Was bedeutet Datensicherheit in Bezug auf Smart Metering?

Transkript

1 SWiBi Was bedeutet Datensicherheit in Bezug auf Smart Metering? Fachanlass 2018 Gian Collenberg IT-Sicherheitsverantwortlicher

2 Was hat zum «Blackout» geführt? Gemäss StromVV: Abdeckung von 80% Messpunkte in 10 Jahren (2018 bis Ende 2027) 2

3 Inhalt Ausgangslage in der Energiebranche Aktuelle Herausforderungen Bedrohungslage Veränderungen durch den Smart-Meter-Rollout Angriffsfläche Schutzziele Verschlüsselungsmethoden 3

4 Begriffe 4

5 Cyber War Aktuelle Herausforderungen Digitalisierung Gesetzliche Anforderungen Steigende Bedrohungslage Cyber Security Risikofaktor Mensch Darkweb Professionalisierung der Angreifer Datenschutz Internet of Everything (IoE) ISO Sicherheitsvorfälle nehmen zu Cloud Internet of Things (IoT) DSG/DSGVO Vernetzung Cyber Crime Datensicherheit 5 Malware as a Service Mitarbeiter Awareness

6 Aktuelle Herausforderungen 6

7 Sich in die Lage eines Hackers versetzen Überblick verschaffen Was gibt es zu holen? Wie gut ist es gesichert? Wo kann ich angreifen? Lohnt es sich? 7

8 Was hat ein EVU zu bieten? Daten Kundendaten Vertragsdaten Rechnungsdaten Messdaten 8

9 Was hat ein EVU zu bieten? - Kundendaten Kunden hat «noch» keine Wahl Personendaten Adressdaten Adresse Telefonnummer Fall Datenklau Swisscom, '000 Kontaktdaten PCtipp: Swisscom-Datenklau: «Adressdaten alleine nützen noch nichts» Kreditkarten 9 Quelle:

10 Was hat ein EVU zu bieten? - Kundenportal Kundendaten Kunde A sieht Daten von Kunde B Wie wird Kunde A bei der Registrierung als Kunde A identifiziert? Kunde A sieht nach Auszug immer noch Verbrauchsdaten? Kundenportal als Einfallstor Zugriff auf Backend Systeme Manipulation der Daten 10

11 Was hat ein EVU zu bieten? Kritische Infrastruktur Stromnetz Verbraucher Kraftwerke 11

12 Kritische Infrastruktur Aussagen: «Dieselbe Hackergruppe, die für den Stromausfall in Kiew sorgte, hat auch in Deutschland Netzwerke von mindestens zwei Energieversorgern infiltriert.» «Den Hackern gelang es anscheinend, sich in den internen Netzwerken auszubreiten.» 12 Quelle:

13 Smart Metering Übersicht Wide Area Network (WAN) 13

14 Was macht Smart Metering interessant? Messdaten Lasten steuern Einbrecher Konkurrenz Steueramt Einbrecher Strom abschalten Lasten schalten Blackout 14

15 Schutzziele Smart Metering Vertraulichkeit Integrität Verfügbarkeit Authentizität Daten nur für autorisierte Benutzer einsehbar- und änderbar. Zugriff auf Zähler und Einsicht der Messdaten nur für Systembetreuer Messdaten oder Steuerbefehle bei Übertragung nicht einsehbar Daten dürfen nicht verändert werden. Messdaten und Steuerbefehle nicht verändert zwischen Zähler und System Zugriff auf Daten muss sichergestellt sein. Messdaten gemäss Anforderungen verfügbar Zugriff auf Zähler jederzeit möglich Daten stammen von vertrauenswürdiger Quelle. Messdaten kommen vom Zähler Steuerbefehl kommt vom System 15

16 Smart Metering - Systemaufbau WAN 16

17 Angriffspunkte rund um den Zähler Gefahren: Schnittstellen Passwörter Software Netzwerkanschluss Massnahmen: Device-Hardening Standardpasswörter ändern Nicht nötige Schnittstellen und Funktionen deaktivieren Updates Netzwerkschutz Geräteidentifizierung nur für erlaubte Geräte Zugriffsregeln 17

18 Was passiert, wenn eine kritische Sicherheitslücke in der Zählersoftware erkannt wird? 18 Quelle:

19 Smart Meter Firmware Update Wie erfahre ich von eine kritischen Sicherheitslücke? Wie reagiere ich auf die Meldung zu einer kritischen Sicherheitslücke einer bei mir eingesetzten Version? Wie ist das Vorgehen zum Aktualisieren der Firmware aller installieren Smart Meter? Wie lange dauert es, bis alle Smart Meter im Feld aktualisiert sind? 19

20 Angriffspunkte Datenkonzentrator Gefahren: Schnittstellen Passwörter Datenspeicherung Software Netzwerkanschluss Massnahmen: Device-Hardening Updates Verschlüsselung Netzwerkschutz Geräteidentifizierung nur für erlaubte Geräte Zugriffsregeln Segmentierung physischer Zugriffschutz 20

21 Beispiel Internet-Router 1. Standardpasswort ändern 2. WLAN Netzwerk Verschlüsselung 3. regelmässig Updaten 4. Netzwerkgeräte erkennen Machen wir das auch beim Smart Meter? 21

22 Angriffspunkte System Gefahren: Zugriffsberechtigungen (User, Rollen) Standartpasswörter Software Lieferanten / Partner Massnahmen: System-Hardening DB-Passwörter Updates Zugriffsberechtigungen Konzept Überprüfung Verträge 22

23 Branchenvorgaben Datensicherheitsprüfung intelligentes Messsystem Nur zertifizierte Messsysteme dürfen eingesetzt werden. Bin ich dadurch automatisch sicher? Konfiguration Betrieb Updates Umsysteme ICT-Umgebung Mitarbeiter 23

24 Angriffspunkte Mitarbeiter Gefahren: Systemanwender Systembetreuer IT-Administrator Massnahmen: Zugriffsberechtigungen Rollen Passwörter 2 Faktor Authentifizierung Awareness Information Schulungen Audit 24

25 Social Engineering Informationsbeschaffung Mitarbeiter mit privilegiertem Zugriff Passwörter «herausfinden» Phishing Mail «Credential Stuffing» Hintertüre platzieren Malware 25

26 Schutzziele Smart Metering Vertraulichkeit Integrität Verfügbarkeit Authentizität Daten nur für autorisierte Benutzer einsehbar- und änderbar. Daten dürfen nicht verändert werden. Zugriff auf Daten muss sichergestellt sein. Daten stammen von vertrauenswürdiger Quelle. Zugriffsschutz Authentifizierung Berechtigungen Verschlüsselung Hash-Funktionen Redundante Systeme Monitoring Intrusion Detection Zertifikate 26

27 Verschlüsselung bei Smart Metering WAN 27

28 Hybride Verschlüsselung Alice Bob «Session Key» «Session Key» Daten verschlüsselte Daten Daten 29

29 Zertifikate und PKI Zertifikateinhalt Antragsteller öffentlicher Schlüssel Zertifizierungsstelle Zertifizierungsstelle CA: Certificate Authority stellt Zertifikate aus PKI: Public Key Infrastructure 30

30 Verschlüsselung bei Smart Metering WAN Symmetrische Verschlüsselung 31

31 Verschlüsselung bei Smart Metering Root CA TLS Verbindung über WAN Strecke Symmetrische Verschlüsselung Hybride Verschlüsselung 32

32 Sind verschlüsselte Daten in jedem Fall sicher? Aufwand und verfügbare Zeit für Angriff Verwendete Technologie und Schlüssellänge AES (192bit und 256bit) gelten heutzutage noch als sicher Pcwelt.de: Forscher können den AES256-Schlüssel mit billiger Elektronik knacken Besitz geheimer Schlüssel 33 Quelle:

33 Sind verschlüsselte Daten in jedem Fall sicher? Hackers Don t Break Encryption, They Find Your Keys 34 Quelle:

34 Wie bewahre ich meine Schlüssel sicher auf? Personal Security Environment (PSE) sichere Aufbewahrung für geheimen Schlüssel separierter Bereich von restlichen Daten mit Krypto-Prozessor: Ver- und Entschlüsseln geheimer Schlüssel verlässt diesen geschützten Bereich nicht Beispiele: Smart Card Hardware Security Module (HSM) 35

35 Sicheres Smart Metering? 36

36 Erfolgreich schützen durch umfangreiche Massnahmen technische Massnahmen Verschlüsselung inkl. Schlüsselkonzept Software Lifecycle Monitoring Netzwerkzugriff Authentifizierung organisatorische Massnahmen Mitarbeiter Schulung Prozesse Audit Strukturen 37

37 Wo fange ich an? Wie gehe ich vor? Cybersecurity-Schnelltest für KMU vom Dachverband ICTSWITZERLAND Bundesamt für wirtschaftliche Landesversorgung BWL: IKT-Minimalstandard Standards und weitere Informationsquellen: ISO/IEC Reihe Zertifizierung nach ISO27001 Bundesamt für Sicherheit in der Informationstechnik (BSI): IT Grundschutz Kompendium National Institute of Standards and Technology (NIST): Cyber Security Framework 38

38 Zusammenfassung Bedrohungslage Angriffsziele Risikoanalyse Massnahmen Überprüfung 39

39 Sicherheit ist ein Prozess, kein Produkt 40 Zitat: Bruce Schneider, renommierter Experte in der Informationssicherheit

40 Herzlichen Dank für Ihre Aufmerksamkeit. Wir freuen uns auf den Austausch mit Ihnen in der Kaffeepause. Sie finden alle Präsentationen zum Download unter 41