Teures Patchen von Sicherheitslücken wird überflüssig
Smart Security am Beispiel Smart Metering
Smart Security am Beispiel Smart Metering: Prof. Dr. Hartmut Pohl, Geschäftsführender Gesellschafter von softScheck, zeigt am Beispiel des ersten laufenden Zertifizierungsverfahren für ein Smart Meter Gateway, dass alle beteiligten Systeme auf bisher nicht erkannte Sicherheitslücken (Zero-Day-Vulnerabilities) überprüft werden müssen.
Einer der wesentlichsten potentiellen Angriffspunkte im Smart Grid ist das Smart Meter Gateway, das Kunden-bezogene Informationen wie Verbräuche angeschlossener Geräte sammelt und Informationen wie Tarifierungsprofile der Energieunternehmen speichert. Die folgenden Herausforderungen für das Smart Meter Gateway sind zu bewältigen:
- Datenschutz der Prosumer
- Schutz der Steuerdaten gegen Manipulation
- Korrekte Erfassung und Übertragung der Verbräuche für die externen Marktteilnehmer
Die vom Bundesamt für die Sicherheit der Informationstechnik (BSI) vorgeschriebenen Sicherheitsmaßnahmen reichen aber genauso wenig aus wie der alleinige Einsatz von Firewalls, Verschlüsselung etc. Generell gilt: Kein (erfolgreicher) Angriff ohne Sicherheitslücke.
Am Beispiel des ersten laufenden Zertifizierungsverfahren für ein Smart Meter Gateway stellt Prof. Pohl dar, welche Methoden dabei zum Einsatz kommen:
- Architectural Analysis - Threat Modeling
- Static Source Code Analysis
- Penetration Testing
- Dynamic Analysis: Fuzzing.
Erfahrungsgemäß werden tatsächlich alle Sicherheitslücken identifiziert, so dass ein Patchen zur Behebung von Sicherheitslücken völlig entfällt: Ein ganz erheblicher Kostenvorteil.
Den Vortrag »Smart Security am Beispiel Smart Metering« wird Prof. Dr. Hartmut Pohl am 23. Oktober 2013 im Rahmen von Session 3 auf dem 3. Energie&Technik Smart Home & Metering Summit halten.
Lesen Sie mehr zum Thema
