Smart Metering. IT-Sicherheit in der Produktion. Verein zur Förderung der Sicherheit Österreichs strategischer Infrastruktur

Transkript

1 Verein zur Förderung der Sicherheit Österreichs strategischer Infrastruktur IT-Sicherheit in der Produktion Smart Metering Chancen und Risiken Herbert Dirnberger Strategische Infrastrukturen sind die Lebensadern einer modernen Gesellschaft. Die öffentliche Stromversorgung nimmt dabei eine ganz wesentliche Rolle ein, da alle wesentlichen Infrastrukturbereiche von einer funktionierenden Stromversorgung abhängig sind. ronische Übertragungsmedien wichtige (Verbrauchs-)Daten an den Netzbetreiber übermittelt. Dieser Informationsaustausch ermöglicht eine optimierte Netzsteuerung. Zusätzlich werden für den Endkunden die Verbrauchsdaten transparenter, was wiederum die Bereitschaft Strom zu sparen erhöhen wird. Der

2 AGENDA Industrie 4.0 Social Engineering, Open Source Intelligence Unfälle und Sicherheitsvorfälle Bedrohungen und Risiko Security for Safety Normen, Standards und Richtlinien (ISO 27000, IEC 62443) Seite 2

3 Die bunte Systemlandschaft Wertschöpfungsnetzwerk X Kunde 1 Kunde 2 Kunde 3 I I I I untrusted I A Office Floor A A I Cloud $ Cloud A Shop Floor A A Shop Floor B Shop Floor C Lieferanten Wertschöpfungsnetzwerk Y A A Logistik A

4 Zwei Denkwelten im Unternehmen I A im Original von Marco Di Fillipo Seite 4

5 eine Sicht von Industrie 4.0 (etablierter) Change Management Prozess technologische Veränderung mit hohem Tempo Optimierung der Wertschöpfungsnetze Innovation für Service und Produkte neue Businessmodelle Seite 5

6 Social Engineering CC-BY 4.0, Florian Brunner Seite 6

7 Spionage Seite 7

8 Arbeitsunfall, Reputation Seite 8

9 Sabotage Seite 9

10 Industriespionage (Reputation) Quelle: Spiegel Online, Seite 10

11 Panikmache Seite 11

12 Top 10 Unternehmensrisiken (Austria) n=16 63% Naturkatastrophen 44% Cybercrime, IT-Ausfälle, Spionage, Datenmissbrauch 44% Betriebs- und Lieferkettenunterbrechung 19% Marktstagnation oder rückgang 19% Feuer, Explosion 13% Diebstahl, Betrug und Korruption 13% Rohstoffpreiserhöhungen 6% Techn. Innovation (3D Printer, Nano,...) 6% Stromausfälle 6% Politische/soziale Unruhen, Krieg Seite 12 Entnommen aus Allianz Risk Barometer 2015 Appendix Barometer-2015_Appendix.pdf

13 Bedrohungen durch Technische Defekte Organisatorische Mängel Höhere Gewalt Menschliches Versagen und Fehler Malware Cyber Attacken Hacker Skript Kiddies APT Seite 13 Bedrohungen + Schwachstellen à Risiken

14 Risiken IT- und Produktionsausfall à Betriebsunterbrechung Qualitätsminderung Überlastung von IT und AT Personal Rechtsstreitigkeiten Reputationsverlust Know How Verlust (Data Leaks) à Datenmissbrauch Erpressung Wirtschaftsspionage allg. Verlust von Vertraulichkeit, Verfügbarkeit und Integrität von Seite 14 Systemen und Informationen

15 Industrial IT Security = (ICS + IT) Security Es gibt auch andere Bedrohungen wie Hacker! mehr als Technik - Faktor Mensch Legacy vs. Bleeding Edge nicht auf Security fokussieren Safety, Instandhaltung, Handbarkeit,... Security for Safety Seite 15

16 Gegenmaßnahmen Secure by Design Redundanz Diversität Systemhärtung Awareness Präventiv, erkennende und abwehrende Maßnahmen Verständnis für Bedrohungen --> effektiver Präventivmaßnahmen Seite 16

17 Top 10 ICS Security Maßnahmen für KMUs (1) Sensibilisierung und Bewusstsein (2) Verantwortung (3) Budget (4) Schutzmaßnahmen nach außen (Firewall, Fernwartung) (5) Backup & Recovery, Versionierung (6) Dokumentation + Identitäten (7) Segmentierung (Zellenschutz) (8) Anti Malwareschutz (9) Integration im Managementsystem (10) Secure by design, Komplexität reduzieren Seite 17

18 Normen und Standards ISO 9000, 9001,... ISO 27000, 27001, 27005,... BDEW WHITEPAPER (27019, 27009) BSI GSHB, ISIS VDI 2182 NERC CIP, NIST ISA S99 à IEC zertifizierbar Seite 18

19 Resümee Industrie 4.0 verändert... Vernetzung und Komplexität steigt an. OSINT ist meist eine Vorstufe von Cyberangriffen. Das Risiko von Cyberangriffen steigt an und wird unterschätzt. Sicherheit muss weitergedacht werden und ist ein Business Enabler. 100% Sicherheit gibt es nicht. Seite 19

20 Die Handlungsempfehlung Unternehmen/Organisation muss verstehen, dass Informationssicherheitsrisiken enorme Geschäftsrisiken sind. Die Verantwortung für das Risiko Management liegt alleinig nur bei der Geschäftsführung und nicht beim CIO, CISO, in der IT-Abteilung, Instandhaltung oder Technik. Nachhaltiges Denken wirkt meist langfristig risikomindert. Seite 20