Die SATW lud am 30. November 2017 zur «4. Fachveranstaltung Cybersecurity: Industrielle Kontrollsysteme in kritischen Infrastrukturen» ein. Am gleichen Abend wurde auch der Bericht «Industrielle Kontrollsysteme sicherer machen» publiziert.
Prof. Bernhard Hämmerli, Acris GmbH und SATW Mitglied moderierte den Abend. In seiner kurzen Einleitung gab er einen Überblick zur Entwicklung der Schadenssumme von Cyber-Vorfällen und wagte einen Ausblick in die Zukunft. Daneben stellte Bernhard Hämmerli als Leiter der Arbeitsgruppe «Industrielle Kontrollsysteme sicherer machen» das Projekt, die Arbeitsweise der Gruppe und die Resultate vor. Er dankte allen Anwesenden Autoren für die Mitarbeit und wies auf den Bericht hin, der als Einstimmung ins Thema des Abends verteilt wurde.
Daniel Rudin stellte in seinem Beitrag seine Arbeitgeberin, die Melde- und Analysestelle Informationssicherung MELANI vor und ging anschliessend auf die aktuelle Bedrohungslage in der Schweiz ein. Dazu nannte er als Beispiele die Mitte 2017 aufgetretenen Attacken WannaCry und NotPetya. Ursprung der Attacken war der Release eines Sicherheitsupdates von Microsoft Mitte März. Knapp einen Monat nach dem Release veröffentlichte eine Hackergruppe ein von der NSA entwickeltes Programm, mit dem Computer ausspioniert werden. Im Anschluss dazu kam es zu den beiden grossen Attacken – davon betroffen waren Systeme, welche das Microsoft-Sicherheitsupdate nicht installiert hatten.
Generell sind Systeme in den letzten Jahren viel angreifbarer geworden. Dies ist u.a. darauf zurückzuführen, dass sich durch das Internet of Things (IoT) die Angriffspunkte für Cyber-Attacken multipliziert haben. Damit sind heutzutage auch viele Geräte mit dem Internet verbunden, bei denen früher die Meinung verbreitet war, dass diese nicht vernetzt werden sollten. Daniel Rudin demonstrierte dies eindrücklich, in dem er live während seiner Präsentation im Raum 50 Geräte im Publikum identifizierte, die über Bluetooth online waren. Von zwei dieser Geräte wäre es sogar möglich gewesen, Daten abfliessen zu lassen.
Erfolg im Bereich Cybersecurity hat für Rudin drei Buchstaben – tun – und beinhaltet u.a. folgende Elemente, die sich auch im SATW-Bericht «Industrielle Kontrollsysteme sicherer machen» wiederfinden:
Letzterer Punkt sieht Daniel Rudin als unverzichtbar und fordert alle Parteien zu einem Informationsaustausch auf.
Bei der Vorstellung der Berner Kraftwerke (BKW) hielt Ivo Maritz gleich zu Beginn fest, dass bei Cyber-Attacken nicht primär Kundendaten bedroht seien. Vielmehr sind Sabotageakte von Staaten oder kriminellen Organisationen, die mit Staaten kollaborieren, sowie Mitarbeitende, die wissentlich oder unwissentlich handeln, eine Bedrohung. Um diese Schwachstellen zu minimieren und die Cybersecurity zu erhöhen, setzt die BKW auf drei Dimensionen. Die erste Dimension umfasst die Schulung und Bewusstseinssteigerung ihrer Mitarbeitenden. Als zweite Dimension ergreift die BKW Massnahmen, um die IT und OT in einem sicheren Zustand zu halten. Dazu gehören regelmässige Updates und Patches. In der Vergangenheit konnte man so zwei grössere Angriffe verhindern. Die dritte Dimension hat zum Ziel, die Widerstandsfähigkeit des Systems zu erhöhen, Risiken zu identifizieren und handhabbar zu machen sowie Angriffe zu erkennen und zu bewältigen. Als Beispiel hierzu nannte Ivo Maritz die Spanische Strombörse, deren Schnittstelle ein veraltetes und somit unsicheres Java-System verwendet. Die Strombörse nutzt ihre Marktmacht und hat kein Interesse das veraltete System zu erneuern. Dieses Risiko sei innerhalb der BKW erkannt und man habe entsprechende Massnahmen daraus abgeleitet. Für die BKW ist das Motto «never touch a running system» keine Option.
Dr. Josef Sedlacek von Radiar stellte in einem kurzen Referat seinen in Zusammenarbeit mit ETH entwickelten «A2 swiss industry controller» vor. Dieser basiert auf einer eigenen Sprache und ist durch seine Grösse gut überschaubar. Was die Sicherheit von A2 betrifft, so verglich Josef Sedlacek diese mit der Eingangstüre eines Engadiner Hauses. Früher konnte jeder eintreten, wenn er hungrig war, und sich bedienen. Heute braucht man einen Code, das heisst, man muss die Sprache der Bewohner sprechen, um eintreten zu können. Gleich verhält sich das A2 System, das sich nach der Empfehlung des SATW-Berichtes «Security by Design» richtet und nur Codes in seiner eigenen Sprache erkennt und entsprechende Befehle ausführt.
Das Referat von Dr. Klaus Theuerkauf vom ifak in Magdeburg gab einen Einblick in den Forschungsbedarf und Trends auf europäischer Ebene. Diese beruhen auf der EU Cybersecurity-Strategie 2013 und gründen auf fünf Säulen: Widerstandsfähigkeit gegenüber Cyber-Angriffen, Drastische Eindämmung der Cyber-Kriminalität, Entwicklung einer Cyber-Verteidigungspolitik und Aufbau von Kapazitäten (CSDP), Entwicklung industrieller und technischer Ressourcen für die Cyber-Sicherheit, Entwicklung einer einheitlichen Cyber-Raum-Strategie.
Eines der EU-Security-Projekte im Bereich kritischer Infrastrukturen ist ECOSSIAN. Damit reagiert die EU auf das Problem, dass einzelne Akteure der heutigen Cyber-Sicherheitslage nur schlecht begegnen können. Mittels abgesichertem Informationsfluss können relevante Informationen über Cyber-Attacken ausgetauscht werden. Dazu ist neben der Information auch die Sprachkompetenz wichtig. Durch die Weitergabe von Vorfällen können Szenarien erarbeitet werden. Das Identifizieren von Cyber-Attacken geschieht meist automatisch und man finde diese schnell. Viel schwieriger gestalte sich aber die Analyse. Das heisst herauszufinden, ob es zwischen den einzelnen Ereignissen einen Zusammenhang gibt und diese dann zu interpretieren. Dies wird heute von Menschen gemacht. Für eine Interpretation fehle jedoch oftmals das industriespezifische Verständnis.
Für Klaus Theuerkauf sind die Kernfragen im Bereich Cybersecurity nicht beantwortet und zum Teil noch gar nicht gestellt. So beispielsweise Fragen nach einer IT-Security-Zertifizierung, einer IT-Security-Versicherung oder einer IT-Security-Ausbildung.
4. SATW Fachveranstaltung Cybersecurity - Industrielle Kontrollsysteme in kritischen Infrastrukturen
Bernhard Hämmerli, Experte Cybersecurity und Einzelmitglied SATW, bernhard.haemmerli(at)satw.ch
Nicole Wettstein, Leiterin Projektmanagement, nicole.wettstein(at)satw.ch
