Interview mit Energinet
»Man muss die Technik hacken, die man einsetzen will«
Fortsetzung des Artikels von Teil 1
Neue Energiemarktteilnehmer
Haben neue Energiemarktteilnehmer beim Einsatz aktueller Steuerungstechnik derzeit besonders Unangenehmes zu erwarten?
Wenn die Leute meine Honeypots angreifen, denken sie, dass sie in ein kleines Kraftwerk, eine Windkraftanlage oder eine Wasserkraftanlage eindringen, die sehen aus wie „The real thing“. Die Leute sagen oft: Angreifer nutzen keine Zero-Day-Vulnerabilities, also Sicherheitslücken in Hard- und Software, die noch nicht bekannt sind, meist noch nicht einmal dem Hersteller.
Aber die interessante Sache ist, dass ich durch umfangreiche Analysen des Datenverkehrs herausgefunden habe, dass Angreifer Zero-Day-Vulnerabilities in aktuellen Steuerungssystemen angreifen!
Die Angreifer greifen gezielt nicht bekannte Schwachstellen aktueller industrieller Steuerungshard- und -software an?
Ja, ich selbst habe durch meine Analysen jetzt schon zum dritten Mal Schwachstellen in aktuellen Steuerungssystemen von Herstellern gefunden, die diesen selbst nicht bekannt waren, auf die sie dann durch uns hingewiesen wurden. Also: Klassische Zero-Day-Vulnerabilities gibt es auch heute in industriellen und Energie-Steuerungsanlagen und sie werden aktiv von Hackern gesucht, gefunden und ausgenutzt.
Ihre Erkenntnisse betreffen also verschiedene Industriesteuerungen?
Ich nenne jetzt keine Herstellernamen, aber was man in der industriellen Steuerung einsetzt, kommt auch in den Energienetzen zum Einsatz. Wir spechen also über Probleme, die das ganze Industrial Internet of Things betreffen, nicht nur die Energieverteilnetze. Gegenwärtig habe ich zwölf Zero-Day-Vulnerabilities im Industrial IoT identifiziert, die ich den jeweiligen Herstellern mitgeteilt habe.
Wir arbeiten in den skandinavischen Ländern auch sehr eng zwischen den Übertragungsnetzbetreibern zusammen, neben der offiziellen Zusammenarbeit gibt es da viele informelle Verbindungen, wo man gegenseitig die gut funktionierenden Vorgehensweisen und Technologien teilt, z.B. einen besonders erfolgreichen Penetration-Test.
In Deutschland orientieren sich die Sicherheitsanforderungen der Regierung zunehmend an bürokratisch-formalistischen Modellen wie den Common Criteria. Wie stehen Sie dazu?
Natürlich muss es gesetzliche Anforderungen geben, die man nachprüfbar einhalten kann, wir haben das auch in Dänemark, wobei ich da kein Experte bin. Aber womit wir in Dänemark und Skandinavien gute Erfahrungen gemacht haben, ist, dass man eine kleine Gruppe von Experten aus verschiedenen Bereichen hat, Leuten, denen man vertraut, mit denen man sich im Zweifelsfall schnell austauscht, die kompetent sind und die auch über Entscheidungsbefugnis verfügen.
Das ist wohl mehr ein Konzept für kleinere Länder mit kurzen Dienstwegen.
Das Kritis-System in Deutschland ist stärker formalisiert, aber es kann dennoch nicht schaden, wenn man eine Gruppe von Leuten kennt, denen man vertraut und die man wegen der Lösung komplexer Probleme ansprechen kann.
- »Man muss die Technik hacken, die man einsetzen will«
- Neue Energiemarktteilnehmer
- Internet of Things und Hacker...
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
