Aktuelles, Branche - geschrieben von am Mittwoch, August 17, 2016 19:41 - 2 Kommentare

Bisher noch kein verheerender Angriff auf Stromnetze

Lila Kee von GlobalSign erörtert zunehmende Sicherheitsanstrengungen für Kritische Infrastrukturen

[datensicherheit.de, 17.08.2016] Lila Kee, GlobalSign-Autorin, erörtert in einem aktuellen Blogpost, warum bisher ein Großangriff auf Kritische Infrastrukturen (KritIs) offensichtlich ausgeblieben ist. Dies sei aber kein Freibrief für eine Entwarnung – Energieversorger, Verbände und Gesetzgeber bleiben demnach aufgefordert, weitere Schritte für mehr Sicherheit zu unternehmen.

Kontinuierlich „Best Practices“ weiterentwickeln

In einer zusammenfassenden Betrachtung der von den großen Nachrichtenagenturen veröffentlichten Meldungen zu Schwachstellen wirke es so, „als ob nationale kritische Infrastrukturen, insbesondere der Energiesektor, mit Sicherheitslücken gespickt und damit reif für einen katastrophalen Cyberangriff wären“. In Wirklichkeit hätten wir einen solchen Angriff zum Glück noch nicht erlebt. Kee wirft die Frage auf, ob „abgesehen von übergeordneten politischen Gründen wie Angst vor Vergeltung und weitreichenden wirtschaftlichen Auswirkungen“ es vielleicht möglich sei, dass wir noch keinen solchen Angriff erlebt hätten, weil die Sicherheitslücken überbewertet oder die Wahrscheinlichkeit hochgespielt worden seien.
Kee möchte dabei richtig verstanden werden – sie wolle nicht unterstellen, dass wir „aus dem Gröbsten raus sind“ und uns um die Cyber-Sicherheit unserer Energieversorgungsnetze keine Sorgen machen müssten. Ganz im Gegenteil, so Kee: Es gehe darum, kontinuierlich „Best Practices“ weiterzuentwickeln, entsprechenden Normen und Richtlinien Geltung zu verschaffen, aber auch branchenspezifische Technologien voranzutreiben. Insbesondere, da Energiesysteme inzwischen mit dem Internet verbunden seien.
Kee versucht, die „großen Drei“ – also Befürchtungen, Ungewissheit und Zweifel – durchzuspielen und zu beleuchten, warum es bisher gelungen ist, die Energienetze weitestgehend zu schützen.

Jeden Tag Hackerangriffe auf Netzbetreiber

Netzanbieter würden jeden Tag gehackt (2015 seien dem Industrial Control Systems Cyber Emergency Response Team [ICS-CERT] 303 Vorfälle gemeldet worden). Die meisten dieser Hacks seien erfolglos geblieben, da kritische Systeme entweder nicht im Netz oder nur von privaten Netzwerken aus zugänglich gewesen, d.h. nicht über das Internet betrieben worden seien. Ältere Systeme seien bereits nachgerüstet worden, aber auch die meisten dieser Systeme seien nicht im Netz.
Die nächste Generation intelligenter Netzsysteme sei demgegenüber von Anfang an im Hinblick auf Sicherheit konzipiert worden. Ein gutes Beispiel sei das „Open Field Message Bus Framework“ (OpenFMB), das eine Spezifikation für Feldgeräte bei intelligenten Energiesystemen biete. Das Rahmenwerk nutze eine nicht-proprietäre und standardbasierte Referenzarchitektur, die aus Internetprotokoll-Vernetzung (IP) und „Internet of Things“-Datentransfer (IoT) bestehe. OpenFMB sei eines der Projekte der „Energy IoT Initiative“ des Smart Grid Interoperability Panels (SGIP) – entwickelt, um IoT-Innovationen in der Energiewirtschaft zu beschleunigen.
Wie sich in anderen Branchen wie Automobil, Fertigung und beim Konzept der Intelligenten Städte gezeigt habe, seien Mehrwertdienste durch IoT-Neuerungen rund um Energienetze in nahezu unbegrenzter Zahl möglich. Trotzdem hätten auch dort Sicherheitsbedenken oberste Priorität. Die Standardentwicklung spiele dabei eine ganz entscheidende Rolle. In den USA hätten sich dazu die North American Energy Standards Boards (NAESB) und OpenFMB zusammengetan. So sei eine Reihe von komplementären und verbindlichen Standards für Energieversorgungsunternehmen entstanden. Damit sie nicht im „luftleeren Raum“ existierten, seien Kooperationen mit weiteren Verbänden unumgänglich. Nur das gewährleiste, dass die Industrie ausreichend beteiligt sei und die Standards schneller umgesetzt würden.

Ausfallsichere Netze als oberste Priorität

„Wenn man sich genauer ansieht, wie Energieversorgungsnetze gemanagt werden, halte ich einen landesweiten Netzausfall für eher unwahrscheinlich“, sagt Kee. Ein hochdichter Ausfall in einer Großstadt sei hingegen durchaus denkbar – allerdings eher als Folge z.B. von Sprengstoffzündungen in einem Schacht mit Kabeln zu etlichen Energieverteilerstellen. Also ein Szenario, das auf physikalische Sicherheitslücken und nicht auf Cyber-Schwachstellen zurückzuführen sei. In jüngster Zeit habe sich indes „der Fokus deutlich auf letztere verlagert“.

Cyber-Sicherheit im besten Interesse des Netzbetreibers

Man sollte nicht vergessen, so Kee, dass Netzbetreiber Unternehmer seien, die Gewinn machen wollten – und das funktioniere nur, wenn ihre Fähigkeit zur Erzeugung und Übertragung von Strom nicht beeinträchtigt sei. Die Zuverlässigkeit des Netzes habe daher oberste Priorität. Die Betreiber seien folglich extrem motiviert, Löcher zu stopfen und Ausfälle zu vermeiden.
Netzanbieter hätten bereits wichtige Schritte unternommen, um einen unbefugten Zugriff auf ihre Systeme zu verhindern. Denn genau dort liege der größte Schwachpunkt. Energieversorger-„Enduser“ seien bereits sehr aktiv in der „Identity and Access Management“-Initiative (IAM) des National Cybersecurity Center of Excellence (NCCoE), um den Strommarkt zu unterstützen, sichere IAM-Kontrollen zu implementieren, die mit vorhandenen Energiestandards korrespondierten.
Darüber hinaus nähmen „Incident Response“-Maßnahmen einen großen Teil der Forderungen der North American Electric Reliability Corporation (NERC) zur „Critical Infrastructure Protection“ (CIP) ein. Es handele sich dabei um eine Reihe von Standards, „die entwickelt wurden, um das Stromnetz vor Cyber-Bedrohungen zu schützen“, erläutert Kee. Daran seien alle Anbieter und Betreiber gebunden, um bei einem Ausfall und/oder Angriff, die Folgen abzumildern. Andere Institutionen müssten engmaschig eingebunden werden, wolle man bei einem Notfall eine schnelle Wiederaufnahme der Energieversorgung gewährleisten. Ein Beispiel sei der Notfallaktionsplan der ISO New England.

Groß angelegter Angriff unvermeidlich?

Kee zeigt sich sicher, dass sie diese Worte bereuen werde, aber sie glaube nicht, dass ein landesweiter katastrophaler Angriff wahrscheinlich sei. Sie sehe Angriffsnester, die sicher für eine bestimmte Region verheerend sein könnten. Sie geht aber davon aus, dass mit den jüngsten, jetzt durchsetzbaren „NERC CIP v5“-Standards die USA viel besser vorbereitet seien als in der Vergangenheit, „cyberbedingte Ausfälle“ zu verhindern, einzugrenzen und zu stoppen sowie Netzmodernisierungen zu unterstützen. Vergleichbare Standards und Gesetzesvorgaben gebe es auch in Europa. So zum Beispiel das vor rund einem Jahr in Deutschland verabschiedete „Gesetz zum Schutz kritischer Infrastrukturen“, dem allgemein eine „Vorreiterrolle innerhalb der EU“ zugesprochen werde. Jüngsten Medienberichten zufolge habe die anfänglich skeptische Wirtschaft inzwischen ihre Zweifel weitgehend abgelegt und stehe dem Gesetz positiv gegenüber.
Netzbetreiber und Behörden sollten gemeinsam an „Pen-Tests“ arbeiten, um Sicherheitslücken zu entdecken und schließen, bevor sie ausgenutzt werden. Wir sollten Netze zukunftssicher machen, indem wir IoT-Sicherheitsspezifische Standards für bestimmte Branchen schaffen (z.B. Netzanbieter und Netzbetreiber), rät Kee. Nur so könne die Industrie starke Authentifizierung, Zugangskontrolle und Verschlüsselung in ihre Produkte einbauen, bevor sie auf den Markt kommen.



2 Kommentare

Sie können Kommentare zu diesem Eintrag über den RSS-2.0-Feed verfolgen. Sie können einen Kommentar hinterlassen oder einen Trackback von Ihrer Website hierher setzen.

Andreas Casper
Aug 18, 2016 16:01

Bitte nix durcheinander bringen…

In diesem Beitrag werden (wieder einmal) Begriffe und Unternehmen durcheinander gebracht, die die Physik und der Gesetzgeber getrennt haben. Es gibt Netzbetreiber, das sind diejenigen Unternehmen, die Übertragungsnetze und Verteilnetze, z. B. für Elektrizität, betreiben. Eben die KRITIS.

Und es gibt die Energiedienstleister oder -Händler, die mit Vertriebsstrukturen die Produkte, z. B. Strom und Gas an den (End)Kunden verkaufen (z. B. mittels Stromlieferverträgen).

Und dann gibt es die Erzeuger, die mittels Erzeugungsanlagen (z. B. Kraftwerke, EEG-Anlagen) Energie, z. B. elektrische Energie = Strom, erzeugen.

All diese Unternehmen bzw. Bereiche sind per Gesetz (z. B. EnWG) fein säuberlich voneinander getrennt. (Ausnahmen gibt es z. B. bei kleineren Stadtwerken.)

Und Netzanbieter gibt es gar nicht, soweit ich weiß.

Ansonsten: Weiter so!

Carsten Pinnow
Aug 18, 2016 16:26

Sehr geehrter Herr Casper,

vielen Dank für Ihre Anmerkungen.

Redaktion

Kommentieren

Kommentar

Current ye@r *

Kooperation

TeleTrusT – Bundesverband IT-Sicherheit e.V.

Schulungsangebot

mITSM ISO 27001 Zertfifizierungs Audit

Partner

ZIM-BB
fit4sec

Gefragte Themen


Datenschutzhinweis