In dieser Episode von OT Security Made Simple spricht Zeek Muratovic, Leiter des Bereichs Sicherheitslösungen bei der Landis+Gyr-Gruppe, über die Herausforderungen und Defizite bei Energieversorgern und die ersten Schritte zur Sicherung der wachsenden und immer komplexeren Smart-Grid-Infrastruktur vom Verteilernetz bis zu den Endgeräten wie Smart Metern und Ladestationen.
Zu Gast in dieser Folge:
Klaus Mochalski
Hallo und willkommen zu einer neuen Folge von OT Security Made Simple. Ich bin Klaus Mochalski, Gründer von Rhebo. Mein heutiger Gast ist Zeek Muratovic. Er ist bei Landis&Gyr Director of Security Solutions. Zeek, bitte stelle dich unseren Gästen vor und erzähle uns ein wenig darüber, was du bei Landis+Gyr machst. Dann kommen wir zu deinen Erfahrungen, die du in letzter Zeit bei einigen Kunden gemacht hast, die du besucht hast.
Zeek Muratovic
Ja, absolut. Ja. Vielen Dank, dass ich heute hier sein darf. Mein Name ist Zeek Muratovic. Ich bin jetzt seit etwas mehr als einem Jahr bei Landis+Gyr, aber mein Hintergrund liegt ausschließlich im Bereich Cybersicherheit. In den letzten 17 Jahren war ich in vielen verschiedenen Branchen tätig und habe Kunden dabei geholfen, die Bedrohungslandschaft zu identifizieren, in der sie sich befinden, Sicherheitslücken zu erkennen, Programme zum Schwachstellenmanagement zu erstellen, SIEM-Implementierungen durchzuführen und so weiter und so fort.
Und jetzt konzentriere ich mich mit Landis+Gyr sehr stark auf den Versorgungsbereich. Im letzten Jahr bin ich viel gereist, habe mit vielen Kunden gesprochen und ihnen dabei geholfen, ihre Sicherheitslage zu bewerten und einzuschätzen, wie gut sie auf die Bedrohungen vorbereitet sind, die wir jeden Tag in den Nachrichten sehen, Ransomware-Angriffe und dergleichen. Es war definitiv ein sehr, sehr arbeitsreiches Jahr.
Klaus Mochalski
Das ist sehr interessant. Wenn ich das richtig verstanden habe, bist du ein wenig von der IT-Sicherheit in den Bereich der OT-Sicherheit gewechselt.
Zeek Muratovic
Ja.
Klaus Mochalski
Welche Veränderungen hast du in den letzten Monaten dabei beobachtet?
Zeek Muratovic
Was ich beobachtet habe, ist, dass OT jetzt dort ist, wo IT vor etwa 15, 16 Jahren war. Sie sind sehr zurückhaltend, in Sicherheit zu investieren, und wissen nicht viel über Sicherheit. Für viele unserer Versorgungskunden ist das Thema Cloud ein absolutes NEIN. Aber es gibt auch einige von ihnen, die sich mit der Idee anfreunden.
Es gibt definitiv eine langsame Veränderung bei OT, wo man erkennt, dass Sicherheit sehr ernst genommen werden muss. Es gibt derzeit viele Bedrohungen, die auf Versorgungsunternehmen abzielen, weil die Übeltäter wissen, dass die OT-Branche nicht wirklich so viel in Sicherheit investiert, wie sie sollte.
Klaus Mochalski
Aber wenn man mit Kunden spricht, insbesondere im Versorgungsbereich ... Ich denke, heutzutage weiß jeder, dass er sich mit Sicherheit befassen muss, insbesondere mit OT-Sicherheit, und das tun sie auch. Was beobachtest du? Wie fangen sie normalerweise an? Wie hoch ist ihr Bewusstsein und was verlangen sie von ihren Anbietern?
Zeek Muratovic
In den USA hat NERC CIP im vergangenen Jahr mit Vorschriften, Strafen und Geldstrafen einen starken Druck ausgeübt, der [die Kunden] dazu antreibt, sich mehr mit Sicherheit zu befassen, sich Produkte anzusehen und mit Anbietern zu sprechen. NERC CIP war also ein großer Treiber. Es gibt bestimmte Unternehmen, deren IT-Abteilungen ihre OT-Seite teilweise vernachlässigen, aber die meisten tun das nicht.
Wir haben OT-Leute, die wirklich nicht viel IT-Erfahrung haben, aber langsam in die Sicherheit einsteigen, obwohl sie sie wirklich nicht verstehen. Sie stellen Fragen, wie: Wie können wir Einblick in unser Netzwerk gewinnen? Was müssen wir tun? Sie schauen auf uns, auf Landis+Gyr zum Beispiel, und Rhebo, um sie durch diesen gesamten Prozess zu führen. Sie haben einfach niemanden mit Erfahrung, der ihnen die richtige Richtung weisen kann. Für sie ist es ... Wir haben Kunden, die wirklich nicht wissen, wie sie anfangen sollen, wo sie anfangen sollen, selbst bei den Grundlagen. Und dann haben wir einige Kunden, die, wie gesagt, ein IT-Sicherheitsteam haben, das sie anleitet.
Klaus Mochalski
Aber sie stehen in der Regel noch am Anfang ihrer Sicherheitsreise und brauchen meiner Meinung nach noch eine starke Anleitung.
Zeek Muratovic
Richtig. In einem sehr frühen Stadium.
Klaus Mochalski
Wenn wir uns das spezifische Gebiet ansehen, in dem Landis+Gyr tätig ist, sprechen wir über Versorgungskunden. Das Angebot ist eine intelligente Messinfrastruktur, die gesichert werden muss. Ich denke, das ist inzwischen jedem klar. Kannst du unseren Zuhörern erklären, woraus die AMI, also die Advanced Metering Infrastructure, besteht, was die Hauptkomponenten sind und was geschützt werden muss? Und wo fangen wir an, diese Schlüsselkomponenten zu schützen?
Zeek Muratovic
Wir konzentrieren uns wirklich darauf, die gesamte Energieverteilung abzusichern, wobei AMI ein Teil davon ist. Aber wir müssen uns auch die Umspannwerke, dann die AMI und dann die Edge-Geräte ansehen. Für AMI allein hat Landis+Gyr eine Lösung namens Command Center. Das Command Center ist eine Anwendung, die alle Informationen von allen Zählern im Feld erhält.
Klaus Mochalski
Es handelt sich um ein Managementsystem für die Zähler. Man hat viele Zähler, Hunderttausende, möglicherweise Millionen. Dann gibt es das Kontrollzentrum, das ein zentrales Managementsystem ist.
Zeek Muratovic
Dieses Managementsystem zeigt an, wie viel Strom der Zähler verbraucht hat, und verwaltet dies. Aber die Mitarbeitenden, Ingenieur:innen, Analyst:innen, wie auch immer sie genannt werden, die auf die Kommandozentrale schauen, wissen nicht, wonach sie bei Sicherheitswarnungen suchen sollen. Wir haben eine Anwendung namens [AMI Protect] entwickelt, die Ereignisse in Echtzeit überwacht und das SOC oder die Administration benachrichtigt, wenn es auf der Grundlage der Logs, die wir aus der Konfigurationsdatenbank und der Anwendungsdatenbank sehen, ein potenzielles Cyberrisiko gibt.
Klaus Mochalski
Das bedeutet, dass die Daten wahrscheinlich schon immer vorhanden waren, aber nicht ordnungsgemäß für einen Sicherheitsüberwachungsprozess genutzt wurden.
Zeek Muratovic
Ja. Darüber hinaus stellt man fest, dass viele dieser Anwendungen zwar die erforderlichen Daten liefern, aber es kommt darauf an, was man mit diesen Daten macht. Als diese Anwendung vor 13, 14 Jahren entwickelt wurde, stand die Sicherheit für Versorgungsunternehmen nicht an erster Stelle. Die Art und Weise, wie diese Logs generiert wurden und werden, war nicht wirklich ... Es gibt keine effektive Möglichkeit, diese Daten herauszuziehen und zu korrelieren, um zu erkennen, dass es eine Anomalie oder etwas Ungewöhnliches gibt, das derzeit in der Umgebung passiert und ein potenzielles großes Risiko darstellen könnte.
Klaus Mochalski
Richtig. Das klingt tatsächlich nach einer eher realisierbaren Aufgabe, die an diesem zentralen Standort beginnt, bei einer Anwendung, die Log-Daten bereitstellt, die für alle intelligenten Zähler im Feld relevant sind. Aber du hast auch erwähnt, dass die Smart-Meter-Infrastruktur, das AMI, Teil einer größeren Infrastruktur ist. Wie fügt sich diese Sicherheitsüberwachung im Kontrollzentrum des zentralen Managementsystems in die umfassenderen Sicherheitstools und -kontrollen ein, die ein Infrastrukturbetreiber heute nutzt?
Zeek Muratovic
Es ist Teil der drei großen Komponenten, die ich erwähnt habe: das Umspannwerk, die AMI und die Edge. Nicht alle Kunden werden alle drei Komponenten haben. Diese Lösung wurde also so konzipiert, dass sie den Kunden einen Überblick über das gibt, was sie haben. Normalerweise verfügen Kunden heute über Umspannwerke, die sie auf Sicherheitsrisiken überwachen können. Sie haben das Head-End-System, die Command Center für die AMI. Jetzt kommen intelligente Zähler auf den Markt, auf denen Anwendungen installiert werden können, um [...] den Versorgungsunternehmen mehr Einblick in den Zähler und die Vorgänge, Energiemanipulationen usw. zu geben.
Aber damit stellt sich die Frage: Wenn meine Kunden Apps erstellen können, werden sie diese dann sicher erstellen? Werden sie sicheren Code schreiben? Unsere Edge-Lösung, die sich auf den eigentlichen Zählern befindet, kann Bedrohungen erkennen, die in den Anwendungen auf den eigentlichen Zählern auftreten könnten. Aber nicht nur Zähler, wir können auch über Batterien, Solarmodule, Autoladegeräte und alles andere sprechen, was sich im Haus eines Verbrauchers befindet und Energie manipulieren könnte. Es gibt diesen ganzen Bereich, den wir überwachen sollten, um ein wahres Gefühl der Sicherheit zu vermitteln.
Denn genau wie bei deinem Haus gilt: Wenn du nicht weißt, ob deine Türen verschlossen sind oder deine Fenster offen stehen, weißt du nicht, ob du sicher bist. Wir installieren Alarmanlagen in unseren Häusern. Wenn jemand eine Tür [oder Fenster] öffnet, gibt es einen Alarm. Es ist eine sehr ähnliche, wie IT-Sicherheitsleute es nennen, grundlegende Sichtbarkeit, nur um zu wissen, was man wirklich hat.
Klaus Mochalski
In gewisser Weise ist es wichtig, alle Infrastrukturelemente zu sichern oder zumindest das Risiko jedes einzelnen Elements zu betrachten und dann zu entscheiden, welches Schutzniveau sie benötigen.
Aber wenn ich mich in die Lage eines Infrastrukturbetreibers versetze, scheint das auch ziemlich abschreckend zu sein. Es gibt so viele Komponenten zu sichern, und jetzt kommen noch mehr Komponenten hinzu. Vielleicht habe ich damit begonnen, meine Smart-Grid-Infrastruktur durchgängig zu sichern, aber jetzt schaue ich mir meine Umspannwerke an, die digitalisiert wurden. Vielleicht biete ich auch so etwas wie Ladestationen für Elektrofahrzeuge für den privaten Gebrauch an, die an Batteriespeichersysteme angeschlossen sind und mit PV-Anlagen verbunden sind, und alle sind mit dem Stromnetz verbunden.
Wenn man sie alle sichern muss – und wir sind uns alle einig, dass wir das müssen –, bedeutet das, dass sich der Aufwand für einen Infrastrukturbetreiber vervielfacht, oder gibt es einige Effizienzvorteile, die sie für diese von dir beschriebene End-to-End-Überwachung nutzen können?
Zeek Muratovic
Ja, nun, die Lösungen sind wirklich darauf ausgelegt, ihr Leben zu erleichtern. Es gibt eine Priorisierung. Nicht alles, was wir als schädlich betrachten, kann leicht ausgenutzt werden. In unserer Welt haben wir ein niedriges, mittleres, hohes, kritisches Risiko oder eins bis fünf, je nachdem, welches System du verwendest. Wir können genau bestimmen, wo du bestimmte Dinge beheben kannst, um einen einfachen Zugriff zu verhindern.
Hier und da wird es immer Fehlkonfigurationen geben. Es wird immer ein veraltetes System geben, aber manchmal ist es wirklich sehr, sehr schwierig, diese auszunutzen. Mit unserer Lösung können wir anleiten und dabei helfen, Prioritäten zu setzen, was zuerst behoben werden muss. So wird man nicht von einer Flut von Warnmeldungen überschwemmt, die alle auftauchen, und man muss [nicht] alles reparieren, damit alles in Ordnung ist.
Wenn man in den letzten 10 Jahren wahrscheinlich keinen Einblick in diese Dinge hatte, kann das überwältigend sein. Aber das ist eine Geschäftsentscheidung, die getroffen werden muss. Investiere ich in einen zusätzlichen Mitarbeitenden, um uns bei der Lösung dieses Problems zu helfen, oder in eine Beratung, oder riskieren wir, morgen auf der Titelseite zu stehen? Es ist eine Geschäftsentscheidung, die getroffen werden muss. Aber wir können unseren Kunden diese Informationen zur Verfügung stellen. Wie du weißt, führen wir hervorragende [Sicherheits-]Bewertungen durch und stellen unseren Kunden die Ergebnisse dieser Bewertungen zur Verfügung. Auf dieser Grundlage können sie eine sehr gute finanzielle Entscheidung treffen, ob eine Lösung wie diese, eine Investition in eine Lösung wie diese, die Kosten übersteigt, mit einer Bedrohung leben zu wollen.
Klaus Mochalski
Noch einmal zu den Kunden: Welche Erfahrungen hast du damit gemacht, wie sie die Schutzkette für ihre Infrastruktur handhaben? Wenn sie neue Elemente hinzufügen, haben sie dann ein Team, das ihre Umspannwerke schützt, und dann ein separates Team, das ihre Smart-Meter-Infrastruktur schützt, und noch ein weiteres Team, das ihre Ladestationen für Elektrofahrzeuge schützt, oder ist das schon stärker integriert?
Zeek Muratovic
Nein, es ist sehr getrennt, die OT-Teams und die Unternehmen. Sie müssen ihre Teams zusammenbringen. Es war interessant, ich war gerade bei einem Kunden, und wir hatten die Fertigung bei diesem Treffen, wir hatten die Sicherheitsleute, wir hatten die IT-Leute. Und als wir über diese Lösungen sprachen, sagt ein Teammitglied zum anderen Teammitglied: Ich wusste nicht, dass wir eine Lösung haben. Wir brauchen das hier drüben! Es existiert in derselben Firma, aber sie arbeiten nicht zusammen, um sich gegenseitig zu helfen. Sie sind in gewisser Weise sehr getrennt. Für viele dieser größeren Unternehmen ist es immer noch eine Herausforderung, OT und IT zusammenarbeiten zu lassen.
Klaus Mochalski
Es ist schon komisch, dass wir immer noch darüber sprechen, denn wir sprechen schon seit vielen, vielen Jahren über die Konvergenz von IT und OT, über die Schwierigkeit, die beiden Bereiche in der Praxis zusammenzubringen, und es scheint immer noch ein Problem zu sein. Aber in gewisser Weise ist das auch eine gute Nachricht, denn es bedeutet auch, dass es in Bezug auf die Cybersicherheit viel zu gewinnen gibt, was die betriebliche Effizienz betrifft. Und reifere Kunden trennen heute nicht mehr wirklich zwischen IT- und OT-Sicherheit. Für sie geht es einfach um die Sicherheit ihres Unternehmens, denn letztendlich ist ein Angriff, egal wo er stattfindet, eine Bedrohung für ihr Unternehmen, und er muss als solche behandelt werden, egal wo er stattfindet. Aus Effizienzgründen ist diese Integration wirklich notwendig.
Aber man kann auch die eigenen Sicherheitskontrollen effektiver gestalten, da ein Angriff, insbesondere ein OT-Angriff, in der Regel nicht auf der OT-Seite stattfindet. Er geht in der Regel nicht von der OT-Seite aus. Aber die IT-Systeme, die Firewalls zum Beispiel, haben ihn wahrscheinlich schon Stunden, manchmal sogar Tage vor dem Angriff auf die OT-Systeme bemerkt. Sie zu integrieren und ein gemeinsames Sicherheits-Dashboard und eine gemeinsame Sichtbarkeit zu haben, ist sicherlich ein großer Schritt nach vorne, auch in Bezug auf die Kontrolle, Effizienz und Effektivität der Cybersicherheit.
Zeek Muratovic
Richtig. Ich glaube, was ich gesehen habe, ist, dass die IT-Leute eine Sicherheitswarnung sehen und sie schnell beheben. Aber die OT-Leute sagen, wenn die Behebung falsch läuft, sind wir lahmgelegt.
Klaus Mochalski
Robert, fass das nicht an.
Zeek Muratovic
Crowdstrike zum Beispiel hat mit einem Update die Produktion einiger Hersteller lahmgelegt. Die gesamte Lieferkette kann zum Erliegen kommen. Die OT-Leute sind in dieser Hinsicht etwas zögerlich. Aber ich bin sicher, dass sie früher oder später einen Weg finden werden.
Klaus Mochalski
Ich denke, wir können ihnen sagen, dass alle Produkte, die heute auf dem Markt sind, ziemlich ausgereift sind. Sie sind schon seit vielen, vielen Jahren auf dem Markt. Sie wurden von vielen anderen Unternehmen in der Praxis getestet, sodass man keine Angst mehr haben sollte, diese Technologie zu nutzen.
Wenn man sich einige der Kundenkontakte ansieht, die du kürzlich hattest, was würdest du Kunden empfehlen, die mit dieser OT-Sicherheit – vielleicht IT/OT-Konvergenz – beginnen?
Zeek Muratovic
Zunächst einmal Transparenz. Noch einmal: Sie wissen nicht, wo Sie stehen. Machen Sie eine Schwachstellenanalyse. Wir helfen unseren Kunden ständig dabei. Das dauert nur ein paar Stunden. Danach wissen Sie, wo Sie stehen, und Sie wissen, wie schlimm es ist. Mit diesen Informationen, wie ich bereits erwähnt habe, können Sie sich an die Geschäftsleitung wenden und sagen: Hey, das ist unser aktueller Stand. Das sind die Risiken. Wir können sogar so weit gehen und sagen, dass es sich um bestimmte Risiken handelt, die bei den vorherigen Angriffen in unmittelbarer Nähe zu uns ausgenutzt wurden.
Wir können Ihnen die Informationen zur Verfügung stellen, die Sie benötigen, um eine gute Entscheidung zu treffen, ob Sie in eine Lösung wie diese investieren oder jemanden eine Lösung für Sie verwalten lassen, z. B. über einen Managed Services Provider. Es gibt immer Optionen für Sie. Sie sind in diesem Kampf nicht allein. Wir können Sie immer zu einem Anbieter führen oder es für Sie tun. Es gibt definitiv viele Optionen. Viele Kunden, mit denen wir sprechen, sind auf ihrer Sicherheitsreise wirklich weit fortgeschritten und bereit, auch den kleineren Unternehmen zu helfen. Wir haben das schon einige Male gemacht.
Wenn wir mit einem Kunden sprechen, erzählen wir ihm, was einer unserer fortgeschritteneren Kunden macht, und wir vereinbaren ein gemeinsames Telefongespräch, bei dem der [fortgeschrittenere] Kunde dem [weniger fortgeschrittenen] Kunden etwas erzählt, was immer etwas mehr bedeutet, als nur mit einem Verkäufer zu sprechen. Sie helfen einem auch bei der Orientierung.
Diese Beziehungen aufzubauen, verschiedene Unternehmen in einem Raum zusammenzubringen und Gespräche zu führen, wie wir es auf der Exchange Conference tun, wo alle unsere Kunden zusammenkommen und Ideen austauschen. Das ist ein wirklich guter Schritt, um an gute Informationen zu kommen. Ich muss das Rad nicht noch einmal neu erfinden. Jemand macht das bereits. Jemand hat eine Lösung. Man muss es nicht noch einmal machen. Man kann einfach das tun, was die anderen tun.
Klaus Mochalski
Das ist ein klarer Ratschlag. Sprechen Sie mit Gleichgesinnten, erstellen Sie eine Risikobewertung. Und ihr könnt dort helfen.
Zeek Muratovic
Ja.
Klaus Mochalski
Und verschaffen Sie sich dann die nötige Transparenz, um sicherzustellen, dass Sie die richtigen und korrekten nächsten Schritte unternehmen und nicht blind handeln.
Zeek Muratovic
Ja, genau.
Klaus Mochalski
Sehr gut. Vielen Dank für das aufschlussreiche Gespräch. Wir sehen uns bald wieder hier in diesem Podcast.
Zeek Muratovic
Vielen Dank. Tschüss.