SAP SECURITY 2017
22.11.17 - 22.11.17
In Walldorf, Leonardo Hotel

Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

Cyber AttackWenn man zusammenfasst, was die großen Nachrichtenagenturen veröffentlichen, wirkt es, als ob nationale kritische Infrastrukturen, insbesondere der Energiesektor, mit Sicherheitslücken gespickt und damit reif für einen katastrophalen Cyberangriff wären. In Wirklichkeit haben wir einen solchen Angriff (zum Glück) noch nicht erlebt.

Abgesehen von übergeordneten politischen Gründen wie Angst vor Vergeltung und weitreichenden wirtschaftlichen Auswirkungen, ist es vielleicht möglich, dass wir noch keinen solchen Angriff erlebt haben, weil die Sicherheitslücken überbewertet oder die Wahrscheinlichkeit hochgespielt wurden?

Hier einige persönlichen Gedanken zum Thema. Ein kleiner Hinweis vorab. Damit wir uns richtig verstehen: Ich will beileibe nicht unterstellen, dass wir "aus dem Gröbsten raus sind" und uns um die Cybersicherheit unserer Energieversorgungsnetze keine Sorgen machen müssen. Ganz im Gegenteil. Es geht darum, kontinuierlich Best Practices weiterzuentwickeln, entsprechenden Normen und Richtlinien Geltung zu verschaffen, aber auch branchenspezifische Technologien voranzutreiben. Insbesondere, da Energiesysteme inzwischen mit dem Internet verbunden sind.

Was ich lediglich versuche ist, die großen drei - Befürchtungen, Ungewissheit und Zweifel - durchzuspielen und zu beleuchten, warum es bisher gelungen ist, die Energienetze weitestgehend zu schützen.

Kritische Systeme nicht mit dem Internet verbunden, neue intelligente Systeme von Anfang an gesichert

Netzanbieter werden jeden Tag gehackt (2015 sind dem Industrial Control Systems CyberEmergency Response Team [ICS-CERT] 303 Vorfälle gemeldet worden). Die meisten dieser Hacks waren erfolglos, da kritische Systeme, entweder nicht im Netz oder nur von privaten Netzwerken aus zugänglich waren (d.h. sie werden nicht über das Internet betrieben). Ältere Systeme sind bereits nachgerüstet worden, aber auch die meisten dieser Systeme sind nicht im Netz.

Die nächste Generation intelligenter Netzsysteme wurde demgegenüber von Anfang an im Hinblick auf Sicherheit konzipiert. Ein gutes Beispiel ist das Open Field Message Bus (OpenFMB) Framework, das eine Spezifikation für Feldgeräte bei intelligenten Energiesystemen bietet. Das Rahmenwerk nutzt eine nicht-proprietäre und standardbasierte Referenzarchitektur, die aus Internetprotokoll (IP) -Vernetzung und Internet of Things (IoT) Datentransfer besteht. OpenFMB ist eines der Projekte der Energy IoT Initiative des Smart Grid Interoperability Panels (SGIP), das entwickelt wurde, um IoT-Innovationen in der Energiewirtschaft zu beschleunigen.

Wie sich in anderen Branchen wie Automobil, Fertigung und beim Konzept der intelligenten Städte gezeigt hat sind Mehrwertdienste durch IoT-Neuerungen rund um Energienetze in nahezu unbegrenzter Zahl möglich. Trotzdem haben auch hier Sicherheitsbedenken oberste Priorität. Die Standardentwicklung spielt dabei eine ganz entscheidende Rolle. In den USA haben sich dazu die North American Energy Standards Boards (NAESB) und OpenFMB zusammengetan. So ist eine Reihe von komplementären und verbindlichen Standards für Energieversorgungsunternehmen entstanden. Damit sie nicht im luftleeren Raum existieren sind Kooperationen mit weiteren Verbänden unumgänglich. Nur das gewährleistet, dass die Industrie ausreichend beteiligt ist und die Standards schneller umgesetzt werden.

Oberste Priorität: Ausfallsichere Netze

Wenn man sich genauer ansieht wie Energieversorgungsnetze gemanagt werden, halte ich einen landesweiten Netzausfall für eher unwahrscheinlich. Ein hochdichter Ausfall in einer Großstadt ist hingegen durchaus denkbar. Allerdings eher als Folge von Sprengstoffzündungen in einem Schacht, der Kabel zu etlichen Energieverteilerstellen enthält. Also ein Szenario, das auf physikalische Sicherheitslücken und nicht auf Cyberschwachstellen zurückzuführen ist. In jüngster Zeit hat sich der Fokus deutlich auf letztere verlagert.

Cybersicherheit ist im besten Interesse des Netzbetreibers

Man sollte nicht vergessen, dass Netzbetreiber Unternehmer sind, die Gewinn machen wollen. Und das funktioniert nur, wenn ihre Fähigkeit zur Erzeugung und Übertragung von Strom nicht beeinträchtigt ist. Die Zuverlässigkeit des Netzes hat oberste Priorität. Die Betreiber sind folglich extrem motiviert, Löcher zu stopfen und Ausfälle zu vermeiden.

Netzanbieter haben bereits wichtige Schritte unternommen, um einen unbefugten Zugriff auf ihre Systeme zu verhindern. Denn genau hier liegt der größte Schwachpunkt. Energieversorger-"Enduser" waren bereits sehr aktiv in der Identity and Access Management (IAM) Initiative des National Cybersecurity Center of Excellence (NCCoE), um den Strommarkt zu unterstützen, sichere IAM-Kontrollen zu implementieren, die mit vorhandenen Energiestandards korrespondieren.

Darüber hinaus nehmen Incident Response-Maßnahmen einen großen Teil der Forderungen der North American Electric Reliability Corporation (NERC) Critical Infrastructure Protection (CIP) ein. Es handelt sich dabei um eine Reihe von Standards, die entwickelt wurden, um das Stromnetz vor Cyberbedrohungen zu schützen. Daran sind alle Anbieter und Betreiber gebunden, um bei einem Ausfall und/oder Angriff, die Folgen abzumildern. Andere Institutionen müssen engmaschig eingebunden werden, will man bei einem Notfall eine schnelle Wiederaufnahme der Energieversorgung gewährleisten. Ein Beispiel ist der Notfallaktionsplan der ISO New England.

Ist ein groß angelegter Angriff unvermeidlich?

Ich bin mir sicher, dass ich diese Worte bereuen werde, aber ich glaube nicht, dass ein landesweiter katastrophaler Angriff wahrscheinlich ist. Ich sehe Angriffsnester, die sicher für eine bestimmte Region verheerend sein könnten. Ich gehe aber davon aus, dass mit den jüngsten, jetzt durchsetzbaren NERC CIP v5 Standards die USA viel besser vorbereitet sind als in der Vergangenheit, cyberbedingte Ausfälle zu verhindern, einzugrenzen und zu stoppen sowie Netzmodernisierungen zu unterstützen. Vergleichbare Standards und Gesetzesvorgaben gibt es auch in Europa. So zum Beispiel das Gesetz zum Schutz kritischer Infrastrukturen, das vor rund einem Jahr in Deutschland verabschiedet worden ist und dem allgemein eine Vorreiterrolle innerhalb der EU zugesprochen wird. Jüngsten Medienberichten zufolge hat die anfänglich skeptische Wirtschaft inzwischen ihre Zweifel weitgehend abgelegt und steht dem Gesetz positiv gegenüber.

Netzbetreiber und Behörden sollten gemeinsam an Pen-Tests arbeiten, um Sicherheitslücken zu entdecken und schließen, bevor sie ausgenutzt werden. Wir sollten Netze zukunftssicher machen, indem wir IoT-Sicherheitsspezifische Standards für bestimmte Branchen schaffen (z.B. Netzanbieter und Netzbetreiber). Nur so kann die Industrie starke Authentifizierung, Zugangskontrolle und Verschlüsselung in ihre Produkte einbauen, bevor sie auf den Markt kommen.

Lila Kee, GlobalSign

www.globalsign.com/de
 

GRID LIST
DNS

DNS wird zur ersten Verteidigungslinie gegen Cyber-Attacken

F-Secure und die Global Cyber Alliance bekämpfen künftig gemeinsam bösartige URLs mit…
Fisch aus Wasser

Gezielte Cyberangriffe von „MuddyWater“

Unit 42, das Forschungsteam von Palo Alto Networks, hat Cyberangriffe beobachtet, die sie…
Malware

Was Sie jetzt über Malware wissen müssen

Neue Viren, Ransomware und Co erfordern aktuelle Anti-Malware-Programme: Häufig ist die…
DDoS

Mehr komplexe DDoS-Attacken: Gaming-Industrie im Visier

In verschiedenen Ländern sind Ressourcen ins Visier der Angreifer geraten, ebenso wie wir…
Thomas Ehrlich

„Ordinypt“ entpuppt sich als gefährlicher Wiper

Die vermeintliche Ransomware „Ordinypt“ erweist sich als gefährlicher Wiper. Ein…
IT-Sicherheit

BSI Lagebericht: IT-Sicherheit in Deutschland 2017

Dank dem BSI und vielen anderen Security-Forschern liegen uns heute wesentlich mehr…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet