GI-Radar 359: Kommunikation in kritischer Infrastruktur

 

Liebe Leserinnen und Leser, 

in dieser Ausgabe geht es – wie könnte es anders sein – um Fußball, um Wahlen, um das richtige Maß an Digitalisierung und die Nutzung biometrischer Daten. Das Thema im Fokus behandelt die sichere Kommunikation in kritischen Infrastrukturen und wird beigesteuert von Moritz Volkmann, den das Bundesamte für Sicherheit in der Informationstechnik für seinen Beitrag zum diesjährigen IT-Sicherheitskongress mit dem „Best Student Award“ ausgezeichnet hat. In den Kurzmitteilungen machen wir Ihnen das INFORMATIK FESTIVAL 2024 noch einmal schmackhaft, stellen Ihnen zwei Jugend-Forscht-Preisträger vor, verkünden stolz, dass unsere Präsidentin in Hamburg zum Thema Ethik und KI referieren wird und dass wir der Green Software Foundation beigetreten sind. Das Fundstück ist ein Kollisionskurs (im wortwörtlichen Sinn).

Wir wünschen Ihnen viel Spaß mit dieser Ausgabe.

auf gi-radar.de weiterlesen

Fußball + Wahlmanipulation + Digitalisierung + biometrische Daten + Kommunikation in kritischer Infrastruktur + INFORMATIK FESTIVAL + GI-Präsidentin zu KI und Ethik + Green Software Foundation + Kollisionserkennung

KURZMITTEILUNGEN

Fußball-EM: die Nachbarschaft jubelt. Und Sie? (Spiegel). Heute startet (für viele) das Fußballhighlight des Jahres. Um 21:00 Uhr findet das Eröffnungsspiel Deutschland gegen Schottland statt. Wenn Sie allerdings Pech haben, hören Sie den Torjubel, bevor Sie ihn gesehen haben. Je nach Anbieter sind Übertragungen etliche Sekunden verzögert.  weiterlesen

Wahlmanipulationen durch KI und Fake News: was tun und wer ist verantwortlich? (ZEIT). Die Europawahl ist vorbei, aber es stehen noch einige weitere Wahlen in diesem Jahr an. Bereits in der Vergangenheit wurden Kampagnen registriert, die die öffentliche Meinung manipulieren wollten. Aus Sicht der Bundesregierung ist man selbst dafür verantwortlich, sich zu informieren und falsche Informationen zu erkennen.  weiterlesen

Digitalisierung in Deutschland: zu viel oder zu wenig? (taz). Während es den einen nicht schnell genug geht mit der Digitalisierung, hadern die anderen eher und haben Angst. Laut einer Bitkom-Studie fühlen sich 41% der Bevölkerung in Bezug auf die Digitalisierung des Alltags überfordert. Hier ist Abhilfe nötig.  weiterlesen

Nutzung staatlich erhobener biometrischer Daten durch private Unternehmen (Netzpolitik). Das sogenannte „Bürokratieentlastungsgesetz“ schreibt fest, dass private Sicherheitsunternehmen die vom Staat erhobenen biometrischen Daten nutzen dürfen, um beispielsweise Fluggäste schneller abfertigen zu können. Datenschutzrechtlich sei dies problematisch, sagt der scheidende Datenschutzbeauftragte Kelber.  weiterlesen

THEMA IM FOKUS

Sicherer Energiehandel im Stromnetz der Zukunft. Im Fokus dieser Ausgabe steht das Thema „Sichere Kommunikation in kritischer Infrastruktur“. Der entsprechende Beitrag dazu wurde beim 20. IT-Sicherheitskongress des Bundesamts für Sicherheit in der Informationstechnik (BSI) mit dem Best Student Award wegen der aktuellen Relevanz in Anbetracht der steigenden Bedrohung durch Cyberangriffe auf die kritische Infrastruktur (security-insider.de) ausgezeichnet. 

Es soll beleuchtet werden, wie das Stromnetz der Zukunft mithilfe eines Security-by-Design-Ansatzes gegen mögliche Cyberangriffe abgesichert werden kann. Hierfür wurde ein Framework entwickelt, das sich speziell mit der Absicherung des sogenannten Peer-to-Peer Energiehandels, also dem Handel von Energie unmittelbar zwischen einzelnen Verbrauchern und Erzeugern – die in ihrer Doppelrolle als Prosumer bezeichnet werden – beschäftigt.

Erhöhtes Angriffspotenzial durch Smart Grids. Durch die Energiewende und die damit verbundene steigende Anzahl an privaten Energieanlagen mit gleichzeitig sinkender Anzahl von großen Kraftwerken verschiebt sich der Fokus der Netzstabilität immer mehr von der Hoch- und Mittelspannungsebene auf die Niederspannungsebene. Um die Energiebilanz jederzeit bewahren zu können, werden Systeme benötigt, die die Einspeisungen und Lasten miteinander bilanzieren und nur den Energieausgleich auf die nächsthöhere Spannungsebene übertragen. Dies erfolgt hier durch eine Peer-to-Peer Handelsplattform für Prosumer (ieee.org). Durch die hierfür notwendigen IT-Systeme und die Kommunikation zwischen den einzelnen Komponenten eröffnen sich allerdings auch zahlreiche neue Flächen für potenzielle Cyberangriffe. 

Absicherung durch Security-by-Design. Da die Stromversorgung einen existenziell wichtigen Teil des Alltags darstellt, ist sie Teil der sogenannten kritischen Infrastruktur und unterliegt als solche auch besonderen Gesetzen bezüglich des Schutzes gegen Cyberangriffe. In Deutschland ist dies durch das BSI-Gesetz sowie das EnWG (bundesnetzagentur.de) geregelt, europaweit kommt noch die NIS-2 Verordnung der EU hinzu. Diese Gesetze geben zwar einen gewissen Rahmen vor und heben die Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität hervor, allerdings werden kaum konkrete Maßnahmen vorgegeben, mit denen das Stromnetz aktiv gesichert werden soll. Hierfür bietet sich der Ansatz Security-by-Design (oeffentliche-it.de) an, was bedeutet, dass für das System von Anfang an die wichtigsten, schützenswerten Elemente festgelegt und aktiv gegen Angriffe abgesichert werden.

Hierzu wurden drei Angriffe identifiziert, die das Netz besonders gefährden und überprüft, welche Schutzziele diese verletzen: 

erstens, die Denial-of-Service (DoS) Attacke, die darauf abzielt, Server wie z.B. die Handelsplattform durch eine erhöhte Menge an Anfragen außer Betrieb zu setzen;

zweitens, der False-Data-Injection-Angriff (FDIA), bei dem das System mit gefälschten Daten beaufschlagt wird, um damit bewusst die Netzstabilität zu gefährden und

drittens der Man-in-the-Middle-Angriff (MitM), bei dem Kommunikation, wie zum Beispiel beim Einstellen eines Energiegebots, abgefangen und entweder verändert oder unverändert wiedergegeben wird.

Die DoS-Attacke (bund.de) zielt auf simple Art und Weise darauf ab, die Verfügbarkeit des Systems zu beeinträchtigen, in dem sie die zuständigen Server mit Anfragen überlastet. Um dies zu verhindern, können Intrusion Detection Systeme verwendet werden, die unberechtigte Anfragen verhindern und Nutzer sperren, die auffällig viele Anfragen stellen. Weiterhin kann ein verteiltes System, beispielsweise auf Blockchain-Basis, gewählt werden, sodass der Ausfall eines Servers nicht gleich einen Ausfall des ganzen Systems bedeutet.

Bei der FDI-Attacke wird vor allem die Integrität des Systems geschädigt, da falsche Informationen in das System eingespeist werden. Diese kann verhindert werden, indem sichergestellt wird, dass nur autorisierte Nutzerinnen und Nutzer am Energiemarkt teilnehmen können. Hierfür wurde im Rahmen des Forschungsprojekts PEAK (peak-plattform.de) ein Authentifizierungsprozess auf der Basis von Self-Sovereign Identity (SSI) entwickelt, bei dem mithilfe von verifizierbaren Zertifikaten, die über verschlüsselte Kanäle an Haushalte ausgestellt werden können, die Authentizität von Energieanlagen, Hausanschluss und Handelserlaubnis nachgewiesen werden kann. In einer Referenzimplementierung  wurde das System außerdem mit einem Handelsautorisierungsprozess auf der Basis von attributbasierter Zugriffskontrolle (ABAC) erweitert, das die Einspeisung von falschen Daten noch weiter erschwert. 

Die MitM-Attacke (europa.eu) versucht, durch das Abhören und Wiedergeben von Nachrichten die Authentizität von Nutzerinnen und Nutzern für sich selbst auszunutzen. Hierdurch werden sowohl die Vertraulichkeit als auch die Integrität des Systems angegriffen. Durch die verschlüsselten Kommunikationskanäle, über die der SSI-Authentifizierungsprozess durchgeführt wird, ist es für Angreifende jedoch nahezu unmöglich, die Kommunikation abzuhören. Bei der Autorisierung werden nur noch vereinzelte Daten der Haushalte übertragen, die nicht dazu genügen, sich als regulärer Marktteilnehmer auszugeben, da die Zertifikate zur Handelserlaubnis über einen Zero-Knowledge Proof gegenüber dem zugehörigen SSI-Verzeichnis verifiziert werden.

Sichere Autorisierung durch SSI und ABAC. Die Autorisierung eines Haushalts, der Energie auf dem P2P-Energiemarkt anbieten möchte, erfolgt bei jedem Handelsvorgang. Der Haushalt sendet ein Handelsangebot an die Peer-to-Peer-Plattform, die eine Präsentation der Handelslizenz anfordert. Diese wird noch einmal über das zugehörige Register des SSI-Dienstes überprüft. Nach erfolgreicher Verifikation werden die Informationen mit dem Handelsangebot an das ABAC-System gesendet, welches die Entscheidung basierend auf Attributen des Haushalts, der Umgebung und der angebotenen Energiemenge trifft. So kann ein detailliertes Regelwerk zur Handelsautorisierung erstellt und jederzeit überprüft werden. Diese Richtlinien stellen sicher, dass der Haushalt authentifiziert ist, die Netzbelastung Energiehandel zulässt und die Energieangebote plausibel sind. Zudem wird verhindert, dass ein Haushalt mehr als ein Angebot pro Zeitperiode abgibt. 

Durch die Verwendung des Frameworks aus SSI-Authentifizierung und ABAC-Autorisierung wird die Integrität und die Vertraulichkeit des Energiehandels geschützt, während ein Intrusion Detection System und verteilte Systeme Angriffe auf die Verfügbarkeit der Handelsplattform verhindern. 

Der komplette Kongressbeitrag steht online zur Verfügung (bund.de). 

Dieser Text wurde beigesteuert von Moritz Volkmann, der kürzlich den Best Student Award des BSI gewonnen hat. Er studiert im hochschulübergreifenden Masterstudiengang Wirtschaftsingenieurwesen in Hamburg und ist als wissenschaftlicher Mitarbeiter am FTZ CyberSec der HAW Hamburg tätig.

GI-MELDUNGEN

INFORMATIK FESTIVAL 2024 in Wiesbaden. Wiesbaden: Landeshauptstadt, Kurort und Austragungsort unseres diesjährigen INFORMATIK FESTIVALS. Unter dem Motto „Lock in or log out“ können Sie sich in einer tollen Umgebung weiterbilden, spannende Leute treffen, einen interessanten Austausch pflegen und sich amüsieren. Wir freuen uns, Sie beim diesjährigen Festival begrüßen zu können. Tickets gibt es über den Link. weiterlesen

Algorithmus untersucht Gene: Wettbewerb „Jugend forscht“. In diesem Jahr ging der GI-Sonderpreis von „Jugend forscht“ an Alois Bachmann und Elora Marx, die mit ihrem Algorithmus die Aktivitäten von Genen in Zellen untersuchen. Anhand der Genaktivitäten lassen sich mit der Software perspektivisch eventuell Vorhersagen treffen und damit Krankheiten eher erkennen. Wir gratulieren.  weiterlesen

GI-Präsidentin beim Wirtschaftsgipfel. Ethische Aspekte von künstlicher Intelligenz und deren Regulierung sind immer wiederkehrende Themen. GI-Präsidentin Christine Regitz wird beim Wirtschaftsgipfel in Hamburg die GI-Position vertreten und mit weiteren Fachleuten diskutieren.  weiterlesen

Green Software Foundation künftig mit GI-Beteiligung. Das Thema nachhaltige Software und ressourcenschonende Programmierung wird immer wichtiger. Die GI ist nun der Greens Software Foundation beigetreten, um ihren Beitrag dazu zu leisten, die Treibhausgasemissionen der IT bis 2030 um 45% zu reduzieren.  weiterlesen

Kennen Sie eigentlich den GI-Pressespiegel? Dort sammeln wir die Berichterstattung über unsere Fachgesellschaft in Zeitungs-, Radio- und Fernsehbeiträgen. Schauen Sie rein, es gibt da immer wieder Neues oder auch ältere Fundstücke.

FUNDSTÜCK

Physik und Super Mario. Ein gängiges Problem in Computerspielen sind „Rigid Body Collisions“: Wenn in Spielen Objekte aufeinandertreffen, erwarten wir, dass sich diese nach der Kollision „natürlich“ voneinander entfernen. Das dazu benötigte Verständnis von Mathematik und Physik lässt sich schnell und anschaulich vermitteln. Unser Fundstück zeigt Schritt für Schritt wie die relevanten Geschwindigkeiten und Kräfte berechnet werden, um realistisch wirkende Kollisionen zu erzeugen. Physik und Mathematik zum Anfassen!  Zum Fundstück (sassnow.ski, engl.)

Welches Fundstück hat Sie zuletzt inspiriert? Senden Sie uns Ihre Ideen!

 

Dies war Ausgabe 359 des GI-Radars vom 14.06.2024. Zusammengestellt hat diese Ausgabe Dominik Herrmann, der hofft, dass Sie nur simulierte und möglichst keine echten Kollisionen erleben. GI-Geschäftsführerin Cornelia Winter hat die Mitteilungen und Meldungen zusammengetragen. Das nächste Radar erscheint am 28. Juni.

Im GI-Radar berichten wir alle zwei Wochen über ausgewählte Informatik-Themen. Wir sind sehr an Ihrer Meinung interessiert. Für Anregungen und Kritik haben wir ein offenes Ohr, entweder per E-Mail (redaktion@gi-radar.de) oder über das Feedback-Formular bei SurveyMonkey. Links und Texte können Sie uns auch via X unter @informatikradar zukommen lassen.