IN DER ENERGIE-DOMÄNE
4 / Studie zum exemplarischen Anwenden von Gefährdungsszenarien in der Energiedomäne 4 / Studie zum exemplarischen Anwenden von Gefährdungsszenarien in der Energiedomäne
ABSTRACT
Diese Studie liefert einen Beitrag für die praktische Anwendung von Gefährdungsszenarien in der Systementwicklung. Dafür wurde ein Anwendungsfall aus der Energiedomäne zum Thema virtuelle Kraft-werke im Rahmen einer Überlastsituation identifiziert und standardi-siert mit dem Use Case-Template nach IEC 62559 erfasst. Der An-wendungsfall dokumentiert ein gewolltes Verhalten, bei dem Vertrauen in die ausgetauschten Daten besteht. Ein Angreifer hingegen möchte ein System zu einem nicht-gewollten Verhalten veranlassen und führt hier-zu Angriffe auf das System durch. Solche Angriffe können in einem Misuse Case (MUC) Template dokumentiert werden, um dafür ent-sprechende Sicherheitsanforderungen zu identifizieren. Das MUC-Template wiederum basiert auf einem erweiterten 62559-2 MUC-Template und dokumentiert den Kontext eines
ungewoll-ten Verhalungewoll-tens näher. Auf dieser Basis wurden in dieser Studie drei verschiedene Gefähr-dungsszenarien mit dem MUC-Template erfasst und analysiert, so dass systematisch verletzte Schutzziele und Sicherheitsanforderungen iden-tifiziert werden konnten, die dann in einem zu implementierenden System als konkrete Sicher-heitsmaßnahmen umgesetzt werden sollten.
AUTOREN
Christine Rosinger (OFFIS)
Mathias Uslar (OFFIS)
4 / Studie zum exemplarischen Anwenden von Gefährdungsszenarien in der Energiedomäne 4 / Studie zum exemplarischen Anwenden von Gefährdungsszenarien in der Energiedomäne
Abkürzungs verzeichnis
AMI Advanced Metering Interface APP Anwendungen (BSI-Baustein) BNetzA Bundesnetzagentur
BSI Bundesamt für Sicherheit in der Informationstechnik
BSI-KritisV
Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz
CAPEC Common Attack Pattern Enumera-tion and ClassificaEnumera-tion
CON Kryptokonzept (BSI-Baustein) CPU Central Processing Unit DEM Device Energy Management
DER
Dezentrale Energieressource, Im Kontext der Sicherheits-anforderungen: Detektion und Reaktion (BSI-Baustein)
DKE Deutsche Kommission Elektrotech-nik ElektroElektrotech-nik InformationstechElektrotech-nik DMS Distribution Management System DMZ Demilitarisierte Zone
DNSSEC Domain Name System Security Extensions
DoS Denial of Service
ED Edition
EDMS Energiedatenmanagementsystem
EMS Energiemanagementsystem
EnWG Energiewirtschaftsgesetz ICS Industrial Control System IEC International Electrotechnical
Commission IKT Informations- und
Kommunikationstechnologie iMSys Intelligentes Messsystem IND Industrielle IT (BSI-Baustein) INF Infrastruktur (BSI-Baustein) iOS Mobiles Betriebssystem von Apple IoT Internet of Things
IP Internet Protokoll ISMS
Informationssicherheits-managementsystem
ISO International Organization for Standardization
IT Informationstechnologien
KEM Kundenenergiemanagement
KPI Key Performance Indikatoren KRITIS Kritische Infrastrukturen LV Low Voltage, Niederspannung MDM Mobile Device Management MITM Man-in-the-middle
MITRE CVE
Common Vulnerabilities and Exposures of the MITRE Corpora-tion
MUC Misuse Case
MV Middle Voltage, Mittelspannung NESCOR National Electric Sector Cyber-security Organization Resource NET Netze und Kommunikation
(BSI-Baustein)
NIST National Institute of Standards and Technology
NISTIR NIST Interagency Report OpenLDAP
Offene Implementierung des Lightweight Directory Access Protocol
OPS Betrieb (BSI-Baustein) ORP Organisation und Personal
(BSI-Baustein)
OT Operational Technology
OWASP Open Web Application Security Project
PKI Public Key Infrastructure
RTF Rich Text Format
SAN Storage Area Network
SBK Schutzbedarfskategorie SCADA Supervisory Control and Data
Acquisition
SGAM Smart Grid Architecture Model Abkürzungs verzeichnis
4 / Studie zum exemplarischen Anwenden von Gefährdungsszenarien in der Energiedomäne4 / Studie zum exemplarischen Anwenden von Gefährdungsszenarien in der Energiedomäne
SMGW Smart Meter Gateway
SNMP Simple Network Management Protocol
SPS Speicherprogrammierbaresteuerung SQL Structured Query Language,
Datenbanksprache
SRD System Reference Deliverable SYS IT-Systeme (BSI-Baustein)
TC Technisches Komitee
TDoS Telephone Denial of Service
TK Telekommunikation
TR Technische Richtlinie UC Use Case, Anwendungsfall
UCMR Use Case Management Repository UML Unified Modeling Language VDE Verband der Elektrotechnik
Elektronik Informationstechnik e. V.
VK Virtuelles Kraftwerk
VoIP Voice over IP
VPN Virtual Private Network XLSM Excel Spreadsheet Xml
macro-enabled
XML Extensible Markup Language
4 / Studie zum exemplarischen Anwenden von Gefährdungsszenarien in der Energiedomäne 4 / Studie zum exemplarischen Anwenden von Gefährdungsszenarien in der Energiedomäne
4 / Studie zum exemplarischen Anwenden von Gefährdungsszenarien in der Energiedomäne
1. EINLEITUNG 115
1.1 Ziel und Motivation der Studie 115
1.2 Gliederung 115
2. IT-SICHERHEIT UND RESILIENZ IM
ENERGIEKONTEXT 116
3. GEFÄHRDUNGS SZENARIEN AUS DER
ENERGIEDOMÄNE 120
3.1 Gefährdungsszenarien 120
3.2 Angreifertypen 121
3.3 Typische Angriffsvektoren 122
4. METHODIK: IEC 62559 UND
MISUSECASE-TEMPLATE 126
4.1 VDE 0175-110 – Richtlinie zur IT-Sicherheit und Resilienz
für die Smart-Energy-Einsatzumgebung 126
4.2 IEC 62559 – Use Case Methodik 127
4.3 Misuse Case Template 128
4.4 Gefährdungskatalog nach BSI-Grundschutz 130
4.5 Attack Pattern Classification, Recommendations
and Attack Conditions nach CAPEC 132
4.6 Gesamtmethodik 132
5. ANWENDUNG DER
GESAMTMETHODIK 136
5.1 Beschreibung des Anwendungsfalls 136
5.2 Beschreibung des Misuse Cases 138
5.2.1 Beschreibung im MUC-Template 138
5.2.2 Risikoanalyse 140
5.2.3 Identifikation von Sicherheits anforderungen 141
6. ZUSAMMENFASSUNG, DISKUSSION
UND AUSBLICK 143
6.1 Zusammenfassung 143
6.2 Diskussion 143
Literaturverzeichnis 145
vermeiden, wurden auf Basis der Analyse der Gefährdungsszenarien Sicherheitsanforderungen identifiziert, die wiederum bei der Implementierung des Anwendungsfalls in konkrete Sicherheitsmaß
nahmen umgesetzt werden können.
1.2 Gliederung
Das weitere Dokument gliedert sich wie folgt:
Zunächst werden in → Abschnitt 2 die Begriffe IT Sicherheit und Resilienz – als eine Säule der drei Schwerpunkte dieser Studie – im Kontext der Ener
giedomäne erläutert und eingeordnet. → Abschnitt 3 gibt einen kurzen Überblick zu interessanten und bekannten Gefährdungsszenarien und Angreifer
typen aus der Energiedomäne der Vergangenheit sowie einen Einblick in typische Angriffsvektoren.
Danach werden in → Abschnitt 4 die verschiedenen Bestandteile der hier verwendeten Methodik er
läutert und dann zu einer Gesamtmethodik in
→ Abschnitt 4.6 zusammengefügt. In → Abschnitt 5 wird die vorher beschriebene Gesamtmethodik angewendet und textuell anhand eines beispielhaf
ten Anwendungsfalls mit drei Angriffsszenarien zum Thema virtuelle Kraftwerke im Rahmen einer Überlastsituation beschrieben. Weiterhin werden die Gefährdungs szenarien in dem MUCTemplate untersucht und ausgewertet. Der verwendete Anwendungsfall wurde mit dem Use CaseTemplate nach IEC 62559 erfasst. Das dazugehörige aus
gefüllte Template ist im Anhang in → Abschnitt 7.1 dargestellt. Die drei Angriffsszenarien auf diesen Anwendungsfall, die für diese Studie entwickelt wurden, werden im Anhang in → Abschnitt 7.2 mittels eines Misuse CaseTemplates, das ebenfalls an den IEC 62559 angelehnt ist, erfasst. Abschlie
ßend gibt es in → Abschnitt 6 eine Zusammenfassung.
Dieser Abschnitt leitet diese Studie mit einer kurzen Ziel und Motivationsbeschreibung in → Abschnitt 1.1 ein. Weiterhin wird in → Abschnitt 1.2 die Gliederung des weiteren Dokuments kurz erläutert.
1.1 Ziel und Motivation der Studie
Ziel dieses Beitrags ist die Untersuchung von Gefährdungen – häufig auch Bedrohungen genannt – und Gefährdungsszenarien, sowie die Analyse dieser, auf Basis eines Anwendungsfalls zu virtuellen Kraftwerken.
Die Gefährdungsanalyse ist Bestandteil einer Sicherheitsanalyse und wird meist vor der Risiko
analyse durchgeführt. Insgesamt dient dies bereits zu Beginn des Entwicklungsprozesses der Konzep
tionierung und Umsetzung von Sicherheits maß
nahmen für ITSysteme und Architekturen und fördert somit das Prinzip „SecuritybyDesign“1.
Weiterhin wurde innerhalb dieses Ergebnisdoku
ments ein Überblick zu Gefährdungsszenarien aus der Energiedomäne, sowie die Erläuterung verschie
dener Angreifertypen und typischer Angriffsvektoren geschaffen. Dabei wurden drei potenzielle Angriffs
szenarien auf Basis der im Projekt entwickelten IT-Landkarte identifiziert. Dieser Anwendungsfall und die Gefährdungsszenarien wurden detailliert anhand verschiedener wissenschaftlicher und teilweise standardisierter Modelle und Methoden analysiert (siehe auch → Abschnitt 4.6 „Gesamt
methodik“). Um entsprechende Gefährdungen zu
1 Das Prinzip „SecuritybyDesign“ verfolgt die durchgängige Berücksichtigung von Sicherheitsaspekten direkt von Beginn bis Ende des Designprozesses.
:// 1.
EINLEITUNG
4 / Studie zum exemplarischen Anwenden von Gefährdungsszenarien in der Energiedomäne
BSI ITSicherheitsgesetz legt dabei fest, welche Maßnahmen ergriffen werden, um die Sicherheit von ITSystemen zu erhöhen. Dies sind Folgende:
↳eine Kontaktstelle benennen,
↳IT-Störfälle melden,
↳den „Stand der Technik“ umsetzen und
↳dies alle zwei Jahre dem BSI nachweisen.
Um die Maßnahmen in der Energiedomäne um
zusetzen wurden ITSicherheitskataloge von der Bundesnetzagentur (BNetzA) entwickelt. Hierbei Die Domäne Energie wird zu den kritischen Infra
strukturen (KRITIS) gezählt. Hierfür wurden in der
„Verordnung zur Bestimmung Kritischer Infrastruk
turen nach dem BSIGesetz“ (BSIKritisV) bestimmte Schwellenwerte festgelegt, um zu bestimmen, welche Bestandteile der Domäne in Bezug auf ITSicherheit besonders betrachtet werden müssen.
Für die Energiedomäne bedeutet dies, dass nach BSIKritisV, zum Beispiel Erzeugungsanlagen, die ungefähr 500.000 Personen versorgen (für Erzeu
gungsanlagen wurde hier z. B. der Schwellenwert von 420 MW installierte Netto-Nennleistung (elektrisch) festgelegt) zu den kritischen Infrastrukturen zählen und somit als besonders schützenswert gelten. Das