18. DFN-CERT-Workshop in Hamburg

18. DFN-CERT-Workshop in Hamburg

Physische Einbrecher und Smart Grids

Jens-Christoph Brendel
18.02.2011
Eine breite Palette interessanter Security-Themen stand auch in diesem Jahr wieder auf der Agenda des 18. DFN-CERT-Workshops "Sicherheit in vernetzten Systemen", der in dieser Woche in Hamburg stattfand.

Da gibt es eine superscharfe Firewall, ein Intrusion Detection System, ein ausgefeiltes Monitoring samt Logfile-Analyse - und dann kommt der Einbrecher gar nicht übers Netz, sondern spaziert in den Serverraum und trägt den Rechner heraus. Das ist häufig viel einfacher, als man glauben mag, wie Jens Liebchen von der Red Team Pentesting GmbH in seinem Vortrag über physische Sicherheit belegte. Bereits mit ein paar mechanischen Hilfsmitteln, die man für wenig Geld in jedem Baumarkt erstehen kann, gelangt man in so gut wie jedes Gebäude, wenn man sich nur einfach zu lokalisierende Schwachstellen wie gekippte Fenster oder unverschlossene Fluchttüren zunutze macht. Dort führt dann oft Social Engineering weiter zum Ziel. Alle technischen Vorkehrungen der IT wären in diesem Fall ausgehebelt, weswegen die oft unterschätzte physische Sicherung viel mehr Aufmerksamkeit verdient.

Ein weiteres Thema aus der Peripherie der IT waren die Smart Grids, denen sich gleich mehrere Vorträge widmeten. Von der EU stark gefördert, werden sich in absehbarer Zeit intelligente Stromzähler (Smart Meter) in vielen Haushalten breit machen, mit denen offensichtliche und nicht so offensichtliche Sicherheitsfragen verbunden sind. So besteht zum einen aus Sicht der Energiekonzerne das Risiko, dass Kunden die Zähler manipulieren könnten oder auch andere ganz vom Stromnetz trennen, was schwerwiegende Folgen haben kann, man denke zum Beispiel an Krankenhäuser. Andererseits bestehen Datenschutzbedenken, denn die Zählerinformationen erlauben Rückschlüsse auf die Lebensweise, die Anwesenheit, und so weiter, sind also personenbezogene Daten. Angreifbar wären die Kommunikationsverbindungen des Zählers, die Service-Schnittstellen, die Netzinfrastruktur oder auch remote steuerbare Haushaltgeräte.

Ein erstes Konzept, wie man dem begegnen könnte, stellte Ronald Petrlic von der Universität Paderborn vor. Es beinhaltet vertrauenwürdige Kollektoren, die Messadaten einzelner Haushalte aggregieren und dann anonymisiert und verschlüsselt zum Energieversorger weitermelden. Allerdings erwies sich auch, dass die akademischen Entwürfe noch ungenügend praktisch abgesichert sind: Wie wollte man 40 Millionen Schlüssel verwalten? Wer gerantiert die Vertrauenswürdigkeit des Kollektors? Wie könnte der Endverbraucher sich von der Integrität des Systems überzeugen? Alle diese Fragen mussten offen bleiben.

Natürlich diskutierten die Admins und Sicherheitsbeauftragten auf dem 18. DFN-Workshop „Sicherheit in vernetzten Systemen“ vom 15. bis 16. Februar 2011 auch IT-Kernthemen und selbstverständlich führte auch an Hype-Themen wie Cloud Computing kein Weg vorbei. Einen guten Überblick über sicherheitsrelevante Fragen des Cloud Computing gab Christoph Wegener vom Horst Görtz Institut für IT-Sicherheit. Dabei wurde vor allem deutlich, dass zahlreiche ungelöste Probleme einer Lösung harren und der Anwender heute sehr viel Vertrauen in den Anbieter haben muss: Dessen Sicherheitsvorkehrungen könne er in keiner Weise kontrollieren, und der Anbieter stelle ihm im Fall des Falles auch keinerlei Informationen bereit, die zur Aufklärung sicherheitsrelevanter Vorfälle dienlich wären.

Ähnliche Artikel

Kommentare

Aktuelle Fragen

Würde gerne openstreetmap.de im Tor-Browser benutzen, oder zu gefährlich?
Wimpy *, 21.08.2017 13:24, 0 Antworten
Im Tor-Netzwerk (Tor-Browser) kann ich https://www.openstreetmap.de/karte.html# nicht nutzen....
Samsung VG-KBD1500 - Bluetooth-Tastatur mit Touchpad mit Xubuntu 16.04.2 LTS
Linux- & BSD-UserGroup im Weserbergland, 16.08.2017 19:16, 0 Antworten
Bin grad mit "meinem Latein am Ende" darum hier mal so in den Raum geworfen. Samsung VG-KBD1500 -...
Tails verbindet nicht mit WLan
Georg Vogel, 30.07.2017 15:06, 5 Antworten
Hallo zusammen! Habe mir von Linux Mint aus einen Tails USB-Stick erstellt. Läuft soweit gut,...
Genivi for Raspberry Pi 3
Sebastian Ortmanns, 28.07.2017 10:37, 1 Antworten
I try to build a Genivi Development Platform for Rasberry Pi 3. But I always get the failures bel...
Bash awk Verständnis-Frage
Josef Federl, 22.07.2017 17:46, 2 Antworten
#!/bin/bash # Skriptdateiname = test.sh spaltennummer=10 wert=zehner awk '{ $'$spaltennummer'...