Datensicherheit und Smart Metering Risiken für den Anbieter Philippe A.R. Schaeffer
Agenda <ul><li>Vorstellung </li></ul><ul><li>Bekannte Bedrohungen </li></ul><ul><li>Beispiele </li></ul><ul><li>Lösungsans...
Mein Background <ul><li>Über 16 Jahre Erfahrung als „Hacker“ </li></ul><ul><li>Über 8 Jahre Erfahrung als TÜV-Prüfer (insb...
Warum Jester? <ul><li>Court Jester – Hofnarr </li></ul><ul><li>Der einzige Berater des Herrschers, der die Wahrheit sagen ...
Portfolio <ul><li>Sicherheitsanalysen </li></ul><ul><li>Konzepte & Beratung </li></ul><ul><li>Datenschutz </li></ul><ul><l...
Agenda <ul><li>Vorstellung </li></ul><ul><li>Bekannte Bedrohungen </li></ul><ul><li>Beispiele </li></ul><ul><li>Lösungsans...
Was wird aktuell bedacht? <ul><li>Verfügbarkeit </li></ul><ul><ul><li>der Versorgung </li></ul></ul><ul><ul><li>der Abrech...
Probleme bei der Schaffung / Auswahl geeigneter Standards <ul><li>IT-Sicherheit in IT und Leittechnik  ist aktuell häufig ...
Agenda <ul><li>Vorstellung </li></ul><ul><li>Bekannte Bedrohungen </li></ul><ul><li>Beispiele </li></ul><ul><li>Lösungsans...
Der Tunnel zur Leittechnik  endet beim Kunden <ul><li>Unzureichend geschützte Smart Meter </li></ul><ul><ul><li>Unzureiche...
Unzureichend physischer Schutz  weiterer Komponenten <ul><li>Die Leittechnik „rückt weiter nach Außen“ </li></ul><ul><li>M...
Schnittstellen zum Kunden <ul><li>Am Smart Meter </li></ul><ul><li>Portale im Internet </li></ul><ul><li>SmartPhones, PDAs...
Grundsätzliche Probleme <ul><li>Das Security-KnowHow (Hacker-Sicht) fehlt </li></ul><ul><ul><li>Problem der letzten 10 Jah...
Agenda <ul><li>Vorstellung </li></ul><ul><li>Bekannte Bedrohungen </li></ul><ul><li>Beispiele </li></ul><ul><li>Lösungsans...
Philosophie (Sun Tzu, 500 BC) <ul><li>Wenn du den Feind und dich selbst kennst, brauchst du den Ausgang von hundert Schlac...
Notwendige Schritte <ul><li>Möglichst vollständige Erfassung der Bedrohungen </li></ul><ul><li>Bewertung der Risiken </li>...
Bedrohungsmodellierung <ul><li>Paradigmenwechsel in der IT-Sicherheit seit ca. 2005/2006 </li></ul><ul><li>Abschied von de...
Schützenswertes <ul><li>Auf den Kunden bezogen: </li></ul><ul><ul><li>Verfügbarkeit der Versorgung </li></ul></ul><ul><ul>...
Potentielle Bedrohungswege <ul><li>Über die Kommunikationsschnittstelle INNEN TCP/IP  (Powerline, Wireless, Kommunikations...
Verursacher / Angreifer <ul><li>Alle (Konsumenten) </li></ul><ul><li>Hacker </li></ul><ul><li>Mitbewerber </li></ul><ul><l...
Beispiel eines Bedrohungsmodells (nach Bedrohungsweg ausgerichtet) 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT G...
Quintessenz <ul><li>Frühzeitige Einbeziehungen von IT-Sicherheits-Experten (Hacker-Sicht) </li></ul><ul><li>Systematische ...
<ul><li>Vielen Dank für Ihre Aufmerksamkeit! </li></ul><ul><li>Haben Sie Fragen? </li></ul>24.02.10, Philippe A. R. Schaef...
Nächste SlideShare
Wird geladen in …5
×

Schaeffer Jester Smart Metering Datensicherheit

2.001 Aufrufe

Veröffentlicht am

Risiken durch Smart Metering und Smart Grids für Betreiber und Versorger

0 Kommentare
1 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

Keine Downloads
Aufrufe
Aufrufe insgesamt
2.001
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
22
Aktionen
Geteilt
0
Downloads
0
Kommentare
0
Gefällt mir
1
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Schaeffer Jester Smart Metering Datensicherheit

  1. 1. Datensicherheit und Smart Metering Risiken für den Anbieter Philippe A.R. Schaeffer
  2. 2. Agenda <ul><li>Vorstellung </li></ul><ul><li>Bekannte Bedrohungen </li></ul><ul><li>Beispiele </li></ul><ul><li>Lösungsansätze </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  3. 3. Mein Background <ul><li>Über 16 Jahre Erfahrung als „Hacker“ </li></ul><ul><li>Über 8 Jahre Erfahrung als TÜV-Prüfer (insbesondere: Wirksamkeit von IT-Security in der Büro-IT) </li></ul><ul><li>Auditor für ISO27000, ITIL/ISO20000 </li></ul><ul><li>Erfahrungen aus unzähligen „Penetrationstests“ in der Leittechnik (SCADA Security) </li></ul><ul><li>Mitwirkung an relevanten Standards </li></ul><ul><ul><li>VGB Richtlinien </li></ul></ul><ul><ul><li>BDEW Whitepaper </li></ul></ul><ul><ul><li>ISA99 </li></ul></ul><ul><ul><li>ESCoRTS SAB </li></ul></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  4. 4. Warum Jester? <ul><li>Court Jester – Hofnarr </li></ul><ul><li>Der einzige Berater des Herrschers, der die Wahrheit sagen durfte und auch musste. </li></ul><ul><li>Er hatte auch die Aufgabe den König vor Risiken zu waren. </li></ul><ul><li>Er symbolisiert Spaß, Professionalität und die Fähigkeit mal Querzudenken. </li></ul><ul><li>Jester Secure iT: der Joker in der IT-Security </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  5. 5. Portfolio <ul><li>Sicherheitsanalysen </li></ul><ul><li>Konzepte & Beratung </li></ul><ul><li>Datenschutz </li></ul><ul><li>IT-Forensik & Gutachten </li></ul><ul><li>Quelltext-Analysen </li></ul><ul><li>Workshops & Schulungen </li></ul><ul><li>Spezialthemen </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  6. 6. Agenda <ul><li>Vorstellung </li></ul><ul><li>Bekannte Bedrohungen </li></ul><ul><li>Beispiele </li></ul><ul><li>Lösungsansätze </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  7. 7. Was wird aktuell bedacht? <ul><li>Verfügbarkeit </li></ul><ul><ul><li>der Versorgung </li></ul></ul><ul><ul><li>der Abrechnungsdaten </li></ul></ul><ul><ul><li>des Bedarfs </li></ul></ul><ul><li>Integrität </li></ul><ul><ul><li>der Abrechnungsdaten </li></ul></ul><ul><ul><li>des Bedarfs </li></ul></ul><ul><ul><li>der Steuerung (Befehle an das Meter) </li></ul></ul><ul><li>Vertraulichkeit </li></ul><ul><ul><li>der Verbrauchsinformationen </li></ul></ul><ul><ul><li>der Abrechnungsdaten </li></ul></ul><ul><ul><li>des Bedarfs </li></ul></ul><ul><ul><li>der Steuerung </li></ul></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  8. 8. Probleme bei der Schaffung / Auswahl geeigneter Standards <ul><li>IT-Sicherheit in IT und Leittechnik ist aktuell häufig nicht wirksam </li></ul><ul><li>Bestehende Standards berücksichtigen Sicherheit zu wenig oder gar nicht </li></ul><ul><li>Leittechnik ist nicht darauf ausgerichtet mit nicht vertrauenswürdigen Quellen umzugehen </li></ul><ul><li>Dort wo Sicherheit (Security) berücksichtigt wird, fehlt die &quot;Hacker-Sicht&quot; </li></ul><ul><li>-> Es gibt zahlreiche Bedrohungen, die nicht bedacht werden </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  9. 9. Agenda <ul><li>Vorstellung </li></ul><ul><li>Bekannte Bedrohungen </li></ul><ul><li>Beispiele </li></ul><ul><li>Lösungsansätze </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  10. 10. Der Tunnel zur Leittechnik endet beim Kunden <ul><li>Unzureichend geschützte Smart Meter </li></ul><ul><ul><li>Unzureichende Kapselung </li></ul></ul><ul><ul><li>Auslesen von Informationen (Firmware, Verschlüsselungsverfahren & -Keys, Kommunikation) </li></ul></ul><ul><ul><li>Ändern von Informationen (Firmware, Verbrauchsdaten, Steuerbefehle) </li></ul></ul><ul><ul><li>Einschränkung der Verfügbarkeit </li></ul></ul><ul><li>Unzureichende Verschlüsselung und Signierung der Kommunikation </li></ul><ul><ul><li>Keine Verschlüsselung </li></ul></ul><ul><ul><li>Keine Signierung </li></ul></ul><ul><ul><li>Fehlerhaft implementierte Verschlüsselung/Signierung </li></ul></ul><ul><ul><li>Unzureichende Zufälligkeit </li></ul></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  11. 11. Unzureichend physischer Schutz weiterer Komponenten <ul><li>Die Leittechnik „rückt weiter nach Außen“ </li></ul><ul><li>MUC / Relay-Stationen </li></ul><ul><li>Öffentlich zugängliche Terminals (z.B. Ladestationen) </li></ul><ul><li>Hardware in Fremdbesitz und unter fremder Verwaltung (z.B. Zähler im Auto) </li></ul><ul><li>Kommunikationsleitungen </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  12. 12. Schnittstellen zum Kunden <ul><li>Am Smart Meter </li></ul><ul><li>Portale im Internet </li></ul><ul><li>SmartPhones, PDAs, etc. </li></ul><ul><li>Service (Faktor Mensch) </li></ul><ul><li>DoS: Angriff gegen die „Defaulteigenschaften“ Was passiert, wenn keine korrekten Daten mehr geliefert werden? </li></ul><ul><li>Veränderung der Leistungs- und/oder Bedarfsdaten Rückkopplungseffekte, Geld- oder Vertrauensverlust, Nachweisbarkeit? </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  13. 13. Grundsätzliche Probleme <ul><li>Das Security-KnowHow (Hacker-Sicht) fehlt </li></ul><ul><ul><li>Problem der letzten 10 Jahre in der Büro-IT </li></ul></ul><ul><ul><li>aktuelles Problem in der Leittechnik </li></ul></ul><ul><ul><li>kommendes, massives Problem im Smart Grid </li></ul></ul><ul><li>Höhere Komplexität -> schwerer kontrollierbar </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  14. 14. Agenda <ul><li>Vorstellung </li></ul><ul><li>Bekannte Bedrohungen </li></ul><ul><li>Beispiele </li></ul><ul><li>Lösungsansätze </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  15. 15. Philosophie (Sun Tzu, 500 BC) <ul><li>Wenn du den Feind und dich selbst kennst, brauchst du den Ausgang von hundert Schlachten nicht zu fürchten … </li></ul><ul><li>Wenn du weder den Feind noch dich selbst kennst, wirst du in jeder Schlacht unterliegen. </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  16. 16. Notwendige Schritte <ul><li>Möglichst vollständige Erfassung der Bedrohungen </li></ul><ul><li>Bewertung der Risiken </li></ul><ul><li>-> Maßnahmen zur Minimierung der Risiken </li></ul><ul><li>Empfohlene Vorgehensweise: Bedrohungs- und Risiko-Modellierung </li></ul><ul><ul><li>Ende 90er: Entwickelt durch die US-Army und der britischen Armee </li></ul></ul><ul><ul><li>1999 erstmals für Risk Assessment Themen adaptiert (AS/NZS 4360:2004) </li></ul></ul><ul><ul><li>Seit 2003/2004 Teil des SSDL von Microsoft </li></ul></ul><ul><ul><li>2005 Bestandteil des CVSS (Homeland Security) </li></ul></ul><ul><ul><li>Teil von OCTAVE </li></ul></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  17. 17. Bedrohungsmodellierung <ul><li>Paradigmenwechsel in der IT-Sicherheit seit ca. 2005/2006 </li></ul><ul><li>Abschied von der „Auf den Gegner gerichteten“-Betrachtungsweise (reaktiv: Suchen nach Löchern, Beheben von Problemen) </li></ul><ul><li>Hin zu einer konstruktiven, proaktiven Betrachtungsweise Analyse der Bestandteile bereits in der Designphase </li></ul><ul><li>Ausgehend von unterschiedlichen Gesichtspunkten: </li></ul><ul><ul><li>Schützenswertes </li></ul></ul><ul><ul><ul><li>Geschäftsprozesse </li></ul></ul></ul><ul><ul><ul><li>Daten </li></ul></ul></ul><ul><ul><ul><li>Assets </li></ul></ul></ul><ul><ul><li>Schnittstellen / potentielle Bedrohungswege </li></ul></ul><ul><ul><li>Verursacher / Angreifer </li></ul></ul><ul><ul><li>Prozesse </li></ul></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  18. 18. Schützenswertes <ul><li>Auf den Kunden bezogen: </li></ul><ul><ul><li>Verfügbarkeit der Versorgung </li></ul></ul><ul><ul><li>Vertraulichkeit der Kunden- und Verbrauchsdaten </li></ul></ul><ul><ul><li>Integrität der Verbrauchsdaten </li></ul></ul><ul><li>Auf den Versorger bezogen: </li></ul><ul><ul><li>Verfügbarkeit der Erzeugung und Verteilung </li></ul></ul><ul><ul><li>Vertraulichkeit der Unternehmensdaten </li></ul></ul><ul><ul><li>Integrität der Steuerung </li></ul></ul><ul><li>Vorgaben durch Gesetze, Regulationen, Standards, ... </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  19. 19. Potentielle Bedrohungswege <ul><li>Über die Kommunikationsschnittstelle INNEN TCP/IP (Powerline, Wireless, Kommunikationsstandards (M-Bus, ...)) </li></ul><ul><li>Über die Kommunikationsschnittstelle AUSSEN TCP/IP (Powerline, DSL, 802.11, GMS/UMTS, PSTN, Kommunikationsstandards) </li></ul><ul><li>Manipulation am Gerät von AUSSEN (Strahlung (EM aller Spektren), Abhören der EM-Signaturen), physische Gewalt, chemische Attacken </li></ul><ul><li>Manipulation am Gerät von INNEN (Hardware-Patchen, verborgene Funktionen, gezieltes Einbringen korrumpierter Hardwareelemente) </li></ul><ul><li>Angriff gegen die „Internetdienste“ der Anbieter </li></ul><ul><li>Angriff gegen die „Rückkopplungsmechnismen“ bei den Betreiber (Verbrauch oder Bedarf, Preismanipulation) </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  20. 20. Verursacher / Angreifer <ul><li>Alle (Konsumenten) </li></ul><ul><li>Hacker </li></ul><ul><li>Mitbewerber </li></ul><ul><li>Kriminelle Organisationen (Erpressung, Sabotage, ...) </li></ul><ul><li>Terroristische Gruppen </li></ul><ul><li>Staatliche Stellen (auch fremder Staaten, also Vorsicht bei fremder Hardware!) </li></ul><ul><li>Fehlbedienung, DAU </li></ul><ul><li>Zufall, Fehler in Hard- oder Software </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  21. 21. Beispiel eines Bedrohungsmodells (nach Bedrohungsweg ausgerichtet) 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  22. 22. Quintessenz <ul><li>Frühzeitige Einbeziehungen von IT-Sicherheits-Experten (Hacker-Sicht) </li></ul><ul><li>Systematische Bedrohungs- und Risiko-Modelierung (Threat Risk Modeling) </li></ul><ul><li>Definition von Anforderungen -> Standardisierung </li></ul><ul><li>Prüfung der Umsetzung durch Sicherheits-Experten -> Zertifizierung </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  23. 23. <ul><li>Vielen Dank für Ihre Aufmerksamkeit! </li></ul><ul><li>Haben Sie Fragen? </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23 Philippe A. R. Schaeffer Chief Security Analyst +49-2202-9836 61 [email_address]

×