Informations- und Kommunikationstechnologie für Smart Grids · Informations- und Kommunikations-...
Transcript of Informations- und Kommunikationstechnologie für Smart Grids · Informations- und Kommunikations-...
Informations- und Kommunikationstechnologie
für Smart Grids
Peter Eder-Neuhauser 9.Dezember 2015
Informations- und Kommunikations- Technologie in Smart Grids
2
Kaltstart muss ohne IKT möglich sein (Fallback-Ebene)
Kommunikation zu jedem Knoten
Unterschiedlichste Informationen werden verarbeitet, produziert und gespeichert
Schwer handhabbare Menge an Informationen
Backbone-Kommunikationsinfrastruktur
Quelle: http://www.smartgrids.at/ am 8.2.2015
IKT bietet Angriffsfläche aus dem Cyber Space
Buchtipp: Blackout – Morgen ist es zu spät von Marc Elsberg
3
Wenige Großerzeuger in den höheren Spannungsebenen aber Großteil aller Verbraucher in den unteren Spannungsebenen (Verteilnetz)
Heute - zentralisierte Topologie im Stromnetz
SCADA basierte Leittechnik in den höheren Netzebenen
Keine Informationen über untere Netzebenen → Blindflug
Versorgung des Verteilnetzes basiert weitgehend auf Erfahrungswerten
Anschließen dezentraler Erzeuger verursacht ab einer gewissen Grenze Probleme im Verteilnetz
4
Zentralisiert Vollständige Kontrolle auf
höchster Ebene
Politisch heikel
Große Datenmengen – Überlastung und Latenzen
Single Point of Failure
Wahl fällt eher auf homogene Komponenten und erleichtert damit Angriffe
Angriffe auf die Infrastruktur einfacher
Ideale Energieoptimierung
Dezentralisiert Autonome Mikronetze
Keine zentrale Kontrolle
Resilienter Ansatz
Zukünftige Topologie – noch nicht entschieden
vs.
Anforderungen an IKT in Smart Grids
5
Was will ich mit Smart Grids machen? Wozu IKT?
• Smart Meter Abrechnung (best effort delivery in 15 min Mittelwerten) zeitunkritisch & verschlüsselt
• Smart Market über Energiemanager (Peak-Shaving) → Echtzeitdaten Dienstleistungen & Energiemarkt
• Netzleittechnik → Echtzeitdaten & Fernwirktechnik gesicherte & schnelle Kommunikation
Verschmelzung von Netzen für Smart Meter, Energiemarkt & Leittechnik hat aus Sicht der Ökonomie und Funktionalität Sinn
Gefahren bezüglich Sicherheit
Heute existieren gänzlich getrennte Infrastrukturen für Leittechnik und Abrechnung
Zeitbereich
Daten für Schutz- und Leitsysteme sind zeitkritisch
• Integer, authentifizierbar und verschlüsselt !
• Geschwindigkeit, Zuverlässigkeit und Integrität wichtiger als Vertraulichkeit
Daten für Gebäude-Regler, Energiemarkt oder Smart Meter sind nicht zeitkritisch
• Vertraulichkeit & Integrität sind wichtiger als Geschwindigkeit & Zuverlässigkeit
• Langsame Daten gut verschlüsseln und nach best effort zustellen, etwa wie eMails
• Daten könnten auch über Mobilfunk gesendet werden
Quelle: https://learningnetwork.cisco.com/thread/69899 , am 12.2.2015
IP (Internet Protocol)
9
verbreitet, gut erforscht und kostengünstig
Pakete warten beim Router bis sie verarbeitet werden
• Keine Garantien weil packet switched (Paketvermittelt)
• Pakete werden bei Überlastung verworfen
Alle Pakete gleichwertig
IP Netzwerke sind Best effort Netzwerke
Traditionelle Echtzeit Netzwerk z.B. Telefon
• Verlangt reservierte Bandbreite weil circuit switched (Leitungsvermittelt)
Höhere OSI-Schichten können Real Time ohne Zustellungsgarantie implementieren
Es gibt Echtzeit fähige Protokolle aber die müssen auf Link Layer eingreifen: Bsp: Time Triggered Ethernet, ProfiNet, PowerLink, EtherCAT
Garantien nur bei reservierten Kapazitäten sonst Problem der babbling idiots
IPv6 vs IPv4: größerer Adressbereich, auto configuration, Sicherheit implementiert
Quelle: VO Communication Networks Lecture 06, Network Layer: IP, von Prof. Dr. Tanja Zseby, Vienna University of Technology, am 16.2.2015
Protokolle
10
Große Anzahl an Protokollen im Einsatz
• Internet Protocol (IP)-basierte Automationsprotokolle wie IEC 60870-5 für Wide Area Network (WAN)-Kommunikation
• Modbus, Profibus, Echonet, BacNet, etc.
• DNP3 (Distributed Network Protocol)
• IEC 61850 in Umspannstationen (62351-6 generelle Sicherheitsmechanismen in 61850)
• RS485, RS232 und field bus auf Feldebene
• IEEE C37.118.2 für Phasor Measurement Units
• Viele Andere (siehe SGAM am Ende der Präsentation)
Üblicherweise wird jeder Datenpunkt jedes Sensors über eine virtuelle Verbindung an das SCADA-System angeschlossen
Quelle 1: P. Palensky and F. Kupzog, “Smart Grids,” Annual Review of Environment and Resources, vol. 38, no. 1, pp. 201–226, 2013 am 12.2.2015 Quelle 2: T. Zseby and J. Fabini, „Security Challenges for Wide Area Monitoring in Smart Grids“, vol. 131, Elektrotechnik und Informationstechnik, 2014 am 12.2.2015
Reichweiten von Übertragungstechnologien
11
HAN (Home Area Network)
• WIFI (Heimnetzwerke)
• ZigBEE (für low-power devices wie Thermostat etc. – geringe Reichweite)
• Femtocell (Micro Handymast)
NAN (Neighborhood Area Network)
• WiMAX (Mikrowellen Funk)
• LTE (Long Term Evolution – IP basiert)
• Powerline Communication PLC (über Stromnetz)
Sehr unterschiedliche Anforderungen bezüglich Sicherheit -> siehe Quelle
Quelle: E. Bou-Harb and C. Fachkha „Communication security for smart grid distribution networks “, vol. 51, IEEE Communications Magazine 2013 am 12.2.2015
Reichweiten von Übertragungstechnologien
12
WAN (Wide Area Network oder Metropolitan Area Network)
• Wired (Signal besser geschützt als wireless)
− Optical (Fiber)
− Powerline Communication PLC (Stromnetz) – max Reichweite beachten
− Coaxial Cable (Kupfer)
• Wireless (Signal verliert über Distanz an Stärke & kann leichter blockiert werden)
− 2G (EDGE)
− 3G (UMTS)
− 4G (LTE)
− WiMAX
− WIFI
− Mesh
Quality of Service
14
Verzögerung
• One-Way und Round-Trip Delay
Fehlerrate
• Wahrscheinlichkeit, dass einzelne Pakete bei der Übertragung aufgrund von Bitfehler ihr Ziel nicht erreichen.
Jitter (Verzögerungsschwankungen)
• Pakete erreichen ihr Ziel mit unterschiedlicher Verzögerung.
• Negative Effekte auf Audio oder Video Streams
Paket-Reihung
Pakete können verschiedene Pfade nehmen und kommen nicht zwingend in der richtigen Reihenfolge an. Isochrone Reihung passiert auf Protokollebene
Datenvolumen
15
Datenvolumen
• Datenmenge die per Zeit-Intervall übertragen wird
• IoT (Internet of Things) Datenmenge wächst rasant an
• Beispiele:
− Jeder Kühlschrank möchte seinen Hersteller anfunken um das Nutzerverhalten zu übertragen
− Smart TV‘s
− Smart Phone Apps
Sicherheit in IKT Systemen
16
Confidentiality = Vertraulichkeit = Verschlüsselung
(Schutz gegen nicht autorisierten Zugriff)
Integrity = Integrität
(Schutz gegen nicht autorisierte Modifizierung)
Availability = Verfügbarkeit
(Verfügbarkeit der Services gegen DDoS oder Ausfälle)
Authenticity = Authentizität
(authentische Kommunikation mit Partner)
Non-repudiation / Accountability – Verbindlichkeit
(Nichtabstreitbarkeit von Aktionen)
CIA
IKT Sicherheit für Stromsysteme
Quelle: http://ec.europa.eu/energy/sites/ener/files/documents/xpert_group1_security.pdf Kapitel 6 am 8.2.2015
CIA vs. AIC Paradigma
In Energienetzen ist die Reihenfolge Availability, Integrity, Confidentiality (AIC) sinnvoller, da ohne hoher Verfügbarkeit von Daten keine Integrität der Daten mehr notwendig ist. Gleiches gilt für die Vertraulichkeit
In Kommunikationsnetzen existiert diese Gewichtung nicht
18
Datensicherheit / Security
• Technische Sicherheit von Systemen
• Technische & organisatorische Maßnahmen (Firewall, Backup, Redundanz, Kryptographie, Zutrittskontrolle, etc.)
• Schutz vor unautorisiertem Gebrauch, zerstörenden Einflüssen und Delikten (Angriffe)
• Nicht nur Daten im Fokus
• CIA Paradigma
• Eine eMail ist wie eine Postkarte wenn unverschlüsselt
• Gegenteil von Security by Obscurity
• Sicherheit ermöglicht Datenschutz
Datenschutz / Privacy
• Gesetzliche Regulierungen
• Recht auf Privatheit gegen legitime Interessen Anderer (Staat)
• Menschenrecht auf Achtung des Privatlebens, EMRK 1 und DSG 2
1
• Sichtweise auf das Individuum und sein Bedürfnis nach Privatsphäre
• unterschiedliche Auffassungen je nach Gesellschaft
• So wenig Daten wie möglich, so viel wie nötig und nur so personen-bezogen wie unbedingt notwendig
• nur solange gespeichert wie unbedingt nötig
Begrifflichkeiten
≠
1 Europäische Konvention zum Schutze der Menschenrechte ² Datenschutzgesetz Österreich
Security & Privacy im Smart Grid
Trends bei Cyber-Angriffen
20
Angriffe auf zunehmend komplexere Systeme
• weg vom klassischen PC
• Nun auch SCADA-Systeme (supervisory control and data acquisition)
• DDoS Angriffe (distributed denial of service) = Überlastungsangriff
Angriffe sind eine Kombination aus: Social Engineering, Infiltration und Sabotage
• Bsp. Stuxnet -> Iranische Uran Zentrifugen über Industrie-PC‘s beschädigt
− Ausbreitungswege Netzwerk und USB (Bad USB über eCigarette)
neue Motivationen
• Spekulation, Marktmanipulation, Erpressung, Terrorismus, Diebstahl, Machtdemonstration, moderne Kriegsführung, Spionage, Mitbewerber ausschalten
Keine 100%ige Sicherheit sondern nur Vorsprung möglich
• Angreifer muss nur eine einzige Lücke ausnutzen – Verteidiger muss ALLE Lücken schließen bzw. gegen JEDE Sorte von Angriff verteidigen (Katz & Maus Spiel)
Quelle1: https://srlabs.de/badusb/# , am 9.2.2015 Quelle2:http://www.theguardian.com/technology/2014/nov/21/e-cigarettes-malware-computers , am 14.2.2015
Verteidigung
21
Dezentralisierte Architektur
• Resilienz erhöhen (Mikronetze)
• Ausfallssicherheiten einbauen
Physischen Zugriff auf Geräte erschweren
• Gasgekapselte Smart Meters (teuer) -> vertrauenswürdig
Sicherheitsgedanken in Unternehmen fördern
• Bsp. Sony PlayStation Network hack & Film „The Interview“ zeigt mangelhafte Sicherheit
• Advanced Persistent Threat -> dauerhafter Zugriff auf Hochtechnologie Unternehmen
Anomalie Erkennung in Netzwerken
• Maschine zu Maschine (m2m) Kommunikation
• Source Classification (Darkspace Traffic)
Open Source - sonst Security by Obscurity
Ausbreitung und Eindämmung
22
Ausbreitung und Eindämmung = Propagation & Containment
• Strenge Firewall Regeln -> wenig erlauben alles andere verbieten
• Plausible Authentifizierung von IKT Knoten
Cyberangriffe produzieren ein Eindämmungsproblem – ähnlich wie bei chemischen Waffen – gleiche Lücken im eigenen Land und ein Wurm könnte zuhause angreifen
• Bsp. Stuxnet -> tailored attack
• Bsp. Regin Malware -> rückt Eindämmung in ein anderes Licht
− Kaum Infizierungen in USA und anderen five Eyes Länder, nur Ausbreitung im russischen & europ. Raum und mittleren Osten
− Vermutlich Spionagetool der NSA
− Backdoor-Trojaner mit Zero Day Exploits
− Anpassungsfähig an Ziel
Quelle 1: http://www.ibtimes.co.uk/regin-malware-uk-us-israel-likely-creators-new-stuxnet-1476358 , am 14.2.2015 Quelle 2: http://www.symantec.com/connect/blogs/regin-top-tier-espionage-tool-enables-stealthy-surveillance , am 14.2.2015
Smart Meter Hacking
23
Stromdiebstahl (Business Case)
Zeitmodifikation
Auslesen von schützenswerten Daten
Steuerung fremder Smart Meter
• Fernabschaltung!!!
• Nicht vertrauenswürdige Geräte!
Datenmodifikation (Man in the middle)
Mithören der Kommunikation
Einbruch in die Kommunikationsinfrastruktur
• Erpressung
Auslesen bzw. Modifikation der Software an Konzentratoren und Smart Meter
SCADA Hacking
24
Damn Vulnerable Chemical Process - Exploitation in a new media
• SCADA Hack kartographiert ein chemisches Werk. Schwachstellen mit verschiedenen Methoden ausgenutzt Bsp. Water-Hammer) ---> tailored attack
• Prinzipiell auch im Smart Grid möglich -> daher hoher Grad an Resilienz wichtig
SCADA Angriffe sind komplex ---> Erlangter Zugriff ≠ Kontrolle
• Zugriff -> Infiltration
• Prozesse kartographieren -> Spionage
• Kontrolle erlangen -> Wie und was kann ich kontrollieren
• Schaden verursachen -> was kann man mehr oder weniger subtil erreichen
• Säuberung -> Spuren verwischen
Motivation: Kosten erhöhen, DDoS, Erpressung, Zerstörung, uvm.
Quelle 1: http://media.ccc.de/browse/congress/2014/31c3_-_6463_-_en_-_saal_6_-_201412291245_-_damn_vulnerable_chemical_process_-_marmusha.html#video am 9.2.2015 Quelle 2: http://media.ccc.de/browse/congress/2014/31c3_-_6010_-_en_-_saal_1_-_201412271400_-_scada_strangelove_too_smart_grid_in_da_cloud_-_sergey_gordeychik_-_aleksandr_timorin.html#video , am 9.2.2015
DDoS aus dem Gasnetz
25
Zählerstandsabfrage (Broadcast) aus einem bayrischen Gasnetz ist in das Steuerungssystem der Stromnetze gelangt und hat es mit Daten geflutet
Beinahe Zusammenbruch des österreichischen Stromnetzes der sich auf Europa auswirken könnte
Abfrage ging an alle Komponenten des Gasnetzes und hat sich in das Stromnetz verirrt und fortgepflanzt. Identische Steuerprotokolle im Einsatz
Abfrage hat sich im Stromleitsystem rasant vermehrt
Zentrale Steuerung des Stromnetzes nicht mehr erreichbar
Kein echter Angriff sondern fehlerhafte Messdaten
Kraftwerke und Steuersysteme mussten bemannt werden
Quelle 1:G. Christiner, “Die Rolle der APG für die Stromversorgungssicherheit - nationale und internationale Herausforderungen,” May 2013. Quelle 2: http://www.heise.de/newsticker/meldung/Chaos-im-Stromnetz-durch-verirrte-Zaehlerabfrage-1865269.html , am 12.2.2015
Privacy im Smart Grid
26
Fokus der Öffentlichkeit auf Smart Metering
• „Smart Meter verraten Fernsehprogramm“
− nur bei 2 Sek. Auflösung möglich. Wird in der Praxis aber in 15 Min. Mittelwerten aufgelöst
− Urlaub oder Abendessen sichtbar (könnte unterstellen dass man gar nicht krank war)
Andere Privatsphärenaspekte bei Smart-Grid-Anwendungen
• E-Mobilität: Fahrstil Auto? Welche Strecken?
• Building to Grid (Home Automation) kürzlich: Vaillant-Sicherheitsleck
• All Smart Devices calling home (nest Thermostat, vernetzte Kochtöpfe, etc.)
Quelle: http://www.heise.de/security/meldung/Smart-Meter-verraten-Fernsehprogramm-1346166.html, am 9.2.2015
Quelle: http://www.heise.de/security/meldung/Vaillant-Heizungen-mit-Sicherheits-Leck-1840919.html, am 9.2.2015
Quelle: http://www.heise.de/newsticker/meldung/Fissler-setzt-auf-vernetzte-Kochtoepfe-2548869.html , am 14.2.2015
Kryptografie & Schüsselverwaltung
Kryptografie allgemein
28
Cryptography Definition: “The mathematical science that deals with transforming data to render its meaning unintelligible (i.e., to hide its semantic content), prevent its undetected alteration, or prevent its unauthorized use. If the transformation is reversible, cryptography also deals with restoring encrypted data to intelligible form.” [RFC4949]
Beispiele:
• Substitution Ciphers (E wird zu T) -> kann über Buchstaben Frequenz geknackt werden
• Codebooks (ganze Wörder durch etwas anderes ersetzen)
• Polyalphabetic Substitution Ciphers (mehrere Alphabete und veränderbare Substitution)
• One Time Pad (schlüssel gleich lang wie Nachricht)
Schlüssel sollte zufällig und lang sein
• Wiederholende Muster und Frequenzanalysen gefährlich
Quelle: VU Network Security, von Prof. Dr. Tanja Zseby, Vienna University of Technology, am 16.2.2015
Symmetrische Verschlüsselung
Ziel: gemeinsamer geheimer Schlüssel zur Verwendung mit AES, 3DES oder RC4 Alice: wählt zufällige Primzahl p, Generatorzahl g und Geheimnis a. Berechnet A=ga mod p Bob: wählt Geheimnis b Berechnt B=gb mod p
Ein „Man in the Middle“ der von Beginn an lauscht kann zwei unabhängige Verbindungen aufbauen und beiden vortäuschen dass er jeweils der andere ist
Quelle: VU Network Security, von Prof. Dr. Tanja Zseby, Vienna University of Technology, am 16.2.2015
Asymmetrische Verschlüsselung
Quelle: VU Network Security, von Prof. Dr. Tanja Zseby, Vienna University of Technology, am 16.2.2015
Verschlüsselung
• Bob verschlüsselt Nachricht an Alice mit ihrem public key -> nur Alice kann sie lesen
• Alice verschlüsselt Nachrichten an Bob mit seinem public key usw.
Authentifizierung
• Alice schickt Bob eine mit dem Secret Key verschlüsseltes „r“. Bob kann es mit dem public key entschlüsseln und hat den Beweis dass er mit Alice spricht
Authentifiziert & verschlüsselt
• Bob verschlüsselt mit Alice‘s public key und signiert mit seinem secret key
• Alice empfängt eine authentische message
Schlüsselpaar (secret & public) vorher generiert
31
Original Text
From: [email protected]
Subject: Test
Message: Das ist eine Test-Nachricht
Versendete Nachricht
PGP-verschlüsselte eMail Beispiel .
Key Exchange & PKI
32
Schüsselverteilung
• Public Key per eMail oder Key-Server verteilen
• Secret Key oder Symmetric Keys niemals verteilen!!!
• -> Via Asymmetric Keys einen Symmetric Key aushandeln und Session Keys verwenden
Public Key Infrastructure mit Certificate Authority – PKI + CA
• Zertifikat bindet das Key Pair an meine Person / Firma
• Vertrauenswürdiger Dritter für Erzeugung, Verteilung und Widerrufung von Zertifikaten
• Nachlässigkeit seitens der Certificate Authorities führt zu Vertrauensverlust
• Wenn eine CA kompromittiert wird müssen sehr viele Zertifikate widerrufen werden
Smart Grid Architekturen
Nationale Beispielprojekte
34
Intelligent Energy Management
• Logische Trennung von EVU-Daten und Kundendaten
• Eigene Schnittstellen für: Home Automation, Sensoren, Wechselrichter
Smart Web Grid
• umfassende Informationsplattform die Webservices anbietet um Datenquellen für verschiedene Funktionen nutzbar zu machen
• Gegensatz zu Insellösungen für Smart-Grid-Applikationen
• ganzheitliches Modell, Effizienz, flexible Architektur, Rechtemanagemen, Security & Privacy by Design
Projekt „(SG)² - Smart Grid Security Guidance“
• Bedrohungs- und Risikokatalog für Smart Grids
• Sicherheitsanalyse von Smart-Grid-Komponenten
• Maßnahmenkatalog zur Umsetzung eines Basisschutzlevels
NIST Guidelines for Smart Grid Cyber Security
35
NIST (National Institute of Standards and Technology) hat früh begonnen Standards für Smart Grids zu entwickeln, da der Smart-Meter Roll Out in den USA weiter fortgeschritten ist
umfassender Standard zum Thema Smart Grid Cyber Security
• „High-Level Requirements“
• ergänzt durch Privacy-Aspekte
direkt nutzbare Maßnahmen, die von Energienetzbetreibern umgesetzt werden können fehlen
auf US-amerikanische Gegebenheiten ausgelegt
Quelle: http://dx.doi.org/10.6028/NIST.IR.7628r1, am 9.2.2015
Smart Grid Architecture Model Framework (SGAM) M/490
SG Information Security (SGIS) - Security Levels (SGIS-SL) Brücke zwischen Netzoperationen und Informationssicherheit
SG Data Protection Classes (SG-DPC) Brücke zwischen Informationsmodellen und Sicherheitsanforderungen
Konzeptuelles Modell
Security view by layer
Quelle: http://cimug.ucaiug.org/Meetings/London2012/CIMug%20Presentations%20%20London%202012/Day%202%20-%20Wednesday,%20May%2016/AM2_M490%20Smartgrid%20Mandate%20Status_Lambert_EdF.pdf , am 17.2.2015
BSI-Schutzprofil
38
Technische Richtlinie TR-03109 vereinheitlicht weitere TR zu jedem Bereich
Gateway Protection Profil für Smart Meter Systeme
Security Module Protection Profil Security Modul
Das Gateway ist:
• Die zentrale Komponente
• sammelt, verarbeitet und speichert Zählerdaten
• die einzige Einheit die mit dem WAN verbunden ist
• Sicherstellung von:
− Vertraulichkeit
− Authentizität
− Integrität
WAN – Wide Area Network HAN – Home Area Network LMN – Local Metrological Network CLS – Controllable Local Systems
Kommunikation zwischen Geräten in versch. Netzen
Quelle ↓ Ziel → WAN LMN HAN
WAN erlaubt
(aber out of scope) verboten verboten
LMN
verboten Geräte im LMN dürfen
nur mit Gateway kommunizieren
verboten
HAN nur zu vertrauenswürdigen, vorkonfigurierten Endpunkten; nur verschlüsselt
verboten erlaubt
(aber out of scope)
WAN – Wide Area Network LMN – Local Metrological Network HAN – Home Area Network
BSI-Schutzprofil
40
Ziele
• Privatsphäre schützen
• verlässliche Abrechnung sicherstellen
• Schutz der Infrastruktur
Sicherheitsmodul
• Signaturgenerierung & -verifizierung
• Schlüsselgenerierung & aushandlung
• Zufallszahlengenerierung
• sichere Speicherung von Schlüssel und Zertifikaten
• Nutzerverwaltung & Protokollierung Pseudonymisierung
• Zeitsynchronisation
• Verschlüsselte lokale Datenspeicherung
• sicheres Löschen nicht mehr gebrauchter Daten
Take home message
Sicherheit bei der Planung mitdenken Open Source gegen Security by Obscurity
42
Vielen Dank für Ihre Aufmerksamkeit!
Peter Eder-Neuhauser Institute of Telecommunications Vienna University of Technology Gusshausstraße 25-29/389 1040 Vienna, Austria [email protected] urbem.tuwien.ac.at