Steuergerät (Steuerbox) Sichere Architektur
András ZENTAI

Projektleiter für das Informations-Sicherheitsmanagement System 2. Juni 2020


Dieser kurze Artikel befasst sich mit der Überprüfung der Design-Sicherheit von Prolan neuestem Produkt für die intelligenten Messsysteme des deutschen Energiemarktes, dem Steuergerät, auch Steuerbox genannt. [1]

Der Energiemarkt befindet sich in einer beispiellosen Transformation, die durch die weite Verbreitung der Erzeugung erneuerbarer Energien und die Digitalisierung der Energieverteilung vorangetrieben wird. Das herkömmliche zentralisierte Verteilungssystem, in dem die Energie vom Kraftwerk zum Endverbraucher fließt, wird in ein intelligentes Netz umgewandelt, in dem die Energie und die Informationen über Energieverbrauch und -produktion in viele Richtungen fließen. Diese Änderungen erhöhen den Bedarf an fortschrittlicher Messkommunikation und Aktuatoren. Die landesweite Einführung intelligenter Messsysteme ist jedoch mit nicht unerheblichen Kosten, technischen Herausforderungen und Risiken verbunden. Die Gewährleistung der Anforderungen an Interoperabilität, Datenschutz und Datensicherheit sind einige Aspekte, denen mehr Aufmerksamkeit gewidmet werden sollte. Der Grundstein dafür wurde in Deutschland mit dem BSI-Schutzprofil [2] und der dazugehörigen technischen Richtlinie [3] gelegt. [4]

Prolan ist seit 1990 Hersteller von Energiemanagementgeräten. Die Produktlinie der Energiegeräte des Unternehmens umfasst unter anderem einen langwelligen Funk-Rundsteuerempfänger (FRE) und einen Tonfrequenz-Rundsteuerempfänger (TRE), die bei Verbrauchern zur Verwaltung der speziellen Tarifnutzung installiert werden. Neben unseren Hauptkunden in Ungarn verkaufen wir sie auch an Versorgungsunternehmen in Deutschland. Unsere ständige Weiterentwicklung zielt darauf ab, eine breite Palette von Produkten bereitzustellen, die die Anforderungen intelligenter Netzwerke erfüllen, wie z.B. Zählerfernauslesung (AMR) [5] und Steuergerät (Steuerbox) [1] für intelligente Messsysteme. Die Systemarchitektur des intelligenten Messsystems ist in Abbildung 1 [1] dargestellt, in der CLS für Controllable Local Systems (kontrollierbares lokales System), HAN für Home Area Network (Netzwerke im Haus), SMGw für Smart Meter Gateway (intelligentes Zähler-Gateway), WAN für Wide Area Network (Weitbereichsnetz) und LMN für Local Metrological Network (lokales messtechnisches Netzwerk), und PKI für Public Key Infrastructure (Public-Key-Infrastruktur) steht. In dieser Architektur stellt SMGw die höchsten Sicherheitsanforderungen, da es eine Verbindung über das öffentliche Netzwerk herstellt, aber auch andere Komponenten hohe Sicherheitsstandards erfüllen müssen. Das Sicherheitskonzept einer Steuerbox basiert auf den Standards ISO 27001 und 27019. Die meisten Anforderungen dieser Standards konzentrieren sich auf die Prozesse und Richtlinien des Unternehmens, aber es gibt einige, die in Bezug auf das tatsächliche Produkt interpretiert werden könnten. Eine der wichtigsten Sicherheitsanforderungen besteht darin, die Sicherheit bereits vom Beginn des Designs zu berücksichtigen. Das Prinzip der tiefengestaffelten Sicherheitsarchitektur kann nur auf diese Weise vollständig berücksichtigt werden. Um sicherzustellen, dass keine Sicherheitslücken im Design verbleiben, bat Prolan Ukatemi [6], ein international renommiertes IT-Sicherheitsunternehmen, unser Produktdesign der Steuerbox zu überprüfen.  

Ziele der Design-Prüfung:

  • zu prüfen, ob alle Sicherheitsanforderungen aus den FNN-Steuerbox-Anforderungen [7] berücksichtigt werden, insbesondere die folgenden:
    • kryptografische Verfahren (gemäß BSI TR-03109 HKS 3,4,5 unter Berücksichtigung von BSI TR-03116)
    • Zertifikats- und Schlüssel-Management,
    • Firmware-Authentifizierung,
    • Authentifizierung und Sicherheitskonformität von Updates.
  • das Vorhandensein von Verfahren und Lösungen zu untersuchen, die den Ausschluss typischer Schwachstellen sicherstellen, die auf Design-Ebene ausgenutzt werden können;
  • die Verwendung von Einstellungen und Lösungen vorzuschlagen, die die Fähigkeit eines potenziellen Angreifers ausschließen oder zumindest erheblich verringern können
  • Kontrolle über das Gerät zu erlangen,
    • beliebigen Code auf dem Gerät auszuführen,
    • den Firmware-Aktualisierungsprozess zu beschädigen (z.B. Angriff auf Speicherbeschädigung),
    • den Betrieb des Geräts zu stören oder zu sabotieren,
    • es zu erzwingen, dass das Gerät unerwartet funktioniert,
    • Kontrolle durch Wiederholung der Kommunikation zu täuschen,
    • das Gerät vollständig funktionsunfähig zu machen („bricking“), oder wenn eine Verhinderung nicht möglich ist, muss sichergestellt werden, dass das Gerät in der richtigen Konfiguration wiederhergestellt wird, vorzugsweise durch Remote-Datenverbindung (Disaster Recovery/Notfallwiederherstellung).

Die Zusammenarbeit mit Ukatemi begann mit der Bereitstellung aller relevanten Dokumente, die für die Sicherheitsüberprüfung des Designs erforderlich sind. Die Ingenieure von Ukatemi verstanden die Funktionen der Steuerbox sehr schnell und begannen nach Rücksprache über einige technische Details mit der Überprüfung der Konstruktionssicherheit.

Die meisten Ergebnisse der Design-Sicherheitsüberprüfung sind vertraulich und bleiben dies zumindest so lange, bis Prolan sie behebt.

Die Zusammenarbeit mit Ukatemi war für Prolan sehr nützlich. Als Ergebnis erhielten wir Feedback zu unserer Design-Sicherheit und sie gaben uns nützliche Ratschläge, wo und wie wir die Sicherheit dieses Produkts verbessern können.

[1] Prolan Co., https://steuerbox.eu, zugegriffen: 26. Mai 2020 13:40:00

[2] BSI: Smart Meter Gateway PP, Version 1.2, Zertifizierungs-ID: BSI-CC-PP-0073, 2013.

[3] BSI: Technische Richtlinie BSI TR-03109, Version 1.0, 2013.

[4] BMWI Endbericht KNA Smart Metering, 2013.

[5] https://prolan.hu/en , zugegriffen: 27. Mai 2020 12:44:00

[6] Ukatemi https://www.ukatemi.com, zugegriffen: 26. Mai 2020 13:46:00

[7] FNN Lastenheft Steuerbox Funktionale und konstruktive Merkmale

SYSTEMARCHITEKTUR


STEUERBOX SYSTEM
Download