Schlagwort: IT-Sicherheit

Ukraine: Blackout durch Hackerangriff

von Marianne Diem, November 2016
hackerangriff ukraine

Kritische Infrastrukturen: Der Blackout am 23. Dezember 2015 in der Ukraine war der weltweit erste, der durch einen Hackerangriff verursacht wurde und stellt somit einen Präzedenzfall dar.

Ablauf des Blackouts

Am 23. Dezember 2015 gegen 15 Uhr gingen in der westukrainischen Region Ivano-Frankiwsk unerwartet sieben 110 kV und dreiundzwanzig 35 kV Umspannwerke für mehrere Stunden vom Netz. Insgesamt waren drei unterschiedliche Stromversorger betroffen. Bis die Verteilnetzbetreiber in der Lage waren, die abgekoppelten Anlagen wieder in Betrieb zu nehmen, blieben etwa 225.000 Kunden ohne Strom.

Sofort nach dem Angriff behaupteten ukrainische Regierungsbeamte, dass die Ausfälle durch einen Hackerangriff hervorgerufen worden seien, und machten den russischen Geheimdienst hierfür verantwortlich. Dies löste mehrere nationale und internationale Untersuchungen des Vorfalls aus. Auch private Firmen und die U.S. Regierung boten Hilfe bei der Aufklärung der Vorgänge an. Der vorliegende Artikel basiert auf einem Whitepaper von E-ISAC und ICS-SANS und einem Bericht des Department of Homeland Security.

Wiewohl die Stromversorgung relativ schnell wiederhergestellt werden konnte und nur ein kleiner Teil der ukrainischen Bevölkerung betroffen war, ist der Vorfall alarmierend und wirft Fragen nach der Sicherheit kritischer Infrastrukturen auf. Die Langfristigkeit und großräumige Koordination des Angriffs, Zeitpunkt und Zielauswahl sprechen für einen politisch motivierten Akteur mit großen Ressourcen.

Analyse des Hackerangriffs

Die angegriffenen Firmen verfügten wie üblich über eine IT-Umgebung für die Verwaltung und eine gesonderte IT-Umgebung für die Leittechnik der Stromnetze. Wenn auch die Steuerung des Netzes von einer Leitwarte aus erfolgte, war die Leittechnik jedoch über eine VPN-Verbindung mit dem Business-Netzwerk verbunden. Hiermit wurden zwei Arten von Zugriffen auf verschiedenen Ebenen auf die Leittechnik möglich: Erstens konnten auch auf Rechnern außerhalb der Leitwarte Clients der Leittechnik installiert werden, die über das VPN verbunden sind. Zweitens konnten Rechner der Leittechnik remote auf Betriebssystemebene administriert werden. Beides machten sich die Hacker zu Nutze.

Ein derartiger Angriff lässt sich selten vollständig aufklären und betroffene Firmen wie auch die Untersuchungskommissionen wollen vielleicht auch nicht alle Details öffentlich machen. Laut der genannten Dokumente lief der Angriff in etwa wie folgt ab.

1. Zielauswahl

Die betroffenen Firmen waren für den Zweck, die Stromversorgung der Ukraine zu sabotieren, besonders geeignet. Sie zeichneten sich durch einen hohen Automatisierungsgrad ihrer Verteilnetze aus, die eine Abkopplung mehrerer Umspannstationen remote ermöglichte.

Das wohlgewählte Ziel und der hochkoordinierte Angriff machen wahrscheinlich, dass vorab Recherchen stattgefunden haben und nicht lediglich eine günstige Gelegenheit genutzt wurde. Höchstwahrscheinlich wurde auch die verwendete Schadsoftware vorab an Testsystemen geprüft.

2. Eindringen in das Netzwerk der Verwaltung

Um in das IT-Netzwerk der Verwaltung der betroffenen Stromversorger einzudringen, statteten die Angreifer Microsoft Office Dokumente (Excel und Word) mit der Crimeware BlackEnergy aus. BlackEnergy ist ein professionelles Tool, das das Eindringen in fremde Systeme automatisiert und dem Angreifer eine dann eine Plattform zur Erkundung des Systems und zum Download weiterer Schadsoftware bereitstellt.

Mit BlackEnergy manipulierte Office-Dokumente wurden vornehmlich an Mitarbeiter in der Verwaltung der Versorgerfirmen versandt. Öffneten diese die Dokumente, so erschien ein Popup mit beispielsweise der Mitteilung, die Wordversion sei veraltet. Der Nutzer wurde aufgefordert, Makros im Dokument zu aktivieren, um das Dokument zu aktualisieren. Tat der Nutzer dies, ließ er die Schadsoftware aufs System. Ihm wurde daraufhin ein plausibles, unverdächtig erscheinendes Dokument angezeigt. War die Schadsoftware installiert, lagen dem Angreifer erste Informationen über die IT-Umgebung offen, er hatte Zugang zu dem infizierten System und konnte weitere Schadsoftware installieren.

Die Angreifer scheinen somit bereits mehr als sechs Monate vor dem Blackout am 23. Dezember 2015 Zugriff auf das System gehabt zu haben.

3. Erlangen von Benutzerrechten

Im Folgenden erkundeten die Angreifer die Netzwerkumgebung. Sie gelangten an Netzwerkzugangsinformationen und integrierten sich als legitime Netzwerknutzer mit hohen Benutzerrechten. Hiermit wurde es den Angreifern möglich, die VPN-Verbindung aus dem Netzwerk der Verwaltung in die IT-Umgebung der Leittechnik auszuspionieren.

4. Eindringen in die Leittechnik

Der Angreifer setzte nun „boshafte“ Clients der Leittechnik auf und drang mit diesen oder mittels der Remote-Administrationstools in die Leittechnik des Stromnetzes vor und späte diese aus.

5. Angriff

Der Angriff selbst erfolgte durch direkten Zugriff auf die Leittechnik. Die unterschiedlichen Versorger wurden mit weniger als 30 Minuten Abstand an mehreren zentralen und regionalen Standorten getroffen. Der Ablauf sah jeweils in etwa wie folgt aus:

  • Übernahme der Kontrolle über die Leitwartenrechner
  • Aussperrung der Leitwarten-Mitarbeiter aus dem System
  • Remote-Abkopplung mehrerer Umspannstationen
  • Installation der Schadsoftware KillDisk und Löschung von Systemdateien
  • Denial-of-Service-Angriff auf das Callcenter des Energieversorgers mittels tausender automatisch generierter Telefonanrufe

KillDisk wurde dabei verwendet, um Systemdateien (wie z.B. Bootdateien) zu löschen und hiermit das Wiederhochfahren von Systemen zu verhindern. Hiermit wurden insbesondere die MMIs (Mensch-Maschine-Interfaces) der Netzleittechnik funktionsunfähig gemacht, um Bemühungen zur Wiederherstellung der Systemfunktionen zu vereiteln oder zu verzögern. Andere Dateien (z.B. Logdateien) wurden gelöscht, um Spuren des Angriffs zu verwischen.

Der Denial-of-Service Angriff auf das Callcenter des Energieversorgers mit tausenden automatisch generierter Anrufe hinderte Kunden daran, Ausfälle zu melden. Der Energieversorger blieb dadurch im Unklaren über das Ausmaß der Ausfälle. Weiterhin wurden Kunden verunsichert, deren Strom ausgefallen war und die den Versorger nicht erreichen konnten.

6. Fazit

Zusammenfassend waren BlackEnergy, Sicherheitslücken, KillDisk und andere Schadsoftware Hilfsmittel des Hackerangriffs, um Zugriff zu erhalten und die Wiederherstellung der Systeme zu verzögern. Ausgelöst wurde der Stromausfall dann durch direkte Eingriffe des Angreifers in die Leittechnik der Verteilnetze.

Sicherheitslücken

Zahlreiche Sicherheitslücken begünstigten den Angriff. Sensitive Informationen wie die verwendete IT-Infrastruktur mit Hersteller und Versionsnummer waren öffentlich auf den Internetseiten der Systemhersteller verfügbar.

Die VPNs aus dem Business Netzwerk in die Leittechnik des Stromnetzes hatten keine 2-Faktoren Authentifikation. Die Firewall ließ einen Remote-Adminzugriff unter Nutzung im System vorgesehener Möglichkeiten zu.

Die Netzwerkumgebung des Steuerungssystems wurde nicht routinemäßig überwacht. Eine Routinesuche nach Abnormalitäten und Bedrohungen verbunden mit aktiven Verteidigungsmaßnahmen wie einem Monitoring des Netzwerkes existierte nicht.

Diese Schwachstellen ermöglichten dem Angreifer, in der Netzwerkumgebung sechs Monate oder länger unerkannt zu verbleiben und die Umgebung für den nachfolgenden Angriff zu erkunden.

Lessons Learned

Bei dem Angriff auf die ukrainischen Verteilnetze hatte man es mit einem Angreifer zu tun, der offenbar über finanzielle Ressourcen und breites Knowhow verfügte. Er verwendete spezifisch für diesen Angriff angepasste Tools wie Spear Fishing Emails, Varianten der BlackEnergy Crimeware und adressatengerecht gestaltete, manipulierte Microsoft Office Dokumente. Der Angreifer war in der Lage, einen Denial-of-Service-Angriff auf das Callcenter aufzusetzen und kannte sich außerdem in den Prozessen und der IT-Infrastruktur eines Netzbetreibers aus. Der Angriff war von langer Hand geplant.

Die Netzbetreiber hingegen waren nicht optimal aufgestellt und wurden von dem Angriff überrascht, obwohl der politische Zustand der Ukraine zur Genüge Motive für Sabotage lieferte. Dennoch gelang es den betroffenen Versorgern, die Lage binnen drei Stunden aus eigener Kraft wieder unter Kontrolle zu bringen. Ein Katastrophenszenario, wie in dem Buch Blackout beschrieben, trat nicht ein. Vielleicht schießt man in einer echten Krise hilfreichen Leuten seltener ins Bein.

 

Digitalisierung & Messstellenbetriebsgesetz

von Marianne Diem, August 2016

Digitalisierung -SmartMeter

Das Gesetz zur Digitalisierung der Energiewende forciert den flächendeckenden Rollout von Smart Metern über ein neues Messstellenbetriebsgesetz.

Am 8.7.2016 ist das „Gesetz zur Digitalisierung der Energiewende“ nunmehr verabschiedet worden. Hiernach sollen Smart Meter möglichst flächendeckend in Firmen und Haushalte einziehen. Kritisiert wurde das Gesetz auch vom Bundesrat wegen Datenschutzbedenken und der Weitergabe von Betriebskosten an die Verbraucher. Der unter IT-Freaks bekannte Heise-Newsletter sprach von Zwangsbeglückung mit intelligenten Messsystemen.

Rollout von modernen Messeinrichtungen und intelligenten Messsystemen

Wesentlicher Inhalt des Gesetzes ist das neu geschaffene Messtellenbetriebsgesetz (MsbG). Ziel des Gesetzes ist der Rollout von modernen Messeinrichtungen und intelligenten Messsystemen. Dabei ist:

  • eine moderne Messeinrichtung (mM) eine Messeinrichtung, die den tatsächlichen Elektrizitätsverbrauch und die tatsächliche Nutzungszeit widerspiegelt, sowie über ein Smart Meter Gateway sicher in ein Kommunikationsnetz eingebunden werden kann (aber derzeit nicht eingebunden ist)
  • ein intelligentes Messsystem (iM) eine über Smart-Meter-Gateway in ein Kommunikationsnetz eingebundene moderne Messeinrichtung zur Erfassung elektrischer Energie, die den tatsächlichen Energieverbrauch
    und die tatsächliche Nutzungszeit widerspiegelt und den IT-Sicherheitsanforderungen nach §§ 21 und 22 MsbG genügt
  • ein Smart-Meter-Gateway die Kommunikationseinheit eines intelligenten Messsystems, das ein oder mehrere moderne Messeinrichtungen und weitere technische Einrichtungen wie insbesondere Erzeugungsanlagen nach dem Erneuerbare-Energien-Gesetz und dem Kraft-Wärme-Kopplungsgesetz nach § 22 MsbG sicher in ein Kommunikationsnetz einbinden kann und über Funktionalitäten zur Erfassung, Verarbeitung und Versendung von Daten verfügt

Verantwortlich für den Rollout von intelligenten Messsystemen ist der grundzuständige Messstellenbetreiber. Dies ist:

  • der Netzbetreiber, soweit er die Funktion der Bundesnetzagentur laut § 45 MsbG bis zum 30. Juni 2017 anzeigt und die Voraussetzungen § 41ff. erfüllt
  • ein drittes Unternehmen, wenn eine Übertragung dieser Rolle nach § 41 ff. MsbG erfolgt ist.

Nach § 29 ist der grundzuständige Messstellenbetreiber  bei  Letztverbrauchern über 6 MWh verpflichtet,  bei mindestens 95 % der Verbrauchsstellen bis zum Jahr 2032 intelligente Messysteme einzubauen. Voraussetzung ist, dass der Einbau technisch möglich ist. Letzteres bezieht sich insbesondere auf Sicherheitsanforderungen des BSI. Für den Rollout gelten Preisobergrenzen für die jährliche Entgeltverrechnung sowie die folgenden Zeitpläne:

letztverbraucher-smart-meter-rollout-zeitplan-preisobergrenze

Bei Letztverbrauchern unter 6 MWh müssen zumindest moderne Messsysteme eingebaut werden. Neubauten und Gebäude, die einer größeren Renovierung im Sinne der Richtlinie über die Gesamtenergieeffizienz von Gebäuden unterzogen werden, müssen bis zur Fertigstellung des Gebäudes mit intelligenten Messsystemen ausgestattet werden.

Anlagen nach EEG oder KWK-Gesetz müssen mit intelligenten Messsystemen ausgestattet werden, wenn ihre installierte Leistung 7kW übersteigt. Dabei gelten die folgenden Zeitpläne und Preisobergrenzen:

anlagen-smart-meter-rollout-zeitplan-preisobergrenzeWeiterhin kann der grundzuständige Messstellenbetreiber auch kleinere Messstellen mit intelligenten Messsystemen ausstatten, sofern er die dafür geltenden Preisobergrenzen laut § 29 MSBS einhält. Für den Messstellenbetrieb moderner Messeinrichtungen dürfen nicht mehr als 20 € pro Jahr und Zählpunkt in Rechnung gestellt werden.

Kosten des grundzuständigen Messstellenbetreibers für den Messstellenbetrieb von modernen Messeinrichtungen und intelligenten Messsystemen dürfen weder bei den Entgelten für den Netzzugang nach den §§ 21 und 21a des Energiewirtschaftsgesetzes noch bei der Genehmigung der Entgelte nach § 23a des Energiewirtschaftsgesetzes berücksichtigt werden (§ 7 MsbG), sondern müssen der neuen Rolle buchhalterisch zugewiesen werden.

Der grundzuständige Messstellenbetreiber muss in den ersten drei Jahren der jeweils geltenden Zeitpläne mindestens 10 % der insgesamt geforderten Messstellen umgestellt haben. Andernfalls droht der Entzug der Grundzuständigkeit durch die BNetzA (§45 MsbG).

IT-Sicherheitsanforderungen

Ein wesentlicher Bestandteil des Gesetzes sind IT-Sicherheitsanforderungen an intelligenten Messsysteme und den Einsatz von Smart-Meter-Gateways. Hierzu wurden vom BSI (Bundesamt für Sicherheit und Informationstechnik) Schutzprofile nach Common Criteria  sowie Technische Richtlinien erarbeitet, die eine Sicherheitszertifizierung der entsprechenden Geräte ermöglichen. Nur zertifizierte intelligente Messsysteme dürfen verbaut werden. Auch Smart-Meter-Gateways müssen vorgegebene Sicherheitsstandards erfüllen und zertifiziert werden.

Der Smart-Meter-Gateway-Administrator muss einen zuverlässigen technischen Betrieb des intelligenten Messsystems gewährleisten und organisatorisch sicherstellen und ist zu diesem Zweck für die Installation, Inbetriebnahme, Konfiguration, Administration, Überwachung und Wartung des Smart-Meter-Gateways und der informationstechnischen Anbindung von Messgeräten und von anderen an das Smart-Meter-Gateway angebundenen technischen Einrichtungen verantwortlich. Zur Sicherstellung der IT-Sicherheit hat er ein Informationssicherheitsmanagementsystem (ISMS) einzurichten, zu betreiben und zu dokumentieren. Die Erfüllung der IT-Sicherheitsanforderungen an den Smart-Meter-Gateway-Administrator muss ebenfalls durch eine berechtigte Institution zertifiziert werden.

Die Ausstattung von Messstellen mit einem intelligenten Messsystem ist nach MsbG § 30 dann technisch möglich, wenn mindestens drei voneinander unabhängige Unternehmen intelligente Messsysteme am Markt anbieten, die den am Einsatzbereich des Smart-Meter-Gateways orientierten Vorgaben in Schutzprofilen und Technischen Richtlinien des Bundesamts für Sicherheit in der Informationstechnik genügen. Die entsprechende Feststellung veröffentlicht das BSI auf seinen Internetseiten.