ANWENDUNG DER GESAMTMETHODIK
10. Zusätzlich wird, um Systeme im Umfeld der entsprechenden DERs, die das Smart Metering
Stromnetzbetreibern zur Überwachung, Steue
rung und Optimierung der Leistung bei der Erzeugung und / oder der Übertragung im Stromnetz.
5. Das EMS muss nun einen neuen Versorgungs
zeitplan berechnen.
6. Dieser Versorgungszeitplan wird dann entspre
chend an das Energiedatenmanagementsystem (EDMS) weitergeleitet. Das EDMS ist dabei ein System, das Energiedaten (z. B. Daten des EMS) speichert und entsprechend autorisierten Systemen zur Verfügung stellt.
7. Wenn der neue Versorgungszeitplan berechnet und akzeptiert ist, wird vom EMS das Kommando zum Stoppen der Energieversorgung für das
KEM EDMS DER SCADA
System
EMS
DEM Externes
SMGW Internes
SMGW GatewayDER MV/LV SCADA
System Netzsensoren
DMS
(1) Überlastsituation feststellen:
Informationen zur Überlastsituation (2) Über Überlastsituation informieren: Alarm
(3) Anfrage Energieversorgung stoppen: Reduktionsanfrage (4) Über
Versorgungs-stop informieren:
Abschaltinformationen (5)
Versorgungszeit-plan berechnen (6) Versorgungszeitplan weiterleiten: Abschaltbefehl
(7) Kommando zum Stoppen der Energiever-sorgung: Abschaltbefehl
(8) Über Versorgungs-stop informieren:
Abschaltinformationen (9) Weiterleitung des Stop-Kommandos: Abschaltbefehl
(10) Über Versor-gungsstop informieren:
Abschaltinformationen
(11) Weiterleiten des Abschalt-befehls: Abschaltbefehl
(12) Befehl zum Ausschalten: Messdaten
Abbildung 7: Sequenzdiagramm des Anwendungsfalls Quelle: eigene Darstellung
4 / Studie zum exemplarischen Anwenden von Gefährdungsszenarien in der Energiedomäne
nichtgewollten Verhalten veranlassen und führt hierzu Angriffe auf das System durch. Solche Angriffe können in einem Misuse Case (MUC) Template dokumentiert werden. Das Misuse Case Template basiert auf einem erweiterten IEC 625592 Template und dokumentiert diesen Kontext eines ungewollten Verhaltens näher.
In dieser Studie wurden drei verschiedene Angriffs
szenarien entwickelt, die je eines der Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit an
greifen. Diese sogenannten Misuse Cases sind in Abbildung 8 in einem Anwendungsfalldiagramm abgebildet. Die Akteure der Angreifer sind dabei in orange dargestellt und die Mis useCases in blau.
Die Angriffe werden im Folgenden auf der Basis des in → Abschnitt 5.1 erläuterten Anwendungsfalls zum virtuellen Kraftwerk beschrieben und sind nochmals als rote Blitze im Sequenzdiagramm in
→ Abbildung 9 gezeigt.
5.2.1 Beschreibung im MUC-Template Das erste Szenario dokumentiert einen Angriff auf die Verfügbarkeit des MV / LV SCADASystems mittels Denial of ServiceAngriff (DoS) und hat Einfluss auf Schritt (2) des Anwendungsfalls (siehe → Abbildung 9), so dass die Steuerung in der Mittel / Nieder
spannungsebene gestört wird. Der Angreifer ist ein externer Hacker und Hackerkompetenz ist vorhan
den, um den DoSAngriff durchzuführen. Motivation und Smart Home managen, zu informieren,
vom DERSCADASystem zunächst das externe Smart Meter Gateway (SMGW), dann das interne SMGW (11) und letztendlich das Kundenenergiemanagement (KEM) über den Ver sorgungsstopp informiert (12) und dabei die entsprechenden Abschaltinformationen und relevante Messwerte mitgesendet. Dabei er füllt das externe Smart Metering Gateway die Kommunikationsfunktionen zwischen dem Smart GridBereich und dem Smart Metering.
Das interne Smart Metering Gateway erfüllt Kommunikationsfunktionen zwischen dem Smart Metering und dem Smart Home. Das KEM schließlich erfüllt Funktionen, die es ermöglichen, koordinierte Energiemanage
ment strategien für eine oder mehrere zusam
mengehörige DEM in Abhängigkeit von Mess
daten, Preisanreizen, Flexibilitätsanforderungen und zusätzlichen Informationen aus anderen Kanälen wie dem Internet zu definieren.
Die Beschreibung zielt darauf ab, den Prozess, sowie die ausgetauschten Nachrichten zu der durch den Alarm ausgelösten Leistungsreduktion inkl. der Quittierung und die Informationsweiter
gabe der aktuellen Netzsituation an die Systeme Dritter für die Implementierung zu dokumentieren.
Die Dokumentation erfolgte in einem IEC 625592 konformen Template. Das mit diesem Anwen
dungsfall ausgefüllte Template ist im Anhang in
→ Abschnitt 7.1 dargestellt.
5.2 Beschreibung des Misuse Cases
→ Abschnitt 5.1 hat anhand des Anwendungsfalls mögliche Kommunikation und ausgetauschte Daten aufgezeigt. Der Anwendungsfall dokumentiert ein gewolltes Verhalten, bei dem Vertrauen in die ausgetauschten Daten besteht und lediglich tech
nische Fehler betrachtet werden, falls diese eine mangelnde Qualität oder fehlende Antwortzeiten haben. Hier steht ein gewolltes Verhalten im Fokus.
Ein Angreifer hingegen möchte ein System zu einem
Angreifer 1
Abbildung 8: Darstellung der Misuse Cases in einem Misuse Case Diagramm
Quelle: eigene Darstellung
4 / Studie zum exemplarischen Anwenden von Gefährdungsszenarien in der Energiedomäne
Das zweite Szenario dokumentiert einen Angriff auf Schritt (8) des Anwendungsfalls (Abbildung 9). Der Angriff erfolgt hier auf die Integrität der Informations
übermittlung, so dass die übermittelten Informatio
nen verfälscht werden. In diesem Fall werden die Abschaltinformationen unterschlagen und statt
dessen wird die entsprechende Anlage hochgeregelt, was dann zu Unterspannung im Stromnetz führt. Der Angreifer kommt aus dem internen Umfeld und hat Insiderwissen mit vollem Zugang zum System, um die Datenmanipulation durchzuführen. Die Motivation für diesen Angriff könnte beispielsweise Rache sein, da der Angreifer beispielsweise ein unzu
friedener oder gar – bei kaum vorhandenen Sicher
heitsprozessen im Unternehmen – ein ehemaliger gekündigter Arbeitnehmer sein könnte. Für den Angriff nutzt der Angreifer Content-Spoofing, um die Information über den Abschaltbefehl zu manipulieren für diesen Angriff kann eine Konkurrenzsituation
oder Vandalismus sein oder der Angreifer als Cyber
Hacker sucht Anerkennung oder eine Herausfor
derung oder hat auch einfach Spaß an der Technik.
Für den Angriff spioniert der Angreifer das MV / LV SCADA-System aus, indem er einen Sniffing-Angriff durchführt. Dabei hört er beim Zielsystem den Netzwerkverkehr mit, um eine Schwachstelle zu identifizieren. Da das MV / LV SCADA-System den typischen Datenverkehr nicht überwacht, kann der Angreifer diese gefundene Schwachstelle für den DoSAngriff nutzen, beispielsweise mittels Flooding, um eine Ressourcenüberlastung zu erwirken.
Er führt einen FloodingAngriff durch, indem er das Ziel system mit einer großen Zahl an Interaktionen flutet, so dass das Zielsystem seine eigentliche Aufgabe, nämliche die Meldung der Überlastsitua
tion, nicht durchführen kann.
KEM
(1) Überlastsituation feststellen:
Informationen zur Überlastsituation (2) Über Überlastsituation informieren: Alarm
(3) Anfrage Energieversorgung stoppen: Reduktionsanfrage (4) Über
Versorgungs-stop informieren:
Abschaltinformationen (5)
Versorgungszeit-plan berechnen (6) Versorgungszeitplan weiterleiten: Abschaltbefehl
(7) Kommando zum Stoppen der Energiever-sorgung: Abschaltbefehl
(8) Über Versorgungs-stop informieren:
Abschaltinformationen (9) Weiterleitung des Stop-Kommandos: Abschaltbefehl
(10) Über Versor-gungsstop informieren:
Abschaltinformationen
(11) Weiterleiten des Abschalt-befehls: Abschaltbefehl
(12) Befehl zum Ausschalten: Messdaten
Abbildung 9: Darstellung der Angriffsszenarien in dem Sequenzdiagramm aus Abb. 7 Quelle: eigene Darstellung
4 / Studie zum exemplarischen Anwenden von Gefährdungsszenarien in der Energiedomäne
5.2.2 Risikoanalyse
Weiterhin erfolgt während der Erfassung der Gefährdungsszenarien im MUCTemplate die Analyse der Szenarien. Dafür werden zunächst für die Risikoanalyse der einzelnen Szenarien der potenzielle Schaden (niedrig, mittel oder hoch) und die Eintrittswahrscheinlichkeit (normal, hoch oder sehr hoch) bestimmt, woraus dann wiederrum das Risiko nach der Risikomatrix in Tabelle 1 bestimmt werden kann (niedrig = hellblau, mittel = blau, hoch= rot). Das Risiko wird also, wie in der Risiko
analyse üblich, über folgende Formel bestimmt:
Risiko =
Eintrittswahrscheinlichkeit* Poten tieller Schaden
Für die hier entwickelten drei Angriffsszenarien wurde die Eintrittswahrscheinlichkeit mit Hoch, also der mittleren Stufe, angenommen, da es sich um eine Art regionales Szenario handelt. Für die Ermittlung einer Eintrittswahrscheinlichkeit können verschiedene Faktoren miteinbezogen werden, wie beispielsweise die Angreifermotivation, die An
greifbarkeit der Schnittstelle oder die Zugriffszah
len. Der potenzielle Schaden ist bei A1 mit „Mittel“
angenommen worden, da es sich um ein System eines Betreibers der Mittel und Niederspannung handelt und dementsprechend maximal ein mittel
großer Ausfall zu befürchten ist. Die beiden anderen und stattdessen die DERAnlagen hoch zu regeln.
Damit werden weitere Probleme verursacht, die dem Betreiber schaden.
Das dritte Szenario dokumentiert einen Angriff auf Schritt (12) des Anwendungsfalls (siehe → Abbildung 9). Der Angriff erfolgt hier auf die Vertraulichkeit der Informationsübermittlung. Der Angreifer hört Informationen (Messwerte etc.) mit bzw. spioniert sie aus und kann diese Informationen später selbst für die eigene Geschäftsstrategie nutzen. Der Angreifer ist ein externer Hacker mit Hackerkom
petenz. Motivationen für diesen Angriff können neben der Konkurrenzsituation auch Diebstahl, Bereicherung oder auch der Wunsch nach Schaden für andere sein. Für den Angriff schaltet sich der Angreifer als Maninthemiddle (MITM) zwischen das Interne SMGW und das KEM. Der Angreifer hört die Kommunikation zwischen dem internen SMGW und dem KEM mittels Sniffing-Angriff mit. Später leitet er aus den ausgespähten Daten für seine eigene Geschäftsstrategie neue Erkenntnisse ab.
Diese drei Angriffe, die Motivation der Angreifer sowie die vermuteten ausgenutzten Schnittstellen werden mit dem MUCTemplate im Anhang in
→ Kapitel 7.2 dokumentiert.
Risikomatrix: