ContentHub
MM-379802 Cybersecurity_im_Energienetz_DE_2_V1.mp4
22 views
View transcript
Wir kommen zum zweiten Teil des Energy Tech Talks Cybersecurity in Energienetzen. Übrigens, wenn Sie den ersten Teil verpasst haben, schauen Sie sich jetzt an! Okay, wenn wir jetzt mal auf dieses Thema der Vorgaben kommen, also wenn wir sagen, es gibt so Grundeinstellungen, die man machen muss, Passwörter ist das Eine, was man machen muss. Aber es gibt ja auch so eine gesetzliche Vorgabe, wie man eben das eine oder andere schützen kann. BDEW Whitepaper fällt mir ein, das BSI Sicherheitsgesetz, das sind ja nur Grundeinstellungen, die dafür da sind, also die Basics quasi. Was kann man darüber hinaus tun oder was muss man darüber hinaus noch tun? Genau diese BSI-Vorgaben, das BDEW Whitepaper, sind also Empfehlungen, sozusagen Best-Practice-Anleitungen. BSI Grundschutzkompendium, Das sind alles Vorgaben, die die Energieversorger, Netzbetreiber zu erfüllen hat. Wie die Umsetzung passiert, wie sie im Detail passiert und welche Systeme wie betrachtet werden, wie geschützt werden. Dabei ist natürlich die Verantwortung, dass das Energieversorgungsunternehmens, des Netzbetreibers. Da steckt sehr viel Aufwand drin. Da steckt natürlich auch drin, dass diejenigen, die sich damit beschäftigen, das entsprechende Know-how haben. Und da steckt natürlich drin, dass Netzbetreiber, Energieversorger auch die die personellen Ressourcen dafür haben. Wenn man sich jetzt mal anschaut, Deutschland 800 Netzbetreiber roundabout, viele davon sind sehr klein. Da sind im Prinzip in den letzten Jahren gerade durch die Digitalisierung Ressourcen dazugekommen für Energiedatenmanagement. So, jetzt kommt das nächste Cybersicherheit. Also es ist eine große Herausforderung für diese Unternehmen, solche Vorgaben, wie sie vom BSI kommen, dann auch adäquat für ihr Unternehmen umzusetzen. Und das ist teils schwierig. Und da sehen wir natürlich auch eine Herausforderung. Da sind ja nicht nur, ich sage mal personelle Ressourcen, die ich dafür aufbringen muss. Es sind ja auch eine gewisse Expertise, die dann auch vorhanden sein muss. Also muss ja auch die Leute dahingehend oder diese Verantwortlichen dahingehend soweit schulen soweit fit machen, dass sie in der Lage sind, solche Angriffe zu erkennen und eventuell auch abzuwehren. Das ist ja ein Thema, was ihr in eurem Sicherheitslabor in Ilmenau dann auch noch mit macht. Vielleicht kannst du da das eine oder andere noch mal mit dazu erzählen. Genau das Lernlabor Cybersicherheit ist ja eine Initiative der Fraunhofer Gesellschaft. Seit 2016 sind wir dort auf dem Gebiet aktiv. Es gibt sechs Konsortien deutschlandweit dafür. Unser Konsortium beschäftigt sich halt mit der Domäne Energie und Wasserversorgung und gerade dort speziell auch das Thema der prozessnahen, Cybersicherheit und das was wir anbieten, sind zwei Schulungsformate. Das eine, Awarenessschulung, das heißt also die Vermittlung von von Bedrohungsszenarien, von Bedrohungssichten, welche Angriffsmöglichkeiten gibt es, das zu vermitteln und natürlich die gesetzlichen Grundlagen dafür. Was ist eigentlich, was sind Vorgaben die Energieversorger/Netzbetreiber erfüllen müssen und dann aber auch schon mal Einblicke wie kann ich Systeme schützen, dass im Prinzip auf der auf der Awareness Schiene, also doch ein bisschen die Metaebene, dabei aber ein guter Einstieg, um einfach auch Erfahrungen auf dem Gebiet Cybersicherheit zu sammeln, auch im Prinzip weitere Schritte abzuleiten. Aber das ist nicht nur theoretisch, das heißt, es wird auch praktisch geübt. Genau. Wir haben dann noch das zweite Format, das ist der technische Intensivkurs, den wir anbieten. und da haben wir anhand von Schulungsdemonstratoren, die wir dort einsetzen, das heißt also eine kleine Nachbildung eines Energieversorgungsprozesses mit Stationen, regelbaren Ortsnetztrafos, die da nachgebildet sind. Wir haben Stationen, Schutzgeräte, Leistungschalter. Wir haben das Leitsystem schematisch mit dargestellt und das Wichtigste was wir natürlich abbilden, sind die Kommunikationsstrecken dabei und wir haben die Geräte, wir haben die Kommunikation darauf und wir können anhand dieses Aufbaus in einer Zwei- oder Drei-Tagesschulung, die sind unterschiedliche intensiv oder unterschiedlich detailliert, dann diese Betrachtung mit sehr vielen praktischen Übungen, die dann die Schulungsteilnehmer durchführen, können wir dieses Wissen vermitteln. Also so zum Beispiel führen die Teilnehmer tatsächlich selber Angriffe durch auf diese Infrastrukturen. Sie hacken selber die Systeme, sie hacken selber, also sie kriegen einen Laptop, da sind Skripts vorgefertigt von der Struktur her. Sie müssen aber diese Scripts Schritt für Schritt ausführen, müssen dazu auch Daten sammeln aus diesem System. Also IP-Adressen von einer SPS. Also sie lernen quasi ihr System von der Hackerseite aus kennen, versuchen dort einen Angriff zu platzieren und dann natürlich auch in der Folge wissen, okay, wie kann ich mich dann dagegen entsprechend schützen? Finde ich sehr clever. Best-Practice Lösung, besser kann man es glaube ich gar nicht machen an der Stelle. Genau das ist auch das Feedback, dass es sehr praxisnah ist, dass die Teilnehmer das gelernte Wissen dann auch dahingehend übernehmen können und im Prinzip auch in ihren Unternehmen dann sozusagen kritischem Blick auf ihre Infrastruktur haben können. Nun ist es ja so, dass das Thema Cybersicherheit in den Energienetzen noch mehr Relevanz bekommen wird. Wir hatten vorhin gleich am Anfang gesagt, dass es gerade ein aktuelles Beispiel noch mal gibt. Auch wieder ein Beispiel aus der Ukraine. Da ist der Angriff gar nicht auf ein Energienetz erfolgt, sondern hatte eine da ist die Folge war quasi nur, dass gewisse Energiesysteme gestört worden sind. Vielleicht kannst du das praktische Beispiel noch mal erläutern. Genau das ist ein weiterer Angriff gewesen. Also auch dieser Black Energy Angriff der fand statt und kurze Zeit später gab es einen neuen Versuch, die Kommunikationsinfrastruktur, also normale Satellitenkommunikation im Bereich der Ukraine zu stören. Da kam es aus unserer Sicht zu einem Kollateralschaden. Das heißt, es wurde nicht nur die Kommunikation in der Ukraine gestört, sondern über diesen Satelliten läuft auch die kommunikationstechnische Anbindung von Windkraftanlagen in Deutschland und mit der Folge, dass diese Windkraftanlagen eine sehr lange Zeit nicht erreichbar waren. Die konnten nicht geregelt werden an der Stelle. Also nicht abgeregelt. Genau, nicht abgeregelt werden. Sie liefen einfach. Und das zeigt natürlich, wie wie komplex diese diese Systeme sind, wie stark die Verzahnung zwischen Energiesystem und Kommunikations- system ist und über welche verschiedenartigen Kanäle sozusagen die Kommunikation läuft und was eigentlich alles in einer in einer Cybersicherheits-Bewertung und einer Analyse sozusagen mit mit einbezogen werden muss. Das ist ja ein gutes Beispiel dafür. Man muss also über den Tellerrand hinausschauen. Es ist also nicht nur das, was in der in der Office-IT passiert, was in der OT passiert, dass ich also die Prozesstechnik direkt schütze. Wenn man jetzt mal schaut, was muss ich denn zukünftig einfach noch mehr machen? Also muss ich denn diese unsere Netze noch widerstandsfähiger machen? Genau so. Zum einen ist natürlich die große Fragestellung, was kommt als nächstes? Was für Angriffsarten werden als nächstes auf uns zukommen? Wenn man sich den Bereich der OT anschaut, dann hat man es eigentlich immer mit sogenannten Zero Day Angriffen zu tun. Das heißt also, es sind Angriffe, wo die Schwachstelle bis dahin noch nicht bekannt war bzw. ein neuartiger Angriff. Das heißt, die Netzbetreiber haben natürlich keinen Vorlauf um sich zu schützen, sondern es ist immer eine prompte Reaktion notwendig. Das heißt also, da muss man sozusagen ein Stück vordenken zukünftig. Sicherheitsforscher sagen dann vor die Lage kommen. Das heißt, man muss praktisch schon Mittel parat haben, um so reagieren zu können, nicht erst dann zu überlegen, was tut man, wenn der Angriff da ist? Also das sind, das sind Notwendigkeiten, also Szenarien sozusagen, sich zu überlegen erst mal wie können Angriffe aussehen? Dann Szenarien zu überlegen, wie kann ich auf diese Angriffe reagieren? Und das was, was eigentlich so die auch eine Tendenz ist, ist zu sagen Eine hundertprozentige Cybersicherheit werden wir nicht hinbekommen, wird es nicht geben. Wir sehen es bei den ganzen Angriffen, die aktuell laufen. Ransomware-Angriffe auch auf IT- Dienstleister, eine hundertprozentige Absicherung werden wir sicherlich zukünftig nicht hinbekommen, auch nicht in der OT. Das heißt, wir müssen mit Angriffen leben, wir müssen die Systeme robust machen. Da spricht man dann auch schon von dem Thema Cyberresilienz. Das heißt also, es wird Angriffe geben, die Herausforderung ist, dass die Systeme trotz dieser Angriffe noch stabil laufen und widerstandsfähig sind und man diese Angriffe dann auch trotzdem sehr schnell identifizieren kann, Gegenmaßnahmen ableiten kann. Und ein Thema was wir natürlich sehen, ist die, ich habe es eingangs gesagt, die Digitalisierung. Die Kommunikationsinfrastrukturen sind integraler Bestandteil mittlerweile des Energieversorgungsystems. Das heißt also die Paradigmen, die wir in der Energieversorgung haben, n-1 Sicherheit, müssen wir natürlich auch auf das Kommunikationsnetz übertragen. Wir müssen, Parallelstrukturen haben, wir müssen Notfallstrukturen haben, wir müssen unterschiedliche Kommunikationstechnologien haben, um die Energieversorgung abzusichern. Also ich sehe, das ist ein extrem komplexes Feld, was wir haben an der Stelle. Ich will mal ganz kurz das, was wir in den letzten Minuten so gesagt haben, ein Stück weit zusammenfassen. Wichtig ist, dass die kritischen Stellen, die Einfallstore immer noch die Office-IT ist, wo der Mensch eine entscheidende Rolle spielt. Es ist trotzdem möglich, dass man über die über den über die Prozessseite, also über die Feldseite, dass dort trotzdem die Möglichkeit besteht, sich Zugang zu den Systemen zu verschaffen. Es gibt eine extreme Verzahnung mittlerweile von Prozesstechnik und Kommunikationstechnik, was es nicht einfacher macht, sondern auch einfach nur noch komplexer. Aber es gibt ja die Möglichkeit, sich dahingehend entsprechend zu schulen, weiterzubilden, selber zu trainieren und die Systeme an diesen Stellen einfach noch sicherer zu machen und für die Zukunft zu rüsten Und einfach noch, wie du sagst, eine gewisse Resilienz entsprechend mit aufbauen zu können. Steffen, das war wirklich extrem spannend und ich finde es immer noch ein hoch relevantes Thema, was wir hier haben. und da reicht natürlich die Zeit, die wir hier im Energy Tech Talk dafür haben, leider nicht aus. Wir könnten, glaube ich, noch Stunden, Tage, Wochen dazu noch mal damit verbringen, um das weiter zu vertiefen. Wer weiter Interesse daran hat, sich mit diesen Dingen zu beschäftigen, wir haben einige Informationen in der Infobox natürlich noch verlinkt, unter anderem eure Website, so dass der Kontakt zu euch dann direkt mit aufnehmen könnt. Aber auch einige dieser Fachbegriffe, die wir hier noch mal mit genannt haben Cyber Kill Chain und so weiter, werden dort noch mal entsprechend mit erklärt. Schauen Sie sich das gerne an, damit man dort auf dem aktuellen Stand ist. Steffen, ich bedanke mich wirklich, dass du hier warst, dir die Zeit genommen hast, uns dieses ja doch tiefgreifende Thema kurz und prägnant sehr plastisch erklärt hast, auch an praktischen Beispielen. und ich hoffe einfach, dass wir von vielen Dingen zukünftig verschont werden und wir alle dafür gut gerüstet sind. Vielen Dank! Das hoffe ich auch und vielen Dank.