ContentHub
MM-379802 Cybersecurity_im_Energienetz_DE_1_V2.mp4
18 views
View transcript
Bei der Energiewende geht es um Digitalisierung und Nachhaltigkeit bei gleichzeitiger Versorgungssicherheit. Doch je digitaler die Energienetze werden und unruhiger die weltpolitische Lage, desto wichtiger wird das Thema Cybersicherheit. Denn die Hackerangriffe auf unsere Energienetze nehmen zu. Deswegen widmen wir uns in der heutigen Folge des WAGO Energy Tech Talks mit dem Thema Cybersecurity in Energienetzen vom Worst Case zum Real Case Welche konkreten Bedrohungsszenarien sind gerade real? Wo liegen die Angriffspunkte? Wie können Hacker in die Energienetze kommen? Und wie sieht ein Mindestschutz in öffentlichen und industriellen Netzen aus? Heute und zukünftig? Diese Fragen gehe ich heute mit dem Sicherheitsforscher Steffen Nicolai vom Fraunhofer Institut für Angewandte Systemtechnik in Ilmenau auf den Grund. Dort ist er Gruppenleiter in der Abteilung für Kognitive Energiesysteme und leitet das ganze Lernlabor Cybersicherheit für die Energie und Wasserversorgung. In dieser Funktion identifiziert und analysiert er mit seinem Team nicht nur Angriffe und wie sie geführt werden, sondern leitet auch Mitarbeiterschulungen und bewertet potenzielle Sicherheitsrisiken. Er sagt, bei aller Technik, auch für unsere Energiesysteme gilt: Das größte Einfallstor für Cyberangriffe ist der Mensch. Willkommen Steffen, Vielen Dank, dass du heute hier in unserem Energy Tech Talk Rede und Antwort stehst und uns für die Bedrohung für unsere Versorgungssicherheit durch Cyberkriminelle einordnest. Vielen Dank, Heiko und schön, dass ich hier sein darf und zu diesem Thema ein paar Worte verlieren kann. Schön, dann würde ich sagen, wir starten auch gleich mit der ersten Frage: Was sind denn die grundlegenden Knackpunkte, wenn es um Cybersicherheit für Netzbetreiber und Stadtwerke geht und warum? Wir haben in den letzten 20 Jahren ja sehr große Veränderungen in der Energiebranche gehabt, getrieben durch die Liberalisierung zum Anfang, Dezentralisierung in der Erzeugung, aber eben auch neue Verbrauchsstrukturen sind Energieversorger, Netzbetreiber natürlich vor großen Herausforderungen stehend. Digitalisierung ist ein Schlüssel dafür, solche Themen zu bewältigen. Betriebsführung für Netze auch weiterhin realisieren zu können, hat aber natürlich auch Auswirkungen auf die Versorgungssicherheit. Digitalisierung bedeutet Prozesse, Anlagen, Systeme werden immer mehr vernetzt, immer mehr digital gekoppelt und bieten natürlich auch für für Cyberangriffe immer mehr Angriffspunkte. Sei es, die Prozess-IT, die sogenannte OT, wo wir immer mehr Digitalisierung sehen und und haben wir in den nächsten Jahren. Stationen werden umgerüstet auf TCP/IP basierte Kommunikation mit den entsprechenden Vorteilen. Wir haben wesentlich flexiblere Funktionalitäten, die nach Stationen sozusagen realisiert werden können, WAGO ist da unterwegs Das hat aber natürlich auch eine Kehrseite. Diese Systeme müssen wesentlich stärker und wesentlich intensiver abgesichert werden. Das ist die eine Sache, die auf der anderen Seite natürlich, Energieversorgungsunternehmen sind wie alle anderen Unternehmen Angriffswellen ausgesetzt, wo es einfach darum geht, Geld zu erpressen. Wir haben Ransomware Angriffe, die auch vor Energieversorgungsunternehmen nicht Halt machen und dann natürlich auch direkte Auswirkungen auf die auf die Versorgung oder auf die Betriebsfähigkeit, Funktionsfähigkeit des Unternehmens, also auch auf die Infrastruktur, dann haben. Nun sagst du ja selber, der größte Angriffspunkt ist der Mensch. Und dann würde ich dich bitten, einfach noch mal ein paar Ausführungen dazu zu geben. Also auch wo sind jetzt diese konkreten Angriffspunkte? Also wo steigen die Hacker am ehesten ein? Mit welchen Methoden, mit welchen Mitteln? Genau. Wenn man sich den Bereich anschaut, wo wir auch methodisch unterwegs sind und wo wir forschen, wo wir auch Weiterbildung, Schulung anbieten, dann ist es ja der Bereich der Prozess-IT. Diese Prozess-IT heißt, alles, was prozessnah an Kommunikationstechnik vorhanden ist, um die Betriebsführung zu realisieren Fernwirktechnik, Ankopplung, Leitsysteme, Stationsleitechnik usw. Und da muss man sich anschauen, wie kann man an solche Systeme rankommen? Und wenn man sich dann Beispiele aus der Historie vornimmt, diesen Ukraine Angriff zum Beispiel, der 2015 und 2016 stattgefunden hat und der in diesem Jahr auch noch mal sozusagen stattgefunden hat, aber weniger erfolgreich als der oder mit weniger Auswirkungen Vielleicht kommen wir erstmal auf den ersten zurück Genau dann sieht es dann so aus, dass diese, Vorgehensweise, also wie dieser Angriff stattgefunden hat, methodisch sehr, sehr gut analysiert wurde von verschiedenen Forschungseinrichtungen, Instituten, Behörden. Und anhand dieser Cyber Kill Chain, der methodische Rahmen sozusagen für solche Angriffe. Das ist so eine Abfolge. Genau, also die Abfolge von vom Eindringen in ein System bis hin zur eigentlichen Aktion, bis zur schadhaften Aktion in diesem System. Und wenn man sich das an dem Ukraine Beispiel anschaut, dann war da der Auslöser für die ganze Abfolge, für diese ganze Cyber Kill Chain, der war eine Phishing-E-Mail. Das heißt also, ein Mitarbeiter hat diese diese Mail, die ein Inhalt halt nachgestellt hat, geöffnet, hat einen Anhang angeklickt und hat eine Schadsoftware damit runtergeladen. Das hat aber mit der Prozess-IT hier nichts zu tun. Genau. Wenn man sich dann in diesem diesem Prozess weiter anschaut, dann sind die Angreifer so vorgegangen, dass sie erst mal in einer Sondierungs- phase, in einer Beobachtungsphase in dem IT-Netzwerk, also in der Office-IT, sich einen Überblick verschafft haben. Sie haben geschaut, wo sind, wo sind welche Komponenten verbaut, wo sind welche Infrastruktursysteme, Firewalls usw. konnten das ausspähen und haben praktisch in so einem sogenannten Lateral Movement haben sich im Prinzip dann erst mal in dieser Struktur bewegt, bis sie dann Zugriff gefunden haben über verschiedene Ebenen bis zur bis zur Stations- technik, bis zur Fernwirktechnik. Und dort tatsächlich haben sie sich Kommunikationsprotokolle angeschaut und haben Kommunikationsprotokolle dahingehend analysiert, wo Doppelfehler auftreten. Also Doppelfehler heißt dann in dem Fall dahinter war ein ein Systemleistungsschalter. Und genau dieses, dieses System haben sie dann angegriffen und haben Leistungsschalter ausgelöst und haben dadurch einen flächenhaften Blackout dort in diesem Gebiet verursacht. Vielleicht noch mal ganz kurz, das interessiert mich jetzt auch, wie schnell geht sowas vonstatten? Ich meine von dem Moment, wo ich sage ich bin jetzt die Phishing-Mail ist geöffnet worden bis dahin gehend, wo der Leistungschalter manipuliert wurde. Diese Analysephase kann, der Beginn dieser Cyber Kill Chain kann schon mehrere Wochen und Monate dauern. Das heißt also, dort ist sehr viel, Analysearbeit von den von den Angreifern, die dort durchgeführt wird. Zugänge, offene Ports auf eine offene Kommunikationstrecken, die analysiert werden, da sprechen wir von Wochen und Monaten. Der eigentliche Angriff an sich, also die letzten Schritte, dieser Cyber Kill Chain, die sind dann relativ schnell passiert. Das passierte innerhalb von ein, zwei Tagen oder Stunden, bis dann die Aktion ausgelöst wurde. Und da muss ich sagen, vielleicht noch mal so als Randnotiz, das Perfide an diesem Angriff war dass im Prinzip auch das Servicecenter, also die Hotline, sozusagen der Operator in dem Leitsystemraum sozusagen auch mit einem DDoS (Distributed Denial of Service) Angriff lahmgelegt, weil sie konnten keine Anfragen stellen, sie konnten keine Hilfe holen sozusagen. Okay. Und das war natürlich dann noch mal eine Eskalationsstufe, womit dieser Angriff dann doch noch länger gedauert hat, bevor wir uns mit den Auswirkungen dann noch mal beschäftigen, was hat man daraus gelernt? Vielleicht noch mal die Frage, das war jetzt der Angriff, der über die Office-IT gekommen ist, ist es denn auch möglich, dass ich über die Prozessebene, also ich sage mal aus einer Station, dass ich von der Station aus das Ganze dann starte, ist das denn auch möglich? Es ist möglich, dass ist denkbar und als Sicherheitsforscher muss man natürlich alle Möglichkeiten, die es gibt, also alle denkbaren Möglichkeiten auch analysieren. Und denkbar wäre da natürlich zu sagen, wir haben Stationen, wir haben eine dezentrale Verteilung von Einspeisepunkten mittlerweile im Netz. Wir haben große Windparks, große PV-Parks, die alle über Stationen angekoppelt sind und dort habe ich natürlich auch Endpunkte der Fernwirktechnik, des Netzbetreibers, Endpunkte der Informationsdatenübertragung. Und dann muss man das Thema des physischen Zugangschutzes zu solchen Systemen natürlich in der Cybersicherheit auch mit betrachten. Wenn ich mir physischen Zugang verschaffen kann, dann ist die ist die Gefahr, dass ich auch Zugang zu dem IT-Systemen dort habe, schon mal wesentlich höher. Das heißt also dort schon Schutzmaßnahmen, Vorkehrungen treffen damit so was nicht passieren kann, ist der erste Schritt in Richtung Cybersicherheit. Wie sieht so was konkret aus? Wenn ich diesen Schutz auf dieser Ebene mache. Also wir haben in unseren unseren Analysen, die wir auch durchführen, unseren sogenannten Gap-Analysen, also Sicherheits/Security Assessments, die wir für Netzbetreiber durchführen, da schauen wir uns solche Stationen auch an und gucken ein triviales Beispiel: Gibt es dort WLAN Hotspots? Also jedes Gerät mittlerweile hat ja irgendwas mit WLAN zu tun. Sind diese WLAN Hotspots offen, sind die noch aktiv, sind die zugänglich? Kann man darüber über so einen ungesicherten Hotspot sich Zugang zu einem Bereich verschaffen, wo Fernwartung sozusagen drauf läuft? Also Fernwartungszugriff. Kann man den übernehmen und kann dann in ein System eindringen? Also solche Punkte sind natürlich da relevant. Wie sich zeigt, hält dieses Thema so viele spannende Aspekte bereit, die wir nicht in einer Folge des Talks behandeln können. Deswegen haben wir das Thema Cybersecurity in Energienetzen geteilt. Also schauen Sie sich auch den zweiten Teil an!