18. DFN-CERT-Workshop in Hamburg

18. DFN-CERT-Workshop in Hamburg

Physische Einbrecher und Smart Grids

Jens-Christoph Brendel
18.02.2011
Eine breite Palette interessanter Security-Themen stand auch in diesem Jahr wieder auf der Agenda des 18. DFN-CERT-Workshops "Sicherheit in vernetzten Systemen", der in dieser Woche in Hamburg stattfand.

Da gibt es eine superscharfe Firewall, ein Intrusion Detection System, ein ausgefeiltes Monitoring samt Logfile-Analyse - und dann kommt der Einbrecher gar nicht übers Netz, sondern spaziert in den Serverraum und trägt den Rechner heraus. Das ist häufig viel einfacher, als man glauben mag, wie Jens Liebchen von der Red Team Pentesting GmbH in seinem Vortrag über physische Sicherheit belegte. Bereits mit ein paar mechanischen Hilfsmitteln, die man für wenig Geld in jedem Baumarkt erstehen kann, gelangt man in so gut wie jedes Gebäude, wenn man sich nur einfach zu lokalisierende Schwachstellen wie gekippte Fenster oder unverschlossene Fluchttüren zunutze macht. Dort führt dann oft Social Engineering weiter zum Ziel. Alle technischen Vorkehrungen der IT wären in diesem Fall ausgehebelt, weswegen die oft unterschätzte physische Sicherung viel mehr Aufmerksamkeit verdient.

Ein weiteres Thema aus der Peripherie der IT waren die Smart Grids, denen sich gleich mehrere Vorträge widmeten. Von der EU stark gefördert, werden sich in absehbarer Zeit intelligente Stromzähler (Smart Meter) in vielen Haushalten breit machen, mit denen offensichtliche und nicht so offensichtliche Sicherheitsfragen verbunden sind. So besteht zum einen aus Sicht der Energiekonzerne das Risiko, dass Kunden die Zähler manipulieren könnten oder auch andere ganz vom Stromnetz trennen, was schwerwiegende Folgen haben kann, man denke zum Beispiel an Krankenhäuser. Andererseits bestehen Datenschutzbedenken, denn die Zählerinformationen erlauben Rückschlüsse auf die Lebensweise, die Anwesenheit, und so weiter, sind also personenbezogene Daten. Angreifbar wären die Kommunikationsverbindungen des Zählers, die Service-Schnittstellen, die Netzinfrastruktur oder auch remote steuerbare Haushaltgeräte.

Ein erstes Konzept, wie man dem begegnen könnte, stellte Ronald Petrlic von der Universität Paderborn vor. Es beinhaltet vertrauenwürdige Kollektoren, die Messadaten einzelner Haushalte aggregieren und dann anonymisiert und verschlüsselt zum Energieversorger weitermelden. Allerdings erwies sich auch, dass die akademischen Entwürfe noch ungenügend praktisch abgesichert sind: Wie wollte man 40 Millionen Schlüssel verwalten? Wer gerantiert die Vertrauenswürdigkeit des Kollektors? Wie könnte der Endverbraucher sich von der Integrität des Systems überzeugen? Alle diese Fragen mussten offen bleiben.

Natürlich diskutierten die Admins und Sicherheitsbeauftragten auf dem 18. DFN-Workshop „Sicherheit in vernetzten Systemen“ vom 15. bis 16. Februar 2011 auch IT-Kernthemen und selbstverständlich führte auch an Hype-Themen wie Cloud Computing kein Weg vorbei. Einen guten Überblick über sicherheitsrelevante Fragen des Cloud Computing gab Christoph Wegener vom Horst Görtz Institut für IT-Sicherheit. Dabei wurde vor allem deutlich, dass zahlreiche ungelöste Probleme einer Lösung harren und der Anwender heute sehr viel Vertrauen in den Anbieter haben muss: Dessen Sicherheitsvorkehrungen könne er in keiner Weise kontrollieren, und der Anbieter stelle ihm im Fall des Falles auch keinerlei Informationen bereit, die zur Aufklärung sicherheitsrelevanter Vorfälle dienlich wären.

Ähnliche Artikel

Kommentare

Aktuelle Fragen

NOKIA N900 einziges Linux-Smartphone? Kein Support mehr
Wimpy *, 28.08.2016 11:09, 1 Antworten
Ich habe seit vielen Jahren ein Nokia N900 mit Maemo-Linux. Es funktioniert einwandfrei, aber ich...
Scannen nicht möglich
Werner Hahn, 19.08.2016 22:33, 3 Antworten
Laptop DELL Latitude E6510 mit Ubuntu 16,04, Canon Pixma MG5450. Das Drucken funktioniert, Scann...
Wie kann man das berichtigen
Udo Muelle, 17.07.2016 20:39, 1 Antworten
Fehlschlag beim Holen von http://extra.linuxmint.com/dists/rosa/main/binary-i386/Packages Hash-S...
Installation Genimotion
Horst Müller, 15.07.2016 17:00, 1 Antworten
Hallo, ich kann Genimotion nicht installieren. Folgende Fehlermeldung habe ich beim Aufruf erh...
Probleme beim Hochfahren der Terastaion 5400 mit Unix-Distrib
Sheldon Cooper, 10.07.2016 09:32, 0 Antworten
Hallo ihr lieben, habe seit zwei Tagen das Problem, das das NAS (Raid5) nicht mehr sauber hoch...