IT-Sicherheit im Prozessnetzwerk von Energieversorgern

IT-Sicherheit im Prozessnetzwerk von Energieversorgern Erfahrungsbericht Frankfurt am Main, 16.6.2015 9. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit www.prego-services.de

Agenda 1. Managed Services für KRITIS 2. Aktuelle Lösungen und Probleme? Seite 2

Referent Peter Schreieck Teamleiter Communication & Network prego services GmbH Franz Zang-Straße 2 67059 Ludwigshafen Mail: peter.schreieck@prego-services.de Internet: www.prego-services.de Seite 3

prego services auf einen Blick Gesellschafter Personal Informationstechnologie Materialwirtschaft & Einkauf PFALZWERKE AG, Ludwigshafen VSE AG, Saarbrücken Energiewirtschaftliche Services Kennzahlen 527 Mitarbeiter 73 Mio. Umsatz in 2013 mehr als 340.000 Personalabrechnungen über 1.000.000 Endverbraucherabrechnungen mehr als 1.200 Server in eigenen Rechenzentren 200 Mio. Einkaufsvolumen ISO-27001-zertifizierter IT- Dienstleister 12 Jahre Erfahrung im Planen und Betreiben von kritischen Infrastrukturen Seite 4

1. Managed Services für KRITIS Überwachte Infrastrukturen Beratung NOC Seite 5

Schnittstelle ISMS ISMS Schutzbedarfsfeststellung Risikobewertung Beratung Secure by Design Realisierung und Betrieb von KRITIS Seite 6

Schutzbedarf der Informationen bewerten Risikobetrachtung der Betriebsabläufe Beispiel einer Risikobewertung

Wo bringen wir uns ein? Dienstleisterkette Fernwirktechnik Netzleitstelle NOC IT - Managed Services Carrier Anlage OT Kompetenz Büro IT Internet IT Kompetenz Seite 8

Network Operations Center - NOC ITIL organisiertes Incident- und Chance Management Überwachung der Infrastruktur Security Information und Event Management Qualifizierung Sicherungsvorfall Seite 9

z.b. Managed Service IP Weitverkehrsnetz Weitverkehrsnetz dient zur Netzführung inkl. TRA, Störwerterfassung, Schutzdatenfernauslesung, Fernwirk- und Funkparametrierung Fernwirkprotokoll IEC60870-5-104 Neue Anforderungen durch EEG (Einspeisemanagement ESM) Managen einer komplexen Sicherheitsthematik gegen Cyberangriffe Fernwartungszugang und Netzübergang Büro Netzwerk IT / OT Erfahrung im Betrieb von KRITIS seit 2002 Seite 10

z.b. Managed Service Prozessnetzwerk erneuerbare Energien Prozessnetzwerk für Gasturbinen, Heizwerken und Windparks Gemeinsame Leitstelle und Trennung vom Büro Netzwerk Sicherheitsbewusstsein bei Hersteller eher verhalten Managen von zahlreichen Fernwartungszugängen Erfahrung im Betrieb seit 2009 Seite 11

z.b. Managed Service: Security und Event Management Sofortige Reaktion auf Events und Abstimmung mit der Fernwirktechnik Überwachung und Qualifizierung der Sicherheitsmeldungen Bewerten von Sicherheitsvorfällen Management Tageszusammenfassung, Lagebild Seite 12

2. Aktuelle Lösungen und Probleme? Impressionen Probleme Hindernisse Seite 13

Best Practices mind. Maß an IT-Sicherheit? EVU meets www Netzautomation Einspeisemanagement Kommunikation Büro IT (GIS) Fernzugriffe Dienstleister Weitverkehrsnetz Umspannwerke Seite 14

Best Practices Sicherheitszonen einer Burg Rückzug in die innere Burg Ausguck Parole Mauern Toranlage Wassergraben Annäherungshindernisse Seite 15 Urheber: Memorator Eigenes Werk

Sicherheitszonen im KRITIS-Prozessnetzwerk RTU: Ortsnetzstation VPN- Router VPN Defense in Depth & Minimal-Need-To-Know Prinzip Sicherheits- Zone 1 Sicherheits- Zone 2 Sicherheits- Zone n physikalischer & organisatorischer Schutz Gateway zertifikatbasierter Verbindungsaufbau Firewall abgeschottetes Netzleitsystem RTU: Schaltstelle Gateway VPN ADSL keine Backdoors Internet Netzleitsystem RTU: Messstelle Gateway VPN SDSL private Leitungswege Event- Manager SIEM-Lösung Seite 16

Aufbau eines EEG-Schrank

Secure by Design Kann ein Drittanbieter wirklich alle IT Security-Anschlussbedingungen erfüllen? Seite 18

Zusammenspiel mehrerer Beteiligten Leitstelle Windparkbetreiber Internet Netzbetreiber Windpark Windcontroller mit Vorangschaltung Seite 19 Direktvermarkter

Zusammenspiel mehrerer Beteiligten Leitstelle Windparkbetreiber Dienstleister Überwachung Dienstleister Parkbetrieb Internet Dienstleister vom Parkbetrieb Eigentümer Gesellschaft Netzbetreiber Windpark Windcontroller mit Vorangschaltung Seite 20 Direktvermarkter

Zusammenspiel mehrerer Beteiligten Leitstelle Windparkbetreiber Internet Unübersichtliche Zugriffe Dienstleister Überwachung Dienstleister Parkbetrieb Gemeinsam genutzter Internetzugang für alle Beteiligten - Wegen Kostendruck - Dadurch keine Redundanz Dienstleister vom Parkbetrieb Eigentümer Gesellschaft Ist die Industrie sensibilisiert? gemeinsames Verständnis eines Mindestmaß an IT Sicherheit vorhanden? Kann der Netzbetreiber die IT Policy Netzbetreiber vorschreiben? Rechtliche Unterstützung? Windpark Windcontroller mit Vorangschaltung Seite 21 Direktvermarkter

Security Eventmanagement Folge von Meldungen Ausguck erzeugt Aufmerksamkeit verschafft Zeit behindert regulären Service nicht Hartes Abschalten blockiert Service lädt zu Sabotage ein (Überreaktion) Seite 22 Bildquelle: istock

Früherkennung von unüblicher Aktivität Aktion Meldungen Service Angreifer PC wird mit Router verbunden Link-Up Meldung?? PC baut Verbindung zum Router auf MAC-Filter-Meldung bekannt keine Meldung MAC kann man fälschen Anmeldung am Webinterface Passwortfehler (Browser versucht es immer erst ohne Passwort) 2. Versuch okay jeder Versuch erzeugt eine Meldung Konfiguration geändert Meldung geplante Arbeit Gefahr alles okay Angreifer aussperren! Seite 23

Management Report Überblick Sicherheitsmeldungen Seite 24

Sicherheitsmeldungen Alle Sicherheitsmeldungen der letzten 24 Stunden Ausgrenzung innerhalb der Wartungsfenster Wartungsfenster Seite 25

Alarme Sicherheitsmeldungen eines Geräts Wird eine Alarm-Stufe erreicht, erfolgt eine sofortige Reaktion, z.b. per Mail mit den auslösenden Events. Seite 26

Netzwerk Charakteristik Baseline der Log-Meldungen Anomalieerkennung Seite 27

Verfügbarkeit Up/Down im Zeitstrahl (1 = Up) Seite 28

Kommunikationsbeziehungen zur Leitstelle Fernwirkgerät kommuniziert mit der Leitstelle Fernwirkprotokoll IEC60870-5-104 Steuerbefehl Seite 29

Cyberangriffe von Außen Prüfung der Quell-IP-Adressen auf Status bei RIPE potentieller Angreifer Registrierte Angreifer- IP- Adresse Seite 30

Cyberangriffe von Außen Kartendarstellung von angreifenden IP-Adressen innerhalb 60 min. 20 Systeme haben ein Verbindungsversuch gestartet Seite 31

Excellence-in-M2M: Qualifizierte Partnerbasis Forderung: Kommunikation/Dialog zwischen Hersteller und Kunde Mit dem Hersteller INSYS- ICOM sehr gute Erfahrungen Austausch mit Fachhochschulen und Technische Universitäten Seite 32

Und was kommt noch? Horizontale Kommunikation (GOOSE) in Umspannwerken und Schaltanlagen z.b. Leistungsschalter für die Primärverteilung mit integrierten Sensoren, Schutz- und Steuerfunktionen => Safety und Security in einem Gerät Wir fordern mehr Sicherheit von den Hersteller: Best Practices für Hersteller, Betreiber und Integratoren Bessere Integration/Vereinbarkeit von Safety und Security Weitere Entwicklung von Defense-in-Depth-Strategien Quelle: http://www.abb.com Seite 33

Sicherheitszonen einer Burg SIEM-Lösung abgeschottetes Netzleitsystem zertifikatbasierter Verbindungsaufbau Firewall keine Backdoors Organisatorischer Schutz Physikalischer Schutz Seite 34 Urheber: Memorator Eigenes Werk

Herzlichen Dank für Ihre Aufmerksamkeit prego services GmbH Kontakt Neugrabenweg 4 66123 Saarbrücken Franz-Zang-Straße 2 67059 Ludwigshafen Fon: +49 (0)681 95943 0 Fax: +49 (0)681 95943 1000 Internet: www.prego-services.de E-Mail: info@prego-services.de