Innovative 
Cybersecurity für das 
Energienetz

StationGuard ist ein passives SzA, das vollkommen rückwirkungsfrei mit Ihrer Anlage und Geräten funktioniert. Der Anschluss über Mirror-Ports (auch SPAN-Ports) stellt sicher, dass das SzA keine Pakete in das Netzwerk senden kann.

Alle von StationGuard detektierten Ereignisse und Alarme werden unverzüglich auf der Benutzeroberfläche von StationGuard und GridOps gemeldet, auf den Sensoren zusammen mit forensischen Beweisen protokolliert und weitergeleitet. Zusätzlich können Ihre Mitarbeiter:Innen mittels E-Mail gesondert über Ereignisse und Alarme entsprechend Ihrer Melde- und Eskalationswege informiert werden.
Da StationGuard ein passives SzA ist, wird es keinen aktiven Eingriff in den Netzwerkverkehr oder Befehle/Schalthandlungen ausführen. Darüberhinaus ist es möglich, automatisierte Prozesse einzuführen, die vorprogrammierte automatische Reaktionsprozesse ausführen (beispielsweise über ein SIEM-System). Damit könnte ein SIEM- oder SOAR-System nach einem StationGuard-Alarm z.B. automatisch Firewallregeln aktivieren, die die betreffenden IP-Adressen blockieren.

Ja, die Integration in LDAP/Active Directory kann über das zentrale Managementsystem GridOps verwaltet und konfiguriert werden.

Für den sicheren Zugriff auf Ihre StationGuard-Instanzen können unterschiedliche Rollen und Zugriffsberechtigungen über unser zentrales Managementsystem GridOps definiert werden. So lässt sich zum Beispiel festlegen, dass Änderungen der Konfiguration oder das Aktivieren des Wartungsmodus nur entsprechend befugten Mitarbeitenden vorbehalten ist. Bedrohungen können mit der rollenbasierten Zugriffskontrolle (Role-Based Access Control, RBAC) reduziert und sogar eliminiert werden.

GridOps verfügt über eine Schwachstellen-Datenbank, mit der alle Ihre Assets bzw. Betriebsmittel hinsichtlich Schwachstellen Live überwacht werden. Diese Datenbank enthält für jedes Betriebsmittel alle Sicherheitshinweise, die durch die Gerätehersteller veröffentlicht wurden. GridOps hat eine eingebaute Gerätedatenbank, womit es in der Lage ist, die Sub-Komponenten, Einschubkarten und deren Firmwareversionen zu erkennen, um das präziseste Schwachstellen-Management für Schutz- und Leittechnikgeräte zu ermöglichen.

Dank unseres integrierten Schwachstellen-Managements veranschaulicht Ihnen GridOps

• welche ihrer Schutz- und Automatisierungsgeräte von einer offengelegten Schwachstelle (CVE oder Security Advisory) betroffen sind,
• bewertet automatisch auf Basis des CVSS deren Kritikalität und
• zeigt Ihnen die Möglichkeit für Gegenmaßnahmen wie zum Beispiel ein Firmware-Update oder Konfigurationshinweise auf.

Für IT- und OT-Protokolle enthält unser Angriffserkennungssystem eine fortschrittliche und effektive Anomalieerkennung auf Basis unserer integrierten Deep Packet Inspection (DPI), um sie frühzeitig vor Cyberangriffen zu schützen. Wir analysieren detailliert die übertragenen Datenpakete und deren Inhalte im Netzwerk.

Unterstützte OT-Protokolle sind u. a.: IEC 61850 MMS, GOOSE, IEC 62439-3 PRP und HSR (mit RedBox), IEC 60870-5-104; DNP3; Modbus TCP; IEC 62056 (DLMS/COSEM); IEEE C37.118 (Synchrophasor); IEEE 1703-2012 / ANSI C12.22 (AMI-Protokoll); IEC 60870-6 (ICCP/TASE.2 - UCA 2.0); SIEMENS S7; EtherCAT; Profinet; usw.

Unterstützte IT-Protokolle sind u. a.: FTP; HTTP; HTTPS (without decryption, but with application detection); RDP; NTP; NetBIOS (Windows file sharing); ARP; DHCP; MySQL; MSSQL; PostgreSQL; SSH (ohne Entschlüsselung, aber mit Applikationserkennung); telnet; ICMP / ICMPv6; RIPv2; SSDP; MDNS; usw.

Eine zusätzliche Besonderheit unseres Angriffserkennungssystem StationGuard ist die integrierte Funktionsüberwachung des Anlagennetzwerkes. Hierdurch können Sie neben Cyber-Security-Parametern auch den ordnungsgemäßen Betrieb Ihrer Automatisierungssysteme und Netzwerke überwachen und damit Abweichungen vom Sollzustand der Anlage feststellen. Dies können beispielsweise Interoperabilitätsprobleme zwischen Geräten, Konfigurationsfehler, Überschreitung von Übertragungszeiten und ausgefallene Zeitsynchronisierung sein.

OMICRON hat aufgrund seiner jahrelangen Expertise im Bereich der Energieanalgen einen innovativen Allowlist-Ansatz entwickelt. Dieser ermöglicht im Gegensatz zu herkömmlichen Signatur- oder lernbasierten Angriffserkennungsansätzen den sofortigen Wirkbetrieb unseres StationGuard-SzAs ohne Anlernzeit und mit einer verbesserten Erkennung von sicherheitsrelevanten Ereignissen sowie Störungen. Typischerweise dauert die Inbetriebsetzung von StationGuard ca. 1-3 Stunden pro Anlagennetzwerk. Nach dieser Zeit ist StationGuard fertig parametriert und voll einsatzfähig ohne weitere Anlernzeit.

StationGuard wurde von Grund auf so konzipiert, dass die Betreiber der Anlage in der Lage sind, auch das Angriffserkennungssystem zu bedienen und zu konfigurieren. Der Schulungsbedarf kann dafür auf nur ca. einen Tag beziffert werden. Durch das eingebaute Anlagenwissen bietet StationGuard den Vorteil, dass von den Bediener:innen selbst nur wenig Anlagen- oder IT-Kenntnisse notwendig sind. Für die Planung und Konfiguration stehen unsere Expert:innen Ihnen jedoch gerne vor Ort oder telefonisch zur Verfügung.​​​​​

Um Ihnen einen reibungslosen und idealen Start des StationGuard-SZAs zu ermöglichen, unterstützen wir Sie mit unserem Best-Practice-Ansatz. Hierzu stimmen wir uns mit Ihnen vorab bezüglich Ihrer Einsatz- und Anwendungsbedarfe sowie dem strukturellen Aufbau ihrer Betreiberanlage ab. Anschließend erfolgt die benutzerspezifische Vorkonfiguration Ihres StationGuard durch unsere Mitarbeiter:innen. Die Installation und Integration erfolgt durch unsere fachkundigen Mitarbeiter:innen bei Ihnen vor Ort.

Wir führen auf Wunsch gemeinsam mit Ihrem Team eine Sicherheitsbewertung Ihrer OT-Netzwerke und Anlagen durch.

Das einfache Anbinden von StationGuard und GridOps an SIEM- und Ticket-Systeme (wie bspw. Splunk, FortiSIEM oder ServiceNow) erfolgt über integrierte Plug-ins. Unsere leicht verständlichen Alarmmeldungen können auch über das Syslog-Protokoll weitergeleitet werden.

Es können Betriebsmittel-Daten z. B. von OMICRON ADMO oder ERP-Systemen in StationGuard importiert werden, um die Betriebsmittel-Informationen zu vervollständigen. Durch den Export des Betriebsmittel- bzw. Asset-Verzeichnisses aus StationGuard in Ticketsysteme können Sie Ihre Anlagenbestände einfach aktualisieren, abgleichen und dokumentieren.

Eine Integration in Ticket-Systeme ermöglicht es, automatisch Tickets zur Bearbeitung von SzA-Alarmen zu erstellen. Ebenfalls können die Tickets durch ein importiertes Betriebsmittel-Verzeichnis automatisch den verantwortlichen Mitarbeiter:innen zugewiesen werden, die für das betreffende Betriebsmittel oder den Standort zuständig sind.

Zum Schutz vor Cyberangriffen während der Prüfung oder Wartung ihrer Anlagen unterstützen wir Sie mit einem eigens dafür entwickelten „Wartungsmodus“. Dieser kann einfach und schnell über den StationGuard aktiviert bzw. deaktiviert werden. Um sicherzustellen, dass auch bei der Ausführung zulässiger Aufgaben keine Fehlalarme ausgelöst werden, können die verwendeten Engineering-PCs und Prüfgeräte vorab in StationGuard registriert werden. Über diese Methode können auch Tätigkeiten von Dienstleistern bei der Inbetriebssetzung überwacht werden. Durch diesen flexiblen Ansatz von StationGuard können Anlagen schon vor der Werksabnahme überwacht werden.