Wie schützt man die Smart Meter Infrastruktur?

Klaus Mochalski

Hallo und willkommen zu einer neuen Folge von OT Security Made Simple. Ich bin Klaus Mochalski, Gründer von Rhebo. Mein heutiger Gast ist Kenneth Lampinen. Kenneth ist bei Landis+Gyr tätig. Der Vollständigkeit halber sei gesagt, dass Rhebo seit drei Jahren zu Landis+Gyr gehört und wir daher eng zusammenarbeiten. In dieser Folge werden wir über einen besonderen Bereich der Zusammenarbeit sprechen. Aber bevor wir das tun, Kenneth, kannst du dich kurz vorstellen? Was machst du bei Landis+Gyr?

Kenneth Lampinen

Sicher. Mein Name ist Kenneth Lampinen. Ich bin in Mittelfinnland ansässig und leite den Bereich Global Security Operations bei Landis+Gyr. Ich bin jetzt seit etwa vier, viereinhalb Jahren im Unternehmen, also ein bisschen bevor Rhebo an Bord kam.

Klaus Mochalski

Richtig. Landis+Gyr baut intelligente Zähler [und Energiemanagementsysteme], um es ganz einfach auszudrücken. Natürlich gibt es eine ganze Infrastruktur darum herum. Wie unsere Zuhörer vielleicht schon gehört haben, haben Smart Meter als intelligente und digital verbundene Geräte auch eine gewisse Angriffsfläche. In gewisser Weise bilden sie ein IoT-Netzwerk. Man könnte es wahrscheinlich ein industrielles IoT-Netzwerk nennen. Als solches müssen sie vom Standpunkt der Sicherheit aus geschützt werden. Rhebo beschäftigt sich seit vielen, vielen Jahren mit der Sicherung von OT-Infrastrukturen, also Betriebstechnik. Diese industrielle IoT-Infrastruktur ist eigentlich ein Teil der operativen IT. Man könnte auch sagen, dass die OT ein Teil des IoT ist. Es gibt also verschiedene Wege, verschiedene Blickwinkel, um dies zu betrachten.

Landis+Gyr und Rhebo haben daran gearbeitet, die OT-Sicherheitslösung von Rhebo zur Bereitstellung fortschrittlicher Sicherheitsfunktionen für die Smart-Meter-Produkte und -Lösungen von Landis+Gyr zu integrieren. Zurzeit sind wir dabei, diese Lösung auf dem nordamerikanischen Markt einzuführen, insbesondere auf dem US-Markt. Dabei sind wir natürlich mit vielen spezifischen Sicherheitsherausforderungen konfrontiert, die wir in diesem speziellen Industriesektor vorfinden. Du warst Teil des Teams, das an dieser Einführung gearbeitet hat. Was kannst du uns über die aktuelle Bedrohungslage auf dem nordamerikanischen Markt sagen, speziell im Bereich der Smart Meter, also der intelligenten Netzinfrastruktur?

Kenneth Lampinen

Ja, das stimmt. Ja. Ich denke, wenn man sich die Smart Meter ansieht, war die Sicherheit schon immer ein wichtiger Bestandteil, um sicherzustellen, dass die Smart Meter sicher sind. Daran haben wir gearbeitet und viel investiert. Aber ich denke, wenn man ein Stück zurückblickt, ging man davon aus, dass die Bedrohungen vor allem von den Zählern, den Endpunkten und der Kommunikation in diesem Messnetz ausgehen. Man dachte also über Dinge wie Betrug oder sehr kleine Angriffe auf die Zähler nach und betrachtete das Ganze nicht aus dem Blickwinkel der heutigen Cyber-Bedrohungen, die wir haben.

Wenn man von der Zeit, als die Smart Meter aufkamen, vielleicht vor 15, 20 Jahren, bis heute oder sogar in den letzten drei, vier Jahren zurückgeht, hat sich die Bedrohungslandschaft ziemlich verändert. Die Leute, die Zähler angreifen, tun dies nicht mehr nur, um kostenlosen Strom zu bekommen. Sie greifen an, um Schaden anzurichten und Informationen oder Abläufe zu erpressen, damit sie Geld bekommen. In manchen Fällen wollen sie den Strom einfach abschalten, sei es aus politischen, geopolitischen oder aktivistischen Gründen. Es gibt viele neue Bedrohungsakteure da draußen.

Die ursprünglichen Designs von Smart Metern, deren ursprünglicher Schwerpunkt auf der Sicherung des Endpunkts, des Zählers selbst, lag, haben sich geändert, weil sich die Angriffe und die Bedrohungsakteure verändert haben und weil sich ihre Vorgehensweisen geändert haben. Wenn man sich heute ansieht, wo der größte Schwerpunkt liegt, dann ist es wirklich das gesamte Messsystem und insbesondere das Head-End dieses Systems.

Das Head-End-System ist der Kontrollpunkt, an den die Zähler zurückmelden und von dem aus die Zähler gesteuert werden. Und die Möglichkeit, dies zu sichern, zu überwachen und zu verstehen, was in dieser Umgebung passiert - sowohl in der Umgebung, in der die Lösung installiert ist, also in der IT-Umgebung, als auch in der OT-Anwendung oder -Lösung selbst, dem Messnetzsystem - [...] ist von entscheidender Bedeutung, um unsere Stromverteilungsinfrastruktur heute zu sichern. In der Zukunft wird sich das ein wenig ändern, weil wir intelligentere Endgeräte und Stromzähler einsetzen werden, die mehr können als nur Strom zu messen und sich mit mehreren Dingen zu verbinden. Aber das liegt noch ein wenig in der Zukunft. Heute geht es bei der Frage, die du gestellt hast, wirklich um diese Systeme als Ganzes und den Endpunkt im Besonderen.

Klaus Mochalski

Das ist sehr interessant. Du sprichst bereits den Teil der Infrastruktur an, also wie man eine solche Infrastruktur schützen kann. Darauf kommen wir gleich zu sprechen. Aber du hast auch zwei verschiedene Arten von Angriffen erwähnt, die wir sehr häufig in vielen, vielen verschiedenen Bereichen beobachten. Offensichtlich auch im Bereich der intelligenten Messsysteme.

Du hast Ransomware-Angriffe erwähnt, die wir sehr häufig in jeder IT-Infrastruktur der Welt sehen. Du hast auch die staatlich gesponserten Bedrohungsakteure erwähnt, die unterschiedliche Risiken darstellen. Auf der einen Seite fordern sie Lösegeld und sind im Grunde nur auf das Geld aus. Auf der anderen Seite wollen sie diesen Zugang wahrscheinlich als Druckmittel in irgendeinem Konflikt nutzen. Im Moment sind wir mitten in einem... in einer Vielzahl von Konflikten. Wie schätzt du die verschiedenen Bedrohungen auf beiden Seiten ein?

Wenn ich ein Betreiber einer Smart-Meter-Infrastruktur bin, sagen wir, ich bin ein Stromversorgungsunternehmen, und ich betreibe, sagen wir, 3 Millionen Smart Meter im Feld. Was ist aus deiner Sicht heute die größte Bedrohung, nach dem, was du in den letzten Monaten und vielleicht ein paar Jahren gesehen hast?

Kenneth Lampinen

Nun, ich denke, das größte Risiko ist nach wie vor Ransomware, weil sie sehr unmittelbar ist. Es ist etwas, das ständig auftritt. Wir sehen es in allen Branchen, nicht nur in der Energieversorgung, aber es betrifft auch die Energieversorgung. Und es gibt viele unmittelbare finanzielle Anreize, um diese Art von Angriffen auszuführen.

Wenn man sich die Bedrohungsakteure in der geopolitischen Situation anschaut, besteht nicht unbedingt das unmittelbare Risiko, einen Angriff zu verüben, der die Stromversorgung lahm legt. Aber es gibt eine Menge Aktivitäten, die sich mit der Vorbereitung solcher Angriffe befassen. Es ist also sehr wichtig, zu überwachen, um zu verstehen, was dort passiert, denn diese Aktivitäten finden auch heute statt. Aber ich würde sagen, wenn man sich zwischen den beiden entscheiden müsste, ist das unmittelbarste Problem Ransomware.

Klaus Mochalski

Es geht wahrscheinlich auch ein bisschen um die Verteilung zwischen Risiko und Folgen. Was ist das größte Risiko? Offenbar besteht das größte Risiko darin, von einem ganz normalen Ransomware-Angriff getroffen zu werden, wenn man seine Infrastruktur nicht richtig sichert. Aber die Folgen sind wahrscheinlich größer, wenn man von einem staatlichen Akteur angegriffen wird, dessen einziges Ziel es ist, die Infrastruktur lahmzulegen und im Grunde die Lichter auszuschalten. Aber was ist die wahrscheinlichste Konsequenz, wenn man die Folgen betrachtet? Was passiert in einem durchschnittlichen Fall während eines Ransomware-Angriffs, wenn ein solcher Angriff auf eine Smart-Meter-Infrastruktur erfolgreich ist?

Kenneth Lampinen

Ja, das stimmt. Viele der Ransomware-Angriffe betreffen zum Beispiel die IT-Abteilung eines Versorgungsunternehmens. Aber das kann auch auf den IT-Teil des OT-Betriebs übergreifen, was ebenso schwerwiegende Folgen haben kann.

Klaus Mochalski

Du hast vorhin das Head-End-System erwähnt, das meines Wissens das Managementsystem für die Smart Meter da draußen ist. Ich könnte mir vorstellen, dass dies ein System ist, das von einem solchen Ransomware-Angriff betroffen sein könnte, oder? Wahrscheinlich ist es nicht direkt [das Ziel].

Kenneth Lampinen

Ja. Ich meine, typischerweise handelt es sich um segmentierte Netze, aber sie laufen unter Windows. Sie laufen auf Standard-IT-Systemen. Wenn also die Umgebungen, in denen diese Lösungen ausgeführt werden, mit Ransomware infiziert werden, sind sie genauso anfällig wie jedes andere System. Ich denke, in diesen Fällen ist das wahrscheinlichste Szenario für das Head-End-System, dass es verschlüsselt wird und man nicht mehr in der Lage ist, seine Rechnungsdaten abzurufen. Man kann nicht mehr abrechnen. Das bedeutet nicht unbedingt, dass das Licht ausgeht.

Das beängstigendere Szenario ist ein praktischerer Angriff, bei dem vielleicht vorher ein erfahrener Bedrohungsakteur eindringt, die Zähler ausschaltet, die Daten verschlüsselt und dann den Strom abstellt. Dadurch wird im Grunde das gesamte System lahmgelegt. Diese Art von Szenarien sind ebenfalls möglich und sollten vermieden werden.

Deshalb ist die Überwachung so wichtig, und man muss wirklich verstehen, was in der Umgebung vor sich geht, sowohl auf der OT- als auch auf der IT-Ebene. Aber ich denke, wenn man sich die finanziellen Anreize anschaut, bei denen Bedrohungsakteure oft auf Skalierung setzen und versuchen, ihre Angriffe so weit wie möglich zu standardisieren, ist es sehr wahrscheinlich, dass Ihr System außer Gefecht gesetzt ist, Sie nicht in der Lage sind, Rechnungsdaten abzurufen oder Änderungen vorzunehmen. Somit können Sie vielleicht einige inkrementelle Dinge oder Ausfälle oder Ähnliches nicht korrigieren. Aber nicht alle Lichter gehen zwangsläufig aus, wenn man das Head-End-System ausschaltet.

Klaus Mochalski

OK. Der Betreiber stünde also vor einer finanziellen Katastrophe, aber nicht unbedingt vor einer nationalen Katastrophe, bei der ein größerer Teil der Infrastruktur ausfällt und wir keinen Strom mehr haben.

Kenneth Lampinen

Genau. Ja.

Klaus Mochalski

Okay. Dann hast du ein bisschen was über die Infrastruktur beschrieben. Wir haben das Head-End-System, also das zentrale Managementsystem. Wir haben die Smart Meter, und es gibt wahrscheinlich noch mehr Teile der Infrastruktur.

Du hast auch erwähnt, und das ist sehr ähnlich zu dem, was wir in fast jeder anderen Branche in Bezug auf OT-Sicherheit hören, dass zuallererst Transparenz der Schlüssel ist, um zu verstehen, was vor sich geht, um im Grunde genommen Frühwarnungen zu erhalten. Wenn Sie keine Maßnahmen ergriffen haben, brauchen Sie dieses Frühwarnsystem, damit Sie so etwas wie einen Ransomware-Angriff oder Spionage für einen späteren staatlich geförderten gezielten Angriff auf die Infrastruktur sehr früh erkennen können.

Was würdest du einem Betreiber empfehlen, der sich gerade erst auf den Weg zu einem höheren Maß an OT-Sicherheit in seiner Smart-Grid-Infrastruktur begibt? Wo sollte man anfangen? Denn wenn man sich das Problem ansieht, kann es überwältigend sein. Was wären die ersten Schritte, die den größten Nutzen bringen, sozusagen die niedrig hängenden Früchte?

Kenneth Lampinen

Nun, ich denke, es ist wirklich wichtig, zu verstehen, was in Ihrer Umgebung passiert. Sie müssen in der Lage sein, den verschiedenen Datenverkehr und die verschiedenen Aktivitäten zu überwachen, sowohl aus der IT- als auch aus der OT-Perspektive. Sie müssen in der Lage sein, Daten beider Bereiche zu betrachten und sie aus der Perspektive eines Angriffs zu betrachten.

Neben der Überwachung ist es auch sehr wichtig, dass Sie verstehen, was diese Daten bedeuten, oder? Sie müssen verstehen, welche Telemetriedaten intern und normal sind, was eine Anomalie ist, intern normal, und was eine Anomalie ist, extern. Und es ist extrem wichtig, dass man in der Lage ist, diese Daten einer bösartigen Aktivität oder einem Bedrohungsakteur zuzuordnen.

Wenn es also von einer bestimmten IP-Adresse kommt, handelt es sich um eine bösartige IP-Adresse. Verstehen, dass diese Aktivität nicht stattfinden sollte. Wenn Sie bestimmte Datei-Hashes in Ihrer Umgebung sehen, bedeutet das, dass ein Bedrohungsakteur in Ihrer Umgebung gewesen ist. Gerade diese grundlegenden Dinge sind sehr wichtige Ausgangspunkte.

Und wenn Sie das können, bekommen Sie ein besseres Verständnis dafür, wo Sie wirklich stehen. Ich würde noch hinzufügen, dass man bei der Überwachung oft Dinge wie Fehlkonfigurationen findet, vor allem in Bezug auf die Sicherheit. Und das zu verstehen und diese leicht zu behebenden Fehlkonfigurationen zu beseitigen, ist in diesem Kampf ebenfalls sehr wichtig. Aber man muss erst einmal verstehen, wo man steht, wie die Umgebung aussieht, und dann die Bedrohungsakteure verstehen und ob sie mit einem interagieren.

Klaus Mochalski

Das stimmt. Das klingt, als wären die ersten Schritte eine Bestandsaufnahme, um zu verstehen, was Sie haben, was bereits vorhanden ist, was vorhanden sein sollte und was nicht vorhanden sein sollte. Darauf aufbauend sollten Sie eine infrastrukturspezifische Risikobewertung vornehmen. Wo liegen meine spezifischen Risiken? Die Risiken können ähnlich sein wie bei anderen Akteuren in der Branche. Sie können aber auch etwas anders sein und sich eher auf persönliche Risiken oder technologische Risiken beziehen, je nachdem, mit welcher Technologie man arbeitet. Aber eine Risikobewertung ist wahrscheinlich immer ein sehr guter erster Schritt.

Kenneth Lampinen

Auf jeden Fall. Der andere Teil, den ich hinzufügen würde, ist die Bedrohungsseite, das Verständnis, wer Ihre Bedrohungen tatsächlich sind, denn es gibt viele verschiedene Ransomware-Gruppen und viele verschiedene Bedrohungsakteure da draußen. Das kann sehr überwältigend wirken. Aber es gibt spezielle Gruppen, die es auf die Stromversorgung abgesehen haben. Es gibt spezielle Gruppen, die es auf Versorgungsunternehmen abgesehen haben, und diese unterscheiden sich von den anderen Gruppen. Und diese Bedrohungsakteure haben sehr spezifische Arbeitsweisen. Man kann sie also wirklich eingrenzen. Sobald Sie über die richtigen Informationen verfügen, können Sie die Maßnahmen, die Sie ergreifen müssen, auf sehr spezifische Aktionen eingrenzen. Und man sollte sich nicht überfordert fühlen. Ja, es gibt eine Menge Vorarbeit, aber wenn man erst einmal so weit ist, wenn man sich selbst und seinen Feind versteht, dann geht es um die klassische Kriegsführungsideologie. Aber wenn man diese beiden Dinge verstanden hat, ist es ziemlich geradlinig, was man tun muss, um sich abzusichern.

Klaus Mochalski

Das klingt ziemlich einfach. Aber lass mich noch einmal auf das Gefühl der Überforderung zurückkommen, das viele Kunden erleben. Es ist eine Sache, daran zu arbeiten, sich selbst und seine eigene Infrastruktur zu verstehen. Das ist etwas, das jeder so gut wie möglich tun sollte. Aber das, was du gerade erwähnt hast, nämlich die Bedrohungslandschaft zu verstehen, ist etwas ganz anderes. Sie ist viel komplexer, viel weniger transparent und für den Durchschnittsbürger viel weniger leicht zu erkennen.

Wie viele Ressourcen würdest du für diesen Bereich bereitstellen? Wir sind uns alle einig, dass wir unsere eigene Infrastruktur verstehen müssen, weil wir sie sonst nicht wirklich schützen können. Aber wie viel sollte ich als Infrastrukturbetreiber aufwenden, um wirklich zu verstehen, was da draußen an Bedrohungen vor sich geht? Oder sollte ich das zum Beispiel meinem Dienstleister überlassen?

Kenneth Lampinen

Nun, ich denke, es hängt wirklich davon ab, wie man aufgestellt ist und wie die Sicherheitsoperationen aufgebaut sind, wenn man sie komplett ausgelagert hat. Aber ich meine, typischerweise, besonders aus der OT-Perspektive, wird vieles davon intern gehandhabt und mit internen Sicherheitsoperationen gearbeitet.

Und ich denke, ich würde Folgendes sagen: Ich halte das Threat Intelligence Management und diese Arbeit für extrem wichtig, um in einer sehr komplexen Welt den Durchblick zu behalten. Denn es hilft einem, Prioritäten zu setzen, was man tun muss. Ich meine, es ist unmöglich, alle Risiken zu eliminieren, oder? Wir leben nicht in einer risikofreien Welt. Aber es hilft dabei, wirklich zu verstehen, wo die großen Risikofelder sind, wo die größten Bedrohungen sind, wo die Prioritäten liegen, was intern in Gang gesetzt werden muss.

Ich glaube, viele Organisationen... Es ist eine Sache, seine Organisation zu verstehen. In gewisser Weise ist OT... Ich will die Komplexität nicht herunterspielen, aber in der IT - allein schon aufgrund der Natur der Sache, der ständigen Veränderungen, der ständigen Nutzung sehr komplexer Systeme und mehrerer Systeme - kann es schwierig sein, eine wirklich schöne, saubere Umgebung zu schaffen, in der es eine Einfachheit gibt, die einen nachts schlafen lässt, ohne dass man sich auch nur ein bisschen Sorgen macht. In der OT sind die Architekturen meiner Meinung nach klarer. Sie sind etwas überschaubarer, selbst wenn sie komplex sind, und sie sind in vielerlei Hinsicht stabiler.

Diese beiden Umgebungen kommen zusammen. Aber aus der Perspektive der Bedrohungsanalyse ist der IT-Teil derjenige, der Ihnen die meisten Sorgen bereitet. Er ist der komplexere, dynamischere, sich stärker verändernde und leichter angreifbare Teil. Und wenn man in der Lage ist, sich auf die Teile zu konzentrieren, an denen wir arbeiten müssen, um unser Risiko zu senken - was sind die größten Bereiche, die unser Risiko am stärksten senken - dann denke ich, dass man viel für sein Geld bekommt.

Es ist schwer zu sagen, wie viel Prozent des Aufwands auf die Bedrohungsanalyse entfallen sollte. Ich sehe das so: Wie viel Bedrohungsdaten geben mir genügend Einblick, um die großen Risikobereiche zu senken? Das wird für jedes Unternehmen anders sein. Es ist für jede Organisation anders, [weil] sie unterschiedlich strukturiert sind.

Klaus Mochalski

Das meiste davon befindet sich ohnehin auf der IT-Seite. Von dort gehen die größten Bedrohungen aus. Das ist auch das, was wir von Kunden in verschiedenen Märkten erfahren haben. Es gibt nur sehr wenige gezielte OT-Angriffe, aber es gibt viele, viele IT-Angriffe, und einige davon greifen auf die OT über. Das ist der Punkt, den wir genau beobachten müssen. Es besteht ein allgemeiner Konsens darüber, dass man natürlich seine IT-Infrastruktur schützen muss. Im Grunde genommen haben Sie einen Freifahrtschein. Wenn man das richtig macht, dann läuft es auch auf der OT-Seite nicht so schlecht.

Wahrscheinlich auch... Ich fand es interessant, was du über die Komplexität der OT gesagt hast. Denn viele Leute in der OT beschweren sich über deren Komplexität im Vergleich zur IT. In der IT haben wir nur ein paar Windows-Server. Im Idealfall laufen sie alle mit der gleichen Version, so dass die Komplexität viel geringer ist. Aber wenn man sich speziell die Smart Metering-Infrastrukturen anschaut, dann trifft wahrscheinlich zu, was du gesagt hast, denn man hat das System eines bestimmten Typs und dann die Zähler. Natürlich kann es Revisionen von Zählern geben, aber wie viele können es sein? Es werden nicht 100 verschiedene Versionen sein. Außerdem kommen sie wahrscheinlich von einem bis höchstens drei Anbietern. Sie haben nur eine sehr begrenzte Anzahl von Gerätetypen. Es sollte also sehr einfach sein - wenn Sie über angemessene IT-Sicherheitsmaßnahmen verfügen -, die Sicherheit auch auf diese angeschlossenen Geräte auszuweiten.

Kenneth Lampinen

Nun, und die andere Sache, die ich für OT-Umgebungen sagen würde, ist, dass man nicht so viele Leute hat, die zufällige Dinge tun. Das ist wahr. Es gibt mehr definierte Prozesse. Ich denke, dass die Umgebung in einigen dieser Bereiche offensichtlich sehr komplex sein kann. Aber es gibt nicht Tausende von Mitarbeitern, die alle beschließen, dass sie heute einfach ihre eigene Software installieren oder eine bösartige Website besuchen wollen. Oder all die Dinge, die Menschen im Rahmen ihrer täglichen Arbeit oder ihrer Interaktion mit dem Internet tun. In OT-Umgebungen ist das nicht so häufig der Fall. Und ich denke, dass dies allein und in Verbindung mit besser definierten Prozessen es zumindest aus Sicherheitsaspekten einfacher macht.

Klaus Mochalski

Ich denke, das ist eine sehr schöne Schlussbemerkung. Machen Sie sich nicht zu viele Sorgen, wenn Sie eine Smart-Grid-Infrastruktur betreiben, denn die Probleme sind wahrscheinlich nicht so schlimm wie die Probleme, die Sie in einer typischen IT-Infrastruktur bewältigen müssen. Bewährte Praktiken im IT-Bereich müssen auch auf die OT-Seite übergreifen. Das ist immer ein guter Ansatzpunkt. Beginnen Sie mit einer Risikobewertung, machen Sie sich klar, was Sie intern tun und wie Ihre Infrastruktur aussieht.

Aber wie Sie schon sagten, sollten Sie auch einige Zeit investieren, um zu verstehen, womit Sie es zu tun haben. Nutzen Sie vielleicht Austauschforen, um zu verstehen, was in Ihrer Branche vor sich geht, sprechen Sie mit Gleichgesinnten, abonnieren Sie Threads Newsfeeds, und schon sind Sie für den ersten Schritt gut gerüstet.

Kenneth Lampinen

Ja, wenden Sie sich auf jeden Fall an Ihre Branche, an Ihren ISAAC. In Nordamerika wäre das die E-ISAC. Sie teilen eine Menge großartiger Informationen und Best Practices. Es ist eine großartige Organisation, in die man sich einbringen kann, ein großartiger Ort, um anzufangen.

Klaus Mochalski

Richtig. Sehr gut. Wir sind nicht dazu gekommen, über Regulierung und Organisationen in einem bestimmten Markt zu sprechen. Vielleicht sollten wir das in einer Folge nachholen. Aber bis jetzt fand ich diese Diskussion über die spezifischen Bedrohungen sehr interessant. Vielen Dank, dass du hier warst und für den interessanten Einblick in diesen speziellen Bereich.

Kenneth Lampinen

Ich danke dir. Es war toll, hier zu sein.

‍