Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
Datensicherheit und Smart Metering Risiken für den Anbieter Philippe A.R. Schaeffer
Agenda <ul><li>Vorstellung </li></ul><ul><li>Bekannte Bedrohungen </li></ul><ul><li>Beispiele </li></ul><ul><li>Lösungsans...
Mein Background <ul><li>Über 16 Jahre Erfahrung als „Hacker“ </li></ul><ul><li>Über 8 Jahre Erfahrung als TÜV-Prüfer (insb...
Warum Jester? <ul><li>Court Jester – Hofnarr </li></ul><ul><li>Der einzige Berater des Herrschers, der die Wahrheit sagen ...
Portfolio <ul><li>Sicherheitsanalysen </li></ul><ul><li>Konzepte & Beratung </li></ul><ul><li>Datenschutz </li></ul><ul><l...
Agenda <ul><li>Vorstellung </li></ul><ul><li>Bekannte Bedrohungen </li></ul><ul><li>Beispiele </li></ul><ul><li>Lösungsans...
Was wird aktuell bedacht? <ul><li>Verfügbarkeit </li></ul><ul><ul><li>der Versorgung </li></ul></ul><ul><ul><li>der Abrech...
Probleme bei der Schaffung / Auswahl geeigneter Standards <ul><li>IT-Sicherheit in IT und Leittechnik  ist aktuell häufig ...
Agenda <ul><li>Vorstellung </li></ul><ul><li>Bekannte Bedrohungen </li></ul><ul><li>Beispiele </li></ul><ul><li>Lösungsans...
Der Tunnel zur Leittechnik  endet beim Kunden <ul><li>Unzureichend geschützte Smart Meter </li></ul><ul><ul><li>Unzureiche...
Unzureichend physischer Schutz  weiterer Komponenten <ul><li>Die Leittechnik „rückt weiter nach Außen“ </li></ul><ul><li>M...
Schnittstellen zum Kunden <ul><li>Am Smart Meter </li></ul><ul><li>Portale im Internet </li></ul><ul><li>SmartPhones, PDAs...
Grundsätzliche Probleme <ul><li>Das Security-KnowHow (Hacker-Sicht) fehlt </li></ul><ul><ul><li>Problem der letzten 10 Jah...
Agenda <ul><li>Vorstellung </li></ul><ul><li>Bekannte Bedrohungen </li></ul><ul><li>Beispiele </li></ul><ul><li>Lösungsans...
Philosophie (Sun Tzu, 500 BC) <ul><li>Wenn du den Feind und dich selbst kennst, brauchst du den Ausgang von hundert Schlac...
Notwendige Schritte <ul><li>Möglichst vollständige Erfassung der Bedrohungen </li></ul><ul><li>Bewertung der Risiken </li>...
Bedrohungsmodellierung <ul><li>Paradigmenwechsel in der IT-Sicherheit seit ca. 2005/2006 </li></ul><ul><li>Abschied von de...
Schützenswertes <ul><li>Auf den Kunden bezogen: </li></ul><ul><ul><li>Verfügbarkeit der Versorgung </li></ul></ul><ul><ul>...
Potentielle Bedrohungswege <ul><li>Über die Kommunikationsschnittstelle INNEN TCP/IP  (Powerline, Wireless, Kommunikations...
Verursacher / Angreifer <ul><li>Alle (Konsumenten) </li></ul><ul><li>Hacker </li></ul><ul><li>Mitbewerber </li></ul><ul><l...
Beispiel eines Bedrohungsmodells (nach Bedrohungsweg ausgerichtet) 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT G...
Quintessenz <ul><li>Frühzeitige Einbeziehungen von IT-Sicherheits-Experten (Hacker-Sicht) </li></ul><ul><li>Systematische ...
<ul><li>Vielen Dank für Ihre Aufmerksamkeit! </li></ul><ul><li>Haben Sie Fragen? </li></ul>24.02.10, Philippe A. R. Schaef...
Nächste SlideShare
Wird geladen in …5
×

Schaeffer Jester Smart Metering Datensicherheit

2.089 Aufrufe

Veröffentlicht am

Risiken durch Smart Metering und Smart Grids für Betreiber und Versorger

  • Als Erste(r) kommentieren

Schaeffer Jester Smart Metering Datensicherheit

  1. 1. Datensicherheit und Smart Metering Risiken für den Anbieter Philippe A.R. Schaeffer
  2. 2. Agenda <ul><li>Vorstellung </li></ul><ul><li>Bekannte Bedrohungen </li></ul><ul><li>Beispiele </li></ul><ul><li>Lösungsansätze </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  3. 3. Mein Background <ul><li>Über 16 Jahre Erfahrung als „Hacker“ </li></ul><ul><li>Über 8 Jahre Erfahrung als TÜV-Prüfer (insbesondere: Wirksamkeit von IT-Security in der Büro-IT) </li></ul><ul><li>Auditor für ISO27000, ITIL/ISO20000 </li></ul><ul><li>Erfahrungen aus unzähligen „Penetrationstests“ in der Leittechnik (SCADA Security) </li></ul><ul><li>Mitwirkung an relevanten Standards </li></ul><ul><ul><li>VGB Richtlinien </li></ul></ul><ul><ul><li>BDEW Whitepaper </li></ul></ul><ul><ul><li>ISA99 </li></ul></ul><ul><ul><li>ESCoRTS SAB </li></ul></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  4. 4. Warum Jester? <ul><li>Court Jester – Hofnarr </li></ul><ul><li>Der einzige Berater des Herrschers, der die Wahrheit sagen durfte und auch musste. </li></ul><ul><li>Er hatte auch die Aufgabe den König vor Risiken zu waren. </li></ul><ul><li>Er symbolisiert Spaß, Professionalität und die Fähigkeit mal Querzudenken. </li></ul><ul><li>Jester Secure iT: der Joker in der IT-Security </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  5. 5. Portfolio <ul><li>Sicherheitsanalysen </li></ul><ul><li>Konzepte & Beratung </li></ul><ul><li>Datenschutz </li></ul><ul><li>IT-Forensik & Gutachten </li></ul><ul><li>Quelltext-Analysen </li></ul><ul><li>Workshops & Schulungen </li></ul><ul><li>Spezialthemen </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  6. 6. Agenda <ul><li>Vorstellung </li></ul><ul><li>Bekannte Bedrohungen </li></ul><ul><li>Beispiele </li></ul><ul><li>Lösungsansätze </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  7. 7. Was wird aktuell bedacht? <ul><li>Verfügbarkeit </li></ul><ul><ul><li>der Versorgung </li></ul></ul><ul><ul><li>der Abrechnungsdaten </li></ul></ul><ul><ul><li>des Bedarfs </li></ul></ul><ul><li>Integrität </li></ul><ul><ul><li>der Abrechnungsdaten </li></ul></ul><ul><ul><li>des Bedarfs </li></ul></ul><ul><ul><li>der Steuerung (Befehle an das Meter) </li></ul></ul><ul><li>Vertraulichkeit </li></ul><ul><ul><li>der Verbrauchsinformationen </li></ul></ul><ul><ul><li>der Abrechnungsdaten </li></ul></ul><ul><ul><li>des Bedarfs </li></ul></ul><ul><ul><li>der Steuerung </li></ul></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  8. 8. Probleme bei der Schaffung / Auswahl geeigneter Standards <ul><li>IT-Sicherheit in IT und Leittechnik ist aktuell häufig nicht wirksam </li></ul><ul><li>Bestehende Standards berücksichtigen Sicherheit zu wenig oder gar nicht </li></ul><ul><li>Leittechnik ist nicht darauf ausgerichtet mit nicht vertrauenswürdigen Quellen umzugehen </li></ul><ul><li>Dort wo Sicherheit (Security) berücksichtigt wird, fehlt die &quot;Hacker-Sicht&quot; </li></ul><ul><li>-> Es gibt zahlreiche Bedrohungen, die nicht bedacht werden </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  9. 9. Agenda <ul><li>Vorstellung </li></ul><ul><li>Bekannte Bedrohungen </li></ul><ul><li>Beispiele </li></ul><ul><li>Lösungsansätze </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  10. 10. Der Tunnel zur Leittechnik endet beim Kunden <ul><li>Unzureichend geschützte Smart Meter </li></ul><ul><ul><li>Unzureichende Kapselung </li></ul></ul><ul><ul><li>Auslesen von Informationen (Firmware, Verschlüsselungsverfahren & -Keys, Kommunikation) </li></ul></ul><ul><ul><li>Ändern von Informationen (Firmware, Verbrauchsdaten, Steuerbefehle) </li></ul></ul><ul><ul><li>Einschränkung der Verfügbarkeit </li></ul></ul><ul><li>Unzureichende Verschlüsselung und Signierung der Kommunikation </li></ul><ul><ul><li>Keine Verschlüsselung </li></ul></ul><ul><ul><li>Keine Signierung </li></ul></ul><ul><ul><li>Fehlerhaft implementierte Verschlüsselung/Signierung </li></ul></ul><ul><ul><li>Unzureichende Zufälligkeit </li></ul></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  11. 11. Unzureichend physischer Schutz weiterer Komponenten <ul><li>Die Leittechnik „rückt weiter nach Außen“ </li></ul><ul><li>MUC / Relay-Stationen </li></ul><ul><li>Öffentlich zugängliche Terminals (z.B. Ladestationen) </li></ul><ul><li>Hardware in Fremdbesitz und unter fremder Verwaltung (z.B. Zähler im Auto) </li></ul><ul><li>Kommunikationsleitungen </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  12. 12. Schnittstellen zum Kunden <ul><li>Am Smart Meter </li></ul><ul><li>Portale im Internet </li></ul><ul><li>SmartPhones, PDAs, etc. </li></ul><ul><li>Service (Faktor Mensch) </li></ul><ul><li>DoS: Angriff gegen die „Defaulteigenschaften“ Was passiert, wenn keine korrekten Daten mehr geliefert werden? </li></ul><ul><li>Veränderung der Leistungs- und/oder Bedarfsdaten Rückkopplungseffekte, Geld- oder Vertrauensverlust, Nachweisbarkeit? </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  13. 13. Grundsätzliche Probleme <ul><li>Das Security-KnowHow (Hacker-Sicht) fehlt </li></ul><ul><ul><li>Problem der letzten 10 Jahre in der Büro-IT </li></ul></ul><ul><ul><li>aktuelles Problem in der Leittechnik </li></ul></ul><ul><ul><li>kommendes, massives Problem im Smart Grid </li></ul></ul><ul><li>Höhere Komplexität -> schwerer kontrollierbar </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  14. 14. Agenda <ul><li>Vorstellung </li></ul><ul><li>Bekannte Bedrohungen </li></ul><ul><li>Beispiele </li></ul><ul><li>Lösungsansätze </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  15. 15. Philosophie (Sun Tzu, 500 BC) <ul><li>Wenn du den Feind und dich selbst kennst, brauchst du den Ausgang von hundert Schlachten nicht zu fürchten … </li></ul><ul><li>Wenn du weder den Feind noch dich selbst kennst, wirst du in jeder Schlacht unterliegen. </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  16. 16. Notwendige Schritte <ul><li>Möglichst vollständige Erfassung der Bedrohungen </li></ul><ul><li>Bewertung der Risiken </li></ul><ul><li>-> Maßnahmen zur Minimierung der Risiken </li></ul><ul><li>Empfohlene Vorgehensweise: Bedrohungs- und Risiko-Modellierung </li></ul><ul><ul><li>Ende 90er: Entwickelt durch die US-Army und der britischen Armee </li></ul></ul><ul><ul><li>1999 erstmals für Risk Assessment Themen adaptiert (AS/NZS 4360:2004) </li></ul></ul><ul><ul><li>Seit 2003/2004 Teil des SSDL von Microsoft </li></ul></ul><ul><ul><li>2005 Bestandteil des CVSS (Homeland Security) </li></ul></ul><ul><ul><li>Teil von OCTAVE </li></ul></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  17. 17. Bedrohungsmodellierung <ul><li>Paradigmenwechsel in der IT-Sicherheit seit ca. 2005/2006 </li></ul><ul><li>Abschied von der „Auf den Gegner gerichteten“-Betrachtungsweise (reaktiv: Suchen nach Löchern, Beheben von Problemen) </li></ul><ul><li>Hin zu einer konstruktiven, proaktiven Betrachtungsweise Analyse der Bestandteile bereits in der Designphase </li></ul><ul><li>Ausgehend von unterschiedlichen Gesichtspunkten: </li></ul><ul><ul><li>Schützenswertes </li></ul></ul><ul><ul><ul><li>Geschäftsprozesse </li></ul></ul></ul><ul><ul><ul><li>Daten </li></ul></ul></ul><ul><ul><ul><li>Assets </li></ul></ul></ul><ul><ul><li>Schnittstellen / potentielle Bedrohungswege </li></ul></ul><ul><ul><li>Verursacher / Angreifer </li></ul></ul><ul><ul><li>Prozesse </li></ul></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  18. 18. Schützenswertes <ul><li>Auf den Kunden bezogen: </li></ul><ul><ul><li>Verfügbarkeit der Versorgung </li></ul></ul><ul><ul><li>Vertraulichkeit der Kunden- und Verbrauchsdaten </li></ul></ul><ul><ul><li>Integrität der Verbrauchsdaten </li></ul></ul><ul><li>Auf den Versorger bezogen: </li></ul><ul><ul><li>Verfügbarkeit der Erzeugung und Verteilung </li></ul></ul><ul><ul><li>Vertraulichkeit der Unternehmensdaten </li></ul></ul><ul><ul><li>Integrität der Steuerung </li></ul></ul><ul><li>Vorgaben durch Gesetze, Regulationen, Standards, ... </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  19. 19. Potentielle Bedrohungswege <ul><li>Über die Kommunikationsschnittstelle INNEN TCP/IP (Powerline, Wireless, Kommunikationsstandards (M-Bus, ...)) </li></ul><ul><li>Über die Kommunikationsschnittstelle AUSSEN TCP/IP (Powerline, DSL, 802.11, GMS/UMTS, PSTN, Kommunikationsstandards) </li></ul><ul><li>Manipulation am Gerät von AUSSEN (Strahlung (EM aller Spektren), Abhören der EM-Signaturen), physische Gewalt, chemische Attacken </li></ul><ul><li>Manipulation am Gerät von INNEN (Hardware-Patchen, verborgene Funktionen, gezieltes Einbringen korrumpierter Hardwareelemente) </li></ul><ul><li>Angriff gegen die „Internetdienste“ der Anbieter </li></ul><ul><li>Angriff gegen die „Rückkopplungsmechnismen“ bei den Betreiber (Verbrauch oder Bedarf, Preismanipulation) </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  20. 20. Verursacher / Angreifer <ul><li>Alle (Konsumenten) </li></ul><ul><li>Hacker </li></ul><ul><li>Mitbewerber </li></ul><ul><li>Kriminelle Organisationen (Erpressung, Sabotage, ...) </li></ul><ul><li>Terroristische Gruppen </li></ul><ul><li>Staatliche Stellen (auch fremder Staaten, also Vorsicht bei fremder Hardware!) </li></ul><ul><li>Fehlbedienung, DAU </li></ul><ul><li>Zufall, Fehler in Hard- oder Software </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  21. 21. Beispiel eines Bedrohungsmodells (nach Bedrohungsweg ausgerichtet) 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  22. 22. Quintessenz <ul><li>Frühzeitige Einbeziehungen von IT-Sicherheits-Experten (Hacker-Sicht) </li></ul><ul><li>Systematische Bedrohungs- und Risiko-Modelierung (Threat Risk Modeling) </li></ul><ul><li>Definition von Anforderungen -> Standardisierung </li></ul><ul><li>Prüfung der Umsetzung durch Sicherheits-Experten -> Zertifizierung </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  23. 23. <ul><li>Vielen Dank für Ihre Aufmerksamkeit! </li></ul><ul><li>Haben Sie Fragen? </li></ul>24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23 Philippe A. R. Schaeffer Chief Security Analyst +49-2202-9836 61 [email_address]

×