Maritime Cyber Risk Management Seeschifffahrtssicherheitskonferenz 2017

Größe: px

Ab Seite anzeigen:

Download "Maritime Cyber Risk Management Seeschifffahrtssicherheitskonferenz 2017"

Hennie Böhmer
vor 5 Jahren
Abrufe

1 Maritime Cyber Risk Management Seeschifffahrtssicherheitskonferenz 2017 Christian Hemminghaus Fraunhofer FKIE Cyber Analysis & Defense 08. November 2017 istock/zmeel istock 1

Fraunhofer FKIE Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie Fraunhofer FKIE erforscht und entwickelt Modelle, Methoden und Werkzeuge für Kontroll- und Steueraufgaben

2 Fraunhofer FKIE Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie Fraunhofer FKIE erforscht und entwickelt Modelle, Methoden und Werkzeuge für Kontroll- und Steueraufgaben in vernetzten Systemen (»Vernetzte Operationsführung«). Forschungsgebiete Sensordatenfusion Kommunikationssysteme Human Factors Mensch-Maschine-Systeme Systemergonomie Informationstechnik für Führungssysteme Kognitive Mobile Systeme Cyber Analysis & Defense Cyber Security Usable Security and Privacy Privacy and Security in Ubiquitous Computing Standorte Wachtberg und Bonn Gegründet 1963 Fraunhofer seit August 2009 Mitarbeiter > 400 Budget > 30 Mio Institutsleiter Prof. Dr. Peter Martini Website Uwe Bellhäuser 2

3 Cyber Analysis & Defense Forschungsabteilung»Wir erforschen Möglichkeiten, um existenzbedrohende Risiken im Cyber- und Informationsraum frühzeitig zu erkennen, zu minimieren und beherrschbar zu machen.«schutz kritischer Systeme und Infrastrukturen vor Cyber-Angriffen durch Analyse verwundbarer Systeme Absicherung eigener Systeme und Infrastrukturen Analyse von Cyber-Angriffen, Täterwerkzeugen und Akteuren Schutz vor Cyber-Kriminalität Cyber-Spionage Cyber-Sabotage Wahrnehmung einer gesellschaftlichen Verantwortung durch Beitrag zur Sicherheit im Cyberund Informationsraum 3

Das Risiko des digitalen Fortschritts Systeme

Spionage digitaler Daten Gezielter Eingriff in

4 Das Risiko des digitalen Fortschritts Systeme und Gefährdungen Akute Gefährdungen Komplizierte Fehlerdiagnose durch verzahnte Systeme Schadsoftware (Logger, Ransomware, Backdoors, ) Spionage digitaler Daten Gezielter Eingriff in Schiffssysteme Mögliche Auswirkungen Wirtschaftliche Konsequenzen Rechtliche Konsequenzen Schlechte Reputation und Imageverlust Menschenleben sind in Gefahr 4

5 Risk Management Der zentrale Prozess Identifikation Überwachung und Revision Bewertung Umsetzung Planung 5

6 Cyber Risk Management Umsetzung für digitale Technologien Identifikation Identifikation Digitale Assets identifizieren Schutzbedarfsfeststellung (Schutzziele) Risiken sind Gefährdungen der Schutzziele Überwachung und Revision Bewertung Umsetzung Planung 6

7 Schutzobjekte und Schutzziele Information vs. Operation Vertraulichkeit Integrität Verfügbarkeit Daten Fokus Information Kommunikation Fokus Operation Operation 7

8 Cyber Risk Management Umsetzung für digitale Technologien Überwachung und Revision Identifikation Bewertung Identifikation Digitale Assets identifizieren Schutzbedarfsfeststellung (Schutzziele) Risiken sind Gefährdungen der Schutzziele Bewertung Risiko = Wahrscheinlichkeit x Auswirkungen Angreifermodell Meist nur qualitativ möglich Umsetzung Planung 8

9 Cyber Risk Management Umsetzung für digitale Technologien Überwachung und Revision Identifikation Bewertung Identifikation Digitale Assets identifizieren Schutzbedarfsfeststellung (Schutzziele) Risiken sind Gefährdungen der Schutzziele Bewertung Risiko = Wahrscheinlichkeit x Auswirkungen Angreifermodell Meist nur qualitativ möglich Umsetzung Planung Maßnahmen möglichst flächendeckend Security in Depth Prävention, Detektion, Reaktion Prozesse, Technik, Mensch 9

10 Sicherheitsmaßnahmen Faktoren auf verschiedenen Ebenen Prävention Detektion Reaktion Effektive Minimierung von Cyber-Risiken Prozesse Technik Mensch 10

Büro-IT) Vereinzelt Automation Auf See Kommunikation Systeme auf See Heterogene Cyber-physische Systeme Operation steht im

11 Cyber-Systeme im maritimen Bereich Spezielle Anforderungen An Land Systeme an Land Größtenteils vergleichbar mit herkömmlichen IT-Systemen (z.b. Büro-IT) Vereinzelt Automation Auf See Kommunikation Systeme auf See Heterogene Cyber-physische Systeme Operation steht im Vordergrund Autonomie ist wichtiger Faktor Vergleichbar mit ICS oder Automotive-Branche Kommunikation Häufig niedrige Bandbreite Teils keine Kommunikation möglich (noch) keine einheitliche Infrastruktur Experten im Zweifel nicht erreichbar 11

12 Guidelines und Standards Referenzen und Dokumente Guidelines IMO Guidelines on Maritime Cyber Risk Management BIMCO et al. The Guidelines on Cyber Security onboard Ships DNVGL - Recommended Practice Cyber security resilience management DfT Code of Practice - Cyber Security for Ships CSC - Cyber Security Case Study Standards ISO/IEC BSI IT-Grundschutz NIST Framework Technisch: IEC (bisher nur für Navigationssysteme) 12

13 Wie geht es weiter? Was ist zu tun? Cyber Risiken gemeinsam begegnen Cyber Sicherheit ist ein Prozess! Bewerten Sie Ihre Risiken! Ausbau mehrerer Faktoren von Schutzmaßnahmen Branchenspezifische Sicherheitsmechanismen! Bleiben Sie im Austausch! Fördern Sie Austausch! DGON AG Maritime Cyber Risk Management 13

14 Vielen Dank für Ihre Aufmerksamkeit 14

Ähnliche Dokumente

Absicherung eines Netzbetriebs. innogy SE Group Security Alexander Harsch V öffentlich

Absicherung eines Netzbetriebs innogy SE Group Security Alexander Harsch V1.0 29.06.2017 Group Security Cyber Resilience Alexander Harsch HERAUSFORDERUNGEN 3 Herausforderung beim sicheren Netzbetrieb 1Zunehmende