SlideShare ist ein Scribd-Unternehmen logo
Datensicherheit und Smart Metering Risiken für den Anbieter Philippe A.R. Schaeffer
Agenda Vorstellung Bekannte Bedrohungen Beispiele Lösungsansätze 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit  / 23
Mein Background Über 16 Jahre Erfahrung als „Hacker“ Über 8 Jahre Erfahrung als TÜV-Prüfer (insbesondere: Wirksamkeit von IT-Security in der Büro-IT) Auditor für ISO27000, ITIL/ISO20000 Erfahrungen aus unzähligen „Penetrationstests“ in der Leittechnik (SCADA Security) Mitwirkung an relevanten Standards VGB Richtlinien BDEW Whitepaper ISA99 ESCoRTS SAB 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit  / 23
Warum Jester? Court Jester – Hofnarr Der einzige Berater des Herrschers, der die Wahrheit sagen durfte und auch musste. Er hatte auch die Aufgabe den König vor Risiken zu waren. Er symbolisiert Spaß, Professionalität und die Fähigkeit mal Querzudenken. Jester Secure iT: der Joker in der IT-Security 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit  / 23
Portfolio Sicherheitsanalysen Konzepte & Beratung Datenschutz IT-Forensik & Gutachten Quelltext-Analysen Workshops & Schulungen Spezialthemen 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit  / 23
Agenda Vorstellung Bekannte Bedrohungen Beispiele Lösungsansätze 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit  / 23
Was wird aktuell bedacht? Verfügbarkeit der Versorgung der Abrechnungsdaten des Bedarfs Integrität der Abrechnungsdaten des Bedarfs der Steuerung (Befehle an das Meter) Vertraulichkeit der Verbrauchsinformationen der Abrechnungsdaten des Bedarfs der Steuerung 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit  / 23
Probleme bei der Schaffung / Auswahl geeigneter Standards IT-Sicherheit in IT und Leittechnik  ist aktuell häufig nicht wirksam Bestehende Standards berücksichtigen Sicherheit  zu wenig oder gar nicht Leittechnik ist nicht darauf ausgerichtet mit  nicht vertrauenswürdigen Quellen umzugehen Dort wo Sicherheit (Security) berücksichtigt wird,  fehlt die "Hacker-Sicht" ->  Es gibt zahlreiche Bedrohungen, die nicht bedacht werden 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit  / 23
Agenda Vorstellung Bekannte Bedrohungen Beispiele Lösungsansätze 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit  / 23
Der Tunnel zur Leittechnik  endet beim Kunden Unzureichend geschützte Smart Meter Unzureichende Kapselung Auslesen von Informationen  (Firmware, Verschlüsselungsverfahren & -Keys, Kommunikation) Ändern von Informationen  (Firmware, Verbrauchsdaten, Steuerbefehle) Einschränkung der Verfügbarkeit Unzureichende Verschlüsselung und Signierung der Kommunikation Keine Verschlüsselung Keine Signierung Fehlerhaft implementierte Verschlüsselung/Signierung Unzureichende Zufälligkeit 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit  / 23
Unzureichend physischer Schutz  weiterer Komponenten Die Leittechnik „rückt weiter nach Außen“ MUC / Relay-Stationen Öffentlich zugängliche Terminals (z.B. Ladestationen) Hardware in Fremdbesitz und unter fremder Verwaltung (z.B. Zähler im Auto) Kommunikationsleitungen 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit  / 23
Schnittstellen zum Kunden Am Smart Meter Portale im Internet SmartPhones, PDAs, etc. Service (Faktor Mensch) DoS: Angriff gegen die „Defaulteigenschaften“ Was passiert, wenn keine korrekten Daten mehr geliefert werden? Veränderung der Leistungs- und/oder Bedarfsdaten Rückkopplungseffekte, Geld- oder Vertrauensverlust, Nachweisbarkeit? 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit  / 23
Grundsätzliche Probleme Das Security-KnowHow (Hacker-Sicht) fehlt Problem der letzten 10 Jahre in der Büro-IT aktuelles Problem in der Leittechnik kommendes, massives Problem im Smart Grid Höhere Komplexität  -> schwerer kontrollierbar 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit  / 23
Agenda Vorstellung Bekannte Bedrohungen Beispiele Lösungsansätze 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit  / 23
Philosophie (Sun Tzu, 500 BC) Wenn du den Feind und dich selbst kennst, brauchst du den Ausgang von hundert Schlachten nicht zu fürchten … Wenn du weder den Feind noch dich selbst kennst, wirst du in jeder Schlacht unterliegen. 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit  / 23
Notwendige Schritte Möglichst vollständige Erfassung der Bedrohungen Bewertung der Risiken ->  Maßnahmen zur Minimierung der Risiken Empfohlene Vorgehensweise:  Bedrohungs- und Risiko-Modellierung Ende 90er: Entwickelt durch die US-Army und der britischen Armee 1999 erstmals für Risk Assessment Themen adaptiert (AS/NZS 4360:2004) Seit 2003/2004 Teil des SSDL von Microsoft 2005 Bestandteil des CVSS (Homeland Security) Teil von OCTAVE 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit  / 23
Bedrohungsmodellierung Paradigmenwechsel in der IT-Sicherheit seit ca. 2005/2006 Abschied von der „Auf den Gegner gerichteten“-Betrachtungsweise  (reaktiv: Suchen nach Löchern, Beheben von Problemen) Hin zu einer konstruktiven, proaktiven Betrachtungsweise Analyse der Bestandteile bereits in der Designphase Ausgehend von unterschiedlichen Gesichtspunkten: Schützenswertes Geschäftsprozesse Daten Assets Schnittstellen / potentielle Bedrohungswege Verursacher / Angreifer Prozesse 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit  / 23
Schützenswertes Auf den Kunden bezogen: Verfügbarkeit der Versorgung Vertraulichkeit der Kunden- und Verbrauchsdaten Integrität der Verbrauchsdaten Auf den Versorger bezogen: Verfügbarkeit der Erzeugung und Verteilung Vertraulichkeit der Unternehmensdaten Integrität der Steuerung Vorgaben durch Gesetze, Regulationen, Standards, ... 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit  / 23
Potentielle Bedrohungswege Über die Kommunikationsschnittstelle INNEN TCP/IP  (Powerline, Wireless, Kommunikationsstandards (M-Bus, ...)) Über die Kommunikationsschnittstelle AUSSEN TCP/IP  (Powerline, DSL, 802.11, GMS/UMTS, PSTN, Kommunikationsstandards) Manipulation am Gerät von AUSSEN  (Strahlung (EM aller Spektren), Abhören der EM-Signaturen),  physische Gewalt, chemische Attacken  Manipulation am Gerät von INNEN  (Hardware-Patchen, verborgene Funktionen,  gezieltes Einbringen korrumpierter Hardwareelemente) Angriff gegen die „Internetdienste“ der Anbieter Angriff gegen die „Rückkopplungsmechnismen“ bei den Betreiber  (Verbrauch oder Bedarf, Preismanipulation) 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit  / 23
Verursacher / Angreifer Alle (Konsumenten) Hacker Mitbewerber Kriminelle Organisationen  (Erpressung, Sabotage, ...) Terroristische Gruppen Staatliche Stellen  (auch fremder Staaten, also Vorsicht bei fremder Hardware!) Fehlbedienung, DAU Zufall, Fehler in Hard- oder Software 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit  / 23
Beispiel eines Bedrohungsmodells (nach Bedrohungsweg ausgerichtet) 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit  / 23
Quintessenz Frühzeitige Einbeziehungen von IT-Sicherheits-Experten (Hacker-Sicht) Systematische Bedrohungs- und Risiko-Modelierung (Threat Risk Modeling) Definition von Anforderungen  -> Standardisierung Prüfung der Umsetzung durch Sicherheits-Experten -> Zertifizierung 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit  / 23
Vielen Dank für Ihre Aufmerksamkeit! Haben Sie Fragen? 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit  / 23 Philippe A. R. Schaeffer Chief Security Analyst +49-2202-9836 61 [email_address]

Weitere ähnliche Inhalte

Andere mochten auch

Datenschutz, datensicherheit und urheberrecht
Datenschutz, datensicherheit und urheberrechtDatenschutz, datensicherheit und urheberrecht
Datenschutz, datensicherheit und urheberrecht
CBeuster
 
Industrie 4.0
Industrie 4.0Industrie 4.0
Industrie 4.0
GESIS
 
Home Office - Flexibel von überall arbeiten
Home Office - Flexibel von überall arbeitenHome Office - Flexibel von überall arbeiten
Home Office - Flexibel von überall arbeiten
Vodafone Deutschland Business
 
Industrie 4.0 - Digitalisierung beschleunigen
Industrie 4.0 - Digitalisierung beschleunigenIndustrie 4.0 - Digitalisierung beschleunigen
Industrie 4.0 - Digitalisierung beschleunigen
Vodafone Deutschland Business
 
Technik für die wandlungsfähige Logistik: Industrie 4.0
Technik für die wandlungsfähige Logistik: Industrie 4.0Technik für die wandlungsfähige Logistik: Industrie 4.0
Technik für die wandlungsfähige Logistik: Industrie 4.0
Boris Otto
 
Digitalisierung in der Logistik
Digitalisierung in der LogistikDigitalisierung in der Logistik
Digitalisierung in der Logistik
Boris Otto
 
Logistik in der digitalen Wirtschaft: Daten als strategische Ressource
Logistik in der digitalen Wirtschaft: Daten als strategische RessourceLogistik in der digitalen Wirtschaft: Daten als strategische Ressource
Logistik in der digitalen Wirtschaft: Daten als strategische Ressource
Boris Otto
 
Industrie 4.0 in der Logistik: Stand der Umsetzung und Ausblick
Industrie 4.0 in der Logistik: Stand der Umsetzung und AusblickIndustrie 4.0 in der Logistik: Stand der Umsetzung und Ausblick
Industrie 4.0 in der Logistik: Stand der Umsetzung und Ausblick
Boris Otto
 
Edo2012 comunicacio
Edo2012 comunicacioEdo2012 comunicacio
Edo2012 comunicacio
martaclar
 
utplPres Web2.0
utplPres Web2.0utplPres Web2.0
utplPres Web2.0
guest794a3765c
 
Proyecto De Vida Deber
Proyecto De Vida DeberProyecto De Vida Deber
Proyecto De Vida Deber
Paola Elizabeth
 
El Mudo Liberal
El Mudo LiberalEl Mudo Liberal
El Mudo Liberal
guestc5d5e2
 
Tarea De Compu
Tarea De CompuTarea De Compu
Tarea De Compu
Oscar Goytia
 
Una palabra
Una palabraUna palabra
Una palabra
misiotere
 
1A Stem Changing Verbs
1A Stem Changing Verbs1A Stem Changing Verbs
1A Stem Changing Verbs
guest475fa2
 
Sociedad
SociedadSociedad
Sociedad
timoteo2009
 
Oferta 4º eso 10 11
Oferta 4º eso 10 11Oferta 4º eso 10 11
segmentacion de mercados
segmentacion de mercadossegmentacion de mercados
segmentacion de mercados
facebook.com/institutosudamericano
 

Andere mochten auch (20)

Datenschutz, datensicherheit und urheberrecht
Datenschutz, datensicherheit und urheberrechtDatenschutz, datensicherheit und urheberrecht
Datenschutz, datensicherheit und urheberrecht
 
Industrie 4.0
Industrie 4.0Industrie 4.0
Industrie 4.0
 
Home Office - Flexibel von überall arbeiten
Home Office - Flexibel von überall arbeitenHome Office - Flexibel von überall arbeiten
Home Office - Flexibel von überall arbeiten
 
Industrie 4.0 - Digitalisierung beschleunigen
Industrie 4.0 - Digitalisierung beschleunigenIndustrie 4.0 - Digitalisierung beschleunigen
Industrie 4.0 - Digitalisierung beschleunigen
 
Technik für die wandlungsfähige Logistik: Industrie 4.0
Technik für die wandlungsfähige Logistik: Industrie 4.0Technik für die wandlungsfähige Logistik: Industrie 4.0
Technik für die wandlungsfähige Logistik: Industrie 4.0
 
Digitalisierung in der Logistik
Digitalisierung in der LogistikDigitalisierung in der Logistik
Digitalisierung in der Logistik
 
Logistik in der digitalen Wirtschaft: Daten als strategische Ressource
Logistik in der digitalen Wirtschaft: Daten als strategische RessourceLogistik in der digitalen Wirtschaft: Daten als strategische Ressource
Logistik in der digitalen Wirtschaft: Daten als strategische Ressource
 
Industrie 4.0 in der Logistik: Stand der Umsetzung und Ausblick
Industrie 4.0 in der Logistik: Stand der Umsetzung und AusblickIndustrie 4.0 in der Logistik: Stand der Umsetzung und Ausblick
Industrie 4.0 in der Logistik: Stand der Umsetzung und Ausblick
 
Edo2012 comunicacio
Edo2012 comunicacioEdo2012 comunicacio
Edo2012 comunicacio
 
Liesmich
LiesmichLiesmich
Liesmich
 
utplPres Web2.0
utplPres Web2.0utplPres Web2.0
utplPres Web2.0
 
Proyecto De Vida Deber
Proyecto De Vida DeberProyecto De Vida Deber
Proyecto De Vida Deber
 
El Mudo Liberal
El Mudo LiberalEl Mudo Liberal
El Mudo Liberal
 
Tarea De Compu
Tarea De CompuTarea De Compu
Tarea De Compu
 
Una palabra
Una palabraUna palabra
Una palabra
 
Die Schüssel
Die SchüsselDie Schüssel
Die Schüssel
 
1A Stem Changing Verbs
1A Stem Changing Verbs1A Stem Changing Verbs
1A Stem Changing Verbs
 
Sociedad
SociedadSociedad
Sociedad
 
Oferta 4º eso 10 11
Oferta 4º eso 10 11Oferta 4º eso 10 11
Oferta 4º eso 10 11
 
segmentacion de mercados
segmentacion de mercadossegmentacion de mercados
segmentacion de mercados
 

Ähnlich wie Schaeffer Jester Smart Metering Datensicherheit

It strategie-security-first
It strategie-security-firstIt strategie-security-first
It strategie-security-first
Ralph Belfiore
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue Architekturen
ICT Economic Impact
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
Fraunhofer AISEC
 
Proaktive Sicherheit durch Threat Modeling
Proaktive Sicherheit durch Threat ModelingProaktive Sicherheit durch Threat Modeling
Proaktive Sicherheit durch Threat Modeling
Philippe A. R. Schaeffer
 
Sicherheit für das Energieinformationsnetz
Sicherheit für das EnergieinformationsnetzSicherheit für das Energieinformationsnetz
Sicherheit für das Energieinformationsnetz
Fraunhofer AISEC
 
Positionspapier: Transparente, einfache und performante Ende-zu-Ende-Sicherhe...
Positionspapier: Transparente, einfache und performante Ende-zu-Ende-Sicherhe...Positionspapier: Transparente, einfache und performante Ende-zu-Ende-Sicherhe...
Positionspapier: Transparente, einfache und performante Ende-zu-Ende-Sicherhe...
Fujitsu Central Europe
 
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityCybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
Fraunhofer AISEC
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Fujitsu Central Europe
 
Informationssicherheitsmanagment
InformationssicherheitsmanagmentInformationssicherheitsmanagment
Informationssicherheitsmanagment
Claus Brell
 
Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)
Praxistage
 
Die Nadel im Heuhaufen finden mit der SIEM Technologie
Die Nadel im Heuhaufen finden mit der SIEM TechnologieDie Nadel im Heuhaufen finden mit der SIEM Technologie
Die Nadel im Heuhaufen finden mit der SIEM Technologie
topsoft - inspiring digital business
 
CWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT SecurityCWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT Security
CWMC - Christian Wild Management Consultants
 
Sichere IT-Systeme
Sichere IT-SystemeSichere IT-Systeme
Sichere IT-Systeme
Sven Wohlgemuth
 
Fraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC
 
Softwarequalität – Schlagwort oder Realität ?
Softwarequalität – Schlagwort oder Realität ?Softwarequalität – Schlagwort oder Realität ?
Softwarequalität – Schlagwort oder Realität ?
Ernest Wallmueller
 
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmePräsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
NoCodeHardening
 
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitSecurity Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Carsten Muetzlitz
 
Karl Steiner (COMPRISE GmbH)
Karl Steiner (COMPRISE GmbH)Karl Steiner (COMPRISE GmbH)
Karl Steiner (COMPRISE GmbH)
Agenda Europe 2035
 
Datensicherheit: Diebstahl und Prävention
Datensicherheit: Diebstahl und PräventionDatensicherheit: Diebstahl und Prävention
Datensicherheit: Diebstahl und Prävention
Acertigo
 

Ähnlich wie Schaeffer Jester Smart Metering Datensicherheit (20)

It strategie-security-first
It strategie-security-firstIt strategie-security-first
It strategie-security-first
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue Architekturen
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
 
Proaktive Sicherheit durch Threat Modeling
Proaktive Sicherheit durch Threat ModelingProaktive Sicherheit durch Threat Modeling
Proaktive Sicherheit durch Threat Modeling
 
Sicherheit für das Energieinformationsnetz
Sicherheit für das EnergieinformationsnetzSicherheit für das Energieinformationsnetz
Sicherheit für das Energieinformationsnetz
 
Positionspapier: Transparente, einfache und performante Ende-zu-Ende-Sicherhe...
Positionspapier: Transparente, einfache und performante Ende-zu-Ende-Sicherhe...Positionspapier: Transparente, einfache und performante Ende-zu-Ende-Sicherhe...
Positionspapier: Transparente, einfache und performante Ende-zu-Ende-Sicherhe...
 
CCPP
CCPPCCPP
CCPP
 
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityCybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
 
Informationssicherheitsmanagment
InformationssicherheitsmanagmentInformationssicherheitsmanagment
Informationssicherheitsmanagment
 
Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)
 
Die Nadel im Heuhaufen finden mit der SIEM Technologie
Die Nadel im Heuhaufen finden mit der SIEM TechnologieDie Nadel im Heuhaufen finden mit der SIEM Technologie
Die Nadel im Heuhaufen finden mit der SIEM Technologie
 
CWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT SecurityCWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT Security
 
Sichere IT-Systeme
Sichere IT-SystemeSichere IT-Systeme
Sichere IT-Systeme
 
Fraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativ
 
Softwarequalität – Schlagwort oder Realität ?
Softwarequalität – Schlagwort oder Realität ?Softwarequalität – Schlagwort oder Realität ?
Softwarequalität – Schlagwort oder Realität ?
 
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmePräsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
 
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitSecurity Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
 
Karl Steiner (COMPRISE GmbH)
Karl Steiner (COMPRISE GmbH)Karl Steiner (COMPRISE GmbH)
Karl Steiner (COMPRISE GmbH)
 
Datensicherheit: Diebstahl und Prävention
Datensicherheit: Diebstahl und PräventionDatensicherheit: Diebstahl und Prävention
Datensicherheit: Diebstahl und Prävention
 

Schaeffer Jester Smart Metering Datensicherheit

  • 1. Datensicherheit und Smart Metering Risiken für den Anbieter Philippe A.R. Schaeffer
  • 2. Agenda Vorstellung Bekannte Bedrohungen Beispiele Lösungsansätze 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  • 3. Mein Background Über 16 Jahre Erfahrung als „Hacker“ Über 8 Jahre Erfahrung als TÜV-Prüfer (insbesondere: Wirksamkeit von IT-Security in der Büro-IT) Auditor für ISO27000, ITIL/ISO20000 Erfahrungen aus unzähligen „Penetrationstests“ in der Leittechnik (SCADA Security) Mitwirkung an relevanten Standards VGB Richtlinien BDEW Whitepaper ISA99 ESCoRTS SAB 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  • 4. Warum Jester? Court Jester – Hofnarr Der einzige Berater des Herrschers, der die Wahrheit sagen durfte und auch musste. Er hatte auch die Aufgabe den König vor Risiken zu waren. Er symbolisiert Spaß, Professionalität und die Fähigkeit mal Querzudenken. Jester Secure iT: der Joker in der IT-Security 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  • 5. Portfolio Sicherheitsanalysen Konzepte & Beratung Datenschutz IT-Forensik & Gutachten Quelltext-Analysen Workshops & Schulungen Spezialthemen 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  • 6. Agenda Vorstellung Bekannte Bedrohungen Beispiele Lösungsansätze 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  • 7. Was wird aktuell bedacht? Verfügbarkeit der Versorgung der Abrechnungsdaten des Bedarfs Integrität der Abrechnungsdaten des Bedarfs der Steuerung (Befehle an das Meter) Vertraulichkeit der Verbrauchsinformationen der Abrechnungsdaten des Bedarfs der Steuerung 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  • 8. Probleme bei der Schaffung / Auswahl geeigneter Standards IT-Sicherheit in IT und Leittechnik ist aktuell häufig nicht wirksam Bestehende Standards berücksichtigen Sicherheit zu wenig oder gar nicht Leittechnik ist nicht darauf ausgerichtet mit nicht vertrauenswürdigen Quellen umzugehen Dort wo Sicherheit (Security) berücksichtigt wird, fehlt die "Hacker-Sicht" -> Es gibt zahlreiche Bedrohungen, die nicht bedacht werden 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  • 9. Agenda Vorstellung Bekannte Bedrohungen Beispiele Lösungsansätze 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  • 10. Der Tunnel zur Leittechnik endet beim Kunden Unzureichend geschützte Smart Meter Unzureichende Kapselung Auslesen von Informationen (Firmware, Verschlüsselungsverfahren & -Keys, Kommunikation) Ändern von Informationen (Firmware, Verbrauchsdaten, Steuerbefehle) Einschränkung der Verfügbarkeit Unzureichende Verschlüsselung und Signierung der Kommunikation Keine Verschlüsselung Keine Signierung Fehlerhaft implementierte Verschlüsselung/Signierung Unzureichende Zufälligkeit 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  • 11. Unzureichend physischer Schutz weiterer Komponenten Die Leittechnik „rückt weiter nach Außen“ MUC / Relay-Stationen Öffentlich zugängliche Terminals (z.B. Ladestationen) Hardware in Fremdbesitz und unter fremder Verwaltung (z.B. Zähler im Auto) Kommunikationsleitungen 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  • 12. Schnittstellen zum Kunden Am Smart Meter Portale im Internet SmartPhones, PDAs, etc. Service (Faktor Mensch) DoS: Angriff gegen die „Defaulteigenschaften“ Was passiert, wenn keine korrekten Daten mehr geliefert werden? Veränderung der Leistungs- und/oder Bedarfsdaten Rückkopplungseffekte, Geld- oder Vertrauensverlust, Nachweisbarkeit? 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  • 13. Grundsätzliche Probleme Das Security-KnowHow (Hacker-Sicht) fehlt Problem der letzten 10 Jahre in der Büro-IT aktuelles Problem in der Leittechnik kommendes, massives Problem im Smart Grid Höhere Komplexität -> schwerer kontrollierbar 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  • 14. Agenda Vorstellung Bekannte Bedrohungen Beispiele Lösungsansätze 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  • 15. Philosophie (Sun Tzu, 500 BC) Wenn du den Feind und dich selbst kennst, brauchst du den Ausgang von hundert Schlachten nicht zu fürchten … Wenn du weder den Feind noch dich selbst kennst, wirst du in jeder Schlacht unterliegen. 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  • 16. Notwendige Schritte Möglichst vollständige Erfassung der Bedrohungen Bewertung der Risiken -> Maßnahmen zur Minimierung der Risiken Empfohlene Vorgehensweise: Bedrohungs- und Risiko-Modellierung Ende 90er: Entwickelt durch die US-Army und der britischen Armee 1999 erstmals für Risk Assessment Themen adaptiert (AS/NZS 4360:2004) Seit 2003/2004 Teil des SSDL von Microsoft 2005 Bestandteil des CVSS (Homeland Security) Teil von OCTAVE 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  • 17. Bedrohungsmodellierung Paradigmenwechsel in der IT-Sicherheit seit ca. 2005/2006 Abschied von der „Auf den Gegner gerichteten“-Betrachtungsweise (reaktiv: Suchen nach Löchern, Beheben von Problemen) Hin zu einer konstruktiven, proaktiven Betrachtungsweise Analyse der Bestandteile bereits in der Designphase Ausgehend von unterschiedlichen Gesichtspunkten: Schützenswertes Geschäftsprozesse Daten Assets Schnittstellen / potentielle Bedrohungswege Verursacher / Angreifer Prozesse 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  • 18. Schützenswertes Auf den Kunden bezogen: Verfügbarkeit der Versorgung Vertraulichkeit der Kunden- und Verbrauchsdaten Integrität der Verbrauchsdaten Auf den Versorger bezogen: Verfügbarkeit der Erzeugung und Verteilung Vertraulichkeit der Unternehmensdaten Integrität der Steuerung Vorgaben durch Gesetze, Regulationen, Standards, ... 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  • 19. Potentielle Bedrohungswege Über die Kommunikationsschnittstelle INNEN TCP/IP (Powerline, Wireless, Kommunikationsstandards (M-Bus, ...)) Über die Kommunikationsschnittstelle AUSSEN TCP/IP (Powerline, DSL, 802.11, GMS/UMTS, PSTN, Kommunikationsstandards) Manipulation am Gerät von AUSSEN (Strahlung (EM aller Spektren), Abhören der EM-Signaturen), physische Gewalt, chemische Attacken Manipulation am Gerät von INNEN (Hardware-Patchen, verborgene Funktionen, gezieltes Einbringen korrumpierter Hardwareelemente) Angriff gegen die „Internetdienste“ der Anbieter Angriff gegen die „Rückkopplungsmechnismen“ bei den Betreiber (Verbrauch oder Bedarf, Preismanipulation) 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  • 20. Verursacher / Angreifer Alle (Konsumenten) Hacker Mitbewerber Kriminelle Organisationen (Erpressung, Sabotage, ...) Terroristische Gruppen Staatliche Stellen (auch fremder Staaten, also Vorsicht bei fremder Hardware!) Fehlbedienung, DAU Zufall, Fehler in Hard- oder Software 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  • 21. Beispiel eines Bedrohungsmodells (nach Bedrohungsweg ausgerichtet) 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  • 22. Quintessenz Frühzeitige Einbeziehungen von IT-Sicherheits-Experten (Hacker-Sicht) Systematische Bedrohungs- und Risiko-Modelierung (Threat Risk Modeling) Definition von Anforderungen -> Standardisierung Prüfung der Umsetzung durch Sicherheits-Experten -> Zertifizierung 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23
  • 23. Vielen Dank für Ihre Aufmerksamkeit! Haben Sie Fragen? 24.02.10, Philippe A. R. Schaeffer © Jester Secure iT GmbH 2009 Schaeffer-Jester_Smart-Metering-Datensicherheit / 23 Philippe A. R. Schaeffer Chief Security Analyst +49-2202-9836 61 [email_address]