Industrial IT Security

Größe: px

Ab Seite anzeigen:

Download "Industrial IT Security"

Agnes Huber
vor 2 Jahren
Abrufe

Transkript

1 Industrial IT Security Herausforderung im 21. Jahrhundert Cyber Security in kritischen Energie-Infrastrukturen 2013 KORAMIS AG

2 Träger der Energiezukunft 1. Linie Versorgungskette 2. Linie primäre Treiber Energiewirtschaft (vorrangig EVUs) Banken und Versicherungen Wirtschaftsprüfer Auditing 3. Linie Regelwerke Informations- und Kommunikationstechnologien Infrastruktur Hersteller/Dienstleister Verbände/Ausbildung Forschung & Entwicklung Regulator Normierungs-Gremien Energie- und Cyberstrategie des Bundes Ziel sichere Energieversorgung Politik & Interessengruppen 2013 KORAMIS AG 2

Linie Regelwerke Informations- und Kommunikationstechnologien Infrastruktur Hersteller/Dienstleister

3 die Zukunft ist vernetzt und das Netz schlägt zurück 2013 KORAMIS AG 3

4 Nur Risiko Konkret Abstrakt Chance & Risiko 2013 KORAMIS AG 4

5 wer ist denn gerade online 2013 KORAMIS GmbH 5

6 2013 KORAMIS AG 6

7 2013 KORAMIS AG 7

8 Nie mehr das Passwort vergessen 2013 KORAMIS AG 8

9 USB Schnittstellen verschlossen und geschützt 2013 KORAMIS AG 9

10 2013 KORAMIS AG 10

11 und darum herum - neue Marktentwicklung mit Angriff auf Bestellung 2013 KORAMIS AG 11

12 Wen trifft es denn 2013 KORAMIS AG 12

13 Aspekte der IT Security haben sich dramatisch verändert Awareness eingefahrene Prozesse Überlastung der Menschen Komplexität steigt und eine vollständige IT Vernetzung der Systeme unsichere Komponenten Know-how fehlt unsichere Infrastruktur Innovationszyklen / beta Quelle Wikipedia: Grobe Struktur eines Stromnetzes 2013 KORAMIS AG 13

Vernetzung der Systeme unsichere Komponenten Know-how fehlt unsichere Infrastruktur

14 Cyberstrategie des Bundes 2013 KORAMIS AG 14

15 Ein Schlüsselfaktor: Mensch Ich kann die Bewegung der Himmelskörper berechnen, aber nicht das Verhalten der Menschen. Isaac Newton ( ), engl. Physiker, Mathematiker u. Astronom 2013 KORAMIS AG 15

Social engineering Ein Kraftwerk zu hacken, ist einfach. Viel zu einfach, wie der Sicherheitsforscher Tyler Klingler vom Unternehmen Critical Intelligence bewies.

16 Social engineering Ein Kraftwerk zu hacken, ist einfach. Viel zu einfach, wie der Sicherheitsforscher Tyler Klingler vom Unternehmen Critical Intelligence bewies. Bei einer Konferenz über Computersicherheit in Miami zeigte Klingler, wie leicht er an die -Adressen auch von wichtigen Ingenieuren und Technikern in industriellen Großanlagen gelangen und diese dann zu einem Klick auf eine von ihm gesteuerte Website verleiten konnte. So ein Klick ist der erste Schritt zum Kraftwerkshack. Die Erfolgsquote war hoch: In einem Unternehmen mit rund 300 Angestellten identifizierte Klinglers Team 23 Mitarbeiter, Klingler suchte sich die Namen und Kontaktdaten bei Jigsaw einer Datenbank für Geschäftskontakte, die mit industriellem vergleichbar Kontrollsystem mit Xing oder LinkedIn. arbeiteten, Mithilfe von von ihnen LinkedIn konnte Klingler klickten viele sieben dieser auf Adressen den verifizieren Link in der und . auch feststellen, Bei einem mit wem anderen sie in Kontakt standen. Unternehmen mit 200 Angestellten klickten von 49 angeschriebenen Der Rest war klassisches Mitarbeitern social engineering. elf auf den In Link. s mit gefälschten Absender- Adressen schrieb er Ingenieure und Techniker an, die verschiedene Kontrollfunktionen in Kraftwerken und an Ölpipelines innehatten. In diesen E- Mails verlinkte er vermeintliche Jobangebote und Fortbildungen für gängige Steuerungsprogramme solcher Anlagen. Ein echter Angreifer hätte an dieser Stelle mit Schadcode verseuchte Seiten verlinkt und darauf gewartet, dass ein Mitarbeiter vom Arbeitsplatz aus darauf zugreift KORAMIS AG 16

diese dann zu einem Klick auf eine von ihm gesteuerte Website verleiten konnte. So ein Klick ist der erste Schritt zum Kraftwerkshack.

17 Ist - Risiko- Schwachstellen-Analyse 2013 KORAMIS AG 17

18 Maßnahmen Umsetzungen bedeuten unter ICS Aspekten: technologische - Herausforderungen 2013 KORAMIS AG 18

19 Zwei Praxisbeispiele Energie Pilotprojekt bei einem der großen internationalen Energieerzeuger ( ) bzgl. ganzheitlichem Industrial IT Security Ansatz. Über Beratung, Risikoanalyse, Schulung, Technologie-Integration bis zu Managed Security Services und Einhaltung von Richtlinien (Compliance). Erstes Industrial Security Projekt dieser Art in Deutschland. Pilotprojekt bei einem der größten Energieversorger Deutschlands (2012) bzgl. ganzheitlichem Industrial IT Security Ansatz. Von Consulting-Dienstleistungen, Industrial Security Strategieentwicklung, Integration von Security-Technologien, Schulungen bis hin zur automatisierten Compliance-Überwachung KORAMIS AG 19

Erstes Industrial Security Projekt dieser Art in Deutschland. Pilotprojekt bei einem der größten Energieversorger Deutschlands (2012) bzgl.

20 Balance wahren zwischen Organisatorischen & Technischen Maßnahmen 2013 KORAMIS AG 20

21 Firma I 2013 KORAMIS AG Folie 21

22 Firma II 2013 KORAMIS AG Folie 22

23 KORAMIS GmbH Quartier Eurobahnhof Europaallee 5 D Saarbrücken Tel.: +49 (0)681 / KORAMIS AG Alpenstrasse 1 CH-6304 Zug Tel.: +41 (0) KORAMIS AG 23

Ähnliche Dokumente

Industrial Defender Defense in Depth Strategie

Industrial Defender Defense in Depth Strategie Security aus der Sicht eines Dienstleisters Michael Krammel KORAMIS Unternehmensverbund mit 80 Mitarbeitern in 7 regionalen Niederlassungen in D und CH Seit