Aktuelles, Branche - geschrieben von dp am Mittwoch, August 17, 2016 19:41 - 2 Kommentare
Bisher noch kein verheerender Angriff auf Stromnetze
Lila Kee von GlobalSign erörtert zunehmende Sicherheitsanstrengungen für Kritische Infrastrukturen
[datensicherheit.de, 17.08.2016] Lila Kee, GlobalSign-Autorin, erörtert in einem aktuellen Blogpost, warum bisher ein Großangriff auf Kritische Infrastrukturen (KritIs) offensichtlich ausgeblieben ist. Dies sei aber kein Freibrief für eine Entwarnung – Energieversorger, Verbände und Gesetzgeber bleiben demnach aufgefordert, weitere Schritte für mehr Sicherheit zu unternehmen.
Kontinuierlich „Best Practices“ weiterentwickeln
In einer zusammenfassenden Betrachtung der von den großen Nachrichtenagenturen veröffentlichten Meldungen zu Schwachstellen wirke es so, „als ob nationale kritische Infrastrukturen, insbesondere der Energiesektor, mit Sicherheitslücken gespickt und damit reif für einen katastrophalen Cyberangriff wären“. In Wirklichkeit hätten wir einen solchen Angriff zum Glück noch nicht erlebt. Kee wirft die Frage auf, ob „abgesehen von übergeordneten politischen Gründen wie Angst vor Vergeltung und weitreichenden wirtschaftlichen Auswirkungen“ es vielleicht möglich sei, dass wir noch keinen solchen Angriff erlebt hätten, weil die Sicherheitslücken überbewertet oder die Wahrscheinlichkeit hochgespielt worden seien.
Kee möchte dabei richtig verstanden werden – sie wolle nicht unterstellen, dass wir „aus dem Gröbsten raus sind“ und uns um die Cyber-Sicherheit unserer Energieversorgungsnetze keine Sorgen machen müssten. Ganz im Gegenteil, so Kee: Es gehe darum, kontinuierlich „Best Practices“ weiterzuentwickeln, entsprechenden Normen und Richtlinien Geltung zu verschaffen, aber auch branchenspezifische Technologien voranzutreiben. Insbesondere, da Energiesysteme inzwischen mit dem Internet verbunden seien.
Kee versucht, die „großen Drei“ – also Befürchtungen, Ungewissheit und Zweifel – durchzuspielen und zu beleuchten, warum es bisher gelungen ist, die Energienetze weitestgehend zu schützen.
Jeden Tag Hackerangriffe auf Netzbetreiber
Netzanbieter würden jeden Tag gehackt (2015 seien dem Industrial Control Systems Cyber Emergency Response Team [ICS-CERT] 303 Vorfälle gemeldet worden). Die meisten dieser Hacks seien erfolglos geblieben, da kritische Systeme entweder nicht im Netz oder nur von privaten Netzwerken aus zugänglich gewesen, d.h. nicht über das Internet betrieben worden seien. Ältere Systeme seien bereits nachgerüstet worden, aber auch die meisten dieser Systeme seien nicht im Netz.
Die nächste Generation intelligenter Netzsysteme sei demgegenüber von Anfang an im Hinblick auf Sicherheit konzipiert worden. Ein gutes Beispiel sei das „Open Field Message Bus Framework“ (OpenFMB), das eine Spezifikation für Feldgeräte bei intelligenten Energiesystemen biete. Das Rahmenwerk nutze eine nicht-proprietäre und standardbasierte Referenzarchitektur, die aus Internetprotokoll-Vernetzung (IP) und „Internet of Things“-Datentransfer (IoT) bestehe. OpenFMB sei eines der Projekte der „Energy IoT Initiative“ des Smart Grid Interoperability Panels (SGIP) – entwickelt, um IoT-Innovationen in der Energiewirtschaft zu beschleunigen.
Wie sich in anderen Branchen wie Automobil, Fertigung und beim Konzept der Intelligenten Städte gezeigt habe, seien Mehrwertdienste durch IoT-Neuerungen rund um Energienetze in nahezu unbegrenzter Zahl möglich. Trotzdem hätten auch dort Sicherheitsbedenken oberste Priorität. Die Standardentwicklung spiele dabei eine ganz entscheidende Rolle. In den USA hätten sich dazu die North American Energy Standards Boards (NAESB) und OpenFMB zusammengetan. So sei eine Reihe von komplementären und verbindlichen Standards für Energieversorgungsunternehmen entstanden. Damit sie nicht im „luftleeren Raum“ existierten, seien Kooperationen mit weiteren Verbänden unumgänglich. Nur das gewährleiste, dass die Industrie ausreichend beteiligt sei und die Standards schneller umgesetzt würden.
Ausfallsichere Netze als oberste Priorität
„Wenn man sich genauer ansieht, wie Energieversorgungsnetze gemanagt werden, halte ich einen landesweiten Netzausfall für eher unwahrscheinlich“, sagt Kee. Ein hochdichter Ausfall in einer Großstadt sei hingegen durchaus denkbar – allerdings eher als Folge z.B. von Sprengstoffzündungen in einem Schacht mit Kabeln zu etlichen Energieverteilerstellen. Also ein Szenario, das auf physikalische Sicherheitslücken und nicht auf Cyber-Schwachstellen zurückzuführen sei. In jüngster Zeit habe sich indes „der Fokus deutlich auf letztere verlagert“.
Cyber-Sicherheit im besten Interesse des Netzbetreibers
Man sollte nicht vergessen, so Kee, dass Netzbetreiber Unternehmer seien, die Gewinn machen wollten – und das funktioniere nur, wenn ihre Fähigkeit zur Erzeugung und Übertragung von Strom nicht beeinträchtigt sei. Die Zuverlässigkeit des Netzes habe daher oberste Priorität. Die Betreiber seien folglich extrem motiviert, Löcher zu stopfen und Ausfälle zu vermeiden.
Netzanbieter hätten bereits wichtige Schritte unternommen, um einen unbefugten Zugriff auf ihre Systeme zu verhindern. Denn genau dort liege der größte Schwachpunkt. Energieversorger-„Enduser“ seien bereits sehr aktiv in der „Identity and Access Management“-Initiative (IAM) des National Cybersecurity Center of Excellence (NCCoE), um den Strommarkt zu unterstützen, sichere IAM-Kontrollen zu implementieren, die mit vorhandenen Energiestandards korrespondierten.
Darüber hinaus nähmen „Incident Response“-Maßnahmen einen großen Teil der Forderungen der North American Electric Reliability Corporation (NERC) zur „Critical Infrastructure Protection“ (CIP) ein. Es handele sich dabei um eine Reihe von Standards, „die entwickelt wurden, um das Stromnetz vor Cyber-Bedrohungen zu schützen“, erläutert Kee. Daran seien alle Anbieter und Betreiber gebunden, um bei einem Ausfall und/oder Angriff, die Folgen abzumildern. Andere Institutionen müssten engmaschig eingebunden werden, wolle man bei einem Notfall eine schnelle Wiederaufnahme der Energieversorgung gewährleisten. Ein Beispiel sei der Notfallaktionsplan der ISO New England.
Groß angelegter Angriff unvermeidlich?
Kee zeigt sich sicher, dass sie diese Worte bereuen werde, aber sie glaube nicht, dass ein landesweiter katastrophaler Angriff wahrscheinlich sei. Sie sehe Angriffsnester, die sicher für eine bestimmte Region verheerend sein könnten. Sie geht aber davon aus, dass mit den jüngsten, jetzt durchsetzbaren „NERC CIP v5“-Standards die USA viel besser vorbereitet seien als in der Vergangenheit, „cyberbedingte Ausfälle“ zu verhindern, einzugrenzen und zu stoppen sowie Netzmodernisierungen zu unterstützen. Vergleichbare Standards und Gesetzesvorgaben gebe es auch in Europa. So zum Beispiel das vor rund einem Jahr in Deutschland verabschiedete „Gesetz zum Schutz kritischer Infrastrukturen“, dem allgemein eine „Vorreiterrolle innerhalb der EU“ zugesprochen werde. Jüngsten Medienberichten zufolge habe die anfänglich skeptische Wirtschaft inzwischen ihre Zweifel weitgehend abgelegt und stehe dem Gesetz positiv gegenüber.
Netzbetreiber und Behörden sollten gemeinsam an „Pen-Tests“ arbeiten, um Sicherheitslücken zu entdecken und schließen, bevor sie ausgenutzt werden. Wir sollten Netze zukunftssicher machen, indem wir IoT-Sicherheitsspezifische Standards für bestimmte Branchen schaffen (z.B. Netzanbieter und Netzbetreiber), rät Kee. Nur so könne die Industrie starke Authentifizierung, Zugangskontrolle und Verschlüsselung in ihre Produkte einbauen, bevor sie auf den Markt kommen.
2 Kommentare
Andreas Casper
Carsten Pinnow
Sehr geehrter Herr Casper,
vielen Dank für Ihre Anmerkungen.
Redaktion
Kommentieren
Aktuelles, Experten - Dez 4, 2024 18:35 - noch keine Kommentare
Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
weitere Beiträge in Experten
- Crimenetwork: BKA und ZIT gelang Abschaltung
- TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
- Datensouveränität: Bedeutung der Self Sovereign Identities
- Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
Aktuelles, Branche - Dez 5, 2024 12:43 - noch keine Kommentare
KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
weitere Beiträge in Branche
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
- Rund um den Black Friday 2024: Cyber-Gefahren für Einzelhandel drastisch zugenommen
- NIS-2 kompakt: it’s.BB e.V. lädt zu Präsenz-Awareness-Veranstaltung ein
- Industrie-Umgebungen: Cyber-Sicherheit trotz OT mit Alt-Systemen
- KI als zweischneidiges Schwert: Zukunft der Cyber-Bedrohung und -abwehr werden neu definiert
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Bitte nix durcheinander bringen…
In diesem Beitrag werden (wieder einmal) Begriffe und Unternehmen durcheinander gebracht, die die Physik und der Gesetzgeber getrennt haben. Es gibt Netzbetreiber, das sind diejenigen Unternehmen, die Übertragungsnetze und Verteilnetze, z. B. für Elektrizität, betreiben. Eben die KRITIS.
Und es gibt die Energiedienstleister oder -Händler, die mit Vertriebsstrukturen die Produkte, z. B. Strom und Gas an den (End)Kunden verkaufen (z. B. mittels Stromlieferverträgen).
Und dann gibt es die Erzeuger, die mittels Erzeugungsanlagen (z. B. Kraftwerke, EEG-Anlagen) Energie, z. B. elektrische Energie = Strom, erzeugen.
All diese Unternehmen bzw. Bereiche sind per Gesetz (z. B. EnWG) fein säuberlich voneinander getrennt. (Ausnahmen gibt es z. B. bei kleineren Stadtwerken.)
Und Netzanbieter gibt es gar nicht, soweit ich weiß.
Ansonsten: Weiter so!