Anbindung dezentraler Anlagen an SCADA-Systeme mit 4G-Routern.
Die zunehmende Flexibilisierung der Energienetze stellt Netzbetreiber, aber auch Direktvermarkter von Strom und Anlagenbetreiber von Regelleistung vor immer größere Herausforderungen. Abhängig von Einflüssen wie Wetter, Feiertagen und Jahreszeiten variiert das Zusammenspiel zwischen Erzeugern und Verbrauchern stark. So wird an einem sonnigen Tag über PV-Anlagen mehr Energie ins Netz eingespeist als an einem bewölkten Herbsttag. Um diese Flexibilität zu bewältigen, werden SCADA-Systeme eingesetzt, die entsprechende Daten der Anlagen an zentraler Stelle sammeln und für den weiteren Betrieb zur Verfügung stellen. Typischerweise geschieht dies im Energiesektor über das Netzwerkprotokoll IEC60870-5-104. Um die Kommunikation zwischen dezentralen Anlagen im Feld und zentralem SCADA-System zu ermöglichen, werden häufig LTE-Router eingesetzt. Da die entsprechenden Systeme im Feld jedoch von den unterschiedlichsten Herstellern stammen, besteht die Herausforderung hier darin, ein homogenes und sicheres Kommunikationsnetzwerk über eine große Anzahl unterschiedlicher Geräte hinweg aufzubauen. Dies ist zwar mit weit verbreiteten Technologien wie OpenVPN möglich, allerdings ergeben sich weitere Herausforderungen.Herausforderungen bei der Administration von VPN-Kommunikationsinfrastrukturen.
Dezentrale Systeme werden über öffentliche Netze wie das 4G-Netz mit der Leitstelle verbunden. Dabei kommen verschlüsselte Verbindungen zum Einsatz, um Daten vor Manipulation oder Diebstahl zu schützen. Eine weit verbreitete und vom BSI empfohlene Lösung ist OpenVPN, das durch digitale Zertifikate geschützt ist. Für einen reibungslosen Betrieb großer VPN-Infrastrukturen ist es unabdingbar, die Zertifikate für den Zugriff zentral auszustellen und zu verwalten. Ist ein Zertifikat einmal ausgestellt, muss sichergestellt werden, dass dieses auch auf dem richtigen Endgerät umgesetzt wird. Dieser Prozess wird in der Regel manuell durchgeführt und bietet somit ein großes Fehlerpotenzial. Dieses Fehlerpotenzial vervielfacht sich entsprechend, wenn man bedenkt, dass Zertifikate in der Regel weniger als ein Jahr laufen und somit erneuert werden müssen. Neben den Zertifikaten muss auch sichergestellt werden, dass die Konfiguration und die Firmware auf den Geräten im Feld auf dem neuesten Stand sind. Bei wenigen Geräten lassen sich Firmware-Updates und Konfigurationsanpassungen manuell durchführen, bei einer Flotte von Hunderten von Geräten ist jedoch eine zentrale Lösung erforderlich.Welotec VPN VPN Security Suite
Um diesen Anforderungen und Herausforderungen gerecht zu werden, wurde die Welotec VPN Security Suite entwickelt. Das System umfasst eine zentrale Managementkomponente, eine PKI (Public Key Infrastructure) zur Zertifikatsverwaltung sowie eine zentrale Sicherheits- und Routingplattform als VPN-Konzentrator auf Basis einer Firewall.
Herzstück der Lösung ist das zentrale Element Management System (SMART EMS). Das SMART EMS verteilt die richtigen Konfigurationen, Updates und Zertifikate an die LTE-Router im Feld. Zudem kommuniziert das SMART EMS über gesicherte und verschlüsselte Schnittstellen sowohl mit der Sicherheits- und Routingplattform als auch mit der zentralen PKI. Diese Integration ermöglicht die komplette Verwaltung einer großen VPN-Infrastruktur von einer zentralen Schnittstelle aus. Nach der initialen Konfiguration werden Firmware, Konfigurationen und VPN-Zertifikate über vordefinierte Templates zugewiesen. Wird nun ein neuer Welotec-Router dem Template zugewiesen, werden eine spezifische Konfiguration, VPN-Zertifikate und eine statische VPN-IP-Adresse vergeben. Größere Chargen an Geräten können bequem über einen Excel-Import einem Template zugewiesen werden. Sobald sich der Router am SMART EMS anmeldet, erhält er die entsprechende Konfiguration und Zertifikate und baut die Verbindung selbstständig auf. Neben Welotec Routern und Gateways lassen sich auch eine Vielzahl weiterer Geräte wie RTUs, SPS, Fernwirkgeräte und Edge Gateways, die entweder VPN-Technologien oder Container unterstützen, problemlos integrieren. Hierzu wird über die Weboberfläche ein neues Gerät angelegt und auf Knopfdruck werden die entsprechenden Zertifikate und die VPN-Konfiguration generiert. Um sicherzustellen, dass alle Geräte über die aktuellsten Sicherheitspatches und die richtige Konfiguration verfügen, bietet das SMART EMS die Möglichkeit, Konfigurationen und Firmware-Updates über Templates zentral auf Welotec Router und Gateways auszurollen. Für einen flächendeckenden Rollout einer neuen Firmware oder Konfiguration muss die neue Firmware lediglich in das Template integriert werden. In diesem Setup wird die OPNsense-basierte Firewall als VPN-Server und zentrale Sicherheits- und Routing-Plattform eingesetzt. Der Einsatz von VPN ermöglicht es, eine homogene VPN-Infrastruktur über Geräte unterschiedlichster Hersteller hinweg zu implementieren. Für jedes Endgerät wird eine spezifische VPN-Konfiguration generiert, die sicherstellt, dass ein und dasselbe Gerät im VPN-Netzwerk immer dieselbe IP-Adresse erhält. Das SCADA-System des Kunden hat nun die Möglichkeit, diese gesicherte VPN-Verbindung für die IEC60870-5-104-Kommunikation zu verwenden. Die verschlüsselte VPN-Verbindung ermöglicht einen einfachen und standardisierten Zugriff, unabhängig davon, ob das Gerät hinter einem APN, NAT-Gateway oder DSL-Anschluss betrieben wird oder über welche SIM-Karte die Einwahl erfolgt. Damit überhaupt eine VPN-Verbindung aufgebaut werden kann, benötigt das Endgerät ein Zertifikat. Die Verwaltung einer Zertifikatsinfrastruktur – kurz PKI – stellt Unternehmen jedoch regelmäßig vor Herausforderungen, wenn es um Endgeräte geht. Um diesen Schritt zu vereinfachen, bietet VPN Security Suite eine integrierte PKI. Die PKI arbeitet dabei vollkommen automatisch. Einmal eingerichtet, werden alle Client-VPN-Zertifikate mit der kundeneigenen CA signiert und das Vertrauen vom Endgerät zur Root-CA bleibt erhalten. Zur zentralen Überwachung und Ereignisverwaltung kann die VPN Security Suite über die JSON-basierte API mit einem Security Information and Event Management (SIEM)-System verknüpft werden. Über die Schnittstelle erhält das SIEM-System Informationen wie Firmware, VPN-IP, Zertifikatslaufzeit, letztes Update und mehr. Die nahtlose API-Integration ermöglicht sogar das Anlegen neuer Geräte, den Widerruf von VPN-Zertifikaten und das Abrufen von Router-Statusinformationen.
