Projekt MALORI

Im Kampf gegen die globale Erwärmung ist ein bedingungsloser, zeitnaher Umstieg von fossilen Energiequellen auf Erneuerbare Energien die einzige ernsthafte Alternative. Das Einbinden erneuerbarer Energieformen wie beispielsweise Photovoltaik oder Windenergie in die heutigen Energienetze erfordert jedoch ein Umdenken – sowohl im Konzept und in der Architektur dieser Energienetze als auch in Bezug auf Sicherheit.

Eine durchgehende IKT-Vernetzung aller Komponenten eines Energienetzes ist unerlässlich, um die notwendige, zeitkritische Steuerung und Koordination aller Komponenten des Energienetzes zu gewährleisten.

Diese zeitkritische Steuerung ist eine wesentliche Voraussetzung, um trotz eingeschränkter Energie-Speichermöglichkeiten das permanente Gleichgewicht von Erzeugung und Verbrauch von Energie aufrecht zu erhalten.

Aufgrund vorhandener Erfahrung, jedoch auch aus Kosten- und Zeitgründen, wird meist auf bewährte Hardware, Software, Protokolle und vorhandene Teilnetze zurückgegriffen, in welche neue Komponenten, wie z. B. Smart Meter oder Ladestationen, eingebettet werden.

Gefährdungspotenzial der Energienetze

In Bezug auf Sicherheit und Gefährdungspotenzial der Energienetze sind anhand von Abb. 1 drei Betrachtungen wesentlich:

Gefährdungspotenzial der Energienetze
  1. Alle Geräte sind sicherheitstechnisch kompromittierbar. Potenziellen Angreifern eröffnen sich durch den physischen Zugriff auf Sensoren und Aktuatoren wie Smart Meter oder Ladestationen im öffentlichen Raum neue, lohnende Eintrittspforten für den Angriff und die Übernahme von Energienetzen.

    Die notwendige Kommunikation zwischen Geräten im öffentlichen Bereich und in geschützten Unternehmensnetzen erhöht das Gefährdungspotenzial zusätzlich.

    Die Frage ist nicht ob, sondern wann, von wem, mit welchem Ziel und mit welchen möglichen Folgen vorhandene Schwachstellen in kritischen Infrastrukturen ausgenützt werden. Diese Geräte müssen deswegen bei der Sicherheitsplanung grundsätzlich als nicht vertrauenswürdig bzw. potenziell kompromittiert betrachtet werden.
     
  2. Die Leistung einer E-Mobilitäts-Ladestation entspricht jener von bis zu 100 Haushalten. Die gesteuerten Leistungen von Ladestationen liegen weit über jenen von typischen Haushalten.

    Eine Hochleistungs-Ladestation (Hypercharger) hat schon heute eine 100-fache Leistung eines durchschnittlichen Haushaltes: Der mittlere Verbrauch eines Haushalts in Österreich beträgt 3,3 kW gegenüber der Ladeleistung einer Gleichstrom-Ladestation von 350 kW. Die im Zulauf befindlichen Schnelllader für Schwerverkehr bewegen sich bereits im Bereich von über 1 MW Ladeleistung pro Ladepunkt.

    Eine kompromittierte Ladestation hat demzufolge ein viel höheres Gefährdungspotenzial für das Energienetz als kompromittierte Haushalts-Smart Meter oder die meisten zukünftigen Smart Grid-Komponenten.
     
  3. Das Stromnetz ist unverzichtbar. Das elektrische Netz wird durch das Abwenden von fossilen Energiequellen zur – möglicherweise einzigen – zentralen kritischen Infrastruktur der öffentlichen Energieversorgung.

    Ein erfolgreicher Angriff auf das elektrische Netz kann demzufolge schwerwiegende und langwierige Folgen für Länder, Wirtschaften und Gesellschaften haben.

Angesichts dieser Herausforderungen gehören sorgfältige Planung, Segmentierung und Überwachung der IKT-Netze zur Steuerung der Energienetze zum Stand der Technik. IP-basierte Kommunikation wird durch Verschlüsselung auf Netzwerk- und Transportebene, wie beispielsweise Internet Protocol Security (IPsec) oder Transport-Layer Security (TLS), bzw. alternativ durch Verschlüsselung oder digitale Signaturen auf Anwendungsebene gegen Manipulation durch Angreifer am Kommunikationspfad (so genannte Man-in-the-middle-Angreifer) geschützt.

Intrusion Detection-Systeme (IDS) überwachen den Datenverkehr in IKT-Netzen, idealerweise unterstützt durch Maschinelles Lernen (Machine Learning), um einen Normalzustand des Netzes zu modellieren und Abweichungen in der Kommunikation, wie z. B. unerwartete Pakete, als Anomalien festzustellen und zu melden.

Die Verschlüsselung in Kommunikationsnetzen erhöht einerseits die Sicherheit, birgt jedoch auch Risiken. Schadsoftware (Malware) kann auch Verschlüsselungsverfahren oder digitale Signaturen zur raschen Verbreitung und Koordination von Angriffen missbrauchen.

Botnetze verwenden Kommunikationsnetze und -protokolle um vorhandene, bekannte oder unbekannte Schwachstellen in Systemen auszunutzen, neue Systeme zu infizieren und deren Aktivitäten zu koordinieren. Die Modularität aktueller Malware erlaubt unter anderem das gezielte Nachladen von Schadensroutinen, wobei bekannte Auswirkungen vom Ausspähen von Daten (Data Exfiltration) bis zu beabsichtigtem physischem Schaden von Geräten reichen.

Die Vernetzung und Kommunikation ist ein wesentlicher Bestandteil moderner Malware, um den möglichen Schaden durch koordinierte Angriffe verteilter Instanzen zu maximieren.

Ältere Malware-Varianten verwendeten hierfür explizite Kommunikation mittels eigener Datenströme, die von heutigen IDS ohne größeren Aufwand als Anomalien erkannt werden können und umgehend zur raschen Identifikation und Isolation der betroffenen Komponenten führen.

Neuere Malware-Varianten verschleiern jedoch ihre Existenz bzw. umgehen Monitoring- und Erkennungsverfahren mittels Verschlüsselung und verdeckter Kommunikation. Diese steganographischen Methoden im Netzwerk, besser bekannt unter dem Begriff „Covert“ bzw. „Subliminal Channels“, verwenden für die Datenkommunikation der verteilten Malware-Instanzen undefinierte oder ungenutzte Protokollfelder vorhandener, legitimer Kommunikation.

Für traditionelle IDS ist diese Art der verdeckten Kommunikation sehr schwer oder nicht erkennbar. Dies ist insbesondere der Fall, wenn die verdeckte Kommunikation durch legitime Ende-zu-Ende-Verschlüsselung zweier Kommunikationspartner im Energienetz geschützt wird.

Projekt MALORI

Das von 1.1.2020 bis 30.6.2022 laufende FFG KIRAS-Forschungsprojekt MALORI erforscht Möglichkeiten verdeckter Kommunikation sowie Lösungen für deren Erkennung und Unterbindung in den beiden kritischen Infrastrukturen Smart Meter und E-Mobilität-Lade-Infrastrukturen.

Das Projekt bündelt die notwendige, breit gestreute Expertise von Industrie- und Forschungspartnern wie des Institute of Telecommunications der TU Wien als Projektleiter mit langjähriger, ausgewiesener Erfahrung im Bereich Kommunikationsnetze, Anomalieerkennung und verdeckter Kommunikation, des Austrian Institute of Technologoy (AIT) mit Schwerpunkt Anomalieerkennung in Systemen, der illwerke vkw AG, mit ihrem neu gegründeten Joint-Venture E-VO eMobility GmbH, einer der größten Betreiber österreichweiter E-Mobilitäts-Ladeinfrastruktur, der Wiener Netze GmbH als Betreiber großer Smart Meter-Infrastrukturen, der IKARUS Software GmbH als führendem österreichischer Anti-Viren-Software Hersteller, des Institut für Europarecht, Internationales Recht und Rechtsvergleichung der Universität Wien als Experte für eine rechtliche Beurteilung der entwickelten Verfahren sowie des Bundesministeriums für Inneres als Bedarfsträger.

Ausgehend von der detaillierten Sicherheitsanalyse der kritischen Lade- und Smart Meter-Infrastrukturen wird anhand konkreter Anwendungsfälle das Gefährdungspotenzial von Verschlüsselungsalgorithmen und Protokollen für verdeckte Kommunikation evaluiert.

MALORI führt Ergebnisse Netzwerk- und Host-basierter Erkennungsverfahren in einem holistischen Ansatz zusammen, um Anomalien einschließlich der aktiven Manipulation (Adversarial Machine Learning) in potenziell verschlüsselter Kommunikation besser zu erkennen.

Grundlage ist die Evaluierung möglicher Netzwerk-Steganographie (Covert Channels, Subliminal Channels) in den Protokollen, die in tatsächlichen Smart Meter- und Lade-Infrastrukturen eingesetzt werden und es Angreifern ermöglichen könnte, Malware-Kommunikation zu verstecken. Das Projekt überprüft zudem die ethischen und rechtlichen Rahmenbedingungen als Bedingung für den praktischen Einsatz der entwickelten Angriffs-, Erkennungs- und Abwehrmaßnahmen. Im Rahmen von Machbarkeitsstudien werden ausgewählte theoretische Erkenntnisse von MALORI in realitätsnahen Laborumgebungen implementiert und evaluiert.

Erste herausragende Projektergebnisse zeigen das Vorhandensein von Möglichkeiten verdeckter Kommunikation in den heute implementierten kritischen Infrastrukturen. In einer Veröffentlichung, die im August 2021 beim Criminal Use of Information Hiding(CUING)-Workshop der 16. International Conference on Availability, Reliability and Security (ARES 2021) vorgestellt wurde, zeigt das Projekt MALORI, dass selbst in einer besonders gesicherten kritischen Infrastruktur verdeckte Kommunikation möglich ist.

Wie in Abb. 2 dargestellt, sollen so genannte Crypto Key Management Devices (CKMD) bei besonders schützenswerten Infrastrukturen das kryptographische Schlüsselmaterial vor unbefugtem Zugriff schützen. Während in traditionellen Systemen das symmetrische Schlüsselmaterial bei Kompromittierung eines Systems (durch rote Farbe in Abb. 2 symbolisiert) für Angreifer lesbar ist, erlaubt das CKMD Hardware-Modul nur die Verschlüsselung und Entschlüsselung über definierte Schnittstellen (API), wobei die Schlüssel geheim bleiben.

erdeckte Kommunikation in besonders geschützter kritischer Infrastruktur

Das Projekt MALORI konnte zeigen, dass trotz dieser Sicherungsmaßnahme eine Eigenschaft des sehr häufig eingesetzten Advanced Encryption Standard (AES) Galois Counter Mode (GCM)-Verschlüsselungsalgorithmus für verdeckte Kommunikation genutzt werden kann [1], [2].

Das AES GCM Authentication Tag soll eigentlich die Authentizität der verschlüsselten Nachricht im Rahmen einer Integritätsprüfung sicherstellen. Angreifer können jedoch, wie in der Originalpublikation im Detail beschrieben, das AES GCM Authentication Tag für verdeckte Kommunikation zwischen IIOT-Geräten und Edge Servern missbrauchen.

Als weitere Schwachstelle kann ein kompromittierter Empfänger die Entschlüsselung der Nachricht, die ohne gültiges Authentication Tag durch das CKMD abgelehnt werden müsste, durch Verschlüsselung zufälliger Werte umgehen.

Die weiteren geplanten Endergebnisse von MALORI beinhalten neben Demonstratoren und Machbarkeitsstudien eine Verbesserung der Robustheit der genannten Infrastrukturen, insbesondere eine verbesserte Erkennung von Anomalien und verdeckter Kommunikation.

Weiters sind Maßnahmenkataloge vorgesehen, um Bedarfsträger und Betreiber kritischer Infrastrukturen in deren Bestreben zur Minimierung verdeckter Kommunikation bei der Auswahl geeigneter Protokolle und architektureller Maßnahmen zu unterstützen.

Das Projekt MALORI wird gefördert vom Österreichischen Sicherheitsforschungs-Förderprogramm KIRAS – eine Initiative des Bundesministeriums für Landwirtschaft, Regionen und Tourismus (BMLRT).

Referenzen:
[1]: A. Hartl, J. Fabini, Ch. Roschger, P. Eder-Neuhauser, M. Petrovic, R. Tobler, T. Zseby: "Subverting Counter Mode Encryption for Hidden Communication in High-Security Infrastructures", 16th International Conference on Availability, Reliability and Security (ARES 2021), Wien, Association for Computing Machinery, New York, NY, USA (2021), ISBN: 978-1-4503-9051-4, http://dx.doi.org/10.1145/3465481.3470082
[2]: A. Hartl: Online-Video des Vortrags der Publikation [1] bei ARES 2021: https://www.youtube.com/watch?v=PbvWyJ2YDeY

Projektleitung:
Technische Universität Wien, Institute of Telecommunications, Dr. Joachim Fabini

Projektpartner:
Austrian Institute of Technology
IKARUS Security Software GmbH
illwerke vkw AG
Wiener Netze GmbH
Universität Wien, Institut für Europarecht, Internationales Recht und Rechtsvergleichung
Bundesministerium für Inneres

joachim fabini
Joachim Fabini
Senior Scientist, Technische Universität Wien, Institute of Telecommunications