Physische Einbrecher und Smart Grids

18. DFN-CERT-Workshop in Hamburg

18. DFN-CERT-Workshop in Hamburg

Jens-Christoph Brendel
18.02.2011
Eine breite Palette interessanter Security-Themen stand auch in diesem Jahr wieder auf der Agenda des 18. DFN-CERT-Workshops "Sicherheit in vernetzten Systemen", der in dieser Woche in Hamburg stattfand.

Da gibt es eine superscharfe Firewall, ein Intrusion Detection System, ein ausgefeiltes Monitoring samt Logfile-Analyse - und dann kommt der Einbrecher gar nicht übers Netz, sondern spaziert in den Serverraum und trägt den Rechner heraus. Das ist häufig viel einfacher, als man glauben mag, wie Jens Liebchen von der Red Team Pentesting GmbH in seinem Vortrag über physische Sicherheit belegte. Bereits mit ein paar mechanischen Hilfsmitteln, die man für wenig Geld in jedem Baumarkt erstehen kann, gelangt man in so gut wie jedes Gebäude, wenn man sich nur einfach zu lokalisierende Schwachstellen wie gekippte Fenster oder unverschlossene Fluchttüren zunutze macht. Dort führt dann oft Social Engineering weiter zum Ziel. Alle technischen Vorkehrungen der IT wären in diesem Fall ausgehebelt, weswegen die oft unterschätzte physische Sicherung viel mehr Aufmerksamkeit verdient.

Ein weiteres Thema aus der Peripherie der IT waren die Smart Grids, denen sich gleich mehrere Vorträge widmeten. Von der EU stark gefördert, werden sich in absehbarer Zeit intelligente Stromzähler (Smart Meter) in vielen Haushalten breit machen, mit denen offensichtliche und nicht so offensichtliche Sicherheitsfragen verbunden sind. So besteht zum einen aus Sicht der Energiekonzerne das Risiko, dass Kunden die Zähler manipulieren könnten oder auch andere ganz vom Stromnetz trennen, was schwerwiegende Folgen haben kann, man denke zum Beispiel an Krankenhäuser. Andererseits bestehen Datenschutzbedenken, denn die Zählerinformationen erlauben Rückschlüsse auf die Lebensweise, die Anwesenheit, und so weiter, sind also personenbezogene Daten. Angreifbar wären die Kommunikationsverbindungen des Zählers, die Service-Schnittstellen, die Netzinfrastruktur oder auch remote steuerbare Haushaltgeräte.

Ein erstes Konzept, wie man dem begegnen könnte, stellte Ronald Petrlic von der Universität Paderborn vor. Es beinhaltet vertrauenwürdige Kollektoren, die Messadaten einzelner Haushalte aggregieren und dann anonymisiert und verschlüsselt zum Energieversorger weitermelden. Allerdings erwies sich auch, dass die akademischen Entwürfe noch ungenügend praktisch abgesichert sind: Wie wollte man 40 Millionen Schlüssel verwalten? Wer gerantiert die Vertrauenswürdigkeit des Kollektors? Wie könnte der Endverbraucher sich von der Integrität des Systems überzeugen? Alle diese Fragen mussten offen bleiben.

Natürlich diskutierten die Admins und Sicherheitsbeauftragten auf dem 18. DFN-Workshop „Sicherheit in vernetzten Systemen“ vom 15. bis 16. Februar 2011 auch IT-Kernthemen und selbstverständlich führte auch an Hype-Themen wie Cloud Computing kein Weg vorbei. Einen guten Überblick über sicherheitsrelevante Fragen des Cloud Computing gab Christoph Wegener vom Horst Görtz Institut für IT-Sicherheit. Dabei wurde vor allem deutlich, dass zahlreiche ungelöste Probleme einer Lösung harren und der Anwender heute sehr viel Vertrauen in den Anbieter haben muss: Dessen Sicherheitsvorkehrungen könne er in keiner Weise kontrollieren, und der Anbieter stelle ihm im Fall des Falles auch keinerlei Informationen bereit, die zur Aufklärung sicherheitsrelevanter Vorfälle dienlich wären.

Ähnliche Artikel

Kommentare

Aktuelle Fragen

PCLinuxOS Version 2014.08 "FullMonty" Umstellung auf deutsch
Karl-Heinz Welz, 19.12.2014 09:55, 2 Antworten
Hallo, liebe Community, ich bin 63 Jahre alt und möchte jetzt nach Jahrzehnten Windows zu Linux...
ICEauthority
Thomas Mann, 17.12.2014 14:49, 2 Antworten
Fehlermeldung beim Start von Linux Mint: Could not update ICEauthority file / home/user/.ICEauth...
Linux einrichten
Sigrid Bölke, 10.12.2014 10:46, 5 Antworten
Hallo, liebe Community, bin hier ganz neu,also entschuldigt,wenn ich hier falsch bin. Mein Prob...
Externe USB-Festplatte mit Ext4 formatiert, USB-Stick wird nicht mehr eingebunden
Wimpy *, 02.12.2014 16:31, 0 Antworten
Hallo, ich habe die externe USB-FP, die nur für Daten-Backup benutzt wird, mit dem YaST-Partition...
Steuern mit Linux
Siegfried Markner, 01.12.2014 11:56, 2 Antworten
Welches Linux eignet sich am besten für Steuerungen.