NERC CIP ist der Ausgangspunkt
Für Betreiber von Übertragungsnetzen in Nordamerika sind die NERC CIP-Standards (Critical Infrastructure Protection) keine Empfehlung. Sie sind durchsetzbare Vorschriften mit echten Sanktionen. Für die Sicherheit von Umspannwerken legen sie genau fest, was zu tun ist – auch wenn sie nicht erklären, wie das an 400 abgelegenen Standorten ohne IT-Personal umzusetzen ist.
Dieser Beitrag erläutert die CIP-Standards, die für Umspannwerke am wichtigsten sind, ordnet jeden Standard der realen Sicherheitsherausforderung zu, die er erzeugt, und zeigt, wie Overlay-Netzwerke das logistische Problem lösen, an dem traditionelle Compliance-Ansätze scheitern.
CIP-002: Bestandsaufnahme
Die Anforderung: Alle BES (Bulk Electric System) Cyber Systems in jedem Umspannwerk identifizieren und kategorisieren.
Die Herausforderung im Umspannwerk: Ein typischer regionaler Netzbetreiber betreibt Hunderte von Umspannwerken. Jedes enthält eine Mischung aus Geräten verschiedener Jahrzehnte – Remote Terminal Units (RTUs) mit proprietärer Firmware und seriellen Schnittstellen, Schutzrelais aus den 1970er und 1980er Jahren neben modernen Intelligent Electronic Devices (IEDs) mit Ethernet-Ports und IEC 61850-Unterstützung, SCADA-Master, die über DNP3 abfragen, sowie HMI-Workstations unter Windows mit langen Patch-Zyklen.
Die meisten Umspannwerke sind unbemannt. Viele befinden sich an abgelegenen Standorten, die nur über Schotterwege erreichbar sind. Das „IT-Team" eines Umspannwerks ist ein Ingenieur, der mit einem Laptop anreist, wenn etwas ausfällt. Ein genaues Asset-Inventar über all diese Standorte aufzubauen und zu pflegen, ist die erste Compliance-Hürde – und die meisten Netzbetreiber scheitern daran, weil sie keine dauerhafte Netzwerktransparenz an abgelegenen Standorten haben.
Die Zero-Trust-Antwort: Ein einzelnes Gerät oder eine VM in jedem Umspannwerk verbindet sich mit einem zentralisierten Overlay-Netzwerk. Nach der Verbindung ermöglicht es eine kontinuierliche Asset-Erkennung und Bestandsführung über alle Standorte hinweg – CIP-002 wird erfüllt, ohne manuelle Vor-Ort-Audits durchführen zu müssen.
CIP-005: Der elektronische Sicherheitsperimeter
Die Anforderung: Einen Electronic Security Perimeter (ESP) um jedes BES Cyber System einrichten und durchsetzen. Alle Zugriffe an Netzwerkgrenzen kontrollieren.
Die Herausforderung im Umspannwerk: Dieser Standard verursacht den größten operativen Aufwand. CIP-005 erfordert eine definierte, überwachte Grenze an jedem Standort mit vernetzten OT-Geräten. Für einen Netzbetreiber mit 300 Umspannwerken bedeutet das 300 Perimeter, die einzeln ausgerollt, konfiguriert und gewartet werden müssen.
Traditioneller Ansatz: an jedem Standort eine Firewall installieren. Das erfordert einen Techniker vor Ort für 4–8 Stunden pro Standort – allein für die Erstinstallation rund 1.800 Personenstunden, noch ohne laufendes Regelmanagement und Wartung. Viele Standorte sind über Verbindungen mit geringer Bandbreite angebunden (serielle Verbindungen mit 9,6 kbps existieren noch), sodass cloudbasierte Sicherheitslösungen nicht praktikabel sind.
Die Zero-Trust-Antwort: Mikrosegmentierung über Overlay-Netzwerke erstellt standort- und gerätespezifische Sicherheitsperimeter aus einer zentralen Policy-Engine. Ein vorkonfiguriertes Gerät wird an jedes Umspannwerk geliefert und in 15 Minuten von Außendienstteams im Rahmen der regulären Wartung installiert – ohne Sicherheitsexpertise vor Ort. Der ESP wird einmalig in der Leitstelle definiert und überall gleichzeitig durchgesetzt.
CIP-007: Systemsicherheit ohne Endpunkte
Die Anforderung: Ports und Dienste verwalten, Patches einspielen, Malware verhindern – an jedem BES Cyber System.
Die Herausforderung im Umspannwerk: RTUs und Schutzrelais laufen mit proprietärer Firmware. Es gibt kein Betriebssystem, das nach einem festen Zeitplan gepatcht werden kann. Es gibt keinen Endpunkt, auf dem ein Agent installiert werden könnte – die Installation von Software auf einem zertifizierten Relais macht dessen Sicherheitszertifizierung ungültig. Jede Änderung an einem Schutzrelais erfordert eine ingenieurtechnische Prüfung, Tests und ein Wartungsfenster. Wöchentliche Sicherheits-Patches sind nicht möglich. Und eine falsch konfigurierte Regel, die ein Auslösesignal blockiert, kann Geräteschäden oder Netzinstabilität verursachen.
Die Zero-Trust-Antwort: Durchsetzung auf Netzwerkebene übernimmt, was Endpunkt-Agenten nicht leisten können. Nicht autorisierte Ports und Dienste werden an der Netzwerkgrenze blockiert. Der Datenverkehr wird auf bekannte Protokolle (DNP3, IEC 61850) zwischen bekannten Geräten beschränkt. Die Sicherheitskontrolle umschließt das Gerät, anstatt darauf zu laufen.
CIP-010: Konfigurationsänderungsmanagement
Die Anforderung: Alle Konfigurationsänderungen an BES Cyber Systems nachverfolgen. Schwachstellenbewertungen durchführen.
Die Herausforderung im Umspannwerk: Änderungen erfolgen an abgelegenen Standorten, häufig durch Außendienstingenieure, die sich direkt mit einem Laptop an Schutzgeräte anschließen. Nachzuverfolgen, wer was, wann und warum geändert hat, ist über Hunderte verteilter Standorte ein Audit-Albtraum, wenn jeder Standort unabhängig operiert.
Die Zero-Trust-Antwort: Zentralisiertes Policy-Management mit vollständigem Audit-Trail. Sicherheitsregeln werden einmalig definiert und gleichzeitig an alle Standorte übertragen. Jede Regeländerung wird mit Zeitstempel, Autor und betroffenen Systemen protokolliert. Wenn ein Prüfer fragt „Zeigen Sie mir den Änderungsverlauf für Standort 347", lautet die Antwort eine einzelne Dashboard-Abfrage – kein Anruf bei einem Außendienstingenieur.
CIP-011: Schutz von BES Cyber System-Informationen
Die Anforderung: Unbefugten Zugriff auf Informationen über BES Cyber Systems verhindern – Netzwerkdiagramme, Relaiseinstellungen, SCADA-Konfigurationen.
Die Herausforderung im Umspannwerk: Ingenieursdaten werden zwischen Leitstellen und Umspannwerken über Weitverkehrsnetze übertragen. DNP3-Datenverkehr zwischen einer RTU und dem SCADA-Master läuft häufig über unverschlüsselte Verbindungen – Glasfaser, Richtfunk, Mobilfunk oder Satellit.
Die Zero-Trust-Antwort: Verschlüsselte Overlay-Tunnel für die gesamte standortübergreifende Kommunikation. DNP3-Datenverkehr zwischen einer RTU und dem SCADA-Master wird durch einen authentifizierten, verschlüsselten Tunnel geleitet – auch über veraltete Richtfunkverbindungen. Wer den WAN-Datenverkehr abfängt, kann den Inhalt nicht lesen.
CIP-013: Supply-Chain-Risikomanagement
Die Anforderung: Cybersicherheitsrisiken durch Anbieter und Lieferanten managen, die Zugang zu BES Cyber Systems haben.
Die Herausforderung im Umspannwerk: Relaishersteller, SCADA-Anbieter und Systemintegratoren benötigen alle Fernzugriff für Wartungsarbeiten. Das übliche Muster sind dauerhafte VPN-Zugangsdaten, die unter Mitarbeitern des Anbieters geteilt werden – derselbe Angriffsvektor, den Bedrohungsgruppen wie SYLVANITE in anderen Sektoren nutzen.
Die Zero-Trust-Antwort: Zeitlich begrenzter, sitzungsaufgezeichneter Anbieterzugriff über ein zentrales Gateway. Keine dauerhaften VPN-Tunnel. Jede Sitzung ist einer bestimmten Person zugeordnet, auf bestimmte Geräte beschränkt und für das Audit protokolliert.
NIS2 für europäische Netzbetreiber
Europäische Energiebetreiber unterliegen als „wesentliche Einrichtungen" den NIS2-Pflichten. Die Anforderungen überschneiden sich mit NERC CIP, ergänzen aber:
- Meldung von Vorfällen innerhalb von 24 Stunden nach Erkennung
- Business-Continuity-Planung, die Cybervorfälle berücksichtigt
- Managementverantwortung – Verantwortung auf Vorstandsebene für die Cybersicherheitslage
- Risikobasierte Sicherheitsmaßnahmen proportional zur Bedrohungslage
Für Netzbetreiber stellt NIS2 dieselbe grundlegende Herausforderung wie NERC CIP dar: Sie müssen nachweisen, dass jedes Umspannwerk abgedeckt ist – nicht nur die Leitstellen. Ein Prüfer wird fragen, wie Sie die Zugangskontrolle an Standort 347 durchsetzen, dem unbemannten Umspannwerk 130 km vom nächsten Büro entfernt.
Die Logistik-Rechnung
Der operative Unterschied zwischen dem traditionellen und dem Overlay-Ansatz ist erheblich:
| Traditioneller Ansatz | Overlay-Netzwerk-Ansatz | |
|---|---|---|
| Inbetriebnahme pro Standort | Firewall-Installation, Konfiguration, Test – 4–8 Stunden vor Ort | Vorkonfiguriertes Gerät, einstecken und registrieren – 15 Minuten |
| Regeländerungen | Standortweise Firewall-Regelaktualisierungen | Einmaliger Policy-Push an alle Standorte |
| Anbieterzugriff | VPN-Zugangsdaten pro Standort, oft geteilt | Zeitlich begrenzte, aufgezeichnete Sitzungen über zentrales Gateway |
| Compliance-Nachweise | Logs von jedem Standort einzeln einsammeln | Zentralisiertes Audit-Dashboard |
| Personal | Erfordert sicherheitsgeschultes Außendienstpersonal | Außendienstteams übernehmen die physische Installation; Sicherheitsteam verwaltet remote |
Für einen Netzbetreiber mit 300 Umspannwerken erfordert der traditionelle Ansatz allein für die Erstinstallation rund 1.800 Personenstunden – noch ohne laufende Wartung. Der Overlay-Ansatz reduziert den Außendiensteinsatz auf unter 100 Stunden, während die Sicherheitskonfiguration vollständig von der Leitstelle aus verwaltet wird.
Netzsicherheit ist kein Technologieproblem. Es ist ein Logistikproblem. Netzbetreiber, die die Logistik lösen, bestehen das Compliance-Audit und reduzieren gleichzeitig ihre Angriffsfläche. Einen umfassenderen Überblick darüber, wie dieses Muster der zentralisierten Verwaltung bei jeder verteilten Infrastruktur funktioniert, bietet unser Leitfaden zur Skalierung von Zero Trust über 50+ Standorte. Wasserversorgungsunternehmen stehen vor einem sehr ähnlichen Anforderungsprofil – unsere Analyse der Cybersicherheit in der Wasserversorgung vom Wasserwerk bis zum Verbraucher beleuchtet diese Parallelen.
Weitere Zero Trust OT-Ressourcen, Architekturleitfäden und Vergleiche finden Sie im Zero Trust für OT-Netzwerke Hub.
