Windmills on the horizon

Energie & Versorger

Seit über einem Jahrzehnt investieren lokale und nationale Regierungsstellen auf der ganzen Welt in „smarte“ Initiativen – digitale, intelligente, innovative und nachhaltige Projekte. Eine wegweisende Anwendung für Hardwaresicherheit ist in diesem Zusammenhang der Sektor „Smart Energy“ mit einem smarten Verteilernetz und ebensolchen Messgeräten. Energieinfrastrukturen sind eine grundlegende Ressource für die heutige Lebensweise. Sie sind weit verbreitet, verwundbar und ein strategisches Ziel für Cyberangriffe – deshalb müssen sie geschützt werden.

So sichern Sie intelligente Messsysteme, den Energiesektor und andere Versorgungsunternehmen

Die Wurzel des Vertrauens für intelligente Netze und Messumgebungen

Genau wie jeder Endpunkt sind „Smart Grid“-Geräte, die Geschäftsdaten oder Verbraucherinformationen sammeln, speichern und verwenden, anfällig für einen Angriff. Wie können staatliche Verwaltung und Versorgungsunternehmen sicherstellen, dass sowohl ihre eigenen Daten als auch die Daten ihrer Bürger weder missbraucht noch manipuliert werden? Wie können sie finanzielle Schäden oder solche am guten Ruf der Betroffenen vermeiden?

Dieses riesige Netzwerk von verbundenen Endpunkten und alle ihre gesammelten Daten müssen End-to-End verschlüsselt werden! Regierungen und Behörden müssen insgesamt sicherstellen, dass dies ordnungsgemäß geschieht.

Im Vergleich zu Softwarelösungen bieten Hardwarelösungen wie Hardware Security Modules (HSM) höchste Sicherheit auch in den feindlichsten Umgebungen. Das Modul kann einen Angriff erkennen, wenn er stattfindet, auch etwa mechanisches Eindringen, Überhitzung, Stromausfall oder chemische Angriffe, und beginnt sofort und automatisch mit dem Löschen von kryptographischen Schlüsseln. Im Vergleich dazu können softwarebasierte Schlüssel im Moment der Entriegelung erfasst werden. So bieten sie Angreifern die Möglichkeit, die Software zu studieren und über Seitenkanäle anzugreifen, Schwachstellen auszunutzen und Angriffe Remote auszuführen.

Mit einer manipulationssicheren FIPS 140-2 Level 3 oder Level 4 - Zertifizierung sind Utimaco HSMs ideal geeignet für den Einsatz in Umgebungen mit smarten Netzen und intelligenten Messgeräten. Ein FIPS 140-2 Level 4 Physical Security Certified HSM ist die perfekte Lösung, wenn eine möglichst hohe Widerstandsfähigkeit gegen physikalische Angriffe gefordert ist.

Jenseits von Smart Metering und Smart Grid: Sicherung des Versorgungssektors

Neben der Absicherung von Smart Metering-Umgebungen eignen sich Hardware-Sicherheitsmodule gleichermaßen für die intelligente Wasser- und Gasverteilung oder andere Smart City-Systeme, wie etwa intelligente Entsorgungssysteme.

 

Erfolgreiche Bewertung von Utimaco HSM

Ein Bewertungslabor für gemeinsame Kriterien hat Utimaco CryptoServer CSe (FIPS 140-2 Level 3, physikalische Sicherheitsstufe Level 4) auf Basis der deutschen Technischen Richtlinie BSI TR-03109 und Zertifikatsrichtlinie bewertet. Auswertungsergebnisse zeigen, dass die Anforderungen der Deutschen Zertifikatsrichtlinie die PKI für intelligente Verbrauchsmessung erfüllt werden:

  • Sicherer Zufallszahlengenerator DRG.4
  • Manipulationsschutz gegen Angriffspotential „hoch“ (überschreitet gefordertes Niveau „moderat“)
  • Seitenkanalresistenz gegen Angriffspotential „hoch“ (überschreitet gefordertes Niveau „moderat“) für Algorithmen AES-256, Diffie-Hellman-Schlüsselaustausch, ECDSA-Signaturgenerierung und -verifizierung und ECDH-Schlüsselaustausch

Das Bewertungszertifikat für Utimaco CryptoServer CSe finden Sie hier.

Diese Bewertung gibt Energie- und Versorgungsunternehmen sowie deren Kunden die Sicherheit, dass eingesetzte IT-Komponenten und -Geräte – wie Utimaco HSMs – die geforderten gesetzlichen Sicherheitsanforderungen erfüllen.

 

Die Anwendungs-HSM von Utimaco können verwendet werden für

Regierungen und Versorgungsunternehmen sind eingeladen, mit Utimaco zusammenarbeiten, um solide Hardware-Sicherheitslösungen für die folgenden Anwendungsszenarien zu nutzen:

  • Für Vertraulichkeit und Datenschutz haben wir die Verschlüsselung mit hochwertigen kryptographischen Schlüsseln, generiert von
  • ein echter Zufallszahlengenerator
  • zusammen mit der Erstellung digitaler Signaturen für Integrität, Authentizität und Nichtabstreitbarkeit von Daten und
  • einer Infrastruktur mit öffentlichem Schlüssel (PKI) zur eindeutigen Identifizierung von Geräten kann End-to-End-Sicherheit gewährleistet werden.

 

Herausforderungen für Behörden, Versorgungsunternehmen und den Endnutzer

Ein großer Unterschied besteht zwischen den USA und dem europäischen Ansatz für eine intelligente Energieverteilung.


Der US-Ansatz konzentriert sich auf die Sicherheit intelligenter Netze

(US-Richtlinie, beschrieben in 42 U.S.C. Ch. 152, Subch. IX § 17381)

Die Beweggründe für die Entwicklung vom traditionellen Vertrieb zu intelligenten Netzen reichen von

  • integration und Verwaltung dezentraler Energieproduktionsstandorte bis hin zu
  • Energieeffizienz bei geringerem Bedarf an ungenutzten Kapazitäten.
  • Erhöhte Stabilität und Zuverlässigkeit des Netzes werden durch Lastausgleich und -management sowie die Zu- und Abschaltung von Großverbrauchern erreicht.
  • Darüber hinaus werden Remote-Verbindung und -trennung, Inspektion und Wartung ermöglicht, was die Betriebskosten für die Netznutzer reduziert, etwa, wenn sie umziehen, oder bei der Umsetzung rechtlicher Maßnahmen.

Doch das sind genau die Risiken und Herausforderungen: Sie reichen von Sabotage und Manipulation über Erpressung bis hin zur Androhung eines teilweisen oder vollständigen Stromausfalls. Die Verhütung dieser Bedrohungen erfordert eine Sensibilisierung und Aufklärung derer, die für Netz- und Datensicherheitsfragen verantwortlichen sind.

Die Standards der North American Electric Reliability Corporation Critical Infrastructure Protection (NERC CIP) definieren und regeln die US-Bemühungen zur Sicherung des Bulk Power Systems. Sie gilt für alle Eigentümer, Betreiber und Nutzer des Stromnetzes. Zur optimalen Absicherung der zugehörigen Assets sind Sicherheitsverfahren wie Verschlüsselung und Benutzerauthentifizierung, beispeilsweise über eine Public Key-Infrastruktur (PKI), erforderlich. Hardware-Sicherheitsmodule gewährleisten in diesem Zusammenhang einen manipulationssicheren Schutz der für Verschlüsselung und PKIs verwendeten kryptographischen Schlüssel und Prozesse.


Der europäische Ansatz ist stärker auf die Sicherheit intelligenter Verbrauchsmessgeräte ausgerichtet

(Europäische Technologieplattform für intelligente Netze)

Gründe für die Installation von intelligenten Zählern sind

  • die Genauigkeit der gemessenen Daten,
  • verringertes Potenzial für absichtliche und unabsichtliche menschliche Fehler und Energiediebstahl,
  • und die Möglichkeit, eine flexiblere Tarifstruktur anzubieten.

Dennoch sind Zähler- und Datenmanipulationen ein ständiger Risikofaktor – deshalb müssen Gegenmaßnahmen ergriffen werden: beispielsweise Manipulationsschutzmechanismen (Manipulationssicherheit und Manipulationserkennung) und die Überprüfung der Plausibilität und Integrität von Befehlen. Die Authentifizierung von Servern, Zählern und übertragenen Befehlen ist von entscheidender Bedeutung, um vollständige Stromausfälle zu verhindern. Nicht zuletzt sind datenschutzrechtliche Belange ebenso wichtig und erfordern die Verschlüsselung von Messdaten, Datenbanken und Kundeninformationen.

Der deutsche Smart Metering-Ansatz wird durch die Technische Richtlinie TR-03109 des BSI und die entsprechende Zertifikatsrichtlinie der Smart Metering PKI geregelt. Diese definieren die Anforderungen an Funktionalität, Interoperabilität und Sicherheit von Smart Metering IT-Komponenten. Der Fokus liegt klar auf dem Datenschutz und dem Smart Meter Gateway als zentraler Sicherheitskomponente innerhalb der Smart Metering- Infrastruktur. Darüber hinaus liefert der KRITIS-Strategie- und Umsetzungsplan wichtige Konzepte und Maßnahmen.

Kontakt

Ihre Fragen beantworten wir sehr gerne.

Wie können wir Ihnen helfen?

Sprechen Sie mit einem unserer Spezialisten und erfahren Sie, wie Utimaco Sie unterstützen kann.