Smart Grid Security Guidance (SG) 2

Transkript

1 Smart Grid Security Guidance (SG) 2 Empfehlungen für sichere Smart Grids in Österreich Dr. Lucie Langer Projektleiterin AIT Austrian Institute of Technology Gefördert durch das Sicherheitsforschungs- Förderungsprogramm KIRAS des Bundesministeriums für Verkehr, Innovation und Technologie.

2 Eckdaten Laufzeit: 2 Jahre ab November 2012 Verlängerung bis Juni 2015 beantragt Budget: 1,2 Mio. EUR 2

3 Forschungsthemen 3

4 4

5 Vorgehensweise Analyse relevanter Pilotprojekte IEM: Intelligent Energy Management Smart Web Grid DG DemoNetz Smart LV Grid DG DemoNetz Validierung ZUQDE: Zentrale Spannungs- und Blindleistungsregelung mit dezentralen Einspeisungen in der Demoregion Salzburg EMPORA: E-Mobile Power Austria AMIS Smart Metering Rollout Internat. Projekte Aktuelle Infrastrukturen Nationale Projekte OpenNode (EU FP7) EcoGrid EU (EU FP7) OGEMA (DE) Demand Response Automation Server (USA) Architekturmodell Abbildung der Systemlandschaften der involvierten Netzbetreiber 5

6 Abbildung auf SGAM Quelle: CEN- CENELEC- ETSI Smart Grid Coordina<on Group (2012): Smart Grid Reference Architecture 6

7 Ergebnis 7

8 8

9 Bedrohungskatalog Basis: Bedrohungen aus IT-Grundschutz und BSI-Schutzprofilen Ergebnis: 31 Bedrohungen in 6 Kategorien Fehlende / falsche Sicherheitsmechanismen Interne / externe Schnittstellen Authentifizierung / Autorisierung Integrität / Verfügbarkeit Vertraulichkeit Wartung / Systemzustand Anwendung auf IKT-Architekturmodell 9

10 Risikobewertung Risikokatalog = bewerteter Bedrohungskatalog Eintrittswahrscheinlichkeit Anzahl erfolgreicher Angriffe p.a. 1 1,5 2 2,5 3 3,5 4 4, ,5 2 2,5 3 3,5 4 4,5 5 sehr gering (1) mittel (3) sehr hoch (5) <0.1 p.a. >1 p.a. Auswirkungen Finanzielle Verluste Auswirkungen auf Business Continuity Reichweite (lokal / regional) 1,5 1,5 2,25 3 3,75 4,5 5,25 6 6,75 7, ,5 2,5 3,75 5 6,25 7,5 8, ,25 12, ,5 6 7,5 9 10, ,5 15 3,5 3,5 5,25 7 8,75 10,5 12, ,75 17, ,5 4,5 6, ,25 13,5 15, ,25 22, , , , ,

11 Ergebnisse Angriffe auf Fernwirknetz über Smart Grid Gateway Angriffe über Fernwartungszugänge Cluster Threat to Smart Buildings E- Mobility Customer Premises Low Volt. Gen. Med. Volt. Gen. Grid Testpoints Primary Substation Secondary Substation Grid Operation Metering Threat Cate- gory Avg. Authentication & Authorisation Applied Security Mechanisms Integrity & Availability Internal & ext. Interfaces Confidentiality & Data Protection Maintenance of Equipment 3,50 4,00 3,00 6,00 6,00 6,25 5,25 8,25 7,00 5,00 5,43 9,50 4,15 7,50 6,40 4,60 4,70 5,05 5,90 7,05 3,00 5,79 2,71 4,46 4,69 4,00 3,13 3,07 3,64 4,72 3,97 4,50 3,89 2,67 3,50 6,33 6,67 4,00 3,33 5,00 4,00 5,83 2,33 4,37 5,67 4,67 4,67 8,67 4,33 4,00 3,67 5,63 7,50 3,75 5,25 4,43 3,50 4,60 3,75 4,15 3,31 3,94 5,33 5,83 3,60 4,24 Component Cluster Avg. 4,75 4,05 5,13 5,91 4,37 4,11 4,42 5,64 6,20 3,70 Schutz von Erzeugungsdaten 11

12 12

13 Vorgehensweise Testsysteme: Secondary Substation AMIS Schnittstellenanalyse Passiv: Protokolle, Sniffing, Verschlüsselung Aktiv: Port Scans, Replay-Angriffe, Protokollmanipulation Tiefenanalyse SSA: CMIC AMIS: Smart Meter 13

14 14

15 Auszug Maßnahmenkatalog Bedrohungsk ategorie Architekturkom- ponenten Bedrohung generelle Maßnahmen Funktionale Gebäude E- Mobilität Ladeinfrastruktur & E- Mobilität- Management Erzeugungsanlage Mittelspannung fehlende / Fehlende oder falsche unzureichende Sicherheitsm Sicherheitsmechanismen echanismen von Software- Produkten Authentizität & Integrität von Software sicherstellen (Code Signing); ggf. im Vorfeld Penetrationstests durchführen; Internetzugriff nur beschränkt ermöglichen (ausschließlich dort, wo tatsächlich notwendig); Access Control; Fernwartungskommunikation über verschlüsselte Kommunikationstunnel; lokale Firewalls wo nötig bzw. sinnvoll; Sicherheitsanforderungen & relevante Standards für Hersteller (bzw. gesamte supply chain) - - z.b. bzgl. Tests und Patches/Upgrades - - vertraglich festschreiben und die Umsetzung regelmäßig überprüfen; Hersteller müssen eventuelle Backdoors oder (Wartungs- )Zugänge offenlegen und diese entsprechend geschützt werden Sehr relevant; das Smart Grid Gateway ist neben der HGA sowohl an das Internet als auch an die Secondary Substation Node angebunden; durch fehlende oder falsche Sicherheitsmechanismen sind hier Angriffe auf die Secondary Substation und ggf. dahinter liegende Komponenten (Fernwirk- WAN!) vorstellbar (EW: 3; AW: 4; RP hoch) Relevant für E- Mobility MS und Energy Market Subsystems; Gefahr des Einschleusens von Malware, was v.a. für öffentliche Ladestationen problematisch ist (ein EMS je Anbieter und somit potentiell zahlreiche Ladesäulen betroffen); Störung des E- Mobility MS durch manipuliertes EV (z.b. durch Anfordern einer zu großen Energiemenge und gleichzeitigem Außerkraftsetzen der vorgesehenen Plausibilitätschecks) (EW: 2; AW: 2-3; RP mittel) Internet als Medium kann das Ausnutzen von Schwachstellen bei einer hohen Anzahl an SMGs ermöglichen; Vollzugriff auf SMGs, jedoch keine direkte Steuerung von Erzeugungsanalagen aus dem Internet möglich (EW: 2; AW: 1; RP niedrig) AIT siehe generelle Maßnahmen; Geräte müssen beide Schnittstellen sicher trennen können, d.h. es darf weder eine Verbindung von der HGA ins Fernwirknetz möglich sein, noch ein Senden von Steuerbefehlen durch das Smart Meter (Nachweis evt. über Prüfzertifikat) (ENAG) siehe generelle Maßnahmen siehe generelle Maßnahmen 15

16 Evaluierung Bestimmung der gewichteten Anzahl der Einzelmaßnahmen über den gesamten Katalog hinweg Faktor 0,1 für niedriges Risiko Faktor 0,5 für mittleres Risiko Faktor 1,0 für hohes Risiko 1 1,5 2 2,5 3 3,5 4 4, ,5 2 2,5 3 3,5 4 4,5 5 1,5 1,5 2,25 3 3,75 4,5 5,25 6 6,75 7, ,5 2,5 3,75 5 6,25 7,5 8, ,25 12, ,5 6 7,5 9 10, ,5 15 3,5 3,5 5,25 7 8,75 10,5 12, ,75 17, ,5 4,5 6, ,25 13,5 15, ,25 22,5 46: Authentizität und Integrität sicherstellen 36: Sicherheitsevaluierung & Funktions- / Interoperabilitäts- / Pen-Tests 34: Change / Patch / Configuration Management 31: Netzwerksegmentierung & Abschottung versch. (Sicherheits-)Bereiche 25: Minimalprinzip 21: besonderer Schutz von (Fern-) Wartungszugängen; Incident Mgmt 19: mehrstufiges Sicherheitskonzept; physische Sicherheitsmaßnahmen 18: Sicherheitsanforderungen für Hersteller (bzw. gesamte supply chain) festschreiben und Nachweispflicht einführen (Zertifizierung) 5 5 7, , , ,

17 17

18 Rechtlich-soziale Begleituntersuchung Rechtliche Begutachtung hinsichtlich der Strafbarkeit ausgewählter Bedrohungsszenarien: - Stromdiebstahl - Abrechnungsbetrug mittels Manipulation des eigenen Stromzählers - Pures Hacken eines fremden Smart Meters - Ausspähen von Daten fremder Smart Meter bzw. des Konzentrators für kriminelle Zwecke - Manipulation der Daten fremder Smart Meter bzw. des Konzentrators für kriminelle Zwecke Untersuchung des Maßnahmenkatalogs auf seine rechtliche Umsetzbarkeit sowie seine gesellschaftliche Akzeptanz 18

19 19

20 Nächste Schritte Berücksichtigung der Testergebnisse in Risikound Maßnahmenkatalog Tool-Implementierung Verinice vs. CRISAM Evaluierung im Rahmen eines Gesamtsystems beim Projektpartner Energie AG Mehrwert der Sicherheitsmaßahmen 20

21 Das Projekt SPARKS Duration: 3 years Key Figures Start date: 1 st April, 2014 Budget: 3.4M Fraunhofer AISEC AIT Austrian Institute of Technology Demonstration Sites AIT SmartEST Laboratory Royal Institute of Technology (KTH) The Queen s University Belfast Landis + Gyr Energy Institute at the J. Kepler University Linz Consortium EMC RSA United Technologies Research Centre SWW Wunsiedel GmbH SWW Wunsiedel Smart Grid Nimbus Microgrid 21

22 SPARKS vs. (SG) 2 Weiterführung der Risikoanalysemethodik Strukturierte Bewertung von Eintrittswahrscheinlichkeit und Auswirkungen Berücksichtigung von Kaskadeneffekten Betrachtung rechtlicher und sozioökonomischer Fragestellungen auf EU-Ebene Stakeholder-Gruppe 22

23 AIT Austrian Institute of Technology your ingenious partner Dr. Lucie Langer, CISSP Safety & Security Department