Systemsicherheit ermöglicht Energiewende

Transkript

1 Informationstag "IT-Sicherheit im Smart Grid" Berlin, Systemsicherheit ermöglicht Energiewende Jörn Müller-Quade, KASTEL, KIT

2 Systemsicherheit ermöglicht Energiewende Jörn Müller-Quade, KASTEL, KIT KOMPETENZZENTRUM FÜR ANGEWANDTE SICHERHEITSTECHNOLOGIE KIT Universität des Landes Baden-Württemberg und nationales Forschungszentrum in der Helmholtz-Gemeinschaft kastel.kit.edu

3

4 The IEEE s version of a Smart Grid

5 The IEEE s version of a Smart Grid Komplex, Computergesteuert und Angreifbar

6 Privacy I Stromverbrauch verrät Lebensgewohnheiten

7 Privacy II

8 Sabotage Zukünftige Bedrohungen (eenergy) Smart Meter Big Brother Blackout

9 IT-Systeme sind komplex

10 Stuxnet! Wie konnte das passieren? Spiegel

11 Stuxnet! Wie konnte das passieren? Wir haben keine Systemsicherheit. Wer hat versagt? Spiegel

12 The End of Crypto Große Fortschritte

13 The End of Crypto Computer sind frei programmierbar Große Fortschritte

14 The End of Crypto Computer sind frei programmierbar Große Fortschritte Trotzdem unsicher Malware direkt auf dem Computer macht allen weiteren Schutz obsolet

15

16 Securing the Complete Technology Stack System! Jede Schicht gibt Garantien (nach oben) Komponenten Software Betriebssyst. Hardware! Jede Schicht benutzt Annahmen und Garantien von der darunterliegenden Schicht! Bisher werden die Schichten unabhängig voneinander geschützt.! Bisher keine durchgängige Garantie

17 Securing the Technology Stack System Komponenten Sicherheit auf Architekturebene Software Betriebssyst. Hardware

18 Securing the Technology Stack System Komponenten Software Verifikation, Information-Flow- Control Betriebssyst. Hardware

19 Securing the Technology Stack System Komponenten Software Betriebssyst. Isolation und Sandboxing Hardware

20 Securing the Technology Stack System Komponenten Software Betriebssyst. Hardware Harvard Architektur HW-Verifikation? Hilft nicht gegen HW-Trojaner

21 Interdisziplinär System Komponenten Software Betriebssyst. Hardware 21

22 Drei Prototypen Cloud eenergy Sicherheit in öffentlichen Räumen 22 Karlsruhe Institute of Technology (KIT)

23 Kryptographie garantiert Sicherheit, wenn der Programmcode fehlerfrei ist. Software Engineering schafft gute Code-Qualität 23 Karlsruhe Institute of Technology (KIT)

24 Kryptographie garantiert Sicherheit, wenn der Programmcode fehlerfrei ist. Software Engineering schafft gute Code-Qualität Aber, sind die Fehler, die SE vermeidet dieselben Fehler, die Sicherheit kosten? Was steht über Sicherheit in der Spezifikation? 24 Karlsruhe Institute of Technology (KIT)

25 Kryptographie garantiert Sicherheit, wenn der Programmcode fehlerfrei ist. Verifikation beweist, dass die Spezifikation erfüllt ist 25 Karlsruhe Institute of Technology (KIT)

26 Kryptographie garantiert Sicherheit, wenn der Programmcode fehlerfrei ist. Verifikation beweist, dass die Spezifikation erfüllt ist Sind die Spezifikationen vollständig? Was verifiziert man bei einem OS? Implizieren die Eigenschaften, die verifiziert werden Sicherheit? 26 Karlsruhe Institute of Technology (KIT)

27 Security ist Confidentiality, Integrity und Availability Kryptographie modelliert Availability nicht. 27 Karlsruhe Institute of Technology (KIT)

28 Security ist Confidentiality, Integrity und Availability Kryptographie modelliert Availability nicht. Was bedeutet CIA für datenschutzkonforme Überwachung? Was bedeutet CIA für Cloud Computing? 28 Karlsruhe Institute of Technology (KIT)

29 Freedom from risk or danger Sicherheit Deniability Simulatability Confidentiality Integrity Availability Absence of Information Flow Game Based Incoercibility UC/c IND-CCA2 UC Indistinguishability from an Ideal Specification 29 Karlsruhe Institute of Technology (KIT)

30 30 Karlsruhe Institute of Technology (KIT)

31 KASTEL 31 Karlsruhe Institute of Technology (KIT)

32 Systemsicherheit System Architekturbasierte Sicherheit Komponenten Software Betriebssyst. Hardware 32

33 Wir sichern die Anwendung auf Architekturebene Separation of Duties Need to know Prinzip kleine unkorrumpierbare Anker Aber Anwendungsspezifisch Nicht durch den Kunden prüfbar Auditable Security?

34 Architekturbasierte Sicherheit Grundprinzip: Zerteilen in Module mit Separation of Duties und need to know. = IDS FW... Modellierung wie MPC, aber realistische Korruption von Maschinen IDS

35 Ferndiagnose eines Kraftwerks Modell

36 Aufteilen einer Datenbank Nicht die Einträge, sondern die Zusammenhänge werden geschützt

37 Einer Firewall misstrauen = FW 1 FW 2 Ist beweisbar mindestens so sicher wie die unkorrumpierte Firewall

38 Vorteile! Geeignet für komplexe Systeme (aber anwedungsspezifisch)! Übertragbar auf Softwaremodule, Integrierbar in bestehende Systeme! Gemeinsame Abstraktionsebene mit der Softwaretechnik => bessere Einbindung in den Entwicklungsprozess (durchgängige Entwicklung)! Zerteilen in einfache Module: Komplexität wird beherrschbar. Die Systemsicherheit lässt sich auf die Sicherheit der Module zurückführen.! Verständlich, überzeugend und mathematisch fundiert

39

40

41 System of Systems System Komponenten Ein Problem für die Zukunft: Emergente Effekte Unvollständige Spezifikation... Software Betriebssyst. Hardware