ABAC

Es sollen Sicherheitsmechanismen in die entsprechenden Standards integriert werden, da sie ansonsten keine Chance haben, verbreitet eingesetzt zu werden. Eine weite Verbreitung ist im allgemeinen Interesse an sicheren Infrastrukturen, insbesondere in der elektrischen Energieversorgung.

Das Projekt legt Mechanismen fest und integriert sie in bestehende Standards, mit denen die Inhalte der Anwendungsdaten (Kommandos, Abfragen, Konfigurationsdaten, etc.) und die Rechte des Absenders geprüft und analysiert werden, bevor Kommandos ausgeführt werden. Dazu wird die rollenbasierte Zugriffskontrolle noch granularer: es wird nicht nur überprüft: „Ist der Absender der Nachricht befugt, diesen Befehl, bzw. diese Informationen zu senden?“, sondern auch „Ist der Absender befugt ist, genau auf die im Kommando aufgeführten Objekte zuzugreifen? Darf er tatsächlich auch den gesendeten Wert an dem Objekt einstellen?“

Kritische Grenzwerte oder große Zustandsänderungen benötigen eine andere Rolle des Subjekts als geringfügige Änderungen. Daneben soll es auch möglich sein, dass das Sicherheitsniveau, das für die Authentikation des Absenders (Nachweis der Identifikation) und/oder die Verschlüsselung angewendet wird, vom Objekt abhängig gemacht wird. Im materiellen Objektschutz ist dies selbstverständlich, warum nicht auch in Cyber-kritischen Systemen? Auch wird das sogenannte Vier-Augen-Prinzip bei besonders kritischen Aktionen eingeführt.

Zusätzlich wird die Zugriffskontrolle, bzw. Ausführung der Kommandos von der aktuellen Situation des Systems oder der Komponente abhängig gemacht, z. B. von der aktuellen Uhrzeit, aber auch von Sensorwerten, Aktor- und Alarmzuständen, der Kombination mit anderen Aktionen.

Um die Forschungsergebnisse in Normen und Standards zu überführen, war die ABAC-Projektallianz an folgenden Arbeitsgruppen bzw. Arbeitskreisen beteiligt:

• IEC/TC57/WG10 „Power systems management and associated information exchange – Power system IED communication and associated data models“
• IEC/TC57/WG15 „Power systems management and associated information exchange – Data and communication security“
• DKE/AK 952.0.15 „DKE-ETG-ITG Informationssicherheit in der Netz- und Stationsleittechnik“

Im Speziellen wurden die Erkenntnisse des ABAC-Projekts in die Use Cases der internationalen Norm IEC 61850 für Smart Grids aufgenommen, um die rollenbasierte Zugriffssteuerung für die in dieser Norm angegebenen Anwendungsszenarien mit Attributen umzusetzen. Dafür wurden Attributzertifikate verwendet, um die Attribute des Subjekts oder Datenobjekts darzustellen. Außerdem wurde mithilfe der attributbasierten Zugriffskontrolle die in IEC 62351-8 spezifizierte rollenbasierte Zugriffskontrolle für Smart-Grid-Anwendungsszenarien implementiert.

Da der im Projekt entwickelte Proof of Concept in einer Vielzahl von Anwendungsfeldern eingegeben werden kann, wird aktuell auch an der Integration des ABAC-Systems in ein OPC-UA-basiertes Szenario gearbeitet.

Das Projekt wurde im März 2021 erfolgreich abgeschlossen.