Markus Auer empfiehlt Unternehmen agentenfreie Lösungen für Sichtbarkeit, Transparenz und Zugangskontrolle

[datensicherheit.de, 28.03.2017] Intelligente Stromzähler, sogenannte „Smart Meter“, sind kürzlich in die Schlagzeilen geraten, nachdem Tests demonstriert hatten, dass sie ungenaue Messwerte liefern. Vor allem Unternehmen hätten bereits intelligente Messsysteme implementiert oder seien gerade im Begriff, dies zu tun, so Markus Auer, „Regional Sales Manager DACH“, ForeScout Technologies. Der Gesetzgeber schreibe allen größeren Unternehmen in Deutschland vor, bis Jahresende 2017 auf solche Systeme umzurüsten – mit dem Ziel, den Energieverbrauch und den CO2-Ausstoß zu senken.

Fehlende Sicherheitsvorkehrungen in „Smart Meter“ installierenden Unternehmen

„Smart Meter“ seien ein gutes Beispiel für die enormen Chancen, die das Internet der Dinge (IoT) berge, sagt Auer: „Es bringt rapiden technischen Fortschritt, der neben zahlreichen Aspekten unseres Alltags auch die Geschäftstätigkeit von Unternehmen verändert. Intelligente Messsysteme tragen dazu bei, ,Green IT‘ und nachhaltige Betriebskonzepte zu realisieren, doch ihre Einführung hat Folgen, die bedacht werden müssen.“
An der Lösung der Messprobleme arbeiteten Wissenschaftler bereits, doch wesentlich beunruhigender seien die fehlenden Sicherheitsvorkehrungen in „Smart Meter“ installierenden Unternehmen. Den IT-Verantwortlichen müsse klar sein, dass die Nutzung von IP-Netzen durch das IoT Auswirkungen auf den Sicherheitsstatus des Unternehmens habe. Jeder intelligente Zähler sei ein Endpunkt im Netzwerk und müsse für die IT-Abteilung sichtbar gemacht werden.

IT-Sicherheitsstrategie an IoT anpassen!

„Der entscheidende Punkt ist, dass intelligente Geräte leicht angreifbar sind: Tests zeigen, wie einfach es ist, IoT-Endpunkte als Angriffsvektor zu missbrauchen, um in Netzwerke einzudringen“, unterstreicht Auer. Durch simples Spoofing der MAC-Adresse könnten sich Cyber-Kriminelle Zugriff auf ein Gerät verschaffen und dann das Unternehmen attackieren.
Die deutschen Unternehmen müssten auf intelligente Messsysteme umstellen, gleichzeitig aber auch Wege finden, um die IoT-Geräte in ihren Netzen zu sehen und abzusichern. Andernfalls gingen sie „hohe Risiken“ ein. „Wenn die IT-Sicherheitsstrategie nicht an das IoT angepasst wird, wird es zum Türöffner für groß angelegte Netzwerkangriffe und kann den Diebstahl personenbezogener Daten ermöglichen“, so Auers Warnung.

„Shodan“ findet ungeschützte IoT-Geräte

Ungeschützte IoT-Geräte seien einfach aufzuspüren: Über Online-Suchmaschinen wie „Shodan“ könne jeder Benutzer mithilfe verschiedener Filter bestimmte Arten von Geräten finden, die mit dem Internet verbunden sind.
Intelligente Zähler seien nun „nur eine Art von Geräten, die online gefunden werden können“. Viele Unternehmen hätten auch schon andere Geräte wie Drucker, VoIP-Telefone oder „Smart TVs“ mit ihren Netzwerken verbunden, ohne sich ausreichend um deren Sicherheit zu kümmern. Viele dieser Geräte hätten proprietäre Betriebssysteme und ließen keine Installation von Patches und keine clientbasierten Sicherheitsmaßnahmen zu.

Bild: ForeScout Technologies

Markus Auer: Im gesamten Netzwerk Richtlinien durchsetzen und Compliance gewährleisten!

Agentenfreie Lösung für Sichtbarkeit, Transparenz und Zugangskontrolle einsetzen!

Die „Best Practice“ in diesem Zusammenhang bestehe darin, eine agentenfreie Lösung für Sichtbarkeit, Transparenz und Zugangskontrolle einzusetzen. Solche Lösungen erforderten keine Installation von Clients oder Agenten und eigneten sich für virtuelle Infrastrukturen, ausgedehntere Netzwerkumgebungen (mit mehreren Teilnetzen) sowie standortferne und nur gelegentlich verbundene Geräte, wie etwa solche aus dem IoT.
Solche Lösungen befähigten Unternehmen, alle Geräte im Netzwerk zu sehen und zu überwachen. „Da sie in der Lage sind, Sicherheitsaufgaben zu orchestrieren und Informationen mit bestehenden Sicherheitstools auszutauschen, können im gesamten Netzwerk Richtlinien durchgesetzt und Compliance gewährleistet werden“, betont Auer. So blieben Informationen in den richtigen Händen und die Gefahr von Datendiebstahl werde reduziert – auch dann, wenn Daten von IoT-Endpunkten aufgezeichnet würden.

Weitere Informationen zum Thema:

SWR Aktuell, 09.03.2017
„Smart-Meter“ getestet / Intelligente Stromzähler verzählen sich

ForeScout
KNOW YOUR IoT SECURITY RISK / How Hackable is Your Smart Enterprise?

datensicherheit.de, 04.01.2017
Wachsende Bedrohung: Industrielle Steuerungssysteme und IoT im Fadenkreuz

datensicherheit.de, 26.10.2016
Cyber-Angriffe durch IoT-Botnetze: BSI nimmt Hersteller in die Pflicht

[datensicherheit.de, 03.07.2012] Intelligente Online-Stromzähler, sogenannte „Smart Meter“ sollen ab nächstem Jahr gesetzlich verpflichtend für alle Neubauten sein. Elektrizität soll so sinnvoller und günstiger bereitgestellt werden. Der Verbraucher soll gleichzeitig jederzeit abrufbar alle Informationen über seinen Stromverbrauch bekommen – aber nicht nur er, sondern auch die Energielieferanten. Die Sprecherin des Bundesdatenschutzbeauftragten, Juliane Heinrich, warnt vor davor, dass die Verbraucher durch diese neue Technik zu gläsernen Menschen werden. Das haben Recherchen des Bayerischen Rundfunks ergeben.
„Smart Meter“ kommt. Das sieht das im vergangenen Jahr neugefasste Energiewirtschaftsgesetz vor. Mit den neuen Stromzählern werden die Verbrauchsdaten der Kunden detailliert aufgezeichnet und sollen online auch an die Energielieferanten übermittelt werden. Juliane Heinrich forderte im Bayerischen Rundfunk: „Die neue Technik darf nicht dazu dienen, dass der Verbraucher gläsern für die Stromkonzerne wird.“
Die Versorger sollen bei Strom-Engpässen auch Geräte direkt im Kundenhaushalt online abschalten können. Frauke Rogalla vom Verbraucherzentrale-Bundesverband appellierte im Bayerischen Rundfunk, solche Eingriffe nur mit Einwilligung der Kunden zu erlauben.
Außerdem warnen Frauke Rogalla und Juliane Heinrich vor Hackern. Angreifer aus dem Netz, so Heinrich, könnten im Extremfall die elektrische Steuerung so manipulieren, dass Geräte im Haushalt zerstört würden. Denkbar seien auch absichtlich verursachte große Schwankungen im gesamten Stromnetz.

Auf Sendung am 3. Juli 2012 ab 6.00 Uhr auf B5 aktuell und Bayern 2

Quelle: Bayerischer Rundfunk / Hörfunk

[datensicherheit.de, 05.10.2011] In immer mehr Gegenständen unseres Alltags wie Autos, Medizinischen Geräten oder aber auch in digitalen Stromzählern in den Haushalten haben kleine Mikrocontroller Einzug gehalten. Solche eingebettete Systeme übernehmen vielfältige, anspruchsvolle und häufig sicherheitskritische Aufgaben. Den Schreckensvisionen von manipulierten Fahrzeugsteuerungen oder von ausgespähten privaten Daten liegen ganz reale Bedrohungsszenarien zugrunde.

Abbildung: Fraunhofer Research Institution for Applied and Integrated Security, Garching b. München

Fraunhofer AISEC am Messestand Nr. 461 auf der „it-sa 2011“ in Nürnberg

So ist beispielsweise die Unsicherheit der intelligenten Stromzähler in aller Munde. Wie man sicherheitskritische Komponenten wirksam vor Manipulationen schützen und gleichzeitig auch die Privatsphäre bewahren kann, lässt sich vom 11. bis 13. Oktober 2011 am Messestand Nr. 461 des Fraunhofer AISEC auf der „it-sa 2011“ in Nürnberg in Erfahrung bringen:
Dort sollen praxisnahe Forschungsergebnisse präsentiert werden, die morgen schon in Alltagsgegenstände eingebaut werden könnten – der Prototyp eines sicheren „Smart Meter“ und ein sicheres Update für Navigationsgeräte im Fahrzeug. Zudem soll im Hardware-Testlabor gezeigt werden, wie leicht lassen sich Schlüssel wirklich knacken lassen.

[datensicherheit.de, 12.07.2011] Mit der Zustimmung des Bundesrates zum „Energiewirtschaftsgesetz“ sind die Weichen für die Einführung von intelligenten Stromzählern (sogenannte „Smart Meter“) gestellt. Die jetzt beschlossenen gesetzlichen Vorgaben seien ein gutes Beispiel dafür, dass Datenschutz, Datensicherheit und effiziente Energiesteuerung keine Gegensätze bildeten, kommentiert der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar:
Die Regelungen sehen eine enge Zweckbindung für sensible Verbrauchsdaten sowie verbindliche Standards für die Datensicherheit vor. Jetzt komme es auf die praktische Umsetzung der gesetzlichen Vorgaben an, dass die Verbraucher tatsächlich über ihre Daten bestimmen könnten. Dies sei umso wichtiger, da aus den sensiblen Verbrauchsdaten Rückschlüsse auf die Lebensgewohnheiten der Nutzer gezogen werden könnten.
Schaar freut sich darüber, dass seine Vorschläge im Gesetzgebungsverfahren weitgehend berücksichtigt worden seien. Von besonderer Bedeutung sei dabei der Schutz der Datenhoheit der Verbraucher. So habe erreicht werden können, dass die Energiebelieferung nicht von der Offenbarung detaillierter Verbrauchsprofile abhängig gemacht werden dürfe.
Mit diesen gesetzlichen Regelungen sei jedoch noch nicht alle Arbeit getan – die Komplexität des „Smart Metering“ sowie die Schnelllebigkeit der technologischen Entwicklungen erforderten ein abgestimmtes Regelwerk aus Schutzprofilen, technischen Richtlinien und weiteren Verordnungen zum Datenschutz. Ihm sei besonders wichtig, die technischen Systeme so zu gestalten, dass sensible Verbrauchsinformationen unter der Kontrolle der Betroffenen blieben und jede zweckfremde Nutzung und Datenmissbrauch soweit wie möglich ausgeschlossen würden.

Weitere Informationen zum Thema:

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Datenschutz / Informationsfreiheit / Datenschutzforum

[datensicherheit.de, 01.03.2011] Der BITKOM appelliert an die Bundesregierung, den Aufbau Intelligenter Stromnetze mit mehr Nachdruck nach vorne zu treiben:
Volker Smid vom BITKOM-Präsidium hat anlässlich der CeBIT 2011 in Hannover eine „nationale Roadmap für Smart Grids“ gefordert. Sogenannte Intelligente Netze sind eines der Schwerpunktthemen der diesjährigen Messe.
Bei den Deutschen gebe es enorme Wissensdefizite über intelligente Stromnetze. Dabei bildeten intelligente Energienetze eine wesentliche Voraussetzung für eine effiziente Nutzung erneuerbarer Energien und seien damit die Basis für eine umweltfreundliche Stromversorgung, so Smid. Der BITKOM sehe hierzu einen enormen Aufklärungsbedarf, wolle Deutschland – wie im Energiekonzept der Bundesregierung vorgesehen – erneuerbare Energiequellen zur Grundlage der künftigen Energieversorgung machen und die Bevölkerung langfristig mit bezahlbarem Strom versorgen.
Durch die gezielte Steuerung der Stromnachfrage könnten Energieversorger vom heutigen ineffizienten und umweltschädlichen Prinzip der Höchstlast-Vorhaltung abrücken. Allein bei Privathaushalten könnten durch die Einführung von zeitabhängigen Tarifen und eine Visualisierung des tatsächlichen Energieverbrauchs an einem „Smart Meter“ nach konservativer Schätzung 9,5 Terawattstunden elektrische Energie pro Jahr gespart werden. Das entspreche mehreren Kohlekraftwerken oder ungefähr einem AKW-Block.

Weitere Informationen zum Thema:

BITKOM, 01.03.2011
BITKOM fordert Roadmap für Smart Grids

[datensicherheit.de, 21.02.2011] Die Landis+Gyr GmbHbegrüßt die Initiative des Bundesministeriums für Wirtschaft und Technologie (BMWi) zur Entwicklung eines Schutzprofils für intelligente Haushaltszähler:
Die Sicherheit der Verbrauchs- und Messdaten habe für sie oberste Priorität, so Geschäftsführer Peter Heuell. Erst die Fähigkeit eines Smart Meters zur Datenübertragung schaffe die notwendige Basis für intelligente und steuerbare Stromnetze. Die Verabschiedung verbindlicher Standards für den Datenschutz sei damit von größter Wichtigkeit. Landis+Gyr, als einer der weltweit führenden Hersteller von „Smart Meter“, wolle die Entwicklung eines Schutzprofils nach Kräften unterstützen und habe sich
intensiv in die Datenschutz-Debatten, welche auf verschiedenen nationalen und internationalen Stufen geführt werden, eingebracht sowie die Entwicklung entsprechender Konzepte vorangetrieben.

Weitere Informationen zum Thema:

Landis+Gyr
manage energy better

[datensicherheit.de, 04.02.2011] Der wachsende Anteil erneuerbarer Energien wie Windstrom oder Solarstrom erschwert zunehmend die Steuerung des Energienetzes, denn diese sind nicht ständig verfügbar und nur begrenzt speicherbar. Einspeisung und tatsächlicher Verbrauch müssen einander aber zu jedem Zeitpunkt entsprechen. Da die Zu- und Abschaltung von Kraftwerken teuer und unökonomisch ist, wird über „intelligente Stromnetze“ (auch „Smart Grids“ genannt) nachgedacht. Ein solches soll die Steuerung des Energieverbrauchs in Abhängigkeit von der Verfügbarkeit ermöglichen. Dazu muss das klassische Stromnetz um ein Kommunikationsnetz ergänzt werden, in dem Verbrauchswerte übermittelt und die direkte oder indirekte Steuerung von Haushaltsgeräten möglich wird. Daraus ergeben sich gänzlich neue Herausforderungen an den Datenschutz und die Datensicherheit. Diese Fragen wurden beim 1. „Smart Grid Symposium“ am 1. und 2.2.2011 in Ettlingen zwischen Datenschützern, Geräteherstellern, Aufsichtsbehörden und Energieversorgern erörtert:

• Dr. Moritz Karg vom Unabhaengigen Landeszentrum für Datenschutz in Schleswig-Holstein forderte „Privacy by design“, also die Integration von Datenschutzerfordernissen bereits beim Entwurf der erforderlichen Zähler und Komponenten. Die derzeitigen Lösungen erforderten die freiwillige Einwilligung des Nutzers. Dies berge für die Netzbetreiber ein erhebliches Investitionsrisiko.
• Wie eine datenschutzfreundliche Lösung aussehen könnte, die Verbrauchsermittlung und Abrechnung ermöglicht, stellte Tobias Jeske von der TU Hamburg-Harburg vor.
• Klaus J. Mueller vom Karlsruher Beratungsunternehmen Secorvo legte dar, wo bei der Zusammenführung von Elektrotechnik und Informatik im „Smart Grid“ die Gefahren lauerten – besonders gefährlich wäre ein Mechanismus zur Abschaltung der Stromversorgung eines Haushaltes, denn würde dieser gehackt, könnte ein Angreifer ganze Städte vom Stromnetz trennen.
• Dirk Rohlfing, Autor des in der Szene bekannten „Smart-Energy-Blogs“, erinnerte daran, dass die Haupttriebfeder für die Entwicklung von „Smart Grids“ in den USA der Schock der Terroranschläge von 2001 gewesen seien und es daher vorrangig auf die Verfügbarkeit von Strom ziele. In Deutschland hingegen ergebe sich die Notwendigkeit für das intelligente Stromnetz aus dem Bestreben, den Anteil erneuerbarer Energien am Energiemix zu erhöhen. Die Entwicklung in Bezug auf die Sicherheit habe daher hierzulande verzögert begonnen. Mit dem am 28. Januar 2011 vorgestellten Schutzprofil für „Smart Meter“ des Bundesamtes fuer die Sicherheit in der Informationstechnik (BSI) sehe er Deutschland aber auf einem guten Weg.

Die Vielschichtigkeit der rechtlichen und technischen Anforderungen an „Smart Meter“ und „Smart-Grid“-Lösungen wird nach Einschätzung der Secorvo Security Consulting GmbH absehbar zu einer weiteren Zunahme der Bedeutung von Datenschutz und Datensicherheit führen. Kaum ein Verbraucher dürfte akzeptieren, dass sein Verbrauchsprofil (U.a. Erfassung, wann gekocht wurde, Wann gewaschen? Wann ist niemand zu Hause?) ohne Not im Stromnetz verteilt werde.

Weitere Informationen zum Thema:

Secorvo Security Consulting GmbH
„Datenschutz in intelligenten Stromnetzen“ / „1. Smart Grid Symposium“ von Secorvo in der Buhlschen Mühle, Karlsruhe/Ettlingen

[datensicherheit.de, 01.02.2011] TeleTrusT Deutschland e.V. begrüßt die Initiative des Bundesministeriums für Wirtschaft und Technologie bzw. des Bundesamts für Sicherheit in der Informationstechnik zur Erstellung eines Schutzprofils für Gateways eines Smart-Metering-Systems. Dies sei ein wichtiger Beitrag zur Gewährleistung der IT-Sicherheit im gesamten intelligenten „Internet der Energie“:
Um die Netzlast zu optimieren und eine stabile Energieversorgung sicherzustellen, ist eine zeitgenaue und automatisierte Abstimmung von Erzeugung, Netzlast und Verbrauch erforderlich. Die dafür notwendige Kommunikation erfolgt über ein IP-basiertes Kommunikationsnetz, das sogenannte „Internet der Energie“, welches aus einem reinen Energienetz ein so genanntes Smart Grid macht.
Dies eröffne gleichermaßen große Chancen, erfordere aber auch Lösungen für große Herausforderungen, um die Wirtschaftlichkeit, Versorgungssicherheit und Umweltverträglichkeit sicherzustellen. Voraussetzung für die intelligente Zusammenführung des Energienetzes durch Informations- und Kommunikationstechnologie sei ein hohes Maß an IT-Sicherheit. Ohne die Implementierung wirksamer Sicherheitsfunktionalitäten zur Steuerung des „Smart Grids“ seien die Risiken durch unberechtigte Zugriffe, Manipulation, Implementierungs-, Wartungs- oder Updatefehler, Schadcodes oder unberechtigte Funktionsausführungen nicht tragbar, so TeleTrusT. Zusätzlich müssten bei der laufenden Erfassung, der Verarbeitung und der Übermittlung von sensiblen Daten natürlich alle Datenschutzanforderungen erfüllt sein. Um die Sicherheitseigenschaften von den hierzu notwendigen Messgeräten, den sogenannten kommunikationsfähigen „Smart Meter“, die beim Verbraucher platziert würden, geeignet beschreiben und bewerten zu können, werde empfohlen, die international anerkannten sogenannten Common Criteria zu nutzen. Die Anwendung dieser Kriterien habe sich bei einer Vielzahl von IT-Sicherheitskomponenten bewährt. Diese „Common Criteria“ ermöglichten eine genaue Beschreibung von produktspezifischen Sicherheitsanforderungen im Rahmen von Schutzprofilen. Geeignete Schutzprofile bei der Produktentwicklung von kommunizierenden „Smart Meter“ erleichterten deren Evaluierung in einer angemessenen Prüftiefe.
Sie führten zu Lösungen, die in besonderem Maße den spezifischen IT-Security-Anforderungen der Energiebranche entsprächen wie auch den Datenschutz auf Seiten des Endverbrauchers unterstützten.

[datensicherheit.de, 28.01.2011] Staatssekretär Jochen Homann hat am 28. Januar 2011 im Bundesministerium für Wirtschaft und Technologie (BMWi) die „Erste Tagung zur Entwicklung eines Schutzprofils für Smart Meter“ eröffnet:
Das BMWi hatte im September 2011 das Bundesamt für Sicherheit in der Informationstechnik (BSI) beauftragt, ein Schutzprofil für intelligente Messsysteme (sog. „Smart Meter“) zu entwickeln, denn Smart-Metering-Systeme als wesentlicher Bestandteil Intelligenter Netze („Smart Grids“) müssten hohen Anforderungen an Datenschutz und -sicherheit genügen.
Die Tagung ist nach dem „E-Energy Jahreskongress“ Mitte Januar 2011 bereits die zweite prominente Veranstaltung, bei der Datenschutz- und Datensicherheitsaspekte in einem künftigen „Internet der Energie“ im Vordergrund stehen. Sie ist der Auftakt einer Reihe, an deren Ende die Übergabe eines Zertifikats über ein Schutzprofil für Smart-Meter stehen soll. Tagungsteilnehmer sind Verbandsvertreter aus den Bereichen Telekommunikation, Energie, Technik, Wohnungswirtschaft und Verbraucherschutz sowie Fachexperten für Sicherheitstechnologie. Eng eingebunden in das „Schutzprofil-Projekt“ sind der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), die Physikalisch-Technische Bundesanstalt (PTB) und die Bundesnetzagentur.

Weitere Informationen zum Thema:

BMWi
Intelligente Netze und intelligente Zähler – Smart Grids/Smart Meter