Kommunale Energieversorger sind das Rückgrat der öffentlichen Daseinsvorsorge. Sie stellen die zuverlässige Versorgung mit Strom, Gas, Wasser und Fernwärme sicher und erweitern ihr Portfolio zunehmend um zukunftsweisende Angebote wie Photovoltaik, Elektromobilität, Energieberatung oder den Ausbau von Glasfasernetzen.

Umso gravierender sind die möglichen Folgen eines Cyberangriffs: Betriebsunterbrechungen, Versorgungsengpässe, Imageschäden und erhebliche wirtschaftliche Verluste. Dass dieses Risiko real ist und zunimmt, zeigt die Studie „Cybersecurity Incidents in Industrial Operations“ des Cyentia Institute und von Rockwell Automation¹. Demnach übersteigt die Zahl der OT/ICS-Cybersicherheitsvorfälle in den Jahren 2021 bis 2023 die Gesamtzahl aller gemeldeten Vorfälle zwischen 1991 und 2000. Besonders im Fokus steht der Energiesektor, der mit 39 % aller Angriffe deutlich häufiger betroffen ist als Fertigung oder Transportwesen. Die Konsequenz: Netzbetreiber investieren gezielt in moderne, belastbare Sicherheitsarchitekturen für IT und OT.

Anforderungen an Fernzugriffe auf Energieanlagen

Ein zentraler Baustein dabei ist der sichere Fernzugriff. Digitalisierte Energienetze sind auf performante Remote-Zugänge angewiesen, um Wartung, Entstörung und Betrieb effizient sicherzustellen. Gleichzeitig gelten Fernwartungszugänge laut Bundesamt für Sicherheit in der Informationstechnik (BSI) als eines der größten Einfallstore für Cyberkriminelle. KRITIS-Betreiber stehen daher vor der Herausforderung, Verfügbarkeit und Sicherheit gleichermaßen zu gewährleisten. Gefordert sind Lösungen, bei denen Zugriffe nur temporär, explizit freigegeben, hochsicher, nachvollziehbar und zugleich flexibel einsetzbar sind.

Mit der Fernwartungslösung genubox hat genua hierfür eine konsequent auf Sicherheit und Funktionsvielfalt ausgelegte Antwort entwickelt, die alle BSI-Empfehlungen für sichere Fernwartung erfüllt. Herzstück ist das Rendezvous-Prinzip: Alle Zugriffe erfolgen über einen dedizierten Rendezvous-Server, der in einer demilitarisierten Zone (DMZ) betrieben wird. Sowohl genubox als auch Rendezvous-Server sind als Hardware-Appliance und als virtualisierte Instanz für eine schnelle Integration in eigene IT-Infrastrukturen erhältlich.

Zu einem festgelegten Zeitpunkt treffen sich Betreiber und Servicetechniker dort über eine verschlüsselte SSH-Verbindung. Erst nach aktiver Freigabe durch den Betreiber wird eine durchgängige Wartungssitzung aufgebaut, über die gezielt Maschinen, Anlagen oder IT-Systeme im internen Netz angesprochen werden können. Direkte, unkontrollierte Zugriffe externer Servicetechniker auf interne Netze sind ausgeschlossen. So behalten Betreiber jederzeit die vollständige Hoheit über ihr Netz.

Höchstmögliche Sicherheit und revisionssichere Protokollierung

Während des gesamten Wartungsvorgangs gilt das Vier-Augen-Prinzip. Betreiber können alle Aktionen live verfolgen, optional aufzeichnen und vollständig protokollieren. Damit ist jederzeit transparent, wer wann auf welches System zugegriffen hat und welche Tätigkeiten durchgeführt wurden. Logging- und Videoaufzeichnungsfunktionen schaffen zusätzliche Nachvollziehbarkeit und unterstützen Compliance- und Audit-Anforderungen. genubox gibt KRITIS-Betreibern so die volle Kontrolle über sämtliche Fernwartungszugriffe.

Das Rendezvous-Konzept gilt heute als Stand der Technik für sichere Fernwartung. genua geht noch einen Schritt weiter und hat genubox durch Security-by-Design-Prinzipien und bewährte Sicherheitsmechanismen weiter gehärtet. Integrierte Firewall-Funktionen sowie hochverschlüsselte, authentisierte und port- bzw. anwendungsgenaue Punkt-zu-Punkt-Verbindungen stellen sicher, dass zu keinem Zeitpunkt eine Netzkopplung zwischen Fernwarter und Betreiber entsteht. genubox erfüllt alle relevanten BSI-Anforderungen und bietet damit ein Höchstmaß an Sicherheit für kritische Infrastrukturen.

Beispielhaftes Einsatzszenario: Mit der genubox können Netzbetreiber oder beauftragte Serviceanbieter komfortabel und hochsicher Anlagen fernwarten. In Kombination mit genuview lassen sich diese als Video aufzeichnen und revisionssicher dokumentieren.

Implementierung nach bewährtem Ablauf

Die Einführung der Lösung erfolgt schrittweise. In der Regel beginnt sie mit einem Proof of Concept, bei dem die Fernwartungslösung vor Ort getestet und an die spezifischen Anforderungen angepasst wird. So lassen sich Funktionalität, Bedienbarkeit und Alltagstauglichkeit realistisch bewerten – auch für Anwender ohne tiefgehende IT-Administrationskenntnisse. Häufig wird genubox dabei in Umgebungen eingesetzt, in denen eine 24/7-Alarmempfangsstelle betrieben wird und Operatoren im Bedarfsfall kurzfristig Fernzugriffe freischalten müssen.

Im Anschluss folgt die Implementierung des Produktivsystems mit Einbau, Inbetriebnahme und Netzwerkanbindung. Nach gezielten Schulungen kann diese weitgehend durch das eigene Team erfolgen. Der Rendezvous-Server wird als lokale Appliance oder virtualisierte Instanz in einem dedizierten DMZ-Segment außerhalb der LAN-Kernzone platziert. Die finale Konfiguration der genubox-Serviceboxen, des Rendezvous-Servers und der zentralen Managementlösung genucenter erfolgt gemeinsam mit Security-Ingenieuren von genua. Eine klare Rollentrennung zwischen Operatoren und Fernwartern erhöht zusätzlich die Sicherheit und vereinfacht den Betrieb.

genubox meets genucenter: genubox ist das Kernprodukt des breiten Industrial-Security-Portfolios von genua. Mit der Central Management Station genucenter werden die Sicherheitslösungen über ein einheitliches GUI konfiguriert, fortlaufend überwacht und administriert.

Servicepartner frühzeitig einbinden

Ein weiterer Erfolgsfaktor ist die frühzeitige Einbindung von Servicepartnern. Durch transparente Kommunikation und rechtzeitige Schulungen lassen sich Akzeptanz und reibungslose Abläufe sicherstellen. Im Ernstfall unterstützt die zentrale Operatorenansicht eine schnelle Lageerkennung, indem sie auf einen Blick zeigt, welche Fernwartungszugänge aktiv sind. Gerade in Krisensituationen ist diese Transparenz entscheidend.

Mit genubox schaffen Netzbetreiber einen hochsicheren, kontrollierten und zukunftsfähigen Fernwartungszugang. Er unterstützt KRITIS-Betreiber dabei, die nun gesetzlich vorgeschriebenen NIS-2-Anforderungen zu erfüllen. Als erfahrener Spezialist für Industrial Security begleitet genua Unternehmen mit umfassendem Portfolio und langjähriger Expertise – für maximale Sicherheit in einer zunehmend vernetzten Energieinfrastruktur.

Quellen
¹https://www.rockwellautomation.com/de-de/company/news/press-releases/New-Research-Finds-Cyberattacks-Against-Critical-Infrastructure-on-the-Rise-State-affiliated-Groups-Responsible-for-Nearly-60.html
https://www.rockwellautomation.com/en-us/campaigns/cyentiareport.html

Copyrights
Teaserbild Mediathek © genua GmbH
Bilder im Beitrag © genua GmbH