Pressemitteilungen Rhebo

News

Ende-zu-Ende-Cybersicherheit im Smart Grid von der Steuerungstechnik bis an die Edge

Klaus Mochalski hat niemand geringeren als Todd Wiedman, CSO von Landis+Gyr und CEO von Rhebo zu Gast. Todd spricht über seine mehr als 15 Jahre währenden Erfahrungen im Bereich der Cybersicherheit industrieller Unternehmen und gibt Einblicke in die Sicherheitsherausforderungen des Smart Grid und der Advanced Metering Infrastructure mit seinen Millionen Smart Metern und essentiellen Head-End-Systemen.

 

 

 

Hören Sie uns auf:

  

 

Transkript

Klaus Mochalski

Willkommen zu einer neuen Folge des Podcasts OT Security Made Simple. Ich bin Klaus Mochalski, Gründer und CEO von Rhebo. Bei mir ist Todd Wiedman. Er ist der Chief Security Officer von Landis+Gyr.

Todd Wiedman

Ja. Ich arbeite seit etwa sieben Jahren bei Landis+Gyr, aber ich bin schon seit über 15 Jahren in der Sicherheitsbranche tätig. Ich habe alles gemacht, von der Unternehmenssicherheit bis zum Kampf gegen böse Akteure in einer Sicherheitsfirma. Und jetzt beschütze ich Landis+Gyr.

Klaus Mochalski

Okay, erzähl uns doch bitte kurz, was du vorher im Bereich der Cybersicherheit gemacht hast? In welchen speziellen Bereichen warst du tätig?

Todd Wiedman

Bevor ich bei Landis+Gyr anfing, arbeitete ich für ein Sicherheitsdienstleistungsunternehmen namens SecureWorks in den USA. Wir waren dafür verantwortlich, Kunden, meist Bankkunden, vor Sicherheitsbedrohungen und Angriffen zu schützen. Wir haben sie auch unterstützt und mit ihnen zusammengearbeitet, wenn ein Angriff stattfand. Und ich war auch für den Schutz des Unternehmens selbst verantwortlich. Davor habe ich für ein großes Abfüllunternehmen in Atlanta, Georgia, gearbeitet und war dort für alle Sicherheitsfunktionen zuständig.

Klaus Mochalski

Landis+Gyr stellt also Smart Meter – also intelligente Stromzähler – her. Und wir alle wissen, dass Smart Meter aus Sicht der Sicherheit sehr wichtig sind. Und das ist auch der Grund, warum wir heute hier sitzen. Wir möchten unseren Zuhörern ein wenig über die Sicherheitsherausforderungen in einer Smart-Meter-Infrastruktur erzählen. Aber wir sitzen auch hier, weil Landis+Gyr vor etwa zwei Jahren Rhebo übernommen hat. Vielleicht erzählst du unseren Hörern ein wenig darüber. Was war aus deiner Sicht als Sicherheitsbeauftragter der Grund für die Übernahme eines Startup-Unternehmens, das sich mit OT-Sicherheit beschäftigt?

Todd Wiedman

Lass mich damit beginnen, warum wir uns mit OT-Sicherheit beschäftigt haben. Landis+Gyr ist schon sehr lange im Bereich der Stromzähler tätig. Und wenn wir uns ansehen, wohin sich dieser Bereich entwickelt, dann werden Smart Meter zu einer intelligenten Infrastruktur, dem Smart Grid. Und wir sehen, dass es eine Menge Systeme geben wird, die in diesem Bereich in Zukunft eine Rolle spielen werden. Und heute leisten wir wirklich gute Arbeit beim Schutz und der Verteidigung der Smart-Meter-Infrastruktur.

Aber mit der Ausweitung auf andere Bereiche und andere Arten von Zählern und andere Arten von Lösungen am Rande des Netzes – der Edge – wird es notwendig werden, sich auf den Schutz der gesamten Edge zu konzentrieren. Und wir sind der Meinung, dass wir unser heutiges Wissen sehr gut nutzen können, um es auf den Edge-Bereich auszuweiten. Wir glauben auch, dass sich die Bedrohungslandschaft verändert. In der Vergangenheit dachte man, dass der Smart Meter selbst der Angriffsvektor ist. Wir stellen aber fest, dass sich dies zu einem Angriff auf die Steuerungssysteme wandelt, die diese Edge-Geräte, verwalten. Und wir haben auch schon lange Erfahrung mit der Verwaltung von Head-End-Systemen.

Wir sind der Meinung, dass dieses Wissen und Verständnis der Branche und unseren Kunden dabei helfen kann, die gesamte Edge zu schützen. Und der eine Teil, in dem wir nicht viel Wissen hatten, waren die Umspannwerke und die Netzleit- und Fernwirktechnik zwischen den Umspannwerken. Bei der Suche nach Möglichkeiten haben wir Rhebo als Unternehmen entdeckt, das diese Lücke füllen kann. Und so haben wir jetzt das Gefühl, dass wir uns mit der aktuellen Umgebung voll und ganz auf die gesamte Verteilnetzseite konzentrieren können, vom Umspannwerk bis hin zu den Endgeräten.

Klaus Mochalski

Du sagst also, dass selbst für ein Unternehmen, das sich seit vielen Jahren auf den Bau von Smart Metern konzentriert, Sicherheit nicht mehr nur mit Smart Metern zu tun hat, sondern weit darüber hinausgeht, weil die Infrastrukturen immer komplexer werden.

Speziell unsere deutschen Zuhörer kennen vermutlich das berühmte Buch “Blackout”, über das wir seit mindestens zehn Jahren immer wieder sprechen. Und interessanterweise wird darin ein Szenario beschrieben, bei dem es in Europa zu einem großflächigen Stromausfall kommt, der auf Schwachstellen in den Smart Metern beruht, die von böswilligen Angreifenden ausgenutzt werden. Ist dieses Szenario aus Sicht eines Experten auf diesem Gebiet immer noch gültig?

Todd Wiedman

Die Herausforderung bei einem Angriff auf einen Smart Meter besteht darin, dass die Angreifenden viele von ihnen angreifen müssen. Um den Smart Meter anzugreifen, müssen sie entweder in jedes einzelne Haus gehen und einen Zähler knacken oder sie müssen in das Netzwerk eindringen und in jeden einzelnen Zähler einbrechen. Wenn ich mich richtig erinnere, sind sie in dem Szenario im Buch in die Firmware eingebrochen und haben einen Fehler in die Firmware eingebaut, der es ihnen ermöglicht hat, viele der Zähler zu kontrollieren. Das ist durchaus ein mögliches gültiges Szenario.

Übrigens, Landis+Gyr arbeitet sehr intensiv daran, dass unsere Firmware geschützt ist. Wenn Angreifende in das Netzwerk eindringen, können sie natürlich mehrere Zähler aus der Netzwerkperspektive kontrollieren. Aber auch hier gilt, dass Landis+Gyr und alle anderen Unternehmen in diesem Bereich sehr gute Arbeit geleistet haben, um das Netzwerk und den Zähler durch Verschlüsselung zu schützen.

Meine Antwort ist also, dass es sehr schwierig wäre, über diesen Angriffsvektor einzudringen. Mit all den Schutzmaßnahmen, die Landis+Gyr und andere Unternehmen in diesem Bereich ergriffen haben, wäre es sehr schwierig, einen Zähler anzugreifen, und wir haben bisher nicht viele erfolgreiche Angriffe gesehen.

Ich glaube, dass es Vektoren gibt, um die Firmware anzugreifen. Ich denke auch, dass, wie ich bereits erwähnt habe, die Angriffe auf die Steuerungssysteme – d.h. die Systeme, die all diese Geräte verwalten –  aus Sicht des Schutzes im Mittelpunkt stehen müssen.

Klaus Mochalski

Soweit ich weiß, stehen die Angriffsvektoren, die direkt auf die Zähler abzielen, bei allen Unternehmen im Mittelpunkt. Obwohl also wahrscheinlich immer ein kleines Risiko bestehen bleibt, ist das ziemlich unwahrscheinlich. Ich verstehe auch, dass der Markt sich von einer reinen Smart-Meter-Infrastruktur hin zu einer Smart-Grid-Infrastruktur entwickelt hat.

Todd Wiedman

Entschuldige bitte, hier muss ich etwas klarstellen. Es ist sehr wichtig, dass wir den Stromzähler schützen und es ist sehr wichtig, dass wir das Netzwerk schützen. Heute tun wir das größtenteils mit Verschlüsselung. Wir verschlüsseln also alles. Wir stellen sicher, dass alles geschützt ist und wir eine gewisse Sichtbarkeit haben.

Ich bin der Meinung, dass wir mit zunehmender Reife und immer mehr Angriffsvektoren unsere Sichtbarkeit am Rande des Netzes – an der Edge – erhöhen müssen, sowohl im Smart Meter als auch in allen anderen Geräten an der Edge sowie im Netzwerk, das die Smart Meter mit den Steuerungssystemen verbindet. Auch wenn wir das heute gut machen, gibt es in diesem Bereich immer Raum für Verbesserungen.

Klaus Mochalski

Natürlich. Welche neueren Angriffsszenarien siehst du angesichts dieser Entwicklung, vor denen wir alle diese Infrastruktur schützen müssen?

Todd Wiedman

Ich denke, dass wir wirklich sicherstellen müssen, dass die Steuerungssysteme, die in diesen Umgebungen eingesetzt werden, aus Sicht von Landis+Gyr geschützt und gesichert sind. Wir haben eine Reihe von Head-End-Systemen, die wir entwickeln und verkaufen, und wir sind der Meinung, dass diese angemessen geschützt und gesichert sein müssen.

Es gibt eine Menge anderer Geräte, die an der Edge des Stromnetzes eingesetzt werden, und diese Unternehmen müssen ebenfalls dafür sorgen, dass ihre Systeme gesichert sind. Einige dieser Unternehmen haben noch nie mit kritischen Infrastrukturen zu tun gehabt. Sie stellen Geräte an der Edge auf, die Energie manipulieren können!  Wir müssen einfach sicherstellen, dass alles, was in diesen Bereich gelangt, ordnungsgemäß verwaltet, geschützt und gesichert wird.

Und der letzte Punkt ist, dass ich glaube, dass wir eine Menge regulatorischer Anforderungen sehen werden, die von den Regierungsbehörden kommen, die dies ebenfalls vorantreiben werden. Denn ich denke, dass auch sie verstehen, dass es viele neue Akteure in diesem Bereich gibt, dass es viele neue Systeme in diesem Bereich gibt, und dass diese alle angemessen geschützt werden müssen.

Klaus Mochalski

Die Herausforderung, der wir in den letzten Jahren begegnet sind, besteht darin, dass die Systeme für eine kritische Infrastruktur häufig nicht von einem einzigen Anbieter bereitgestellt werden. Vielmehr handelt es sich in den meisten Fällen um eine Infrastruktur mit mehreren Anbietern. Und hier stellt sich die Frage, wer sich für den Schutz dieser Infrastruktur verantwortlich fühlt, wenn es sich nicht um einen einzigen Anbieter handelt. Diese Diskussion hatten wir in der Vergangenheit schon oft.

So stellen wir beispielsweise einem Anbieter von Batteriespeichersystemen für Privathaushalte unsere Sicherheitslösung zur Verfügung, um seine Infrastruktur zu überwachen. Das war ein einfacher Fall, denn das Unternehmen ist der Hersteller, betreibt die Infrastruktur und überwacht die Batterien. Es gab also nur einen Stakeholder.

Aber in vielen anderen Fällen, z.B. bei unseren Gesprächen mit Windparkbetreibern, war es schwierig, einen einzelnen Stakeholder zu finden, der sich verantwortlich fühlte. Die Betreiber von Windparks verwiesen also auf die Leute, die sie bauen. Die Leute, die Windparks bauen, verwiesen auf die Anbieter und diese wiederum auf die Betreiber. Am Ende fühlte sich niemand wirklich verantwortlich.

Wie siehst du  die Entwicklung im Smart Grid und in der Smart-Meter-Infrastruktur? Wer wird also die Hauptverantwortung für die Cybersicherheit tragen und wie siehst du den Umgang mit diesem Thema in den heutigen Projekten?

Todd Wiedman

Das ist eine gute Frage. Das ist eine, die wir auch oft stellen. Wenn du dir anschaust, wohin wir uns mit dem Smart Grid entwickeln, dann sind die Versorgungsunternehmen zwar für eine Reihe von Geräten verantwortlich, die in diesem zum Einsatz kommen werden, aber nicht für alle Geräte. Und einige der Geräte, um die es hier geht, werden erhebliche Auswirkungen auf das Stromnetz haben.

Nehmen wir dein Beispiel von den Energiespeichersystemen. Wenn wir Batteriesysteme oder sogar Verbraucherbatteriesysteme haben, die es im Grunde ermöglichen, Lastspitzen in einem Bereich des Netzes zu bewältigen, und diese gehackt werden oder durch Ransomware oder ein anderes Ereignis nicht mehr verfügbar sind, wer ist dann dafür verantwortlich? Ist es das Versorgungsunternehmen, das die Energie letztendlich benötigt? Oder ist es der Verbraucher, der den Energiespeicher gekauft hat? Oder ist es der Hersteller des Energiespeichersystems?

Diese Fragen müssen, meiner Meinung nach, in einem größeren Rahmen in der Branche geklärt werden. Denn egal, was im Bereich des Smart Grid vorhanden ist, es muss gesichert werden. Und wenn wir die Verantwortung nicht geklärt haben, wird niemand wissen, wer wirklich zuständig ist und wie wir die Probleme lösen können, wenn etwas passiert.

Klaus Mochalski

Und glaubst du, dass der Markt dieses Problem lösen wird. Oder brauchen wir hier eine stärkere Regulierung der Cybersicherheit?

Todd Wiedman

Beides, richtig?

Klaus Mochalski

Ja, das ist in der Tat ein wichtiger Faktor. Neben dem wachsenden Bewusstsein in den verschiedenen Branchensegmenten hat auch die Regulierung zugenommen, insbesondere hier in Europa wurde sie verschärft. Das war also ein wichtiger Treiber für unser Geschäft hier.

Ich stimme dir zu. So sehr ich es auch begrüßen würde, wenn die Kunden die Herausforderung verstehen und jeder seinen Teil dazu beiträgt und zusammenarbeitet. Je mehr Multi-Vendor-Umgebungen es gibt, desto schwieriger wird die Diskussion. Umso wichtiger ist es, dass wir einen soliden Rechtsrahmen haben. Und wir haben gesehen, insbesondere hier in Deutschland, wo die Regulierung auf der EU NIS-Richtlinie basiert, dass die Vorschriften und Gesetze immer technischer werden. Mich hat das zunächst überrascht, aber das ist wahrscheinlich, weil die Anforderungen eben spezifisch sein müssen.

Wenden wir uns also vielleicht im letzten Teil dieses Podcasts ein wenig unserer Zusammenarbeit zu. Rhebo bietet eine Lösung für die netzwerkbasierte Überwachung und OT-Infrastrukturen. Wie du bereits sagtest, überwachen wir insbesondere Umspannwerke und Steuerungssysteme, aber auch Endpunkte industrieller IoT-Geräte. Wie passt das aus Ihrer Sicht zusammen? Welche Lücken kann eine Lösung wie die von Rhebo schließen und dazu beitragen, nicht nur die Infrastruktur von Smart Metern, sondern das gesamte Smart Grid zu sichern?

Todd Wiedman

Aus der Sicht von Landis+Gyr brauchen wir eine vollständige Lösung für den Raum der Verteilnetz-Ränder, des Grid Edges. Also für das Umspannwerk, für die Edge. Rhebo füllt die Lücke im Umspannwerk, im Netzwerk und im OT-Bereich wirklich gut aus. Und wir fangen an, mit der Rhebo-Lösung auch in den IoT-Bereich vorzudringen. Landis+Gyr verfügt über eine Menge Wissen im Bereich der Steuerungssysteme und der Smart Meter. Wir werden also auch in diesem Bereich Lösungen anbieten, um die Lücken zu schließen, die Rhebo heute nicht abdeckt bzw. mit Rhebo Erweiterungen entwickeln. 

Am Grid Edge werden die Smart Meter immer mehr zu wirklich intelligenten Edge Devices. Das bedeutet, dass wir an der Edge Dinge tun können, die wir früher nicht tun konnten. Aber es bedeutet auch, dass dort mehr verarbeitet wird, mehr Funktionen bestehen. Und diese müssen wir dann auch ordentlich schützen. Wir sehen also die Möglichkeit, die Rhebo-Lösung auf diese Smart-Grid-Edge-Geräte auszudehnen, egal ob es sich dabei um Landis+Gyr-Geräte oder andere Geräte handelt, die wir in den Haushalten sehen.

Klaus Mochalski

Ja, das ist sehr interessant und etwas, worauf ich mich persönlich freue. Denn Rhebo ist in Deutschland ansässig, wo es einen Markt für Smart Meter gibt. Aus irgendeinem Grund steckt er noch in den Kinderschuhen. Ich meine, es gibt eine ganze Reihe von Gründen, auf die wir hier nicht eingehen werden.

Aber ich finde es besonders interessant, dass ein Unternehmen aus Deutschland, das OT-Sicherheit anbietet, und ein Anbieter von Smart Metern hier zusammenarbeiten. Ich denke, dass es sehr gute Dinge gibt, die wir aufbauen können, und dass wir alle daran arbeiten müssen, das Smart Grid und die intelligenten Infrastrukturen sicherer zu machen.

Also, Todd, vielen Dank, dass du unseren Zuhörern von den Smart Metern und den Trends auf den Märkten hier erzählt hast. Für mich war es eine sehr interessante Diskussion. Und natürlich freuen wir uns hier bei Rhebo alle auf die zukünftige Zusammenarbeit mit Landis+Gyr.

Todd Wiedman

Sehr gut. Ich danke dir!