ChapterPDF Available

Sichere Informationsnetze bei kleinen und mittleren Energieversorgern (SIDATE)

Authors:
Die ITS|KRITIS-Projekte | 29
SI IA
SI IA
SI IA
Im Fokus des Forschungsprojekts SIDATE steht die tech-
nische Unterstützung kleiner und mielgroßer Energie-
versorger bei der Selbsteinschätzung und Verbesserung
ihrer IT-Sicherheit.
Motivation
Eine reibungslos und sicher funktionierende Energiein-
frastruktur ist für fast alle Lebensbereiche der heutigen
Gesellscha grundlegend. Der Schutz dieser Infrastruk-
turen liegt dementsprechend im Interesse der Allgemein-
heit. Um den Anforderungen an eine sichere und nach-
haltige Energieversorgung im Rahmen der Energiewende
gerecht zu werden, wird auch im Energiesektor immer
mehr Informations- und Kommunikationstechnik (IKT)
eingesetzt. Durch die Entwicklung neuer Ansätze zur
Steigerung von Effektivität und Effizienz unterliegt die-
se ständigen Veränderungen. Die Abwehr von Angriffen
auf diese Kritischen Infrastrukturen ist darum eine stän-
dig wachsende Herausforderung. Die meist privatwirt-
schalichen Betreiber stehen dabei vor einer schwieri-
gen Aufgabe: Sie müssen sowohl den Schutz als auch die
Wirtschalichkeit ihrer Infrastrukturen sicherstellen.
Speziell kleine Betreiber mit kleinen IKT-Abteilungen, die
dann o auch eher kleine IT-Sicherheitsabteilungen mit
sich bringen, sind hier besonders herausgefordert. Ziel
des Projektes ist es, hier Lösungsansätze aufzuzeigen.
Ziele und Vorgehen
Im Forschungsprojekt SIDATE werden Werkzeuge und
Konzepte entwickelt, die eine bessere Einschätzung des
vorhandenen Sicherheitsniveaus ermöglichen und da-
mit gleichzeitig helfen, die Sicherheit der Infrastruktu-
ren kleiner und milerer Betreiberfirmen zu verbessern.
Dabei liegt ein besonderes Augenmerk auf der Praxis-
tauglichkeit der Werkzeuge und Konzepte, die auch für
Betreiber mit wirtschalichen, organisatorischen und
personellen Besonderheiten anwendbar sein sollen. Er-
arbeitet werden unter anderem Metriken zur Erfassung
des Sicherheitsniveaus, eine Beschreibungssprache zur
Abbildung der grundlegenden Elemente und Abhängig-
keiten der Infrastruktur sowie eine Wissensdatenbank
und eine Kooperationsplaform zur Unterstützung or-
ganisationsinterner sowie überorganisationaler Kolla-
borations- und Austauschprozesse. Um eine möglichst
große Anwenderfreundlichkeit, auch für Anwender mit
verschiedenen Anwendungs- und Kompetenzprofilen, zu
erreichen, werden dabei verschiedene Stakeholder und
speziell kleine und milere Betreiber sowie Hersteller
von Fernwirksystemen in den Prozess mit eingebunden.
Innovationen und Perspektiven
Neu an diesem Ansatz ist – neben der Fokussierung
auf kleine und milere Unternehmen – dass Selbstein-
schätzungen eine entscheidende Rolle spielen. Mit dem
Werkzeugkasten sollen Betreiber deutlich schneller und
zuverlässiger feststellen können, ob alle gesetzlichen
Auflagen und Richtlinien zur Absicherung der kritischen
Versorgungsinfrastrukturen erfüllt sind. Ob die Umset-
zung auch effektiv und wirtschalich erfolgt, lässt sich
mithilfe von Best- bzw. Good-Practice-Sammlungen be-
antworten.
Förderkennzeichen:
16KIS0239K, 16KIS0240 bis 16KIS0243
Universität Siegen
Goethe-Universität Frankfurt am Main
TÜV Rheinland i-sec GmbH
regio iT gesellscha für informationstechnologie mbH
Arbeitsgemeinscha für sparsame Energie- und
Wasserverwendung im VKU
SIDATE – Sichere Informationsnetze bei kleinen
und mittleren Energieversorgern
Julian Dax, Daniel Hamburg, Sebastian Pape, Volkmar Pipek, Kai Rannenberg,
Christopher Schmitz, André Sekulla, Frank Terhaag
Forschungsprojekt:
SIDATE
... The SIDATE project [49] aimed to support small and medium energy providers to cope with the security requirements. Since most of the small and medium sized German energy providers were in a similar situation and they were not directly competing against each other, the idea was to support their collaboration using a web-based platform. ...
... Besides the surveys, we also got some insights by workshops within the SIDATE project [49] with personnel from energy providers responsible for IT security [46,189]. Since most of the German energy providers were in the same situation and they were not directly competing against each other, the idea was to support their collaboration using a web-based platform. ...
Thesis
Full-text available
In order to address security and privacy problems in practice, it is very important to have a solid elicitation of requirements, before trying to address the problem. In this thesis, specific challenges of the areas of social engineering, security management and privacy enhancing technologies are analyzed: Social Engineering: An overview of existing tools usable for social engineering is provided and defenses against social engineering are analyzed. Serious games are proposed as a more pleasant way to raise employees’ awareness and to train them. Security Management: Specific requirements for small and medium sized energy providers are analyzed and a set of tools to support them in assessing security risks and improving their security is proposed. Larger enterprises are supported by a method to collect security key performance indicators for different subsidiaries and with a risk assessment method for apps on mobile devices. Furthermore, a method to select a secure cloud provider – the currently most popular form of outsourcing – is provided. Privacy Enhancing Technologies: Relevant factors for the users’ adoption of privacy enhancing technologies are identified and economic incentives and hindrances for companies are discussed. Privacy by design is applied to integrate privacy into the use cases e-commerce and internet of things.
... This way players can learn about the attackers' perspective, their vulnerabilities and get a better understanding of potential attack vectors. Fig. 2a shows a scenario plan for small energy providers [11,38] and Fig. 2b describes one of the personas from the scenario. ...
Chapter
Serious games seem to be a good alternative to traditional trainings since they are supposed to be more entertaining and engaging. However, serious games also create specific challenges: The serious games should not only be adapted to specific target groups, but also be capable of addressing recent attacks. Furthermore, evaluation of the serious games turns out to be challenging. While this already holds for serious games in general, it is even more difficult for serious games on security and privacy awareness. On the one hand, because it is hard to measure security and privacy awareness. On the other hand, because both of these topics are currently often in the main stream media requiring to make sure that a measured change really results from the game session. This paper briefly introduces three serious games to counter social engineering attacks and one serious game to raise privacy awareness. Based on the introduced games the raised challenges are discussed and partially existing solutions are presented.
ResearchGate has not been able to resolve any references for this publication.