Security engineering –
Schaffung von Vertrauen in digitale Produkte für das Energienetz
Willkommen zur fünften Folge unserer Energy Talks-Miniserie Cybersecurity in the Power Grid, in der wir Ihnen einen 360-Grad-Blick darauf geben, wie Energienetzbetreiber:innen ihre Anlagen am besten vor Cyberangriffen schützen können.
In dieser Folge sprechen Andreas Klien, OMICRON's Business Area Manager für Power Grid Cybersecurity, und Sarah Fluchs, CTO der admeritia GmbH, über die Sicherheitstechnik digitaler Produkte im Energienetz. Sie gehen der Frage nach: Können Energienetzbetreiber den Herstellern vertrauen, wenn es um zuverlässige Cybersicherheit geht?
Das Gespräch beinhaltet Einblicke in den bevorstehenden EU Cyber Resilience Act, die Bedeutung von Sicherheitszertifikaten, den Einsatz von Software Bill of Materials (SBOM) und die Wichtigkeit einer offenen Kommunikation zwischen Betreibern und Herstellern.
Neue Folgen dieser Mini-Serie werden sukzessiv in den kommenden Monaten veröffentlicht - schauen Sie gerne wieder vorbei!
Episode jetzt anhören!Die Themen dieser Folge im Überblick
1. Cyber-Angriffe in Dänemark: Andreas Klien und Sarah Fluchs berichten über einen kürzlich erfolgten Cyber-Angriff auf das dänische Energienetz und betonen, wie wichtig es ist, vorbereitet zu sein, um größeren Schaden zu verhindern.
2. Cyber Resilience Act: Unsere Expert:innen diskutieren den EU Cyber Resilience Act (CRA). Der CRA erweitert das Konzept der CE-Kennzeichnung um Anforderungen an die Cyber Security und zielt darauf ab, die Sicherheit digitaler Produkte weltweit zu verbessern.
3. BSZ-Zertifizierung: Sie sprechen über Cybersecurity-Zertifizierungen und betonen die Freiwilligkeit aktueller Zertifizierungen wie der BSZ und den verpflichtenden Aspekt des kommenden CE Cyber Resilience Act.
4. Vertrauen in die Hersteller: Können Energienetzbetreiber ihren Herstellern im OT-Umfeld vertrauen? Unsere Expert:innen betonen Kooperation statt Schuldzuweisung. Vertrauen kann nur durch die Befähigung der Hersteller und die Förderung einer transparenten Kommunikation aufgebaut werden.
Scott Williams Wilkommen zu Energy Talks, einer regelmäßigen Podcast-Reihe mit Experten-Interviews zu Themen rund um die Prüfung von Stromversorgungssystemen, Datenmanagement und Cyber Security. Mein Name ist Scott Williams vom OMICRON-Podcast-Team.
Hallo zusammen! Dies ist die fünfte Folge unserer speziellen Energy Talks-Miniserie mit dem Titel "Cybersicherheit im Energienetz", in der wir Ihnen einen 360-Grad-Blick darauf geben, wie Energienetze ihre Infrastruktur am besten vor Cyberangriffen schützen können.
In dieser Episode ist OMICRONs Cybersecurity-Experte Andreas Klien Ihr Gastgeber, und ein besonderer Gast wird mit ihm die Frage diskutieren: "Können Energienetzbetreiber ihren Herstellern vertrauen? Herzlich willkommen, Andreas, und vielen Dank für die Moderation dieser Folge.
Andreas Klien Vielen Dank, Scott, es ist mir eine Freude, zum ersten Mal Gastgeber zu sein. Hallo und herzlich willkommen zur fünften Folge unserer Cybersecurity-Miniserie Energy Talks. Mein Name ist Andreas Klien, bei OMICRON verantwortlich für den Geschäftsbereich Power Utility Communication und Produktmanager für unsere Cybersecurity-Produkte. Bei mir ist Sarah Fluchs, die geschätzte Chief Technology Officer der admeritia GmbH, Mitbegründerin des renommierten Secure PLC Coding Project und Vorstandsmitglied und Arbeitsgruppenleiterin der International Society for Automation (ISA). Als solche ist sie Initiatorin der IEC 62443 Normenreihe und vieler anderer Dinge. Es ist eine Freude, dich hier zu haben.
Sarah Fluchs Die Freude ist ganz meinerseits. Danke, dass ich hier sein darf.
Andreas Klien Was können unsere Hörer von dieser Episode erwarten? Sarah und ich beschäftigen uns mit einigen spannenden Themen. Zunächst werden wir uns den EU Cyber Resilience Act (CRA) und seine Rolle beim Schutz kritischer Infrastrukturen, insbesondere des Energienetzes, ansehen. Dann werden wir uns einem wichtigen Aspekt des CRA widmen: Sicherheitszertifikate für Produkte, insbesondere für Geräte der Betriebstechnik (OT). Wie funktionieren diese Zertifikate und - noch wichtiger - erhöhen sie tatsächlich die Sicherheit? Im Folgenden werden wir das Konzept der Software Bill of Materials (SBOM) innerhalb der CRA entschlüsseln, ein Begriff, der in den letzten ein bis zwei Jahren in Umlauf gekommen ist. Was genau sind SBOMs und können sie für Versorgungsunternehmen und Endnutzer von Vorteil sein?
In unserer Diskussion werden wir die Perspektive eines fiktiven OT-Sicherheitsbeauftragten einnehmen. Nennen wir ihn Michael. Michael ist für die Sicherheit eines europäischen Energieversorgers verantwortlich. Im Falle eines erfolgreichen Einbruchs steht das Unternehmen im Blickpunkt der Öffentlichkeit, und es ist seine Aufgabe, es den Angreifern so schwer wie möglich zu machen und die Auswirkungen auf das öffentliche Image des Versorgungsunternehmens so gering wie möglich zu halten. Zu seinen Aufgaben gehört auch die Einhaltung lokaler Vorschriften, die in erster Linie risikobasiert sind und kontinuierliche Anstrengungen zur Verbesserung des Sicherheitsniveaus des Unternehmens erfordern. Michael beaufsichtigt auch die Reaktion auf Vorfälle, überwacht Netzwerkbedrohungen und steuert die komplexe Dynamik zwischen IT- und OT-Kolleg:innen. Michaels Herausforderungen spiegeln die Herausforderungen der IT-Sicherheitsbeauftragten wider, was dazu führt, dass wir unseren Hören einige Einblicke geben können, die ihnen vielleicht helfen können. Sarah, lass uns mit dieser Frage beginnen: Wie groß ist die Bedrohung durch Cyber-Angriffe auf das Energienetz in Europa wirklich?
Sarah Fluchs Zum Zeitpunkt unserer Aufzeichnung sind vor kurzem bemerkenswerte Angriffe auf das Stromnetz in Dänemark bekannt geworden. Ich kann mir vorstellen, dass Michael über diese Informationen etwas beunruhigt ist. Die Angriffe fanden im Mai statt und wurden Mitte November bekannt. Obwohl es sich um die bisher größten Angriffe handelte, waren die Auswirkungen auf Nutzer und Kunden aufgrund der getroffenen Vorbereitungsmaßnahmen minimal. Der Vorfall verdeutlichte die ständige Bedrohung des dänischen Energienetzes und zeigte, wie wichtig ständige Wachsamkeit ist. Gleichzeitige Angriffe auf kritische Infrastrukturen sind ungewöhnlich, aber die Realität ist, dass solche Bedrohungen immer wieder auftreten. Es ist beruhigend zu wissen, dass Vorbereitung die Auswirkungen mildern und potenzielle Opfer in die Lage versetzen kann, Angriffe unbemerkt zu überstehen.
Andreas Klien Ja, ich fand es auch sehr interessant, weil dies einer der ersten Fälle ist, in dem die Erkennung eine entscheidende Rolle bei der Verhinderung eines Angriffs auf kritische Infrastrukturen gespielt hat.
Sarah Fluchs Das stimmt.
Andreas Klien Ich stelle mir vor, wie diese Analysten ihre Systeme sorgfältig überwachen, als sie plötzlich die IP-Adressen eines bekannten Bedrohungsakteurs entdecken. Man kann sich nur vorstellen, wie hoch ihr Puls in diesem Moment ist.
Sarah Fluchs Genau. Es ist ein eindrucksvolles Beispiel für die Realität von Cyber-Angriffen auf Energienetzbetreiber. Der jüngste Vorfall in Dänemark unterstreicht das nochmal. Das Besondere daran ist, dass die Nutzer:innen und Kund:innenen oft nicht betroffen sind. Und das ist auch gut so. Das heißt aber nicht, dass es keine Angriffe gibt. Es gibt sie, und kritische Infrastrukturen müssen sich ihnen stellen.
Andreas Klien In der Tat. Und ich habe großen Respekt vor der Wachsamkeit und der schnellen Reaktion des SECTOR CERT-Teams bei der Aufdeckung und Neutralisierung der Bedrohung.
Sarah Fluchs Ganz genau. Und wir müssen sie auch für ihre Transparenz beim Austausch von Erkenntnissen respektieren. Ihre Offenheit könnte anderen, die vor ähnlichen Herausforderungen stehen, möglicherweise helfen. Es ist eine lobenswerte Fallstudie über den Umgang mit solchen Vorfällen.
Andreas Klien Ich erinnere mich, dass ich am Tag der Veröffentlichung des Berichts an einer Konferenz in Kopenhagen teilnahm. Während des Vortrags fragte ein Zuhörer nach weiteren Details, woraufhin er ein klares "Nein" erhielt.
Sarah Fluchs Ja, es waren trotzdem mehr Information, als wir normalerweise bekommen. Angesichts der Tatsache, dass die Öffentlichkeit nichts von den Auswirkungen auf die Energieversorgung mitbekommen hat und der Angriff bereits im Mai stattfand, hätte man sich auch dafür entscheiden können, den Mund zu halten und nichts zu veröffentlichen. Für den ausführlichen Bericht können wir dankbar sein.
Andreas Klien Da stimme ich. Wenden wir uns wieder Michael zu, unserem OT-Sicherheitsprotagonisten. Michael muss sicherstellen, dass eine Vielzahl von Vorschriften und Standards der EU oder die lokalen Gesetze seiner Regierung eingehalten werden. Und das nimmt ihm sicherlich einige seiner Sorgen ab. Was sind deine Gedanken dazu?
Sarah Fluchs Nun, man kann das ganze von zwei verschiedenen Seiten betrachten. Ja, die Einhaltung von Standards schafft die Grundlage für Cyber-Sicherheit. Wenn sie ernsthaft umgesetzt werden und nicht nur um der Einhaltung willen, wird eine stabile Grundlage geschaffen: Netzwerktransparenz, Backups, Intrusion Detection, etc. Damit werden zwar einige Bedenken ausgeräumt, aber die Herausforderung liegt in der Abhängigkeit von den Sicherheitseigenschaften der betriebenen Komponenten. Es ist, als hätte man ein Kuckucksei im Nest; man hat keine Kontrolle über diesen Cybersicherheitsvogel, der sich daraus entwickelt. Der jüngste Vorfall in Dänemark ist ein Beispiel für diese Schwachstelle, da er zeigt, dass selbst bei strikten Protokollen eine ausgenutzte Schwachstelle in einer Firewall, die sich der Kontrolle des Betreibers entzieht, ein Einfallstor für Angreifer sein kann. Schwachstellen liegen oft in der Verantwortung des Herstellers, der ein robustes Patch-Management benötigt, aber nur begrenzte Kontrolle über inhärente Schwachstellen in Komponenten hat.
[Translate to Deutsch:] "Die Cyber-Resilienz ist ein Meilenstein, denn zum ersten Mal gibt es eine wirkliche Markteintrittsbarriere, die Cyber-Sicherheit erfordert".
Andreas Klien Lassen Sie uns das Thema Firewalls näher beleuchten, ein entscheidendes Element, das uns zum EU Cyber Resilience Act (CRA) und seiner potenziellen Verbesserung für Michaels Situation führt. Kannst du uns mehr über diese neue Cyber-Resilienz erzählen?
Sarah Fluchs Wenn die CRA umgesetzt wird, stellt sie einen wichtigen Meilenstein dar, da sie eine echte Marktzutrittsschranke für Cybersicherheit in Europa einführt. Zum ersten Mal müssten Hersteller bestimmter Produkte bestimmte Cybersicherheitsmaßnahmen einhalten, um Zugang zum europäischen Markt zu erhalten. Dies ist sowohl in Europa als auch weltweit beispiellos. Im Gegensatz zu den USA, wo es keinen umfassenden Ansatz gibt, wird mit der CRA eine Marktzugangsschranke und nicht nur eine Zertifizierung eingeführt. Sie erweitert das Konzept der CE-Kennzeichnung, das traditionell auf sicherheitsrelevante Produkte wie Kinderspielzeug oder Druckbehälter angewandt wird, um die Cybersicherheit für Produkte mit digitalen Elementen. Das bedeutet, dass Produkte bestimmte Cybersicherheitsanforderungen erfüllen müssen, um die CE-Kennzeichnung zu erhalten.
Andreas Klien Es handelt sich also nicht nur um ein Zertifikat, sondern im Wesentlichen um eine Markteintrittsbarriere, eine bemerkenswerte Unterscheidung.
Sarah Fluchs Das ist richtig. Wenn ein Zertifikat eine Voraussetzung für den Markteintritt ist, stellt es ein Markthindernis dar. Die CRA spiegelt den bestehenden Rahmen der CE-Kennzeichnung wider und erweitert das bestehende Konzept der CE-Kennzeichnung auf die Cybersicherheit. Und die CE-Kennzeichnung ist ein wirklich erfolgreiches Konzept, das wir für primär sicherheitsrelevante Produkte haben. Zum Beispiel Kinderspielzeug oder Druckbehälter, oder viele kennen es von Sonnenbrillen. Wenn man das CE-Zeichen nicht auf der Sonnenbrille hat, kann man nicht sicher sein, dass sie die Augen wirklich vor UV-Strahlen schützt. Neu ist, dass dies auch für digitale Produkte gilt und dass die Einhaltung der Cybersicherheitsregeln ein wichtiges Kriterium für den Marktzugang ist.
Andreas Klien Ich habe die CE-Kennzeichnung immer mit einer Selbstkennzeichnung in Verbindung gebracht. Ist jetzt eine externe Akkreditierung erforderlich?
Sarah Fluchs Sie hängt von der Kritikalität des Produkts ab. Die bestehende CE-Kennzeichnung folgt bereits einem ähnlichen Prinzip. Je nach Kritikalität können Sie entweder eine Selbsterklärung abgeben oder sich einer externen Prüfung unterziehen.
Andreas Klien Was ist mit OT-Automatisierungsgeräten?
Sarah Fluchs Die kurze Antwort lautet: Wir wissen es noch nicht. Wir befinden uns noch in der Anfangsphase der Definition des Anwendungsbereichs. Die EU-Kommission hat letztes Jahr einen Textentwurf für den Cyber Resilience Act veröffentlicht, der auch einen Anhang enthält, in dem die digitalen Produkte aufgelistet sind, die in den Anwendungsbereich fallen. Dies war ein wichtiger Diskussionspunkt zwischen Herstellern, Parlament und EU-Rat. Die Bandbreite der betroffenen Produkte ist beträchtlich und reicht von großflächigen Elementen bis hin zu kleinsten Komponenten. Die CE-Kennzeichnung ist Teil des Rechtsrahmens und muss sorgfältig geprüft werden. Bei der Entscheidung, welche Produkte in den Geltungsbereich der Richtlinie fallen, spielt das Risiko für die Endnutzer:innen eine zentrale Rolle. Während der ursprüngliche Entwurf sehr umfangreich war, deutet die aktuelle Diskussion auf eine deutliche Kürzung der Liste hin. OT-Produkte, einschließlich IoT-Komponenten, industrielle Automatisierungssysteme und kritische Komponenten gemäß NIS2 waren ursprünglich im Entwurf enthalten, aber die endgültige Liste muss noch veröffentlicht werden. Es ist sicher, dass Änderungen vorgenommen werden, die den sorgfältigen risikobasierten Ansatz der EU unterstreichen.
Andreas Klien Kürzlich haben wir den Zertifizierungsprozess für das BSI (Bundesamt für Sicherheit in der Informationstechnik) für unser Intrusion Detection System abgeschlossen. Es war eine spannende Reise. Es gibt noch andere Zertifizierungen, z.B. 624434-1 für den Entwicklungsprozess und 4-2 für die Produkte, glaube ich. Es gibt also mehrere Zertifizierungsmöglichkeiten. Es gibt auch eine ANSSI-Zertifizierung in Frankreich, die mit dem deutschen Zertifikat kompatibel ist. Welches dieser Zertifikate wird für Leute wie Michael interessant sein? Was meinst du, Sarah?
Sarah Fluchs Das ist eine gute Frage. Im Gegensatz zur CE-Kennzeichnung sind die bestehenden Zertifikate nicht verpflichtend. Die Anbieter können sich dafür entscheiden, das Vertrauen in ihre Produkte zu stärken, indem sie diese Zertifikate erwerben, aber es ist keine Voraussetzung für den Markteintritt. Die CE-Kennzeichnung hingegen wird als Markteintrittsbarriere fungieren. Der Prozess der Festlegung der relevanten Anforderungen für die CE-Kennzeichnung und deren Harmonisierung mit bestehenden Zertifizierungssystemen ist im Gange, wobei harmonisierte europäische Normen entwickelt werden. Diese Normen müssen europäisch sein, damit die Konformitätsvermutung gilt und ihre Einhaltung die CE-Kennzeichnung gewährleistet. Die von Ihnen erwähnten Zertifikate, wie das BSI-Zertifikat oder die wettbewerbsfähigen Verteidigungszertifikate, befinden sich in der Normungsphase, und es besteht die Hoffnung, dass die europäische Norm 1716040 eine der harmonisierten Normen für den CRA sein wird. Auch wenn der Zeitplan ehrgeizig ist und das Ziel für die Jahre 2025 bis 2026 anvisiert wird, ist man hinsichtlich der Umsetzung optimistisch. Und natürlich arbeitet auch das deutsche BSI daran, Teil der Standards zu werden. Damit sein Zertifikat für die CE-Kennzeichnung verwendet werden kann.
Andreas Klien In deinem Artikel auf Medium und LinkedIn hast du auch SBOM als eine Maßnahme zur Verbesserung der Sicherheit erwähnt, die auch eine Voraussetzung für die Zertifizierung von Produkten ist. Kannst du erklären, was dieser Begriff SBOM bedeutet? Das ist ein relativ neuer Begriff, den es vor einigen Jahren noch nicht gab.
Sarah Fluchs Ganz genau. SBOM ist die Abkürzung für “Software Bill of Materials”. Dabei handelt es sich im Wesentlichen um eine Zutatenliste für ein Softwareprodukt, in der die Bibliotheken und anderen Komponenten aufgelistet sind, aus denen es besteht. Dies ist wichtig, um Schwachstellen zu bewerten und potenzielle Risiken zu verstehen. Der Bedarf an SBOM wurde vor allem nach Angriffen auf die Lieferkette wie SolarWinds deutlich, bei denen Schwachstellen tief im Software-Stack eine große Herausforderung darstellten. SBOM erleichtert die Identifizierung solcher Schwachstellen, indem es einen umfassenden Überblick über die Softwarekomponenten bietet.
Andreas Klien Welche Rolle wird SBOM in fünf Jahren für unseren fiktiven CISO Michael spielen? Wird er es nutzen?
Sarah Fluchs Ihre Verwendung hängt davon ab, ob sie von den Herstellern zur Verfügung gestellt werden. SBOM kann nicht vom Betreiber selbst generiert werden, sondern muss von den Herstellern bereitgestellt werden. Da SBOM immer häufiger gefordert wird und nun auch im Cyber Security Resilience Act vorgeschrieben ist, steigt die Wahrscheinlichkeit einer weit verbreiteten Nutzung. Michael wird sie wahrscheinlich zur Verfügung haben und damit seine Fähigkeit verbessern, fundierte Entscheidungen über die von ihm verwendeten Produkte zu treffen.
Andreas Klien Wie würde ein Endanwender wie Michael SBOM im täglichen Risikomanagement einsetzen?
Sarah Fluchs SBOM liefert komplexe Details, die mit dem Fortschreiten von Cybersicherheitsprogrammen an Bedeutung gewinnen und einem ausgefeilten Anlageninventar ähneln. Um die verfügbaren Informationen und Assets voll auszuschöpfen, besteht der erste Schritt darin, risikobasierte Entscheidungen durch das Asset-Inventar zu ermöglichen. Dies wiederum ebnet den Weg, um in die Tiefe der SBOM-Informationen vorzudringen.
Das Anlageninventar unterstützt z.B. risikobasierte Entscheidungen, indem es bei der Auswahl von Herstellern und bei der Bestimmung wesentlicher Merkmale hilft. Wenn sich der Fokus auf die SBOMs verlagert, wird eine nuanciertere Untersuchung möglich. Es stellen sich Fragen wie: "Welche Bibliotheken sollte ich verwenden, um das Risiko zu minimieren?" oder "Sollte ich Open-Source-Bibliotheken verwenden, und wenn ja, welche sind vertrauenswürdig?". Die Komplexität wird durch Überlegungen zur Verwendung von Standardbibliotheken und zum Grad der Abhängigkeit von einzelnen Herstellern im SBOM-Stack weiter erhöht.
Obwohl diese Fragen von zentraler Bedeutung sind, kommen sie erst nach der Nutzung der vorhandenen Daten. Grundsätzlich ist SBOM nicht das erste Werkzeug, das Michael verwenden würde, außer vielleicht in Verbindung mit dem Patch-Management. Auf dem Weg zu den Feinheiten von SBOM müssen viele Überlegungen angestellt werden und man muss sich darüber im Klaren sein, dass Open Source eine vielfältige Landschaft ist, die eine sorgfältige Evaluierung und strategische Entscheidungsfindung erfordert.
Andreas Klien Ich ziehe gerne den Vergleich mit der Zutatenliste eines Lebensmittels. SBOM ermöglicht es den Benutzern, Prioritäten entsprechend ihren Präferenzen und Anforderungen zu setzen. Es bietet die Flexibilität zu entscheiden, wie tief man in die Details gehen will und die Risikomanagemententscheidungen entsprechend anzupassen.
Sarah Fluchs Das ist richtig. Prioritäten setzen und in die Tiefe gehen ist der Schlüssel. Man kann sich auf bestimmte Aspekte wie Allergene konzentrieren und den Rest ignorieren. Das ist vergleichbar mit diätetischen Einschränkungen, wie z.B. die Vermeidung von E-Nummern. Wie tief man in die Materie eindringt, hängt von den individuellen Vorlieben ab. Die Software Stückliste (SBOM) bietet die Möglichkeit, diese Entscheidungen sichtbarer und detaillierter zu machen.
Andreas Klien Im Prozess des Schwachstellenmanagements, insbesondere für unsere Produkte, spielen die Entwickler:innen eine entscheidende Rolle bei der Beurteilung der Relevanz einer Schwachstelle. Die Komplexität auf dieser Detailebene ist sehr hoch. Beispielsweise erfordert die Bewertung von Schwachstellen in Komponenten wie dem Linux-Kernel sehr viel Wissen. Es ist offensichtlich, dass fast alle, oder in der Regel alle, kein Risiko für den Endbenutzer darstellen, weil sie nicht ausgenutzt werden können, weil die Kernelmodule nicht verwendet werden dürfen, etc. Es ist also viel Detailwissen erforderlich, um beurteilen zu können, ob eine Schwachstelle in einer Komponente Auswirkungen auf die Endbenutzer:innen hat. Die sich entwickelnden Meinungen über diese Schwachstellen machen die Sache noch komplizierter.
Sarah Fluchs Das ist spannend. Die Entscheidung über die Relevanz einer Sicherheitslücke in Produkten erfordert ein Verständnis des Systemkontextes der Endnutzer:innen. Die Rolle und die Informationen, die von den Herstellern für diese Bewertung gesammelt werden, sind von entscheidender Bedeutung.
Andreas Klien Dazu kann ich ein konkretes Beispiel aus unserer Produktentwicklung anführen. Unsere Produkte sind eng mit dem Stationsbus in Umspannwerken verbunden. Wenn ein Prozess, der mit Standardrechten arbeitet, Layer-3-Zugriff auf das Netzwerk erhält, kann er eine externe TCP/IP-Verbindung initiieren. Die Bedeutung liegt darin, dass keine erhöhten Rechte erforderlich sind. Wenn der Prozess oder das Gerät unter Ihrer Kontrolle ist, können Sie eine TCP/IP-Verbindung aufbauen und Schaltbefehle senden. Diese scheinbar harmlose Aktion hat das Potenzial, einen Blackout auszulösen. Selbst ohne erweiterte Rechte kann ein Angreifer durch die Übernahme des Prozesses erhebliche Auswirkungen erzielen.
Geht man einen Schritt weiter und kombiniert den Layer-2-Netzwerkzugriff mit erweiterten Rechten, ergibt sich ein noch bedrohlicheres Szenario. Man denke nur an die Möglichkeit, Phantombefehle innerhalb des Umspannwerks zu senden. Dieses Manöver führt zu Verwirrung in der Verriegelungslogik. In dieser Konstellation erweitert sich der Bereich des Möglichen, so dass ein Angriff eine Bedrohung für Leib und Leben darstellen könnte - auch wenn es beunruhigend ist. Dies unterstreicht die Schwere der möglichen Folgen von Schwachstellen an den Netzzugangspunkten und die Notwendigkeit robuster Sicherheitsmaßnahmen für diese kritischen Infrastrukturen.
Um einen Einblick in unsere Praktiken zu erhalten, müssen wir bei unseren Produkten, die an den Stationsbus in Umspannwerken angeschlossen sind, von Worst-Case-Szenarien ausgehen. Die Risikobewertung erfordert ein Verständnis des Netzzugangs des Geräts, dessen potentielle Auswirkungen selbst aus der Ferne zu lebensbedrohlichen Situationen führen können.
Sarah Fluchs Die Klärung der Risikobewertung, die Kenntnis der Privilegien der Komponente und der Internetverbindung sind von entscheidender Bedeutung. Auch wenn Annahmen über die Konnektivität gemacht werden, geben die Empfehlungen den Endnutzer:innen Hinweise, wie sie sich an ihre Situation anpassen können.
Andreas Klien Bei der Produktentwicklung gehen wir davon aus, dass das Produkt bereits im Umspannwerk an den Bus angeschlossen ist. Wir nehmen eine vorsichtige Haltung ein und neigen dazu, das schlimmste Szenario zu antizipieren. Es ist unpraktisch, eine große Anzahl von Kund:innen zu fragen: "Schließen Sie es nicht an?" Wenn es sich z. B. um ein Prüfgerät handelt, ist der Anschluss an den Stationsbus aufgrund des Verwendungszwecks zwingend erforderlich und lässt keinen Raum für Zweifel.
Sarah Fluchs Vielleicht war meine ursprüngliche Frage unglücklich formuliert. Aber mit der richtigen Beratung können Sie die Nutzer:innen entsprechend ihrer Situation führen. Die Bestätigung, ob ein Zusammenhang besteht oder nicht, bildet die Grundlage für maßgeschneiderte Empfehlungen.
Andreas Klien Entwickler:innen spielen jedoch eine entscheidende Rolle bei der Beurteilung, ob eine Schwachstelle das Potenzial hat, die Kontrolle über einen Prozess zu übernehmen oder die Berechtigungen auf dem angegriffenen Gerät zu erhöhen.Dies ist eine schwierige Aufgabe, und das Ergebnis kann die Auswirkungen bestimmen - von einem Stromausfall bis hin zu einer Gefahr für Leib und Leben.
Sarah Fluchs Ja, aber es zeigt auch, wie viel Wissen und wie viele Kontextinformationen man braucht, um all die detaillierten Informationen zu verarbeiten, die man aus einer SBOM und aus einer Schwachstellenmeldung bekommen kann.Und dann hilft es nicht wirklich, diese Informationen zu haben, sondern man muss wirklich die richtigen Leute haben, die sich das anschauen. Ich meine, es ist wie mit einer Zutatenliste, oder? Man hat eine geordnete Liste von Zutaten, und die meisten sind für sich genommen nicht schlecht. Es kommt darauf an, aus welcher Perspektive man sie betrachtet, nicht wahr? Wenn man zum Beispiel 500 Schwachstellen in einem Produkt hat, sagt einem das zunächst einmal gar nichts. Um die Bedeutung der einzelnen Schwachstellen zu erkennen, ist Urteilsvermögen gefragt.
Andreas Klien Ja, es ist wirklich ein komplexes Thema und manche Leute denken, dass die SBOM der Königsweg ist. Aber leider ist es viel komplexer.Und ich denke, die Zutatenliste von Lebensmitteln ist ein guter Vergleich.
Sarah Fluchs Ich meine, das sind die grundlegenden Informationen, die man braucht, um das Problem zu lösen. Ohne SBOM kann man das Problem der Lieferkette nicht lösen. Aber sie ist kein Allheilmittel. Eine Nomenklatur ist notwendig, aber nicht ausreichend, um eine Lösung zu garantieren.
"Ich glaube, dass Vertrauen nur durch transparente Kommunikation entsteht. Also auf beiden Seiten. Ich kommuniziere meine Ziele als Betreiber.Wenn ich meine Absichten als Hersteller teile, versuche ich, transparent zu kommunizieren und nicht so zu tun, als wäre ich immer perfekt."
Andreas Klien Okay. Wie lautet also deine Einschätzung zum heutigen Zeitpunkt? Kann Michael als Energienetzbetreiber seinen Herstellern vertrauen?
Sarah Fluchs Ich kenne Michaels Hersteller nicht, aber das ist eine gute Frage. Dennoch ich bin kein Fan von Schuldzuweisungen. Fortschritte in der Cybersicherheit werden nicht durch Schuldzuweisungen erzielt. Anstatt zu fragen: "Kann ich dir vertrauen?" oder "Hast du deine Hausaufgaben gemacht?" könnte die bessere Frage lauten: "Was muss ich tun, damit die andere Seite ihre Hausaufgaben machen kann?" Es geht um Zusammenarbeit. Die Betreiber sollten gemeinsame Sicherheitsziele verfolgen und nicht nur Anforderungen an die Hersteller stellen. Die Hersteller wiederum sollten sich um Transparenz bemühen. Vertrauen entsteht durch offene Kommunikation, durch den Austausch von Absichten und durch Transparenz bei Ein- und Ausschlüssen.
Andreas Klien Die Betreiber von Stromnetzen schenken der Entwicklung sicherer Geräte mehr Aufmerksamkeit. Die Hersteller müssen erkennen, dass es eine Nachfrage nach sicheren Produkten gibt. Denn viele Hersteller sind nicht daran interessiert, es sei denn, jemand ist bereit, für diesen Mehraufwand Geld zu bezahlen. Beide Seiten müssen daran interessiert sein. Die Kunden sind zunehmend besorgt und die Hersteller müssen darauf reagieren.
Sarah Fluchs Die Aufnahme eines Dialogs ist von entscheidender Bedeutung. Beide Seiten müssen über Ziele sprechen, nicht nur über verpflichtende Merkmale oder Vorschriften.
Andreas Klien Wie siehst du die Zukunft, insbesondere im Hinblick auf den EU Cyber Resilience Act? Was wird Ihrer Meinung nach in den nächsten Jahren passieren?
Sarah Fluchs Der Cyber Resilience Act wird voraussichtlich vor den Europawahlen im nächsten Jahr fertiggestellt werden. Bis zu seinem Inkrafttreten wird sich die Normungslandschaft für Cybersicherheitsanforderungen erheblich verändern. Die Dringlichkeit der Normenharmonisierung wird zur Entstehung neuer und zur Konsolidierung bestehender Normen führen. Auch wenn aufgrund des Zeitdrucks Herausforderungen zu erwarten sind, werden wir zumindest diesen Prozess schnell in Gang bringen. Und ich denke, das ist schon für sich genommen ein Fortschritt.
Andreas Klien Vielen Dank, Sarah, dass du an unserem Podcast teilgenommen hast. Es war eine sehr interessante Diskussion. Ich habe es wirklich genossen. Schön, dass du da warst.
Sarah Fluchs Geht mir genauso. Danke für die Einladung.
Andreas Klien Und ein großes Dankeschön an Scott, dass ich diese Folge moderieren durfte. Ich übergebe an dich, Scott.
Scott Williams Vielen Dank, Andreas, und herzlichen Dank an unser Publikum fürs Zuhören. Wir freuen uns immer über eure Fragen und euer Feedback. Sendet uns einfach eine E-Mail an podcast@omicronenergy.com.
Seid euch bei der nächsten Folge von Energy Talks wieder dabei. Bis dahin, alles Gute und auf wiedersehen!
Hören Sie rein (Englisch)