Im Wesentlichen werden im SIEM Log-Dateien verschiedener Systemkomponenten zusammengeführt. In unserem Fall handelt es sich beim SIEM für Smart Metering um die Log-Dateien physischer Zähler im Feld, von Datenkonzentratoren, vom Head-End-System (HES) und der IT-Systemanmeldungen des Fachpersonals, das mit den Messdatensystemen arbeitet. Wir bezeichnen einzelne Meldungen, wie beispielsweise «Modem wurde abgeschaltet», als «Events». Diese Events allein liefern jedoch oft nur begrenzte Informationen zur Relevanz oder zur Notwendigkeit von Massnahmen. Daher suchen wir nach Event-Mustern. Erst wenn eine kritische Menge gleicher Events erreicht ist, beispielsweise «Modem wurde abgeschaltet» 30-mal innerhalb von vier Stunden, oder eine spezifische Abfolge von Events auftritt, etwa «Zählerdeckel wurde geöffnet», gefolgt von «Kommunikation wurde aufgebaut», sind Handlungen erforderlich. Diese Cluster von Events werden in sogenannten Detection Rules definiert.

Wenn eine Detection Rule ausgelöst wird, erfolgt eine Reaktion. Die Art der Reaktion hängt von der Relevanz ab und kann in Form eines Alarms an eine bestimmte Person oder als Eintrag in einen regelmässigen Bericht erfolgen. Alarme können über verschiedene Kanäle verschickt werden, einschliesslich E-Mail, SMS oder Microsoft-Teams-Nachrichten. Die jeweiligen Empfänger der Alarme variieren je nach Detection Rule. IT-sicherheitsrelevante Detection Rules gehen beispielsweise an andere Personen als Detection Rules, die auf Probleme in der Netzqualität hinweisen. Unabhängig von der Zielrichtung der Alarme werden alle Auslöser in einem Managementbericht erfasst, der regelmässig exportiert wird, um die Häufigkeit und Veränderungen der Detection- Rule-Auslöser zeitlich zu analysieren.

Die Zusammensetzung der Events variiert je nach Systemumgebung. Daher werden die Detection Rules in jedem Projekt gemeinsam mit dem entsprechenden EVU spezifisch für die jeweilige Situation definiert. In Entwicklungsworkshops mit Fachexperten entstehen immer wieder neue Use Cases, die zuvor nicht berücksichtigt wurden. Jedes Projekt liefert neue Erkenntnisse, die in einen Pool von Use Cases einfliessen und anderen Kunden zur Integration zur Verfügung stehen. SIEM-Kunden profitieren somit voneinander. Die direkte Betreuung endet nicht nach Abschluss des Einführungsprojekts. In regelmässigen Abstimmungen, entweder mit uns oder im Plenum mit allen SIEM-Kunden, werden neue Ideen und Anforderungen aufgenommen, und Detection Rules aus anderen Projekten werden vorgestellt. Dies ermöglicht dem EVU, kontinuierlich weitere Funktionen zu integrieren und den Mehrwert aus der SIEM-Plattform zu steigern. Der Schutz vor neuen Bedrohungen und die Anpassung an sich ändernde Gegebenheiten erfolgen automatisch.

In unserem vorhandenen Angebot als Serviceprovider werden die Log-Dateien der Umsysteme im Rahmen des Projekts integriert, und in Workshops werden gemeinsam mit dem EVU die Detection Rules, Berichte und Alarme definiert. Im laufenden Betrieb profitiert das EVU kontinuierlich von neuen Detection Rules und Systemerweiterungen. Dies steigert den Mehrwert der SIEM-Plattform für alle Beteiligte und ermöglicht einen effektiven Schutz vor neuen Bedrohungen sowie die Anpassung an sich ändernde Anforderungen. Wir sind stolz darauf, gemeinsam mit unseren Kunden die Sicherheit und Effizienz im Bereich Smart Metering voranzutreiben und die Chancen der Digitalisierung voll auszuschöpfen. 

Die Entstehung unserer SIEM-Plattform ist das Ergebnis unseres dedizierten Innovationsmanagements, das darauf abzielt, neue Lösungen zu entwickeln und etablierte Wege stetig zu hinterfragen. Wir sind fest davon überzeugt, dass die kontinuierliche Weiterentwicklung unserer Lösung und die enge Zusammenarbeit mit unseren Kunden der Schlüssel zum Erfolg ist.