Cybersecurity Sicherheit in einem zunehmend

public

public

Cybersecurity – Sicherheit in einem zunehmend digitalisierten Stromnetzbetrieb

Tim Montag, Head of Digital Energy System OperationKontakt: [email protected] +49 151 276 54 605

01.10.2020

mailto:[email protected]

public

Wer wir sind – umlaut ist eine globale Unternehmensgruppe aus spezialisierten Consulting- & Engineering-Firmen.

Cybersecurity – Sicherheit in einem zunehmend digitalisierten Stromnetzbetrieb 2

Überblick – Globales Powerhouse & Boutiques

Strategy & Innovation

Portfolio – Branchenübergreifende Kompetenz

Profil – Ende-zu-Ende Dienstleister Track Record – Unsere Kunden

> 50 Standorteweltweit

> 20 Tochtergesellschaftenmit einzigartigem Spezialwissen

> 2 Dekadenerfolgreiche Projektarbeit

> 4500 Mitarbeiteraus mehr als 80 Nationen

automotive& mobility

aerospace & defense

energy & utilities

health & lifescience

machinerytele-communication

publicsector

rail & logistics

People, Organization & Change

Process Design & Deployment

Project Management

Procurement & Supply Chain

Testing & Data Analytics

Software Development

Manufacturing & Engineering

Prototyping & Products

Wir konzipieren als Strategieberater unternehmensweite erfolgskritische Initiativen und steuern deren Umsetzung.

Wir arbeiten als Prozessberater und Projektmanager Hand in Hand mit unseren Kunden an der Realisierung

einer operativen Exzellenz.

Wir helfen unsere Kunden bei komplexen Technologie-Projekten und bieten Test- , Software-Entwicklung

& Engineering-Dienstleistungen.

Strategie

Management

Technologie

01.10.2020

public

LeitfrageSind wir ausreichend vor Cyberangriffen in einem zunehmend digitalisierten Stromnetzbetrieb geschützt?


public

Impuls⚫ Vor 30 Jahren begannen die Stromnetzbetreiber

ihre OT Komponenten im Stromnetz zu vernetzen

⚫ Der dadurch mögliche Fernzugriff brachte Komfortgewinn und Kosteneinsparungen

⚫ Allerdings ist der hohe Grad an „Standard IT-Komponenten“ in den OT Komponenten oft nicht bekannt - dabei überwachen und steuern OT Komponenten Teile der kritischen Infrastruktur

⚫ Das offenbart viele Schwachstellen für Angreifer und stellt Netzbetreiber wie regulierende Behörden vor Herausforderungen


public

THE FUTURE IS …

… ALREADY HERE

5

“Episodes of cyber warfare between states already exist. […] the next

war will begin with a massive cyber-attack to destroy military capacity...

and paralyze basic infrastructure such as the electric networks.”Antonio Gutterez,U.N. Secretary GeneralQuelle: Reuters – Portugal 19.02.2018

01.10.2020

public

Fakten zur heutigen CybersicherheitSeit 2013 werden Angriffe auf kritische Infrastrukturen verzeichnet – auch im Energiebereich!

6Quelle: IBM X-Force trend and risk report; HP cyber risk report; Symantec intelligence report, Siemens AG Unrestricted course material for TU Darmstadt

Cybersecurity – Sicherheit in einem zunehmend digitalisierten Stromnetzbetrieb 01.10.2020

public 7Cybersecurity – Sicherheit in einem zunehmend digitalisierten Stromnetzbetrieb 01.10.2020

public

Cybersicherheits-Maßnahmen müssen „Ende-zu-Ende“ betrachtet und implementiert werden!

8

SECURITY CONCEPTREVIEWS/CREATION

THREATMODELING

REQUIREMENTS DEVELOPMENT

/ANALYSIS

SECURITYTESTING

VENDOR RISK MANAGEMENT

MITIGATIONSTRATEGY

SECURITY LIFECYCLE

Local Control Remote TerminalUnit / PLC

Wide Area Networks Backend(SCADA/EMS)

Control CenterHMI

Substation BusSubstationCybersecurity – Sicherheit in einem zunehmend digitalisierten Stromnetzbetrieb 01.10.2020

public

SicherheitskonzepterstellungEin Cybersicherheitskonzept muss über den gesamten Lebenszyklus hinweg einheitlich sein – von der Planung bis in den Betrieb!

9

Beispiele:Security Design

⚫ Implementierung CSMS

⚫ Risikobewertung

⚫ Sicherheitszoneneinteilung

⚫ Sicherheitsimplementierung

Security Testing

⚫ Penetrationstest

⚫ Hardening verification

Secure Operation

⚫ Deep-Packet-Inspection (IDS/IPS)

⚫ Threat Intelligence (SOC, SIEM)

⚫ VRM (z.B. BitSight)

Ver

ifyRe

aliz

ePr

epar

e

Planning / Assessment Phase Implementation / Migration Phase

Operation Phase

Security Testing Security Testing Continuous Pen Testing & Incident Handling

Secure Coding

Secure Configuration

Secure policies Monitoring & Audits

Threat Modeling

Data Classification

Overall Security Architecture

IT & OT Security Assessment

User SecurityTraining

Incidents Response / Architecture Maintenance

Perform Patch Management

Cybersicherheitsmaßnahmen müssen sowohl in organisatorischen als auch in prozessbezogenen Bereichen angegangen werden und zum Teil durch eine technische Implementierung umgesetzt werden.

Secure Design


public

Schutzstrategien

10

Zur Minimierung von Sicherheitslücken existieren verschiedene Ansätze

Neues Architekturdesign

Netzwerksegmentierung, Backups...

Passive Abwehr

Whitelisting (wenn möglich),DMZs & Firewalls zwischen

Netzwerksegmenten…

Quelle: www.sans.orgQuelle: ec.europa.eu

Aktive Abwehr

Netzwerküberwachung(IDS, IPS, SIEM),

Incident Response Pläne …

Intelligente Abwehr

Spezifische Abwehrlösungen (z.B. für SCADA Protokolle),

Data Mining ...

Protocol

KNN Threat detection

Offensive Abwehr

Sensibilisierung von Mitarbeitern, Isolation von

Systemen


public

SchutzstrategienArchitektur zur Sicherheitsüberwachung von Stromversorgungssystemen

11

⚫ Ende-zu-Ende Sicherheitsstandards (IEC 62351) ebenso wie das BSI TR-02102 (Kryptographie Empfehlungen), z.B. nutzen von min. TLS 1.2

⚫ Verwendung von IDS / NSM gemäß IEC 62351-7 “Network & System Management (NSM) für Daten-und Objektmodelle” können nützlich zur Erkennung von modernen Angriffen sein

⚫ SIEM (Security Information & Event Management) & IDS (Intrusion Detection System) können zur Erkennung von unerwarteten Aktionen in Umspannwerken & SCADA Systemen eingesetzt werden


public

Beispiel: Security Information & Event Management SystemEin SIEM kann ein Security Operations Center (SOC) unterstützen! Hier: AT&T ALIEN VAULT OSSIM

12

Was kann OSSIM?

⚫ IT Asset Erkennung & Inventar:IT-Asset-Register nützliche Daten

⚫ Schwachstellenanalyse: 150+ anpassbare Berichte, inklusive spezifischen Berichten

⚫ Angriffserkennung: Robustes Log Management, Log Suche & Log Langzeitsspeicherung

⚫ Verhaltensüberwachung

⚫ Und weiteres …


public

Beispiel: Security Information & Event Management SystemMit der Hilfe von Open Threat Exchange, kann SIEM auf bis zu 3400 Korrelationsregeln zurückgreifen!

13Cybersecurity – Sicherheit in einem zunehmend digitalisierten Stromnetzbetrieb 01.10.2020

public

Automatisierter Austausch von Threat Intelligence

public

Beispiel: SUCCESSDie CI-SAN Idee: Ein Critical Infrastructure Security Analytics Network

15

Motivation

⚫ Verteilnetzbetreiber (VNB) versorgen mehr als 95% aller Kunden mit Strom und mehr als 90% aller erneuerbaren Energieerzeugung sind in Verteilnetzen angeschlossen.

⚫ Gleiche Hardware und Software Lösungen werden in ganz Europa verwendet. Das ermöglicht Angriffe auf mehrere Systeme gleichen Typs und gleicher Schwachstelle zur gleichen Zeit.

⚫ Im Falle eine Angriffs haben die VNB keine Möglichkeit miteinander zu kommunizieren.

“Kleine, aber ähnliche Angriffe” auf viele VNB könnten auf der VNB-Ebene nicht erkannt werden, selbst wenn dadurch ganz Europa betroffen wäre.

SA Node

trial site Ireland trial site Italy trial site Romania

DSO 1 DSO 2 DSO 3 DSO N

SDCIreland

SDCItaly

SDCRomania

SDCN

…

CI-SAN


public

Beispiel: SUCCESS

16

Andere Lösungen fokussieren sich auf ein manuelle Benachrichtigungskonzepte:

⚫ Regional Security Coordinators (RSCs): Firmen unterstützen VNBs mit der Aufrechterhaltung der Betriebssicherheit

⚫ ENTSO-E startet das European Awareness System (EAS) um die VNBs über betriebliche Einschränkungen (z.B. Naturgefahren, Terroranschläge, …) zu informieren

⚫ Das EU-finanzierte ECOSSIAN* Projekt fokussiert sich auf nationaler Ebene und Textmining Analysen von IT-sicherheitsrelevanten Nachrichten, wie z.B. Forumseinträgen und Angriffsvektor-Beschreibungen

Das CI-SAN Konzept führt ein⚫ Auswertung von Originaldaten auf der höchsten (europaweiten) Ebene

⚫ Erkennung verteilter Angriffe die weder auf VNB- noch ÜNB-Ebene erkennbar sind

⚫ Informationsaustausch in annähernder Echtzeit zwischen Betreibern in unterschiedlichen Ländern sowie Behörden

⚫ Möglichkeit zur Koordinierung von Gegenmaßnahmen zwischen unterschiedlichen Betreibern!*http://ecossian.eu/

Die CI-SAN Idee: Ähnliche Lösungen und Neuheiten


public

Beispiel: SUCCESS

17

Die CI-SAN Idee: Architektur und RollenSecurity Data Concentrator (SDC)

⚫ Befindet sich bei den kritischen Infrastrukturbetreibern, z.B. VNBs

⚫ Funktionen:

⚫ Sendet gesammelte Informationen an die SA-Node (1), um den Kommunikationskanal aufgrund einer potenziellen hohen Anzahl registrierter SDC Instanzen im System nicht zu überlasten

⚫ Sendet anonymisierte Daten an den SA-Node (1), um die länderspezifischen Datenschutzprobleme nicht zu missachten; SDC Instanzen sind von den VNBs/ÜNBs gehostet und daher länder- und betreiberspezifisch. Durch die Aggregation ist die lokale Anonymisierung möglicherweise nicht ausreichend.

⚫ Empfängt übergeordnete Bedrohungsmuster von SA-Node (2), da SA-Node eine umfassende Übersicht der Bedrohungslandschaft in Europa hat

SDC SDC

SA-Node

1 122


public

Beispiel: SUCCESS

18

Die CI-SAN Idee: Architektur und Rollen

Security Analysis Node (SA-Node)

⚫ SA Nodes spannen ein Netzwerk über verschiedene Länder auf

⚫ Funktionen:

⚫ Bedrohungsidentifikation durch kombinierte aggregierte Daten der SDC Instanzen; Bedrohungen können in annähernder Echtzeit und ausschließlich auf der europäischen Informationsebene identifiziert werden

⚫ Informierung aller entsprechenden SDC Instanzen über gefundene Bedrohungen (2)

⚫ Empfehlung geeigneter, potenziell koordinierter Gegenmaßnahmen (2) für die verantwortlichen CI-Betreiber (e.g. VNBs) um die Bedrohungen zu verhindern oder die Behörden zu informieren

SDC SDC

SA-Node

1 122


public

Beispiel: SUCCESS

19

Die CI-SAN Idee: Schnittstelle und andere kritische Infrastrukturen

Andere kritische Infrastrukturen⚫ Anwendung von CI-SAN in anderen kritischen Infrastrukturen:

Gas, Öl, Wasser, Transport und Verkehr, Gesundheitswesen, Finanzen, Nahrungsmittelindustrie, Regierung, Medien, Kultur möglich

Schnittstelle

⚫ CI-SAN API: Sicherheitsvorfälle, Gegenmaßnahmen, weiterer payload zwischen den unterschiedlichen Nutzern.

⚫ Basierend auf bereits standardisierten IODEF/IDMEF Formaten

CI-SAN API

CI-SOC API


public

Beispiel: SUCCESS

20

Die CI-SAN Idee: AnwendungsfallbeispielSCADA DatenanalyseSecurity Data Concentrator level

⚫ Anbindung der Leitsystem Software von PSI für sicherheitsrelevante Events

⚫ Weiterleitung relevanter Kommunikation im Zusammenhang mit dem operativen Betrieb des Energiesystems sowie entsprechender Meldungen, z.B. Überschreitung von Schwellwerten von elektrischen Komponenten und Protokollierung von login/logout von Nutzern;

Protokollierte Events können eine Konsequenz eines europaweiten Cyberangriffs sein,welche auf isolierter betrachteter VNB/ÜNB Ebene als weniger relevant eingestuft werden könnten

Lokale Analyse auf VNB/ÜNB Ebene entscheidet über Einleitung von Gegenmaßnahmen


public

Beispiel: SUCCESSDie CI-SAN Idee: Big Data Technologien werden für die technische Umsetzung genutzt

21

⚫ Up-to-date Big Data Technologien für Datenverarbeitung auf gesamteuropäischer Ebene

⚫ Hadoop und Spark (in-memory Technologie) für Datenverarbeitung, Kafka für Datenstreaming

⚫ HBase (verteilte Datenbank)

⚫ Grafana für die Datenvisualisierung

⚫ Hortonworks als Hadoop Distribution

⚫ VirtualBox für die Virtualisierung der Rechenknoten zur einfachen Wartung

⚫ Standalone Desktop PCs für Proof-of-Concept Implementationen von CI-SAN mit einem Rack Servergehostet im umlaut lab


public

Your contäct.Rufen Sie gerne an.

umlaut energy GmbHAm Kraftversorgungsturm 3, 52070 Aachen, Germany

Office Hamburg: Glockengießerwall 26, 20095 HamburgOffice Munich: Wilhelm-Wagenfeld-Straße 26-30, 80807 MünchenTest Center: Hüttenstraße 5, 52068 Aachen

Wir sind ISO 9001:2015 und ISO 27001:2013 zertifiziert.

Tim MontagHead of Digital Energy System Operation

Tel: +49 151 276 54 605Email: [email protected]


public

Die Energiewende gestalten.

⚫ Unsere Kunden sind entlang der gesamten Energiewert-schöpfungskette und der gekoppelten Sektoren angesiedelt.

⚫ Mit unserem End-to-End-Portfolio schaffen wir nachhaltigen Mehrwert auf Top-Management-Ebene und für Facharbeiter.

⚫ Wir sind schnell und agil und handeln kurzfristig, streben aber immer eine langfristige Partnerschaft auf Augenhöhe an.

⚫ Unsere Dienstleistungen und Produkte basieren auf dem technologischen Wandel, dem unsere Kunden unterliegen.

⚫ Wir beraten und unterstützen unsere Kunden bei ihrem Geschäft, ihren Assets und der Digitalisierung.

⚫ Unsere Fähigkeiten spiegeln die Bedürfnisse unserer Kunden wider und der Ingenieurgeist inspiriert unseren Innovationsdrang.


Unsere Mission.

public

Unser Portfolio.

Strategie & Business Consulting• Strategie & Geschäftsmodelle

• Marktanalyse & -eintritte

• Marketing und Vertrieb

• Organisationsentwicklung

• Skalierung von Unternehmen

• Fusionen und Übernahmen

• Finanzen & Kostenmanagement

Projektmanagement

• Aufsatz & Durchführung von Projekten

• (Multi-) Projekt & Programm-Mgmt.

• Agile & klassische Methoden

• Stakeholder-Management

• Risiko-Management

• Projekt- und Zeitplanung

• Qualitätssicherung

Netze

• Modellerstellung & Parametrisierung

• Netzberechnung und -analyse

• Stabilitäts-Berechnungen

• Netzplanung

• Risikobewertung

• Fehleranalyse

• Verwaltung des Netzbetriebs

Systembetrieb

• Automatisierung / Operation Technologies (OT)

• Big Data & Künstliche Intelligenz

• Software Engineering & Consulting

• (Cyber) Security

• Datenstrategie & Use Cases

• Software-Testing & -Entwicklung

Energieinfrastruktur & Bau• Energetische Optimierung von

Liegenschaften

• Bauabwicklung-Dienstleistersteuerung

• Energieeffizienz & Leistungsoptimierung

• Bedarfsgerechte Erzeugung

• Energiespeicherlösungen

• Umsetzungsplanung

Wasserstoff & P2X

• Marktanalyse & Machbarkeitsstudien

• Strategieentwicklung

• Engineering Services

• Kostenmanagement

• Produktion und Supply-Chain-Management

• Systemanalysen

• Roll-Out und Infrastruktur

Kerntechnik

• Projektmanagement im Rückbau

• Prozessanalysen

• Entsorgungsplanung und Kampagnenbegleitung

• Endlagerdokumentation

• Freigabe nach §68 StrlSchG

• Strahlenschutzplanung

eMobility

• Markt- & Technologieanalyse

• Produkt- und Prozessmanagement

• Rollout & Implementierung von Lade-infrastruktur

• Lieferanten & Qualitätsmanagement

• Modellierung und Simulation

• Testing & Validierung

public

public

www.umlaut.com


Documents

Cybersecurity Sicherheit in einem zunehmend