Cyber-Defence Campus Hackathon zu Forensik in Energiesystemen

Der Hackathon brachte über 35 Cyber-Expertinnen und -Experten aus Akademie, Privatwirtschaft und Verwaltung zusammen. Die Ziele waren, den Wissensaustausch in der Cyber-Community zu fördern, Schwachstellen in industriellen Kontrollsystemen zu finden sowie wirksame Gegenmassnahmen zu entwickeln.

ZVom 11. bis 14.September 2023 fand der Industrial Control Systems (ICS) Hackathon in Thun statt und wurde vom Cyber-Defence Campus zusammen mit der Hochschule Luzern durchgeführt. Zu den über 35 Teilnehmenden gehörten Forschende des CYD Campus und der Schweizer Armee, Mitarbeitende von Energieversorgern wie EWS AG Schwyz, Soldaten des Cyber Bataillons 42, Studierende diverser Hochschulen,Expertinnen und Experten aus der Privatwirtschaft, von OMICRON electronics GmbH, Nozomi Networks, SBB, Hitachi Energy und ALSEC Cyber Security Consulting.

Der Hackathon widmete sich dem Thema Forensik und Angriffserkennung in kritischen Infrastrukturen wie zum Beispiel in Energiesystemen. Hier wurde folgender Fall genauer unter die Lupe genommen: Ein System zur Angriffserkennung hat bestimmte Indikatoren für einen möglichen Cyber-Angriff erkannt, konnte jedoch den bevorstehenden Angriff nicht mit absoluter Gewissheit bestätigen.

In solchen Momenten ist eine tiefgehende Untersuchung des Systems unumgänglich. Die Frage lautet: Handelt es sich wirklich um einen Angriff, der sofortige Gegenmassnahmen erfordert? Oder könnte auch ein falscher Alarm ausgelöst worden sein? Hier kommt der im Hackathon getestete neuartige forensische Ansatz ins Spiel. Dieser Ansatz unterscheidet sich von den klassischen Forensik-Ansätzen dadurch, dass der Fokus auf das zu untersuchende System gelegt wird, und entweder bewiesen wird, dass das System sauber ist, oder ein Angriff nachgewiesen werden muss. In der klassischen Forensik tritt die Beweissicherung in den Vordergrund, während hier die Verfügbarkeit sehr wichtig ist. Dieser berücksichtigt auch die Besonderheiten des Steuerungssystems sowie die hohen Anforderungen an die Verfügbarkeit des Schweizer Stromnetzes, denn die Systeme müssen zum einen verfügbar bleiben, zum anderen ist das System durch hohe Standardisierung genormt.

Ablauf des Hackathons

Um den Hackathon praktisch auszurichten, wurden zwei Labore genutzt. Einerseits das Pumpspeicherkraftwerk des Cyber-Defence Campus. Dieses verfügt über mehrere Wasserbassins, die mittels Leitungssysteme und Pumpen verbunden sind und durch ein industrielles Steuerungssystem kontrolliert werden. Das Pumpspeicherkraftwerk besitzt Funktionen um den Wasserstand zu messen oder um Ventile und Pumpe zur Stromerzeugung zu betreiben. Zum anderen wurde das sogenannte Krinflab der Hochschule Luzern genutzt. Dieses stellt ein fiktives Schweizer Unterwerk mit einer Leitstelle und sechs Unterstationen dar und nutzt Geräte, die auch in der Realität verwendet werden.

Zur Einführung in forensische Verfahren wurde zu Beginn des Hackathons, unter der Leitung von Dr. Hannes Spichiger und Prof. Dr. Sebastian Obermeier, beide von der Hochschule Luzern (HSLU), ein Cyber Training zum Thema «Digitale Forensik» durchgeführt. Dabei konnten die Teilnehmenden gezieltes Wissen erwerben und es in praktischen Übungen direkt umsetzen. Parallel konnten alle Teilnehmenden auch in den vorhandenen Laboren selbständig arbeiten und Experimente durchführen.

Outputs der Testungen

Folgende technische Ergebnisse wurden erzielt:

Entdeckung von Hardware-Schwachstellen:
Die Teilnehmenden untersuchten die Hardware des Krinflab und konnten Schwachstellen darin aufdecken, wie zum Beispiel nicht geschützte Firmware auf sogenannten Compact Flash Karten oder ungesicherte Zugänge in das Gerät. Diese Befunde sind von hoher Bedeutung, da sie potenzielle Einfallstore für Cyberangriffe darstellen. Im Sinne der verantwortungsvollen Offenlegung wurden die Hersteller dieser Geräte umgehend über diese Schwachstellen informiert.

Bestätigung der Anwendbarkeit von forensischen Ansätzen:
Ein weiteres Ergebnis war die Bestätigung der Anwendbarkeit forensischer Ansätze für Energiesysteme. Dies ermöglicht eine präzisere Untersuchung von Sicherheitsvorfällen und stellt einen entscheidenden Schritt in Richtung effektiverer Cyberverteidigung dar. Gleichzeitig wurden jedoch auch Limitierungen aufgedeckt, welche die zukünftige Forschung und Entwicklung inspirieren werden.

Wie weiter

Der Cyber-Defence Campus und die HSLU werden die Ergebnisse des Hackathons auswerten und zu einem späteren Zeitpunkt in Form von Publikationen der breiten Öffentlichkeit zugänglich machen.

Das Projekt «Cyber Training» wurde als Reaktion auf die sich ständig ändernden Anforderungen und die zunehmende Komplexität der Cybersicherheit auf nationaler Ebene von Viola Amherd, als Teil der Cyber Strategie ins Leben gerufen. Ziel ist es, technische und strategische Übungen für Behörden mit kritischen Infrastrukturen, welche von nationaler Bedeutung sind und an Hochschulen anzubieten. Die geplanten interdisziplinären Übungsformate fokussieren inhaltlich auf die Weiterentwicklung von allgemeingültigen Mechanismen und Entscheidungsprozessen zur Bewältigung von Cyber-Angriffen.