Cybersecurity in der Energiewirtschaft Beyond Safe Harbour 19.04.2016
Cybersecurity in der Energiewirtschaft
Beyond Safe Harbour
19.04.2016
Cybersicherheit
Ausgangslage in der Energiewirtschaft
Angriffe / Bedrohungsszenarien
Internationale und Nationale Gremien / Anforderungen
Weiterentwicklung des Stromnetzes zu Smart Grid
Schutz kritischer Infrastrukturen
Standards in Entwicklung – Beispiel Smart Meter
Ausblick Digitalisierung
2
Der ge(über)forderte Mensch (CIO, CISO, Architekt….) ?
IT- interne Collaboration wird zur Schlüsselfähigkeit3
Sicherheitsbewußtsein hoch, aber neue Risiken
Sicherheit ist und war lange vor der
Liberalisierung ein Thema
− Versorgungssicherheit
− Arbeitssicherheit, Unfallverhütung
− Objektschutz, Zugangsbeschränkungen
− Kommunikationssicherheit
IKT Energiesysteme massiv in
Veränderung
Standardisierung in Etablierung
Permanente Veränderungen
bei Risiken und
Sicherheitstechnologien• Risikomanagement
20.10.2014 Aufsichtsratspräsentation 4
IKT ist Schlüsseltechnologie für viele Branchen – auch für die Energiewirtschaft!
Aufsichtsratspräsentation 520.10.2014
Ein breites Umfeld an
Komponenten & Systemen
Erhöhter Integrations- und
Kommunikationsbedarf im
Stromnetz der Zukunft
Massiver Anstieg der Vernetzung
und der Komplexität
Standard IKT Komponenten werden
Bestandteil des EnergienetzesIn Zukunft:
Wie viel Security braucht die Energiewirtschaft
Aufsichtsratspräsentation 620.10.2014
Entscheidend dafür sind u.a.:
− Gesetze und Regulierung
− Technologische Entwicklungen
− Bedrohungslage und Risikoanalyse
Zertifizierungen führen nicht
automatisch zu notwendigem
Sicherheitsniveau
Internationale Normen und
Standards nur als Orientierungshilfe
Etablierung von Branchenstandards für
einheitliches Sicherheitsniveau
Standards und Normen in Entwicklung
C-Level „Awareness“ für Technologiethemen
7
Businesstrends – ultimative Herausforderungen für die Cybersicherheit
8
Cybercrime
Zu Beginn, einige Zahlen…
− 348 Mio Identitäten wurden 2014 weltweit gestohlen,
in ca. 35% der Fälle waren Finazinformationen davon
betroffen;
49% aller Angriffe wurden von Hackern verursacht
(Quelle: Symantec Internet Security Threat Report 2014)
− Die Kosten (direkte und indirekte Kosten) je
kompromittierten Datensatz aufgrund einer böswilligen
Handlung liegen in Deutschland bei durchschnittlich 161€
(Quelle: Studie Ponemon Institute – Cost of a data Breach)
− 2014 gab es ca. 317 Millionen unterschiedliche neue
Schadsoftware Varianten
(Quelle: Symantec Internet Security Threat Report 2015)
9
CybercrimeKritische Infrastrukturen im Fokus
10
Persönlich – „Alles Sicher“Mehrfache Verwendung gleicher Accounts
12
Gibt es den „perfekten“ Mitarbeiter ?
Noch engere Zusammenarbeit zwischen IT-Disziplinen und mit Fachbereichen („2 speedIT“)Integration unterschiedlicher Kompetenz-bereiche - „Vernetztes“ ArbeitenNeue Themenstellungen (IT/OT)
„sichere“ Kopplung mit „operational
technologies“Sourcing ArchitekturProzessketten über Unternehmensgrenzen und Landesgrenzen„Neue“ Technologien (Cloud, Sensoren…)
13
Social EngineeringKunst der menschlichen Manipulation
Allgemein
− Angreifer nutzt oftmals ein Vertrauensverhältnis (jemanden den
man kennt oder vertraut) aus bzw. versucht, dieses aufzubauen
− Oftmals Vorbereitung für Einbruch in das Firmennetzwerk (z.B.
Erfragen von Benutzername/Passwort; Erlangen von Zutritt zu
sensiblen Bereichen)
Ziel
− Gewinnen von Informationen um Zugriff auf Systeme bzw. Zutritt
zu Räumlichkeiten erlangen
Zitat
− „Eine Firma kann hunderttausende Dollar in Firewalls,
Verschlüsselung und andere Sicherheitstechnologien stecken.
Doch wenn ein Angreifer eine eigentlich vertrauenswürdige Person
anrufen kann, diese sich hereinlegen lässt und der Angreifer somit
in das Netzwerk der Firma gelangen kann, dann ist das ganze
Geld umsonst ausgegeben worden.”
Kevin Mitnick14
MalwareBeispiele
15
Persönlicher Beitrag zur IKT Sicherheit
Sicherer Umgang mit Passwörter
− Passwort soll wenn möglich
− Nicht im Wörterbuch vorkommen
− Nicht ihren Namen oder Teile davon beinhalten
− Nicht aus gängigen Varianten und Wiederholungs- oder
Tastaturmustern bestehen (also nicht asdfgh oder 1234abcd
usw.)
− Bauen Sie sich Eselsbrücken für ihr Passwort, indem sie
beispielswiese einen Satz ausdenken und benutzen sie von jedem
Wort nur einen bestimmten (z.B. 1. oder 2.) Buchstaben.
Anschließend ersetzen Sie bestimmte Buchstaben durch Zahlen
oder Sonderzeichen.
− Beispiel:
Morgens stehe ich auf und putze mir meine Zähne drei Minuten
lang --> MsiaupmmZdMl Ms1aupmmZ3M1
16
Europäische Organisationen / Gremien in der Energiewirtschaft
17
National Cybersicherheitsstrukturen
Aufsichtsratspräsentation
Cyber Security Steuerungsgruppe (CSS)
Vorsitz: BKA
Mitglieder: BMI, BMLVS, BMeiA, BMJ, im Bedarfsfall weitere
Verbindungspersonen zum nationalen Sicherheitsrat
Cyber-Experten
Cyber Security Plattform
Austausch mit der Wirtschaft
CSC
KSÖ
KonferenzExperten
BMLVS
Konferenz
Austrian Trust Circle
IKT
Sicherheitsport
al
KSÖ
Forum
Cyber Security Center bzw.
Cyber Defence Zentrum
Vorsitz: BMI bzw. BMLVS
Operative Koordination
Krisenmanagement
SKKM - BMI
Mil
ZERT
C4
Gov
ZERT
CERT
Verbund
Cyber Struktur
E-Wirtschaft
Cyber Struktur Sektoren
Internationale Entwicklungen
EU: Richtlinie für Netzwerk- und Informationssicherheit
(NIS)
− Finalisierung 2016 – Umsetzungsfrist 18 Monate
− Danach Umsetzung der Richtlinie durch Mitgliedsstaaten in
nationales Recht
− für NIS zuständige Behörden + unmittelbarer Kontakt bei Behörde
− Sicherheitsmaßnahmen für Betreiber kritischer Infrastrukturen
− Risikobewertung und -management der IT-Systeme
− Maßnahmen zur Verhinderung und Reduzierung der
Auswirkungen von IT-Sicherheitsvorfällen
− Unverzügliche Meldung von schwerwiegenden Vorfällen an die
NIS-Behörde
EU: Datenschutzgrundschutz Verordnung (DSGVO)
− Hohe Strafen bei Datenschutzverletzungen (zwischen 2 und 5 %
des Konzernumsatzes, max. 100 Mio €) 19
Standardisierung ?
20
Figure 1: Security Standard Coverage (extended version of Figure 6 in the M/490 report [8].
Nationale Entwicklung Cyber Security
APCIP (Austrian Program for Critical Infrastructure
Protection)
− Österreichisches Programm zum Schutz Kritischer Infrastruktur
− Betreiber kritischer Infrastrukturen werden angehalten, eine
umfassende Sicherheitsarchitektur zu implementieren
− EVN-Gruppe ist Teil dieser kritischen Infrastruktur
− In Summe 393 Unternehmen, davon 10 Energieversorger
ÖSCS
− Österreichische Strategie für Cyber Sicherheit
(https://www.bka.gv.at/DocView.axd?CobId=50748); beschlossen 2013
− Umfassendes Konzept zum Schutz des Cyber-Raums und der
Menschen im virtuellen Raum
− Handlungsfeld 4: Schutz kritischer Infrastrukturen
− Ergänzung und Vertiefung der APCIP Maßnahmen
2102.12.2014
Nationale Entwicklung Cyber Security
ECA: Risikoanalyse Informationssysteme E-
Wirtschaft
33 Maßnahmen mit Auswirkungen auf den
Stromnetzbetreiber
Umsetzung der Maßnahmen als freiwillige
Selbstverpflichtung (Maßnahmenbehandlung in
oe)
22
• 73 Einzelrisiken identifiziert
Fokus: Risiken, die potentiell
einen nennenswerten,
flächendeckenden
Stromausfall verursachen
können.
• Zusammengefasst in sieben
Risiko-Cluster:
Eskalation und
Kommunikation
Design und Architektur
Human Factor
Organisatorische Sicherheit
Hardware und Software
Normung und Recht
Zugriffskontrolle und
Kryptographie
Entwicklung des Stromnetzes
Erhöhter Kommunikationsbedarf
im Stromnetz der Zukunft
− Massiver Anstieg der Vernetzung und der
Komplexität
Zunehmende Abhängigkeit von
IKT Komponenten
Klassische IKT-Risiken wirken in
diesem Umfeld
Quelle: Quelle: Smart Grid
Security – General Concepts and
Dependencies with ICT (ENISA)
20.10.2014 Aufsichtsratspräsentation 23
OT (Operational Technologies) und IT/Digitalisierung – neue Herausforderungen in der Energiewirtschaft
24
Real World
Virtual World
Yesterday Today Tomorrow
SW
Multi-Core
Embedded System
SWOpen Source
Cloud
Computing
Ambient
Intelligence
Intermodal
Interaction
Standalone
embedded
systems
Closed network of
distributed
embedded systems
Social
Networks
and
Platforms
Cyber
Security
IT Security
Open network of
systems of systems
of embedded systems
Data
Know-
ledge
From standalone embedded systems to secure and intelligent Cyber-Physical Systems
In-memory
computing/
real-time DA 1)
1) Data Analytics
Festlegung des unternehmensspezifischen
Sicherheitsniveaus: „AAA“?
Aufsichtsratspräsentation 2620.10.2014
Zukünftige Anforderungen
an die IT-Sicherheit: