Grüne Energie aus Wasserkraft

Der Energiedienst Rheinfelden verbesserte seine Netzwerksicherheit und schützt sich gegen Day-Zero-Attacken

Auf einer Fläche von 3.816 Quadratkilometern beliefert die Energiedienst-Gruppe aus Rheinfelden mehr als 280.000 Privat- und Gewerbekunden, über 2.300 Geschäftskunden und 19 weiterverteilende kommunale Kunden in Südbaden und der Nordwestschweiz mit Strom und energienahen Dienstleistungen. Die knapp 700 Mitarbeiter der drei Holding-Unternehmen kümmern sich dabei von der Produktion von Strom in eigenen Kraftwerken über den externen Einkauf bis hin zur Verteilung der elektrischen Energie und deren Vertrieb.

Für den reibungslosen Ablauf im Tagesgeschäft sorgt unter anderem das eigene Datennetzwerk, das über einen 1-GBit-Backbone die Hauptstellen im Versorgungsgebiet verbindet. Neben Ortnetzstationen und Trafostationen zur Fernsteuerung und Fernmessung sind dort auch die Kraftwerke sowie die Administration und der Vertrieb des Unternehmens angeschlossen.

Schutz vor Day-Zero-Attacken

Im gesamten Netzwerk der Energiedienst-Gruppe gelten höchste Sicherheitsanforderungen. Neben den üblichen Maßnahmen wie Virenschutz auf Clients und Servern und einer Unternehmens-Firewall setzt der Energiedienst daher bereits seit längerem auch ein Intrusion Detection und Prevention System (IDS/IPS) ein. Doch diese Maßnahmen allein reichten dem Energieversorger nicht aus. Denn für das Unternehmen hat die kontinuierliche Verbesserung seiner IT-Sicherheit nicht nur im Rahmen der erfolgreich abgeschlossenen Zertifizierung nach ISO 27001 einen hohen Stellenwert. So suchte der Energiedienst Mitte 2007 nach einer Möglichkeit, sein Netzwerk zusätzlich vor so genannten Day-Zero-Attacken zu schützen.

Um den Aufwand für den Betrieb eines solchen Schutzschildes für seine vier Mitarbeiter in einem vertretbaren Ausmaß und die notwendigen finanziellen Mittel in einem wirtschaftlichen Rahmen zu halten, legte der IT-Leiter der Energiedienst-Gruppe Friedhelm Bäumer dabei besonderen Wert darauf, dass das neue System in die vorhandene IT-Landschaft passt und sich zudem problemlos betreiben lässt. Da der Energiedienst Netzwerkprodukte von Cisco, Extreme Networks und Juniper im Einsatz hat, beschränkte das Unternehmen die Suche auf diese drei Lieferanten. Denn zusätzliche Hersteller würden den Aufwand für Ersatzteilbeschaffung, Lagerhaltung sowie notwendige Schulungen unnötig erhöhen.

Gemeinsam mit dem langjährigen Dienstleister Avaya verglich der Energieversorger also die entsprechenden Produkte der drei Hersteller. Im Oktober 2007 entschieden sich die IT-Experten des Energiedienstes nach einer mehrwöchigen Evaluation für das Produkt von Extreme Networks. Für Sentriant NG300 sprach dabei, dass es sehr einfach zu bedienen ist und sich problemlos und schnell in die bestehende Umgebung integrieren ließ. Gerade bei den begrenzten personellen Ressourcen der IT-Abteilung war dies ein wichtiges Kriterium für das
Unternehmen. “Es reicht nicht aus, ein Sicherheitssystem nur auf dem Papier stehen zu haben”, erklärt Jürgen Klinger, Netzwerkadministrator bei der Energiedienst-Gruppe. “Man muss es auch aktiv nutzen und dabei spielt die Bedienbarkeit eine entscheidende Rolle.”

Angreifer aktiv abwehren

Zusammen mit Avaya und einem System Engineer von Extreme Networks nahm die IT-Abteilung Datennetze der Energiedienst-Gruppe dann Ende 2007 zwei Sentriant NG300 in Betrieb. Ein Gerät überwacht die demilitarisierte Zone (DMZ) sowie das Subnetz für Remote-Access-Zugänge. Das zweite Gerät kontrolliert die virtuellen Netze (VLANs) für Server, Benutzer, Wireless LAN und die Voice-over-IP-Infrastruktur. Dabei spiegeln die Administratoren unter anderem alle Broadcast-Pakete ihres Core-Switches von Cisco auf die Sicherheits-Appliances von Extreme Networks. Im ersten Schritt ließen die IT-Verwalter die Sentriants den Netzverkehr zunächst lediglich analysieren. Bei Auffälligkeiten schickten die Geräte dann eine E-Mail an ein zentrales Postfach, das alle Administratoren regelmäßig kontrollieren.

Nachdem anfangs sehr viele Meldungen über potentiell unliebsamen Datenverkehr eingingen, machten sich die Administratoren in den darauffolgenden Wochen daran, durch immer feinere Regeln die Zahl der Meldungen auf das notwendige zu reduzieren. Im letzten Schritt der Implementation wurden dann die beiden Sentriant-Geräte so konfiguriert, dass sie erkannte Angriffe beispielsweise durch Veränderung der ARP-Tabelle des Angreifers selbstständig abwehren.

Einfache Integration und Administration

Rund sechs Personentage hat die Energiedienst-Gruppe in den Schutz vor Day-Zero-Attacken investiert. Im laufenden Betrieb verursachen die beiden Sentriants zwar etwas Zusatzarbeit – beispielsweise dann, wenn neue Geräte ins Netzwerk kommen und Regeln entsprechend anzupassen sind. Aber durch die durchgängig grafische Benutzeroberfläche geht diese Arbeit den Administratoren leicht von der Hand. Besonders gut gefiel den Mitarbeitern der Abteilung Datennetze, dass sich die Geräte ohne große Anpassungsarbeiten einfach in das Netzwerk integrieren ließen und vom ersten Tag an zuverlässig funktionierten. Da Sentriant an einem Spiegel-Port und nicht inline arbeitet, hat sich das Unternehmen zudem keine weitere Fehlerquelle in sein Netzwerk geholt.

Auch wenn das Netzwerk der Energiedienst-Gruppe jetzt vor unbekannten Angriffen geschützt ist, ist dies für die IT-Abteilung kein Anlass für Muße. Denn Sicherheit ist ein Prozess, der nicht nur im Rahmen der ISO-27001-Zertifizierung ständig verbessert werden muss. So steht als eines der nächsten Projekte die Ablösung der bisherigen Firewall und des IDS/IPS durch ein integriertes Produkt an, um auch am Gateway die Sicherheit weiter zu optimieren. Und auch die portbasierte Zugangskontrolle am Netzwerkrand ist für die IT-Mitarbeiter weiterhin ein Thema. Doch bis dieses sehr kosten- und ressourcenintensive Projekt angegangen werden kann, sorgen die beiden Sentriant NG300 dafür, dass innerhalb des Netzwerks bösartiger Datenverkehr keine Chance hat.

Diese Kundenreferenz können Sie auch als PDF-Datei herunterladen.