Cybersecurity Sicherheit in einem zunehmend ...
Transcript of Cybersecurity Sicherheit in einem zunehmend ...
public
public
Cybersecurity – Sicherheit in einem zunehmend digitalisierten Stromnetzbetrieb
Tim Montag, Head of Digital Energy System OperationKontakt: [email protected] +49 151 276 54 605
01.10.2020
public
Wer wir sind – umlaut ist eine globale Unternehmensgruppe aus spezialisierten Consulting- & Engineering-Firmen.
Cybersecurity – Sicherheit in einem zunehmend digitalisierten Stromnetzbetrieb 2
Überblick – Globales Powerhouse & Boutiques
Strategy & Innovation
Portfolio – Branchenübergreifende Kompetenz
Profil – Ende-zu-Ende Dienstleister Track Record – Unsere Kunden
> 50 Standorteweltweit
> 20 Tochtergesellschaftenmit einzigartigem Spezialwissen
> 2 Dekadenerfolgreiche Projektarbeit
> 4500 Mitarbeiteraus mehr als 80 Nationen
automotive& mobility
aerospace & defense
energy & utilities
health & lifescience
machinerytele-communication
publicsector
rail & logistics
People, Organization & Change
Process Design & Deployment
Project Management
Procurement & Supply Chain
Testing & Data Analytics
Software Development
Manufacturing & Engineering
Prototyping & Products
Wir konzipieren als Strategieberater unternehmensweite erfolgskritische Initiativen und steuern deren Umsetzung.
Wir arbeiten als Prozessberater und Projektmanager Hand in Hand mit unseren Kunden an der Realisierung
einer operativen Exzellenz.
Wir helfen unsere Kunden bei komplexen Technologie-Projekten und bieten Test- , Software-Entwicklung
& Engineering-Dienstleistungen.
Strategie
Management
Technologie
01.10.2020
public
LeitfrageSind wir ausreichend vor Cyberangriffen in einem zunehmend digitalisierten Stromnetzbetrieb geschützt?
Cybersecurity – Sicherheit in einem zunehmend digitalisierten Stromnetzbetrieb
public
Impuls⚫ Vor 30 Jahren begannen die Stromnetzbetreiber
ihre OT Komponenten im Stromnetz zu vernetzen
⚫ Der dadurch mögliche Fernzugriff brachte Komfortgewinn und Kosteneinsparungen
⚫ Allerdings ist der hohe Grad an „Standard IT-Komponenten“ in den OT Komponenten oft nicht bekannt - dabei überwachen und steuern OT Komponenten Teile der kritischen Infrastruktur
⚫ Das offenbart viele Schwachstellen für Angreifer und stellt Netzbetreiber wie regulierende Behörden vor Herausforderungen
Cybersecurity – Sicherheit in einem zunehmend digitalisierten Stromnetzbetrieb
public
THE FUTURE IS …
… ALREADY HERE
5
“Episodes of cyber warfare between states already exist. […] the next
war will begin with a massive cyber-attack to destroy military capacity...
and paralyze basic infrastructure such as the electric networks.”Antonio Gutterez,U.N. Secretary GeneralQuelle: Reuters – Portugal 19.02.2018
01.10.2020
public
Fakten zur heutigen CybersicherheitSeit 2013 werden Angriffe auf kritische Infrastrukturen verzeichnet – auch im Energiebereich!
6Quelle: IBM X-Force trend and risk report; HP cyber risk report; Symantec intelligence report, Siemens AG Unrestricted course material for TU Darmstadt
Cybersecurity – Sicherheit in einem zunehmend digitalisierten Stromnetzbetrieb 01.10.2020
public 7Cybersecurity – Sicherheit in einem zunehmend digitalisierten Stromnetzbetrieb 01.10.2020
public
Cybersicherheits-Maßnahmen müssen „Ende-zu-Ende“ betrachtet und implementiert werden!
8
SECURITY CONCEPTREVIEWS/CREATION
THREATMODELING
REQUIREMENTS DEVELOPMENT
/ANALYSIS
SECURITYTESTING
VENDOR RISK MANAGEMENT
MITIGATIONSTRATEGY
SECURITY LIFECYCLE
Local Control Remote TerminalUnit / PLC
Wide Area Networks Backend(SCADA/EMS)
Control CenterHMI
Substation BusSubstationCybersecurity – Sicherheit in einem zunehmend digitalisierten Stromnetzbetrieb 01.10.2020
public
SicherheitskonzepterstellungEin Cybersicherheitskonzept muss über den gesamten Lebenszyklus hinweg einheitlich sein – von der Planung bis in den Betrieb!
9
Beispiele:Security Design
⚫ Implementierung CSMS
⚫ Risikobewertung
⚫ Sicherheitszoneneinteilung
⚫ Sicherheitsimplementierung
Security Testing
⚫ Penetrationstest
⚫ Hardening verification
Secure Operation
⚫ Deep-Packet-Inspection (IDS/IPS)
⚫ Threat Intelligence (SOC, SIEM)
⚫ VRM (z.B. BitSight)
Ver
ifyRe
aliz
ePr
epar
e
Planning / Assessment Phase Implementation / Migration Phase
Operation Phase
Security Testing Security Testing Continuous Pen Testing & Incident Handling
Secure Coding
Secure Configuration
Secure policies Monitoring & Audits
Threat Modeling
Data Classification
Overall Security Architecture
IT & OT Security Assessment
User SecurityTraining
Incidents Response / Architecture Maintenance
Perform Patch Management
Cybersicherheitsmaßnahmen müssen sowohl in organisatorischen als auch in prozessbezogenen Bereichen angegangen werden und zum Teil durch eine technische Implementierung umgesetzt werden.
Secure Design
Cybersecurity – Sicherheit in einem zunehmend digitalisierten Stromnetzbetrieb 01.10.2020
public
Schutzstrategien
10
Zur Minimierung von Sicherheitslücken existieren verschiedene Ansätze
Neues Architekturdesign
Netzwerksegmentierung, Backups...
Passive Abwehr
Whitelisting (wenn möglich),DMZs & Firewalls zwischen
Netzwerksegmenten…
Quelle: www.sans.orgQuelle: ec.europa.eu
Aktive Abwehr
Netzwerküberwachung(IDS, IPS, SIEM),
Incident Response Pläne …
Intelligente Abwehr
Spezifische Abwehrlösungen (z.B. für SCADA Protokolle),
Data Mining ...
Protocol
KNN Threat detection
Offensive Abwehr
Sensibilisierung von Mitarbeitern, Isolation von
Systemen
Cybersecurity – Sicherheit in einem zunehmend digitalisierten Stromnetzbetrieb 01.10.2020
public
SchutzstrategienArchitektur zur Sicherheitsüberwachung von Stromversorgungssystemen
11
⚫ Ende-zu-Ende Sicherheitsstandards (IEC 62351) ebenso wie das BSI TR-02102 (Kryptographie Empfehlungen), z.B. nutzen von min. TLS 1.2
⚫ Verwendung von IDS / NSM gemäß IEC 62351-7 “Network & System Management (NSM) für Daten-und Objektmodelle” können nützlich zur Erkennung von modernen Angriffen sein
⚫ SIEM (Security Information & Event Management) & IDS (Intrusion Detection System) können zur Erkennung von unerwarteten Aktionen in Umspannwerken & SCADA Systemen eingesetzt werden
Cybersecurity – Sicherheit in einem zunehmend digitalisierten Stromnetzbetrieb 01.10.2020
public
Beispiel: Security Information & Event Management SystemEin SIEM kann ein Security Operations Center (SOC) unterstützen! Hier: AT&T ALIEN VAULT OSSIM
12
Was kann OSSIM?
⚫ IT Asset Erkennung & Inventar:IT-Asset-Register nützliche Daten
⚫ Schwachstellenanalyse: 150+ anpassbare Berichte, inklusive spezifischen Berichten
⚫ Angriffserkennung: Robustes Log Management, Log Suche & Log Langzeitsspeicherung
⚫ Verhaltensüberwachung
⚫ Und weiteres …
Cybersecurity – Sicherheit in einem zunehmend digitalisierten Stromnetzbetrieb 01.10.2020
public
Beispiel: Security Information & Event Management SystemMit der Hilfe von Open Threat Exchange, kann SIEM auf bis zu 3400 Korrelationsregeln zurückgreifen!
13Cybersecurity – Sicherheit in einem zunehmend digitalisierten Stromnetzbetrieb 01.10.2020
public
Automatisierter Austausch von Threat Intelligence
public
Beispiel: SUCCESSDie CI-SAN Idee: Ein Critical Infrastructure Security Analytics Network
15
Motivation
⚫ Verteilnetzbetreiber (VNB) versorgen mehr als 95% aller Kunden mit Strom und mehr als 90% aller erneuerbaren Energieerzeugung sind in Verteilnetzen angeschlossen.
⚫ Gleiche Hardware und Software Lösungen werden in ganz Europa verwendet. Das ermöglicht Angriffe auf mehrere Systeme gleichen Typs und gleicher Schwachstelle zur gleichen Zeit.
⚫ Im Falle eine Angriffs haben die VNB keine Möglichkeit miteinander zu kommunizieren.
“Kleine, aber ähnliche Angriffe” auf viele VNB könnten auf der VNB-Ebene nicht erkannt werden, selbst wenn dadurch ganz Europa betroffen wäre.
SA Node
trial site Ireland trial site Italy trial site Romania
DSO 1 DSO 2 DSO 3 DSO N
SDCIreland
SDCItaly
SDCRomania
SDCN
…
CI-SAN
Cybersecurity – Sicherheit in einem zunehmend digitalisierten Stromnetzbetrieb 01.10.2020
public
Beispiel: SUCCESS
16
Andere Lösungen fokussieren sich auf ein manuelle Benachrichtigungskonzepte:
⚫ Regional Security Coordinators (RSCs): Firmen unterstützen VNBs mit der Aufrechterhaltung der Betriebssicherheit
⚫ ENTSO-E startet das European Awareness System (EAS) um die VNBs über betriebliche Einschränkungen (z.B. Naturgefahren, Terroranschläge, …) zu informieren
⚫ Das EU-finanzierte ECOSSIAN* Projekt fokussiert sich auf nationaler Ebene und Textmining Analysen von IT-sicherheitsrelevanten Nachrichten, wie z.B. Forumseinträgen und Angriffsvektor-Beschreibungen
Das CI-SAN Konzept führt ein⚫ Auswertung von Originaldaten auf der höchsten (europaweiten) Ebene
⚫ Erkennung verteilter Angriffe die weder auf VNB- noch ÜNB-Ebene erkennbar sind
⚫ Informationsaustausch in annähernder Echtzeit zwischen Betreibern in unterschiedlichen Ländern sowie Behörden
⚫ Möglichkeit zur Koordinierung von Gegenmaßnahmen zwischen unterschiedlichen Betreibern!*http://ecossian.eu/
Die CI-SAN Idee: Ähnliche Lösungen und Neuheiten
Cybersecurity – Sicherheit in einem zunehmend digitalisierten Stromnetzbetrieb 01.10.2020
public
Beispiel: SUCCESS
17
Die CI-SAN Idee: Architektur und RollenSecurity Data Concentrator (SDC)
⚫ Befindet sich bei den kritischen Infrastrukturbetreibern, z.B. VNBs
⚫ Funktionen:
⚫ Sendet gesammelte Informationen an die SA-Node (1), um den Kommunikationskanal aufgrund einer potenziellen hohen Anzahl registrierter SDC Instanzen im System nicht zu überlasten
⚫ Sendet anonymisierte Daten an den SA-Node (1), um die länderspezifischen Datenschutzprobleme nicht zu missachten; SDC Instanzen sind von den VNBs/ÜNBs gehostet und daher länder- und betreiberspezifisch. Durch die Aggregation ist die lokale Anonymisierung möglicherweise nicht ausreichend.
⚫ Empfängt übergeordnete Bedrohungsmuster von SA-Node (2), da SA-Node eine umfassende Übersicht der Bedrohungslandschaft in Europa hat
SDC SDC
SA-Node
1 122
Cybersecurity – Sicherheit in einem zunehmend digitalisierten Stromnetzbetrieb 01.10.2020
public
Beispiel: SUCCESS
18
Die CI-SAN Idee: Architektur und Rollen
Security Analysis Node (SA-Node)
⚫ SA Nodes spannen ein Netzwerk über verschiedene Länder auf
⚫ Funktionen:
⚫ Bedrohungsidentifikation durch kombinierte aggregierte Daten der SDC Instanzen; Bedrohungen können in annähernder Echtzeit und ausschließlich auf der europäischen Informationsebene identifiziert werden
⚫ Informierung aller entsprechenden SDC Instanzen über gefundene Bedrohungen (2)
⚫ Empfehlung geeigneter, potenziell koordinierter Gegenmaßnahmen (2) für die verantwortlichen CI-Betreiber (e.g. VNBs) um die Bedrohungen zu verhindern oder die Behörden zu informieren
SDC SDC
SA-Node
1 122
Cybersecurity – Sicherheit in einem zunehmend digitalisierten Stromnetzbetrieb 01.10.2020
public
Beispiel: SUCCESS
19
Die CI-SAN Idee: Schnittstelle und andere kritische Infrastrukturen
Andere kritische Infrastrukturen⚫ Anwendung von CI-SAN in anderen kritischen Infrastrukturen:
Gas, Öl, Wasser, Transport und Verkehr, Gesundheitswesen, Finanzen, Nahrungsmittelindustrie, Regierung, Medien, Kultur möglich
Schnittstelle
⚫ CI-SAN API: Sicherheitsvorfälle, Gegenmaßnahmen, weiterer payload zwischen den unterschiedlichen Nutzern.
⚫ Basierend auf bereits standardisierten IODEF/IDMEF Formaten
CI-SAN API
CI-SOC API
Cybersecurity – Sicherheit in einem zunehmend digitalisierten Stromnetzbetrieb 01.10.2020
public
Beispiel: SUCCESS
20
Die CI-SAN Idee: AnwendungsfallbeispielSCADA DatenanalyseSecurity Data Concentrator level
⚫ Anbindung der Leitsystem Software von PSI für sicherheitsrelevante Events
⚫ Weiterleitung relevanter Kommunikation im Zusammenhang mit dem operativen Betrieb des Energiesystems sowie entsprechender Meldungen, z.B. Überschreitung von Schwellwerten von elektrischen Komponenten und Protokollierung von login/logout von Nutzern;
Protokollierte Events können eine Konsequenz eines europaweiten Cyberangriffs sein,welche auf isolierter betrachteter VNB/ÜNB Ebene als weniger relevant eingestuft werden könnten
Lokale Analyse auf VNB/ÜNB Ebene entscheidet über Einleitung von Gegenmaßnahmen
Cybersecurity – Sicherheit in einem zunehmend digitalisierten Stromnetzbetrieb 01.10.2020
public
Beispiel: SUCCESSDie CI-SAN Idee: Big Data Technologien werden für die technische Umsetzung genutzt
21
⚫ Up-to-date Big Data Technologien für Datenverarbeitung auf gesamteuropäischer Ebene
⚫ Hadoop und Spark (in-memory Technologie) für Datenverarbeitung, Kafka für Datenstreaming
⚫ HBase (verteilte Datenbank)
⚫ Grafana für die Datenvisualisierung
⚫ Hortonworks als Hadoop Distribution
⚫ VirtualBox für die Virtualisierung der Rechenknoten zur einfachen Wartung
⚫ Standalone Desktop PCs für Proof-of-Concept Implementationen von CI-SAN mit einem Rack Servergehostet im umlaut lab
Cybersecurity – Sicherheit in einem zunehmend digitalisierten Stromnetzbetrieb 01.10.2020
public
Your contäct.Rufen Sie gerne an.
umlaut energy GmbHAm Kraftversorgungsturm 3, 52070 Aachen, Germany
Office Hamburg: Glockengießerwall 26, 20095 HamburgOffice Munich: Wilhelm-Wagenfeld-Straße 26-30, 80807 MünchenTest Center: Hüttenstraße 5, 52068 Aachen
Wir sind ISO 9001:2015 und ISO 27001:2013 zertifiziert.
Tim MontagHead of Digital Energy System Operation
Tel: +49 151 276 54 605Email: [email protected]
22Cybersecurity – Sicherheit in einem zunehmend digitalisierten Stromnetzbetrieb 01.10.2020
public
Die Energiewende gestalten.
⚫ Unsere Kunden sind entlang der gesamten Energiewert-schöpfungskette und der gekoppelten Sektoren angesiedelt.
⚫ Mit unserem End-to-End-Portfolio schaffen wir nachhaltigen Mehrwert auf Top-Management-Ebene und für Facharbeiter.
⚫ Wir sind schnell und agil und handeln kurzfristig, streben aber immer eine langfristige Partnerschaft auf Augenhöhe an.
⚫ Unsere Dienstleistungen und Produkte basieren auf dem technologischen Wandel, dem unsere Kunden unterliegen.
⚫ Wir beraten und unterstützen unsere Kunden bei ihrem Geschäft, ihren Assets und der Digitalisierung.
⚫ Unsere Fähigkeiten spiegeln die Bedürfnisse unserer Kunden wider und der Ingenieurgeist inspiriert unseren Innovationsdrang.
Cybersecurity – Sicherheit in einem zunehmend digitalisierten Stromnetzbetrieb
Unsere Mission.
public
Unser Portfolio.
Strategie & Business Consulting• Strategie & Geschäftsmodelle
• Marktanalyse & -eintritte
• Marketing und Vertrieb
• Organisationsentwicklung
• Skalierung von Unternehmen
• Fusionen und Übernahmen
• Finanzen & Kostenmanagement
Projektmanagement
• Aufsatz & Durchführung von Projekten
• (Multi-) Projekt & Programm-Mgmt.
• Agile & klassische Methoden
• Stakeholder-Management
• Risiko-Management
• Projekt- und Zeitplanung
• Qualitätssicherung
Netze
• Modellerstellung & Parametrisierung
• Netzberechnung und -analyse
• Stabilitäts-Berechnungen
• Netzplanung
• Risikobewertung
• Fehleranalyse
• Verwaltung des Netzbetriebs
Systembetrieb
• Automatisierung / Operation Technologies (OT)
• Big Data & Künstliche Intelligenz
• Software Engineering & Consulting
• (Cyber) Security
• Datenstrategie & Use Cases
• Software-Testing & -Entwicklung
Energieinfrastruktur & Bau• Energetische Optimierung von
Liegenschaften
• Bauabwicklung-Dienstleistersteuerung
• Energieeffizienz & Leistungsoptimierung
• Bedarfsgerechte Erzeugung
• Energiespeicherlösungen
• Umsetzungsplanung
Wasserstoff & P2X
• Marktanalyse & Machbarkeitsstudien
• Strategieentwicklung
• Engineering Services
• Kostenmanagement
• Produktion und Supply-Chain-Management
• Systemanalysen
• Roll-Out und Infrastruktur
Kerntechnik
• Projektmanagement im Rückbau
• Prozessanalysen
• Entsorgungsplanung und Kampagnenbegleitung
• Endlagerdokumentation
• Freigabe nach §68 StrlSchG
• Strahlenschutzplanung
eMobility
• Markt- & Technologieanalyse
• Produkt- und Prozessmanagement
• Rollout & Implementierung von Lade-infrastruktur
• Lieferanten & Qualitätsmanagement
• Modellierung und Simulation
• Testing & Validierung
public
public
www.umlaut.com
26Cybersecurity – Sicherheit in einem zunehmend digitalisierten Stromnetzbetrieb 01.10.2020