Project

SIDATE

Goal: Due to the recent German and European regulations for critical infrastructures, the concerned companies and especially energy providers are required to get certifications for their security. As a consequence in particular small and medium-sized energy providers struggle to fulfil the requirements. Compared to larger providers, there is a lack of financial and human resources which they could utilise for IT security. The aim of the SIDATE project is to develop tools and concepts in order to support small and medium-sized energy providers to continuously improve their security. Since many of them face same challenges, a natural solution to support them is to stimulate inter-organisational collaboration. This should be done by building an inter-organisational collaboration platform for energy providers. The platform should enable the energy providers to share their knowledge about IT security in a structured way. One of the platform’s modules should be a security self-assessment and benchmarking module, so the energy providers can easily assess and compare their security level.

Updates
0 new
0
Recommendations
0 new
0
Followers
0 new
7
Reads
0 new
50

Project log

Sebastian Pape
added a research item
Kleine und mittelständische Unternehmen haben oftmals große Probleme in der Einführung eines ISMS und einer Verbesserung der eigenen IT-Sicherheit. Besonders kritische Infrastrukturen wie Energienetzbetreiber sind gesetzlich dazu verpflichtet ein ISMS einzuführen und für eine bestmögliche Sicherheit zu sorgen. Diesen Unternehmen fehlt es jedoch oftmals an möglichen Mitteln und Erfahrungen. Mit dem Forschungsprojekt SIDATE soll dieses Wissensdefizit untersucht und analysiert werden. Es wurden mehrere leichtgewichtige Werkzeuge entwickelt, die auf einer zentralen Wissens-und Austauschplattform angesiedelt sind. So sollen mit der Entwicklung einer leichtgewichtigen Beschreibungssprache und dem zugehörigen Demonstrator kleine und mittelständische Energienetzbetreiber unterstützt werden. Mit dieser Arbeit möchten wir den Demonstrator zur Beschreibung, Visualisierung und Untersuchung auf IT-Sicherheit einer kritischen Infrastruktur vorstellen. Mit der Beschreibungssprache ist es zudem möglich Angriffszenarien und Angriffsbäume zu visualisieren, um mögliche Sicherheitslücken besser aufdecken zu können. Insbesondere soll dieses Werkzeug durch Exportfunktionen einen Erfahrungsaustausch zwischen den Nutzern bzw. Energienetzbetreibern fördern und eine Steigerung der IT-Sicherheit stärken.
Sebastian Pape
added 5 research items
Bei Social Engineering (SE) wird durch Beeinflussungen der Opfer versucht, ein bestimmtes Verhalten hervorzurufen und auszunutzen, um sensible Informationen zu beschaffen. Laut dem aktuellen Datensatz des Data Breach Investigations Report [1] enthalten 43 % aller Datendiebstähle einen SE-Angriff. Dabei ist der SE-Angriff oft der erste Schritt eines größeren Angriffs, bei dem der Angreifer die dort gewonnen Informationen für weitere Angriffe verwendet. Zur Zeit haben Firmen hauptsächlich zwei Strategien, um SE-Angriffe abzuwehren: Einerseits können sie Penetration Tester beauftragen, die als "gutartige Hacker" die Mit-arbeiter angreifen und dabei Schwachstellen finden sollen. Leider ist dieser Ansatz nicht ganz unproblematisch. Experimente haben gezeigt, dass dieser Ansatz auch dazu führen kann, dass Angestellte demotiviert werden, wenn sie mit den Ergebnissen des Tests konfrontiert werden. Außerdem kann ein derartiger Test in das Persönlich-keitsrecht der Mitarbeiter eingreifen, sodass es zahlreiche arbeitsrechtliche Anforderungen an SE Penetration-Tests gibt [2, 3]. Andererseits können Firmen Schulungen und Security-Awareness-Trainings durchführen, in denen die Mitarbeiter auf Socia-Engineering-Bedrohungen hinge-wiesen werden. Oft sind diese Schulungen verpflichtend, haben aber keinen lang anhaltenden Effekt [4]. Eine dritte Möglichkeit sind Serious Games, d. h. Spiele, die neben Unterhaltung auch ein ernsthaftes Ziel verfol-gen. Diese können zum Beispiel für Awareness-Trainings eingesetzt werden, um Mitarbeiter auf mögliche IT-Si-cherheitsbedrohungen aufmerksam zu machen. HATCH Eines der beschriebenen Serious Games ist HATCH (siehe Abbildung 1), das das Verständnis der Arbeitnehmer von SE verbessert [5]. Durch das Spiel kann außerdem eine Liste möglicher SE-Bedrohungen erstellt werden, die zur Verbesserung der Sicherheit dienen kann [6]. Je nach Ziel wird mit einem ausgedachten (virtuellen) Szenario oder einem (realistischen) Szenario, das das reale Arbeitsumfeld abbildet, gespielt. Virtuelle Szenarien Beim Einsatz von HATCH zu Schulungs- und Awarenesszwecken kommen virtuelle Szenarien zum Einsatz. Diese bestehen aus einem Plan einer Abteilung oder Firma (siehe Abbildung 2 links) und für jede der im Plan dargestellten Mitarbeiter existiert eine Persona-Karte, die die grundlegenden Eigenschaften des Mitarbeiters skizziert (siehe Abbildung 2 rechts). Aufgabe der Spieler ist es nun, sich einen auf Basis der gezogenen Karten möglichst plausiblen Angriff auszudenken, der die Eigenheiten der im Spiel vorhandenen Mitarbeiter ausnutzt. Der gefundene Angriff wird dann von den Mitspielern auf Plausibilität bewertet.
Sebastian Pape
added a research item
A web-based platform was developed to support the inter-organisational collaboration between small and medium-sized energy providers. Since critical infrastructures are subject to new security regulations in Germany, the platform particularly serves for the exchange of experience and for mutual support in information security. The focus of this work is the security self-assessment component. In order to ease the burden of going through a long questionnaire we have implemented small, motivating modules that are spread across the platform. The data entered is used for an individual risk assessment but also for a fine granular inter-organisational security benchmarking which builds a common added value for the entire community on the platform and strengthens the community building process. We implemented a prototype of the platform and evaluated the it in a focus group.
Sebastian Pape
added a research item
As part of the research project "Secure information networks of small- and medium-sized energy providers" (SIDATE), a survey about the IT security status of German energy providers was conducted. The project itself is focused on the IT security of small- and medium-sized energy providers. In August 2016, 881 companies listed by the Federal Network Agency were approached. Between, September 1 st 2016 and October 15 th 2016, 61 (6.9%) of the companies replied. The questionnaire focuses on the implementation of the regulatory requirements and on the implementation of an information security management system (ISMS). Additionally, questions about the energy control system, the network structure, processes, organisational structures, and the IT department were asked. Questions were asked in German, so all questions and answers are translated for this report. ----- Innerhalb des Forschungsprojektes "Sichere Informationsnetze bei kleinen und mittleren Energieversorgern" (SIDATE) wurde eine Umfrage zum Stand der IT-Sicherheit bei deutschen Stromnetzbetreibern durchgef\"uhrt. Das Projekt selbst besch\"aftigt sich mit der nformations-Sicherheit bei kleinen und mittleren Energieversorgern. Zur Durchf\"uhrung der Umfrage wurden alle 881 im August 2016 bei der Bundesnetzagentur gelisteten Betreiber angeschrieben. In dem Umfragezeitraum vom 1. September 2016 bis zum 15. Oktober 2016 antworten 61 (6.9%) der Betreiber. Der Fragebogen fokussiert die Umsetzung der rechtlichen Anforderungen und die Implementierung eines Informationssicherheitsmanagementsystems (ISMS). Weiterhin wurden Fragen zu dem Leitsystem, Netzaufbau, Prozessen, organisatorischen Strukturen und der B\"uro-IT gestellt.
Sebastian Pape
added 2 research items
Eine sicher funktionierende Energieinfrastruktur ist für fast alle Lebensbereiche unserer heutigen Gesellschaft grundlegend. Damit die Energieversorgung im Rahmen der Energiewende auch nachhaltig sichergestellt werden kann, wird auch im Energiesektor immer mehr Informations-und Kommunikationstechnik (IKT) eingesetzt. Gleichzeitig erhöht sich dadurch jedoch auch das Risiko für IT-basierte Angriffe auf die Kritische Infrastruktur. Die effektive und effiziente Absicherung der eigenen Infrastruktur vor solchen Angriffen stellt insbesondere kleine und mittelgroße Energienetzbetreiber mit begrenzten Ressourcen vor eine besondere Herausforderung. Im Forschungsprojekt SIDATE 1 setzen wir an dieser Stelle an und erarbeiten geeignete Konzepte und Werkzeuge, die kleine und mittelgroße Energieversorger bei der Verbesserung ihrer IT-Sicherheit angemessen unterstützen sollen. Der Forschungsschwerpunkt liegt dabei auf den drei Kernthemen Bewertung von IT-Sicherheit, Wissensaustausch und Zertifizierung. Wir verfolgen im Projekt eine praxisnahe Forschungsmethodik die einen intensive Einbeziehung der Energieversorger in den gesamten Forschungsprozess vorsieht.
Eine sicher funktionierende Energieinfrastruktur ist für fast alle Lebensbereiche unserer heutigen Gesellschaft grundlegend. Damit die Energieversorgung im Rahmen der Energiewende auch nachhaltig sichergestellt werden kann, wird auch im Energiesektor immer mehr Informations- und Kommunikationstechnik (IKT) eingesetzt. Gleichzeitig erhöht sich dadurch jedoch auch das Risiko für IT-basierte Angriffe auf die Kritische Infrastruktur. Die effektive und effiziente Absicherung der eigenen Infrastruktur vor solchen Angriffen stellt insbesondere kleine und mittelgroße Energienetzbetreiber mit begrenzten Ressourcen vor eine besondere Herausforderung. Im Forschungsprojekt SIDATE setzen wir an dieser Stelle an und erarbeiten geeignete Konzepte und Werkzeuge, die kleine und mittelgroße Energieversorger bei der Verbesserung ihrer IT-Sicherheit angemessen unterstützen sollen. Der Forschungsschwerpunkt liegt dabei auf den drei Kernthemen Bewertung von IT-Sicherheit, Wissensaustausch und Zertifizierung. Wir verfolgen im Projekt eine praxisnahe Forschungsmethodik die einen intensive Einbeziehung der Energieversorger in den gesamten Forschungsprozess vorsieht.
Sebastian Pape
added a project goal
Due to the recent German and European regulations for critical infrastructures, the concerned companies and especially energy providers are required to get certifications for their security. As a consequence in particular small and medium-sized energy providers struggle to fulfil the requirements. Compared to larger providers, there is a lack of financial and human resources which they could utilise for IT security. The aim of the SIDATE project is to develop tools and concepts in order to support small and medium-sized energy providers to continuously improve their security. Since many of them face same challenges, a natural solution to support them is to stimulate inter-organisational collaboration. This should be done by building an inter-organisational collaboration platform for energy providers. The platform should enable the energy providers to share their knowledge about IT security in a structured way. One of the platform’s modules should be a security self-assessment and benchmarking module, so the energy providers can easily assess and compare their security level.