VGB POWERTECH 10 (2019)

Weitere Magazine

Info

Bedrohungslage Cyber-Security in der Energiewirtschaft: Insider-Betrachtungen 2019 VGB PowerTech 10 l 2019 ge sind dabei die Makro-Funktion in Word- Dokumenten oder aktive HTML-Anzeigen in E-Mail-Programmen. Angriffe mit Ransomware oder mit Schadsoftware-Varianten wie Emotet haben über diese Angriffswege in den letzten Monaten auch in Deutschland zahlreiche Unternehmen getroffen und großen Schaden verursacht. Aus diesem Grunde hat das BSI am 19. Juni 2019 für den Einsatz auf dem Betriebssystem Microsoft Windows sieben Cyber- Sicherheitsempfehlungen für eine sichere Konfiguration von Microsoft Office 2013 / 2016 / 2019 erstellt und veröffentlicht: –– Sichere Konfiguration von MS Office 2013 / 2016 / 2019 –– Sichere Konfiguration von MS Word 2013 / 2016 / 2019 –– Sichere Konfiguration von MS Excel 2013 / 2016 / 2019 –– Sichere Konfiguration von MS Outlook 2013 / 2016 / 2019 –– Sichere Konfiguration von MS Powerpoint 2013 / 2016 / 2019 –– Sichere Konfiguration von MS Visio 2013 / 2016 / 2019 –– Sichere Konfiguration von MS Access 2013 / 2016 / 2019 Quelle: https://www.bsi.bund.de/DE/Presse/ Pressemitteilungen/ Presse2019/ Empfehlungen _Microsoft_190619.html Emotet und die gewaltigen Schäden, die diese Malware verursacht, sind ein eindeutiger Beleg dafür, dass die Awareness in Sachen MS-Office-Sicherheit immer noch nicht den Stellenwert hat, den sie seit einigen Jahren bereits haben müsste. Es stellt sich die Frage: Was muss noch geschehen? Shamelist, Shodan.io und IoT Hall of Shame Nun noch ein paar Beispiele, um zu sehen, wie problematisch die Lage derzeit wirklich ist. IoT Hall-of-Shame: Unter der Internetadresse https://codecur mudgeon.com/wp/iot-hall-shame/ finden wir die Hinweise, welche IoT Entitäten Verbesserungspotentiale in Sachen IoT Software Security haben. Nachstehend zwei Beispiele: Smart Meter: In Volume 18, Issue 3, 06/2019 verraten Farid Molazem Tabrizi und Karthik Pattabiramen von der Universität British Columbia, Vancouver, Kanada in dem Aufsatz „Design Level and Code-Level Security Analysis of IoT Devices“ zu einem Preis von 15 US-Dollar, wie man die Sicherheit von Smart Metern prüfen und gegebenenfalls manipulieren kann. Darüber hinaus wird auch darauf verwiesen, dass man nur 50 US-Dollar investieren muss, um das entsprechende technische Equipment zur Manipulation online zu bestellen. Quelle: https://dl.acm.org/citation.cfm? doid=3323876.3310353 Insulinpumpen: Dass auch Insulinpumpen gefährdet sind und dass eine entsprechende IoT Manipulation zum Tode führen kann, belegt diese Rückrufaktion von Medtronics Diabetes vom Juni 2019: “The MiniMed 508 insulin pump and the MiniMed Paradigm series insulin pumps are designed to communicate using a wireless radio frequency (RF) with other devices such as a blood glucose meters, glucose sensor transmitters, and CareLink USB devices. Security researchers have identified potential cybersecurity vulnerabilities related to these insulin pumps. An unauthorized person with special technical skills and equipment could potentially connect wirelessly to a nearby insulin pump to change settings and control insulin delivery. This could lead to hypoglycemia (if additional insulin is delivered) or hyperglycemia and diabetic ketoacidosis (if not enough insulin is delivered).” Quelle: https://www.medtronicdiabetes.com/ customer-support/product-and-serviceupdates/ notice11-letter Dies ist im Übrigen nur eine kleine Auswahl in der IoT Hall of Shame. SCADA Shamelist: SCADA Strange Love, eine Gruppe von White Hat – Sicherheitsexperten hat eine Liste von 215 namhaften SCDA Produkten im Internet veröffentlicht, in der sich für alle namhaften Produkte Angaben finden zu: –– Vendor –– Device –– Default Password –– Port –– Device Typ –– Protocol –– Source Quelle: https://github.com/scadastrangelove/ SCADAPASS/blob/master/scadapass.csv Nach wie vor wissen immer noch viele nicht, dass es diese Liste gibt und Unternehmen, die diese Liste kennen, haben trotzdem nicht die Standardpassworte geändert. Shodan.io: Shodan ist eine Computer-Suchmaschine. Shodan sammelt Daten meist auf: –– Webservern (HTTP/HTTPS über die Ports 80, 8080, 443, 8443), sowie –– FTP (Port 21) –– SSH (Port 22) –– Telnet (Port 23) –– SNMP (Port 161) –– SIP (Port 5060) und –– Real Time Streaming Protocol (RTSP, Port 554). Gibt man zum Beispiel das Stichwort „Thyssen“ so findet man einige Serverstandorte von Thyssen. Für den Standort Kassel findet man dann nicht nur die lokale Adresse und die IP Adresse sondern auch die Angaben zu: sowie umfangreiche Angaben zu den Ports: –– 23 –– 80 –– 123 –– 443 –– 3306 –– 8080 Auch erfährt man folgende Aspekte: –– Apache Tomcat/Coyote JSP engine Version 1.1. –– MySQL Quelle: https://www.shodan.io/host/ 188.40.156.29 Für einen potentiellen Angreifer sind dies schon einmal gute Anfangspunkte. Suche nach Standardpassworten über shodan.io: Über die Suchabfrage https://www.sho dan.io/sarch?query=“default+password“ Total Results 53,382 Top Countries Taiwan United States China Iran, Islamic Republik of Thailand 8,464 7,854 4,321 2,495 2,261 Bild 5. Suchabfrage https://www.sho dan.io/ sarch?query=“default+password“ Standardpasswörter. 42
8 > Umschlag S-175-00-2014-04-DE_A3q.indd 1 15.04.2014 08:07:52 VGB PowerTech 10 l 2019 Bedrohungslage Cyber-Security in der Energiewirtschaft: Insider-Betrachtungen 2019 fin-det man die Standardpasswörter weltweit zu 53.382 Servern (B i l d 5 ). Das folgende Beispiel mag hier erschreckendes zu Tage treten lassen: Zum guten Schluss aber auch einige Daten, wie viele Server mit Standardpasswörtern nach dem o.g. Schema am 11.10.2019 07:42 in anderen Ländern gefunden werden konnten: –– Deutschland: 940 –– Großbritannien: 918 –– Frankreich: 837 –– Spanien: 2.122 –– Italien: 690 –– Niederlande: 312 –– Russland: 1.192 –– Nordkorea: 0 –– Norwegen: 52 –– Finnland: 40 –– Estland: 0 –– Iran: 2.495 –– Indien: 1.310 Diese Stichtagsaufnahme zum 11.10.2019 verdeutlicht, wie wenig ernstgenommen in Deutschland selbst einfachste IT-Sicherheitsregeln in Sachen Standardpasswörter werden. Der Grund, warum Administratoren in Nordkorea so darauf achten, dass man keine Standardpasswörter nutzt, kann man sich leicht vorstellen. Für viele mag es aber überraschend sein, dass auch in Estland, einem Land mit sehr hoher Digitalisierung keine Server mit Standardpasswort gefunden wurden. Hier hilft ein Rückblick in die Geschichte: Am 26. April 2007 begannen Internetangriffe auf Estland, die mehrere Wochen andauerten und sich gegen staatliche Organe, Banken und Medien richteten. Estland hat aus dieser Machtdemonstration gelernt, andere Ländern der EU müssen wohl erst noch diese Erfahrung machen. Nun mag es einige Menschen geben, die einen Internetausfall oder Stromausfall über Wochen vielleicht für wünschenswerte Nostalgie halten. Diesen Personen sei die 2011er Studie „Was bei einem Blackout geschieht“ des Büros für Technologie-Abschätzung des Deutschen Bundestages empfohlen. Quelle: https://www.tab-beim-bundestag.de/de/ pdf/ publikationen/buecher/petermannetal-2011-141.pdf Fazit Durch die permanenten Veröffentlichungen von Institutionen wie BSI oder BKA ist jedem bewusst, dass Cyber-Attacken zum Alltag gehören. Hatten wir bis zur Snowden-Affäre jedoch noch gehofft, dass unser großer Bruder in Übersee uns vor allem schützt und treu zur Seite steht, so haben wir seither eine gewisse gesunde Vorsicht, die zur Erkenntnis geführt hat, dass wir eigentlich etwas tun müssten in Sachen Cyber-Security. Außer Lippenbekenntnissen tun wir aber so gut wie nichts und die bisherigen Strafen gemäß BSI-Gesetz können von den betroffenen Unternehmen in der Regel aus der Portokasse bezahlt werden. Es ist derzeit mehr als einfach und erfordert noch nicht einmal die Nutzung des Darknets, um alle Tools kostengünstig zu beschaffen, um ganze Serverlandschaften zu zerstören oder die komplette kritische Infrastruktur Deutschlands durch eine gezielte Cyber-Attacke über einen längeren Zeitraum lahm zu legen. Vergegenwärtigt man sich dann noch, dass im so genannten Darknet noch viel gefährlichere Tools zu finden sind, so lässt sich erahnen, wie groß die Gefahrensituation derzeit wirklich ist. Zumindest die folgenden Sofort-Aktionen könnten helfen, die Gefährdungen ein wenig abzumindern: –– Umgehendes Patchmanagement in allen IT- und OT-Bereichen –– Sicherstellung, dass nirgends mehr Standardpasswörter verwandt werden –– Umgehendes Sichten und Überprüfen der Warnmeldungen von BSI und NSA und Überprüfung, ob diese Aspekte im eigenen Unternehmen gegebenenfalls relevant sein könnten –– Awareness-Schulungen bzgl. des Gefahrenpotentials durch MS-Office-Produkte, insbesondere Awareness in Hinblick auf Makros und HTML-Modus –– Sperrung von USB-Schnittstellen, wo immer dies möglich ist –– Überprüfung der eigenen Schwachstellen und offenen Ports durch shodan.io oder vergleichbare Tools –– Flächendeckender Einsatz von DDoS- Schutz-Mechanismen als MUSS. –– Flächendeckender Einsatz von Antiviren- und/oder Firewall-Lösungen zur Reduktion von Malware-Befall –– Verpflichtende Prüfung der selbst entwickelten oder spezifischen Software durch Tools wie GHIDRA –– Wenn möglich Kauf von IT-sicherheitszertifizierten Produkten anstatt billige No-Name-Produkte ohne Sicherheit l VGB-Standard IT-Sicherheit für Erzeugungsanlagen Ausgabe/edition 2014 – VGB-S-175-00-2014-04-DE DIN A4, 73 Seiten, Preis für VGB-Mit glie der* € 190,–, für Nicht mit glie der € 280,–, + Ver sand kos ten und MwSt. DIN A4, 73 Pa ges, Pri ce for VGB mem bers* € 190,–, for non mem bers € 280,–, + VAT, ship ping and hand ling. Der VGB-Standard VGB-S-175-00-2014-04-DE zeigt die relevanten Bedrohungen und Fehlerquellen für den Betrieb der Erzeugungsanlagen. Daraus abgeleitet werden organisatorische und technische Anforderungen zur Absenkung der Auswirkungen auf ein zu akzeptierendes Niveau, ergänzt durch Handlungsempfehlungen und weitere Informationsquellen. In Fachgesprächen mit namhaften Herstellern und dem BSI wurden die wesentlichen Inhalte diskutiert und seitens der Hersteller die Akzeptanz und die grundsätzliche Umsetzbarkeit bestätigt. Mithilfe des VGB-S-175-00-2014-04-DE können die die IT-Sicherheit betreffenden organisatorischen und technischen Strukturen und Prozesse bewertet und Hinweise für Erweiterungen und Neuinvestitionen abgeleitet werden. Eine unternehmensinterne Anpassung und Präzisierung ist dabei unverzichtbar. * Für Ordentliche Mitglieder des VGB ist der Bezug von eBooks im Mitgliedsbeitrag enthalten. VGB PowerTech Service GmbH Verlag technisch-wissenschaftlicher Schriften VGB PowerTech e.V. Klinkestraße 27-31 45136 Essen Fon: +49 201 8128 – 0 Fax: +49 201 8128 – 329 www.vgb.org VGB-Standard IT-Sicherheit für Erzeugungsanlagen VGB-S-175-00-2014-04-DE Deilbachtal 173 | 45257 Essen | P.O. Box 10 39 32 | Germany Fon: +49 201 8128-200 | Fax: +49 201 8128-302 | E-Mail: mark@vgb.org | www.vgb.org/shop 43
Seite 1 und 2: International Journal for Generatio
Seite 3 und 4: VGB PowerTech 10 l 2019 Editorial I
Seite 5 und 6: 75 75 Quality Reliability Quality S
Seite 7 und 8: VGB PowerTech 10 l 2019 Contents AN
Seite 9 und 10: VGB PowerTech 10 l 2019 Kurzfassung
Seite 11 und 12: VGB-PowerTech-DVD More than 25,000
Seite 13 und 14: VGB PowerTech 10 l 2019 Members´Ne
Seite 27 und 28: VGB PowerTech 10 l 2019 Industry Ne
Seite 37 und 38: VGB PowerTech 10 l 2019 VGB-SEMINAR
Seite 39 und 40: VGB PowerTech 10 l 2019 Power News
Seite 41 und 42: VGB PowerTech 10 l 2019 Bedrohungsl
Seite 43 und 44: VGB PowerTech 10 l 2019 Bedrohungsl
Seite 45: VGB PowerTech 10 l 2019 Bedrohungsl
Seite 49 und 50: VGB PowerTech 10 l 2019 Flexible st
Seite 55 und 56: VGB PowerTech 10 l 2019 Minderung v
Seite 61 und 62: VGB PowerTech 10 l 2019 Analysis of
Seite 73 und 74: SAVE THE DATE VGB CONGRESS 2020 100
Seite 75 und 76: A journey through 100 years VGB | V
Seite 83 und 84: A VGB journey PowerTech through 1/2
Seite 89 und 90: A VGB journey PowerTech through 8 1
Seite 91 und 92: A VGB journey PowerTech through 8 1
Seite 93 und 94: 8 > Umschlag S-145-00-2015-11-DE_A3
Seite 95 und 96: VGB PowerTech 10 l 2019 Plants
Seite 97 und 98:
VGB PowerTech 10 l 2019 VGB News Pe
Seite 99 und 100:
Photos ©:Grand Hall VGB PowerTech
Seite 101 und 102:
Editorial planning | Topics 2020 FA
Alle anzeigen

VGB POWERTECH 10 (2019)

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?