vgbe energy journal 5 (2022) - International Journal for Generation and Storage of Electricity and Heat

More documents

Recommendations

Info

Cyberwar in der Energiewirtschaft: Der aktuelle Stand Gedanken darüber machen, wie man die neueste Version eines Mobilfunkgerätes schützt, aber die Cybersecurity der Automatisierungstechnik sträflich vernachlässigt. Auf der 2022er PWN2OWN, einem vom 19.- 21.4.2022 auf der Sicherheitskonferenz CanSecWest stattfindenden Wettbewerb, wurde aufgezeigt, wie einfach es ist, innerhalb von kürzester Zeit OPC UA zu knacken. Open Platform Communications United Architecture (OPC UA) ist mittlerweile der klassische Standard für den Datenaustausch als plattformunabhängige service-orientierte Architektur. Es gelang den Sicherheitsexperten gleich mehrfach, die Authentifizierung zu umgehen, so dass es möglich wäre, lesend und schreibend zu agieren. Für den nächsten hybriden Krieg könnte dieser Sachverhalt kriegsentscheidend sein. Aber wie sieht es heute aus. Wir wissen, dass viele Systeme mit Malware kompromittiert sind. Die Kompromittierung mit Malware reicht sicherlich aus, um einzelne Entitäten der Energiewirtschaft kurz- oder langfristig auszuschalten, aber diese Kompromittierung alleine reicht derzeit(!) noch nicht aus, um das ganze System zum Einsturz zu bringen. Und dies sei an einem einfachen Beispiel offenbart: Habe ich auf x Stromerzeugungsentitäten eine Software y installiert, die es mir ermöglicht, eine Anlage herunterzufahren, so führt dies nur dann zu einem Zusammenbruch des Gesamtsystems, wenn annähernd zeitgleich die Software ausgeführt wird. Hierzu bedarf es einer zeitintensiven (zum Teil jahrelangen) Vorplanung, wie dies bei Stuxnet der Fall war, oder man muss sicherstellen, dass man permanenten (Online-Zugriff) auf die Ausführung der Software y hat. Die Planung eines Cyberangriffes auf Jahre im Voraus können nur wenige Staaten realisieren (Staaten wie Nordkorea oder Iran wären hierzu gar nicht erst in der Lage, wahrscheinlich ist auch Russland hier nur in beschränktem Umfang dazu in der Lage) und der Fall des permanenten Online-Zugangs für alle Entitäten der Stromwirtschaft wäre ohnehin ein Kardinalfehler, den man sich derzeit kaum vorstellen kann. Somit mag vielleicht der Angriff auf das eine oder andere Kraftwerk durch einen staatlichen Akteur erfolgreich sein, aber ein Blackout für das ganze Land ist durch eine solche Attacke eher auszuschließen. Sehr viel problematischer ist jedoch der Umstand, dass sich staatliche Gruppen Zugang zu Informationen verschafft haben, welche Entitäten der Netze oder der Erzeuger man „ausschalten“ muss, um einen gezielten Blackout zu erreichen. Warum ein Kraftwerk angreifen, wenn das relevante Umspannwerk nur durch einen Gartenzaun „geschützt“ ist? Command, Control, and Data Exfiltration using DNT Implant Communications Protocol (typical) PC PC PC PC PC PC PC Typical Target Firewall or Router MPU / CPU Operating System System BIOS PERSISTENCE IMPLANT DNT paylead Target Network (TSIISI//REL) SOUFFLETROUGH Persistence Implant Concept of Operations Bild 1. Fotostrecke Spähwerkzeuge bei Routern Quelle: NSA, veröffentlicht spiegel.de am 30.12.2013(!). ROC R&T Analyst ARKSTREAM Survey SNEAKERNET Deutschland fehlt das Know How in Sachen Cyberwar und Cyberdefense Durch den Fall Edward Snowden sollte uns bekannt sein, dass die Mittel für eine Cybersabotage vollumfänglich gegeben sind. Um keinen Geheimnisverrat zu begehen, werden hier nur Fotos aufgelistet (zu finden auf den Internetseiten des Spiegel), die belegen, was seit 2013 allgemeines Wissen hätte sein müssen. Da hier „alte“ Tools der NSA gezeigt werden, sei ausdrücklich darauf verwiesen, dass es die NSA aus Sicht des Autors derzeit ist, die Deutschland hilft, den Cyberwar einigermaßen zu überleben. Gleichwohl können nur diese Bilder veröffentlicht werden und nicht Bilder von Angriffstools der aus unserer Sicht gegnerischen Seite, da hieraus von diesen der Schluss gezogen werden, was bekannt ist. \\Targets OPS Projects Interactive OPS Console Bild 2. Fotostrecke Spähwerkzeuge bei Routern (TS//SI//REL) SWAP Extended Concept of Operations Quelle: NSA, veröffentlicht spiegel.de am 30.12.2013(!) Internet NSA Remote Operations Center Post Processing lnternet TUNING FORK Target Systems Infiltration von Firewalls: Ein Beispiel hierfür ist Halluxwater. Halluxwater soll ein Backdoor für Huawei Eudemon Firewalls in Form eines Software-Implantats sein, welches im Boot-ROM verborgen ist [10] (B i l d 1 ). Infiltration von Servern: Das Software Implantat DEITYBOUNCE ist das Beispiel für ein Implantat, welches sich im BIOS von DELL PowerEdge Servern versteckt und das Gerät für Zugriffe von außen öffnen kann [11] (B i l d 2 ). Passivausspähen eines Bildschirms Bild 3. Fotostrecke Spähwerkzeuge bei Bildschirmen Quelle: NSA, veröffentlicht spiegel.de am 30.12.2013(!) 34 | vgbe energy journal 5 · 2022
Cyberwar in der Energiewirtschaft: Der aktuelle Stand Im so genannten Ferrit (direkt hinter dem Monitor-Stecker) versteckt sich das Bauteil namens RAGEMASTER. Dieses erzeugt ein Signal, welches von außerhalb der überwachten Lokalität mit einem Radarsignal „illuminiert“ und somit für Dritte sichtbar gemacht wird. Aus dem zurückgestrahlten, nun leicht veränderten Radarsignal kann rekonstruiert werden, was auf dem Bildschirm des überwachten Computers zu sehen ist [12] (B i l d 3 ). Einschleusen von Software über WLAN Durch das NIGHTSTAND System kann man (u.a. für diverse Windows-Systeme) aus einer Entfernung von bis zu 13 Kilometern Datenpakete (z.B. Schadsoftware) in den Traffic drahtloser Netzwerke injizieren. Es sei darauf verwiesen, dass die im Spiegel-Bericht erwähnten Systeme nur noch rudimentär im Einsatz sind, gleichwohl sei aber darauf verwiesen, dass die entsprechenden Dienste durchaus auch ihre Tools weiterentwickeln, so dass davon auszugehen ist, dass die heutigen Systeme ebenfalls über die Weiterentwicklung von NIGHTSTAND „wirkungsvoll“ infiltriert“ werden können [13] (B i l d 4 ). Bild 4. Fotostrecke Spähwerkzeuge bei WLAN Quelle: NSA, veröffentlicht spiegel.de am 30.12.2013(!) Obwohl dies eigentlich jedem Informationssicherheitsbeauftragten von Betreibern kritischer Infrastrukturen bekannt sein müsste, sieht der Verfasser dieses Artikels bei Fachvorträgen zu diesem Thema in der Regel oftmals nur erstaunte Gesichter, was denn „heutzutage“ alles möglich sei. Und heutzutage ist hier eigentlich das Jahr 2013! Selbsteinschätzung der Betreiber kritischer Infrastrukturen zur Cybersicherheit Im Rahmen einer wissenschaftlichen Recherche bei 42 Betreibern Kritischer Infra- strukturen in der Energiewirtschaft hat der Verfasser dieses Artikels eine Umfrage in Sachen Cybersecurity sowohl am 21.12.2021 als auch am 24.3.2022 durchgeführt. Da selbsterklärend werden hier einige ausgewählte Antworten auf relevante Fragen veröffentlicht: Sind alle IT- und OT Assets erfasst und bewertet: JA 72 % (12/21) 62 % (03/22) NEIN 28 % (12/21) 38 % (03/22) Sind bei den OT-Assets auch alle Sensoren und Aktoren berücksichtigt: JA 50 % (12/21) 57 % (03/22) NEIN 50 % (12/21) 43 % (03/22) Wie oft wird in ihrem Unternehmen geschaut, ob es Sicherheitsmeldungen gibt, die ihre kritischen Komponenten betreffen: Täglich 14 % (12/21) 38 % (03/22) Wöchentl. 52 % (12/21) 48 % (03/22) Monatlich 12 % (12/21) 14 % (03/22) Sonstig 22 % (12/21) --- % (03/22) Wie lange dauert es, bis Sie Patches für kritische Komponenten einspielen, nachdem Sie diese vom Hersteller erhalten haben? 1 Tag --- % (12/21) 05 % (03/22) 1 Woche 24 % (12/21) 52 % (03/22) 1 Monat 64 % (12/21) 22 % (03/22) Sonstig 12 % (12/21) 26 % (03/22) Sind alle kritischen Systeme redundant ausgelegt? Ja 57 % (12/21) 57 % (03/21) Nein 43 % (12/21) 43 % (03/21) Wie oft im Jahr „proben“ Sie eine Systemwiederherstellung? Täglich --- % (12/21) --- % (03/22) Wöchentl. 07 % (12/21) 10 % (03/22) Monatlich 52 % (12/21) 69 % (03/22) 1x Quartal 31 % (12/21) 14 % (03/22) Jährlich 05 % (12/21) 07 % (03/22) Gar nicht 05 % (12/21) --- % (03/22) Nutzen Sie Systeme, für die es keine Sicherheitsupdates gibt? Ja 31 % (12/21) 31 % (03/21) Nein 69 % (12/21) 69 % (03/21) Betreiben Sie eine Anomalieerkennung? Ja 21 % (12/21) 24 % (03/21) Nein 79 % (12/21) 76 % (03/21) Nutzen Sie durchgängig Firewalls? Ja 100 % (12/21) 100 % (03/21) Nein ----- % (12/21) ----- % (03/21) Nutzen Sie durchgängig Malwareprotection? Ja 90 % (12/21) 95 % (03/21) Nein 10 % (12/21) 05 % (03/21) Verfügen Sie aktuell über eine Defense-in- Depth Strategie? Ja 81 % (12/21) 81 % (03/21) Nein 19 % (12/21) 19 % (03/21) Haben Sie die Systemwiederstellung nach einem Komplettausfall in den letzten 24 Monaten „geprobt“? Ja ----- % (12/21) ----- % (03/21) Nein 100 % (12/21) 100 % (03/21) Die unglückliche Rolle des BSI und derBundesnetzagentur Der Fall Kaspersky und § 7a BSI-Gesetz: Am 15.3.2022 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) unter Bezug auf § 7 BSI-Gesetz vor dem Einsatz der Virenschutzsoftware des russischen Herstellers Kaspersky gewarnt. In seiner Warnung schreibt das BSI weiter, dass Antivirensoftware über weitreichende Systemberechtigungen und systembedingt (zumindest für Aktualisierungen) eine verschlüsselte, und nicht überprüfbare Verbindung zu Servern des Herstellers unterhalten muss. Dies trifft natürlich nicht nur für das Antivirenprogramm von Kaspersky zu, sondern auf alle Antivirenprogramme. Zu Recht verweist der Bremer Rechtsexperte Prof. Dr. Dennis-Kenji Kipker bei beck community darauf, dass die Absegnung des Verbotes durch das Oberverwaltungsgericht Köln (Az. 4 B 473/22) alles andere als sauber begründet ist: „Die Begründung für diesen Beschluss ist jedoch – mit Verlaub – eine juristische Katastrophe und eigentlich selbst eine sachfremde Erwägung. Die Vorschrift des § 7 BSIG verlangt bei öffentlichen Warnungen vor Herstellern „hinreichende Anhaltspunkte“ für eine Gefährdung der IT-Sicherheit. Nun führt das OVG in seiner Begründung aus, dass bei Virenschutzprogrammen „schon aufgrund ihrer Funktionsweise Sicherheitslücken im Sinne des Gesetzes“ bestehen. Das einmal angenommen, müsste das BSI eigentlich täglich damit beschäftigt sein, vor IT-Sicherheitsprodukten jedweder Hersteller zu warnen, und dies nicht nur aus Russland, sondern ebenso aus den USA, nachdem schon im Jahr 2013 bekannt wurde, dass mit PRISM jahrelang ein rechtswidriges globales Überwachungsprogramm mit allerlei Schnittstellen zu den großen USamerikanischen Tech-Konzernen durch die NSA geführt wurde [14].“ Viel schlimmer ist jedoch etwas anderes. Viele Betreiber Kritischer Infrastrukturen stellen sich nämlich derzeit die Frage, was Zertifizierungen – welche das BSI im Rahmen der Prüfung nach § 8a BSI-Gesetz oder die BNetzA im Rahmen der Zertifizierung nach dem Sicherheitskatalog gemäß § 11 Abs. 1a/b EnWG gerne sehen- überhaupt wert sind, wenn diese im Prüffall nicht akzeptiert werden. Kaspersky hat sich 2022 nach Common Criteria in Spanien und Italien, nach ISO/IEC 27001 durch den TÜV Austria sowie durch das SOC 2 Typ 1 Audit zertifizieren lassen. vgbe energy journal 5 · 2022 | 35
Page 1 and 2: International Journal for Generatio
Page 3 and 4: Editorial Nuclear power in numbers
Page 5 and 6: KWS Energy Knowledge eG vgbe Techni
Page 7 and 8: Ms Angela Langen Content vgbe Congr
Page 9 and 10: Abstracts | Kurzfassungen Der Digit
Page 11 and 12: MembersŃews voraussichtlich 2023
Page 13 and 14: MembersŃews Fünf kommunale Verso
Page 15 and 16: Anmeldung online MembersŃews Voll
Page 17 and 18: MembersŃews den Turbinen geleitet
Page 19 and 20: MembersŃews Windkraftanlagen habe
Page 21 and 22: MembersŃews Auch das operative Er
Page 23 and 24: Industry News Siemens Energy siedel
Page 25 and 26: News fromScience & Research digkeit
Page 27 and 28: Power News Darüber hinaus wurde mi
Page 29 and 30: Power News Die von der Metropolregi
Page 31 and 32: Digital Project Twin revolutioniert
Page 33 and 34: vgbe Seminar Wasseraufbereitung 28.
Page 35: Cyberwar in der Energiewirtschaft:
Page 39 and 40: Cyberwar in der Energiewirtschaft:
Page 41 and 42: vgbe Online-Seminar Basics Wasserch
Page 43 and 44: Operating experience from ageing ev
Page 49 and 50: Assessment of loss of shutdown cool
Page 51 and 52: Assessment of loss of shutdown cool
Page 53 and 54: TRIPLE C waste container for increa
Page 63 and 64: Nuclear power plants worldwide: 202
Page 69 and 70: Nuclear power plants: Operating res
Page 83 and 84: Power and coal prospects in develop
Page 85 and 86: Power and coal prospects in develop
Page 87 and 88:
vgbe Seminar Chemie im Wasser-Dampf
Page 89 and 90:
Fachzeitschrift: 2019 · CD 2019 ·
Page 91 and 92:
Media directory/Medienverzeichnis R
Page 93 and 94:
vgbe News | Personalien vgbe News |
Page 95 and 96:
vgbe News | Personalien Personalien
Page 97 and 98:
vgbe Events | Events vgbe Events 20
Page 99 and 100:
vgbe energy journal EDITORIAL SCHED
show all

vgbe energy journal 5 (2022) - International Journal for Generation and Storage of Electricity and Heat

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?