- oder Umkonfiguration werden die geänderten Daten automatisch in die Router der Außenstationen übertragen.
Im Beispiel sind alle Teilnehmer mit Ausnahme des Laptops Teilnehmer der roten Gruppe und können miteinander kommunizieren. Der Laptop hat nur Zugriff auf die Station rechts unten (grüne Gruppe)
Für die Konfiguration bedeutet es, dass Anlegen von zwei Gruppen:
- ROT = alle Teilnehmer mit Ausnahme des Laptops
- GRÜN = Laptop, NMS (Netzwerküberwachung) und Teilnehmer rechts unten
Die Stationen, die über eigene Kupferstecken angeschlossen werden, sind mit Ethernetmodem der Serie SHDTU ausgerüstet. Diese Modem unterstützen 2-, 4- oder 8-Draht-Betrieb im Punkt-zu-Punkt-, Linien- oder Ring-Betrieb über Entfernungen bis 25 km mit Geschwindigkeiten von bis zu 60 MBps.
Zusätzlich zu den integrierten Sicherheitsoptionen kann über die Kupferstrecke mittels VPN verschlüsselt übertragen werden.
Für den Anschluss der Stationen, die über eigene LWL-Verbindungen angebunden sind, werden - bei zusätzlichen Kupferstrecken - SHDTU-08-is-SFP, ansonsten managebare Layer 2 Switche eingesetzt, die ebenfalls alle Sicherheitsforderungen unterstützen.
Die Switche im Backbone-Bereich sind Routingfähig (Layer3) und können bei Bedarf eine zusätzliche Verschlüsselung bieten.
Bei vorhandenen DSL-Anschlüssen können die DSR-111-N-Router von Digicom in Kombination mit den industriellen DSL-Modem AM-200B eingesetzt werden.
Die Anbindung der Stationen über das Mobilfunknetz wird über DSR-111-L LTE-Router realisiert, die bei fehlender LTE-Abdeckung auch GPRS, UMTS oder HSDPA unterstützen.
Für die bestmögliche Netzverfügbarkeit wird mit SIM-Karten gearbeitet, die „National-Roaming“ unterstützen. Diese buchen sich unabhängig vom Provider in das Netz mit der besten Abdeckung ein und wechseln bei Netzausfall oder -störungen automatisch in das Netz eines anderen Anbieters, der am Standort verfügbar ist.
Bei wichtigen Außenstationen ohne eigene Anbindung kann als Ersatzweg neben den öffentlichen Netzen auch eine Funkverbindung über private Frequenzen realisiert werden.
- IT-Sicherheitskatalog für kritische Infrastrukturen veröffentlicht
- Kundenanforderungen
Lesen Sie mehr zum Thema
