GlobalSign Blog

17 Apr 2018

Sicherung von Energie-IT-Netzwerken für ein zuverlässigeres Netz

Ein Großteil der Diskussion über die Sicherheit von Energienetzen konzentriert sich auf den Schutz von Stromgeneratoren, Umspannstationen und Leitständen im Hinblick auf eine Störung der Betriebstechnik (BT), die für Netzzuverlässigkeit, Ausfallsicherheit und Sicherheit verheerend hoch sein könnte. Die Realität für die meisten herkömmlichen industriellen Energiesteuerungssysteme sieht jedoch so aus, dass die Mehrheit der Energieerzeugungs- und -übertragungssysteme von IT-Netzwerken getrennt und offline in ihrer Art sind, was eine ziemlich erfreuliche Erfolgsbilanz hinsichtlich der Abwehr von Hacks zur Folge hat.

Nicht so sehr im Rampenlicht steht, wie IT-Netzwerk-Störungen die Service Level Agreements (SLA) von Netzbetreibern, die Mitarbeiterproduktivität und den möglichen Verlust von Unternehmens- und Kundendaten beeinträchtigen.

Dieser Punkt kam kürzlich ans Licht, als der US-amerikanische Fortune-500-Energieversorger Entergy Malware in seinem Unternehmensnetzwerk entdeckte. Wie viele Energieunternehmen wird Entergy mit Bedrohungen seines Netzwerks aus verschiedenen Quellen bombardiert. Wie im Bericht des Idaho National Laboratory vom August 2016 'Cyber Threat and Vulnerability Analysis of the US Electric Sector' aufgeführt, "gab es keine gemeldeten gezielten Cyber-Angriffe gegen Energieversorgungsunternehmen in den USA, die bisher zu dauerhaften oder langfristigen Schäden am Stromversorgungsbetrieb geführt haben. Und trotzdem beobachten Stromversorger in den USA einen stetigen Anstieg von Cyber- und physischen Sicherheitsvorfällen, die weiterhin Anlass zur Sorge geben."

Die Malware-Erkennung im Netzwerk von Entergy führte zu einer erhöhten Bedrohungslage durch einen unabhängigen Netzbetreiber (ISO) im mittleren Westen, der den Zugang von Entergy zum Netzwerk des ISO für kurze Zeit einschränkte. Während dieser Zeit wurden Systeme gescannt, Malware entfernt und Netzwerke als sauber eingestuft. Obwohl laut Entergy der Hack nicht zum Verlust von Kunden-, Mitarbeiter- oder Betriebsdaten führte, ist er für das gesamte IT- und CISO-Personal eine Mahnung, dass die Auswirkungen von IT-Störungen sehr reale Konsequenzen für Service Level und Compliance rund um den Datenschutz haben können.

Phishing ist ein maßgeblicher Angriffsvektor

Häufig beginnen die meisten Angriffe auf Unternehmensnetzwerke als Phishing-E-Mail, die einen nichts ahnenden Mitarbeiter dazu verleitet, entweder auf einen Link zu klicken, der Malware auslöst, oder vertrauliche oder Zugriffsberechtigungen preiszugeben, die später genutzt werden, um die Netzwerkinfiltration fortzusetzen.

Ja, wir haben große Fortschritte dabei gemacht, eine gefälschte E-Mail zu erkennen. Aber Angreifer in vielen staatlich gesponserten Veranstaltungen haben auch nennenswerten Fortschritt beim Erstellen von sehr legitim aussehenden Nachrichten gemacht. Diese zielen oft auf ahnungslose Steuerungstechniker, indem sie sich als vertraute E-Mails von Mitarbeitern aus Buchhaltungs-, IT- oder HR-Abteilung tarnen.

Natürlich müssen ständige Schulungen zu Cybersicherheit für Mitarbeiter durchgeführt werden. Aber Energieeigner und -betreiber müssen Mitarbeitern auch Tools zur Verfügung stellen, um gefälschte E-Mails und bösartige Websites, die als erste Bedrohungsvektoren für die Verbreitung von Malware dienen, leicht erkennen zu können.

Eine dieser Methoden besteht darin, die bewährte Methode des digitalen Signierens von E-Mails von und an interne(n) und externe(n) Netzteilnehmer(n) zu nutzen - Mitarbeiter, Auftragnehmer, Regulierungsbehörden usw. Das digitale Signieren von E-Mail-Nachrichten kann eine einfache und skalierbare Lösung für Empfänger sein, um schnell festzustellen, ob eine Nachricht von einer vertrauenswürdigen Quelle stammt.

Beispiel einer digital signierten E-Mail, die die verifizierte Identität des Absenders zeigt

Zertifikate zu haben (die für das digitale Signieren erforderlich sind), die von einer vertrauenswürdigen Quelle stammen, ist die Grundlage für eine vertrauenswürdige Benutzererfahrung. Was genau ist also eine vertrauenswürdige Quelle? Dazu gibt es unterschiedliche und effektive Ansätze:

  1. Auf eine vertrauenswürdige Fremd-Zertifizierungsstelle bauen, da keine Verteilung der Vertrauensanker nötig ist und ausgereifte Prüfungen vorhanden sind, die strenge Root-Programm Anforderungen erfüllen
  2. Auf Ihren eigenen Vertrauensanker bauen, indem Sie E-Mail-Signaturzertifikate für Mitarbeiter, Subunternehmer und Mitglieder Ihrer geschlossenen Gemeinschaft von einer für Ihre Organisation bestimmten Zertifikathierarchie ausstellen.

Wie bei den meisten IT-Implementierungen gibt es bei beiden Ansätzen Kompromisse. Nämlich, wie Zertifikate bereitgestellt werden und Vertrauen aufgebaut wird. Hier sind einige Orientierungshilfen:

Öffentlich vertrauenswürdig:

Privat vertrauenswürdig

Ideal für sichere Nachrichten zwischen:

  • Teilnehmern am Energiemarkt
  • Regulierungsbehörden
  • Mitgliedern der Lieferkette
  • Mitgliedern des Konsortiums der Energiebranche
  • Konzerninternen Mitarbeiter
  • Subunternehmern mit Firmen-E-Mail
  • Konzerninternen Mitarbeiter
  • Subunternehmern mit Firmen-E-Mail
  • Konzerninternen Mitarbeiter
  • Subunternehmern mit                      Firmen-E-Mail

Bereitstellung und Verwaltung

  • Externe Mitglieder "Bringen ihr eigenes Zertifikat"
  • Interne Mitarbeiter durch ein vorüberprüftes Organisationsprofil
  • Automatisiert durch Active Directory-Richtlinie
  • Automatisiert durch Active Directory-Richtlinie
  • Automatisiert durch
  • Active Directory-Richtlinie

Gesichtspunkte

  • Keine Vorkonfiguration des Vertrauensankers erforderlich
  • Privater Vertrauensanker über AD als Richtlinie bereitgestellt
  • Privater Vertrauensanker über AD als Richtlinie bereitgestellt
  • Privater Vertrauensanker über AD als Richtlinie bereitgestellt

In jedem Fall kann GlobalSign bei Cloud-Diensten helfen, die Ihnen die Komplexität der Verwaltung von PKI abnehmen, während sie so konfiguriert werden, dass sie den netzspezifischen Richtlinienpräferenzen entsprechen.

Sie haben Fragen zum digitalen Signieren von E-Mails? Erfahren Sie mehr über das digitale Signieren und Verschlüsseln mit S/MIME in unserem Whitepaper oder kontaktieren Sie uns mit spezifischen Fragen.

von Lila Kee

Artikel teilen