Lösungen für die Cybersicherheit in der Produktion

Transkript

1 Lösungen für die Cybersicherheit in der Produktion Prof. Dr. Michael Waidner TU Darmstadt & Fraunhofer-Institut für Sichere Informationstechnologie? 4. Handelsblatt Jahrestagung»Strategie Cybersecurity 2014«Berlin, November 2014

2 Inhalt 1. Industrie 4.0 und IT-Sicherheit 2. Beispielprojekte 3. Zusammenfassung 2

3 Die 4. Industrielle (R)evolution Sicherheit & Industrie 4.0 = Sicherheit & Cloud, Big Data, CPS, ICS,... Cloud Horizontale Integration: Neue Wertschöpfungsnetze Durchgängigkeit des Engineering: Verschmelzung der digitalen und realen Welt Vertikale Integration: Rekonfigurierbarkeit und digitale Durchgängigkeit Big Data Cyber-Physical Systems Industrial Control Systems Quelle: DFKI 2011, FU / acatech, Berlin

4 IT-Sicherheit wird als Barriere für I4.0 wahrgenommen VDE-Trendreport 2013 Quelle: VDE-Trendreport 2013, Befragung Unternehmen und Hochschulen 4

5 IT-Sicherheit wird als Barriere für I4.0 wahrgenommen Beispiele 5

6 Evolution der industriellen IT Sicherheit Folgt (langsam) der allgemeinen Entwicklung der IT-Sicherheit State of the Art IT, ca State of the Art IT, ca Sicherheit für heutige Industrielle IT Sicherheit für»industrie 4.0«Hacking CPS Kein Air Gap, alles verbunden Outsourcing von Kern-Diensten Geteilte Ownership von Maschinen Verlust von Perimeter-Kontrolle Funktionen und Daten gehen in die Cloud Notwendigkeit für sichere Identitäten und vertrauenswürdige Infrastrukturen Komplexität erfordert»security by Design«Big Data führt zu Vertraulichkeitsproblemen 6

7 Prioritäten für die industrielle IT-Sicherheit Geschäfts und Produktions-IT schwer vergleichbar Business IT Industrie 3.0 Industrie 4.0 Design focus on security Design focus on safety Off as basic safe state Confidentiality, Integrity Complex safe states Integrity, Availability Complex failure cascades Confidentiality and knowledge protection due to cross company service orientation Gleiche Definition von IT-Sicherheit Protection of IP and data Soft timing requirements Protection of data and physical objects Hard timing requirements PII from employees and customers Ähnliche Probleme Large number of digital entities Unlimited resources Defined environment Trained users Small number of digital entities Resource constrained Rough, insecure environment Very large number of devices, identities, events, M2M/D2M relations Strong accountability due to cross company service orientation Unterschiedliche Anforderungen Machine = Innovation Cycle Machine >> Security & Innovation Cycle Bidirectional secure integration with business IT (ERP, cloud, big data,...) Open system, connected Closed system, disconnected 7

8 Prioritäten für die industrielle IT-Sicherheit 1. Integrität / Integrity Sabotage Unbemerkter Verlust ab Produktqualität Unbemerkte Zunahme an Ressourcenverbrauch Unbemerktes Nutzen gefälschter Komponenten 2. Verfügbarkeit / Availability Shutdown im unsicheren Zustand Verlust an Produktivität 3. Zurechenbarkeit / Accountability Unfähigkeit, notwendige Beweise vorzulegen Keine Problemerkennung bzw. Attribution 4. Vertraulichlichkeit / Confidentiality Wirtschaftsspionage Produktpiraterie Mitarbeiter- bzw. Kunden-Datenschutz 8

9 Angriffspunkte in der Industrie Service IaaS Clients Big Data Designs Business IT Industrial IT 9

10 Was folgt daraus für die Forschung? Sechs wichtige Themenfelder für Sicherheit & Industrie 4.0 Bauanleitungen»Security by Design«für Einzel- und Gesamtsysteme Vertrauenswürdige Infrastrukturen und sichere Identitäten Wissensschutz, Piraterieschutz und Nachweisbarkeit Benutzbarkeit Faktor Mensch Rechtssicherheit und Datenschutz Quelle: 10

11 Wichtige Regel für die Praxis: 80/20 für IT-Sicherheit Best Practices, z.b. von BSI, SANS 20 80% Nutzen für 20% Kosten Change & Configuration Management Inventory of Authorized and Unauthorized Devices Inventory of Authorized and Unauthorized Software Secure Configurations for Hardware and Software on Mobile Devices, Laptops, Workstations, and Servers Secure Configurations for Network Devices such as Firewalls, Routers, and Switches Identity & Access Management Account Monitoring and Control Controlled Access Based on the Need to Know Controlled Use of Administrative Privileges Application Security Application Software Security Awareness & Training Penetration Tests and Red Team Exercises Security Skills Assessment and Appropriate Training to Fill Gaps Security Information & Event Management Maintenance, Monitoring, and Analysis of Audit Logs Vulnerability Management & Incident Response Continuous Vulnerability Assessment and Remediation Incident Response and Management Network Security Limitation and Control of Network Ports, Protocols, and Services Secure Network Engineering Wireless Device Control Perimeter Defense, Intrusion Detection & Prevention Boundary Defense Data Loss Prevention Malware Defenses Business Continuity & Recovery Data Recovery Capability Textquelle: 11

12 Empfehlungen und Standards NIST SPUB Draft VDMA: Umfrage NIST SPUB Draft VDI 2128 BSI: ICS Security Kompendium IEC

13 Inhalt 1. Industrie 4.0 und IT-Sicherheit 2. Beispielprojekte 3. Zusammenfassung 13

14 Fraunhofer-Institut für Sichere Informationstechnologie SIT 170 Mitarbeiter in Darmstadt und St. Augustin (Bonn) Cloud Computing Secure Engineering Mobile Systems Industrie 4.0 Security Test Lab Security & Risk Management Identity, Privacy, Encryption IT Forensics Mitglied der Darmstädter Cybersicherheits-Zentren Network Security Media Security 14

15 Fraunhofer-Institut für Sichere Informationstechnologie Industrie 4.0 Testen und Bewerten von Sicherheitskonzepten, Technologien, Cloud-Angeboten Industrial Rights Management, Trusted Core Network, Anti-Piracy for Designs / Configurations, Trusted Computing / Identities, SIEM für I40 Hardware-based security in routers/firewalls for industrial networks 15

16 Beispiel 1:»Industrial Rights Management«Szenario: CAD/CAM-Gestützte Produktentwicklung Produkt-Idee = Geistiges Eigentum = Know-how CAD-Workstation Produktionsdaten CAM-Workstation Farbrikationsdaten Werkzeugmaschine (z.b. CNC) Produkt Aktuelle und künftige Produktionsumgebungen weisen ein hohes Potential für ungewollten Datenabfluss auf. 16

17 Beispiel 1:»Industrial Rights Management«Erweiterung der CAD-CAM-gestützen Produktionsumgebung um transparente Sicherheitsfeatures und Kontrollmöglichkeiten Erweiterung der Werkzeugmaschine um: Sichere und eindeutige Identifizierbarkeit Kryptographische Funktionen Stückzahlkontrolle Erweiterung der CAD/CAM-Umgebung um SW-Protection Module: Festlegung von erlaubten Werkzeugmaschinen-IDs Verschlüsselung von Fabrikationsdaten Festlegung von erlaubten Stückzahlen 17

18 Beispiel 2:»Trusted Core Network«Kunden, Planer, Designer, Orchestrierung, Wartung,... Production as a Service Trusted Core Network 18 Fraunhofer-Gesellschaft 2014 Trusted Production Platform as a Service

19 Beispiel 2:»Trusted Core Network«Verteilte, redundante Kontrolle (peer-to-peer) Ausbreitung von Angriffen und Malware unterbinden Erkennung / Monitoring mit schnellen Warnungen Schutz von Konfigurationsdaten Sichere und effiziente Managementprozesse 19

20 Netzknoten / Router prüfen Geräte in der Nachbarschaft Trusted Network Discovery 20

21 Soll-Zustand und Identität wird regelmäßig per TPM verlässlich berichtet. 21

22 Wenn auf einem Knoten die Konfiguration geändert oder ungewollte Software installiert oder gestartet wird... 22

23 ... wird die Änderung dezentral erkannt. Reaktionen können eingeleitet werden (Quarantäne, Beibehaltung wichtiger Funktionen)... 23

24 ... und es wird eine Warnung produziert. INFECTED NODE INFECTED NODE INFECTED NODE 24

25 Trusted Core Network und TrustMaNet Prototyp für Trusted Core Network: Hirschmann Eagle Router mit integrierter TPM prüfen sich gegenseitig. Prototyp für TrustMANET: Vertrauenswürdiges Mobiles Ad-Hoc Netzwerk. Gegenseitige Prüfung in drahtlosen, mobilen Ad-Hoc Netzen. Design für Zero Touch Config 25

26 Beispiel für IT-Sicherheit in der Industrie 4.0 Platzhalter für die IT-Gipfel Demo 27

27 Inhalt 1. Industrie 4.0 und IT-Sicherheit 2. Beispielprojekte 3. Zusammenfassung 28

28 Zusammenfassung Industrie 4.0 und IT-Sicherheit Hohe Integration in der Industrie 4.0 führt zu neuen Risiken Forschung: Sechs wichtige Themenfelder für Sicherheit & Industrie 4.0 Praxis: 80/20 Regel der IT-Sicherheit Beispiele aus dem Fraunhofer SIT Industrial Rights Management Trusted Core Network Bericht zum Eberbacher Gespräch»Sicherheit in der Industrie 4.0« 29

29 Prof. Dr. Michael Waidner Fraunhofer-Institut für Sichere Informationstechnologie SIT Institutsleiter Technische Universität Darmstadt Fachbereich Informatik, Lehrstuhl SIT CASED & EC SPRIDE, Direktor Institut Telefon Rheinstraße 75, Darmstadt (Büro) (Mobil) 30