Anforderungen und Lösungen für IT- Security in der Eisenbahnleit- und - sicherungstechnik

Transkript

1 Lorem est dolor sunt 2014 Prof. Dr. Jens Braband Anforderungen und Lösungen für IT- Security in der Eisenbahnleit- und - sicherungstechnik siemens.com/answers

2 Eisenbahnleit- und -sicherungstechnik Seite 2

3 Was haben Hacks mit industrieller Steuerungstechnik zu tun? Erfolgreiche Cyber-Attacke auf deutsches Stahlwerk: Die Angreifer sollen über Spear-Phishing gezielt das Büronetz des Werks infiltriert und sich von da aus zu den Steueranlagen vorgehangelt haben. Als sie Zugriff zum Produktionsnetz hatten, haben sie die Steuerkomponenten des Werks manipuliert. Die Ausfälle führten dazu, dass ein Hochofen nicht geregelt heruntergefahren werden konnte und sich in einem undefinierten Zustand befand. Die Folge waren massive Beschädigungen der Anlage. (Quelle: BSI) Hacker-Team übernimmt Kontrolle über Stadtwerke: In einem Penetrationstest gelang es Hackern innerhalb von nur 3 Tagen, bis auf die Steuerungsebene zu gelangen: Im Gästehaus der Stadtwerke konnte er ein Modul an eine Netzwerkdose anschließen, über die es eine Verbindung ins Stadtwerkenetz gab. schickte eine an einen Stadtwerkemitarbeiter mit einer Schadsoftware im Anhang. Die müsse der Empfänger nur öffnen hätten die IT-Experten die Schaltzentrale für den Transport von Updates und Backups dann doch mal ans Hausnetz angeschlossen (Quellen: arte, DIE ZEIT) Seite 3 3

4 Und mit Verkehrstechnik? Angeblicher Hack der VAG Nürnberg: wurde gezeigt, dass die Signalsteuerung einer U-Bahn einer deutschen Großstadt von außen zugänglich war. Diese Steuerung hätte manipuliert werden können Ganz simpel, über eine öffentlich zugängliche Telefonnummer, sei der IT-Fachmann bis ins Herz der Signalsteuerung gelangt. (Quelle: Nürnberger Zeitung) Angeblicher Hack einer Flugzeugsteuerung: er habe 15 Mal auf das IFE-System während eines Flugs über die Seat Electronic Box (SEB) mit einem Ethernet-Kabel zugegriffen, aber lediglich die Netzwerke durchsucht und den Datenverkehr beobachtet und einmal kurzzeitig den Kurs des Flugzeugs verändern können. (Quelle: Heise) Hacker steuern Auto fern: In dem Uconnect-Infotainmentsystem von Fiat Chrysler soll eine kritische Schwachstelle klaffen, durch die ein Angreifer das damit ausgestattete Fahrzeug über das Internet fernsteuern kann So hatten sie Kontrolle über Bremsen, Beschleunigung, Türverriegelung, Klimaanlage und Scheibenwischer. (Quelle: Heise) Seite 4 4

5 Security-Bedrohungen Security-relevante Anwendungen Das Verwenden kommerzieller Produkte und Systeme (COTS) für signaltechnisch sichere Anwendungen nimmt zu: GSM-R für Funkübertragung Kommerzielle Hardware- und Betriebssysteme Neue Gefährdungen bestehen bezüglich der Sicherheit der Anwendungen: Absichtliche Modifikation von Daten Manipulierter Verbindungsaufbau durch Dritte Bisher verwendete Mechanismen genügen nicht: Sicherheitscode (CRC) Adressierungsmechanismen Can trains be hacked? Security wird benötigt, um Safety zu gewährleisten. Seite 5

6 Wo sind die Netze angreifbar? Malware- Downloads Unsicherer Fernzugang Infizierte Laptops Unsichere Firewall-Konfiguration Unsicherer Modem- oder Funk-Zugang Infizierte USB-Sticks Fehler in der Applikation Seite 6 Unsichere Verbindungen Zugang Dritter 6

7 Security-Bedrohungen Wo sind die Angreifer? Bei 30C3 zeigte eine russische Hacker- Organisation, dass zigtausende SCADA- Systeme vom Internet aus erreichbar sind. Bei 32C3 standen Eisenbahnsysteme im Mittelpunkt. Dahinter steckt ein klares Geschäftsmodell. Seite 7

8 Security-Bedrohungen Erkenntnisse Alles, was nicht Mindeststandards erfüllt, kann von Hacktivisten gebrochen werden. Wesentliche Ursachen: Überschätzen der Sicherheit Fehlerhafte Implementierung Fehlerhafte Konfiguration Bekannte Schwachstellen Infizierte Geräte Social Engineering Standard-Passwörter Seite 8

9 Was können wir daraus lernen? Wer die Cybersecurity Basics nicht beherzigt, kann von jedem gehackt werden. Wer gezielt aufs Korn genommen wird, muss sich vor den sog. Advanced Persistent Threats schützen: Netzkonfiguration überwachen Vor Phishing und Malware schützen Kommunikation filtern Starke Nutzer-Authentifizierung einsetzen Netzwerke separieren, wo möglich Aber: Wer ist der Angreifer? Seite 9 9

10 Security-Level (SL) Safety Hacker Organisation Cyberwar Seite 10

11 Einbettung von IT-Sicherheit in die Normung Übersicht Zukünftig Einbettung von IT-Security- Normen in die Safety-Landschaft 4 Betrieb m.... externen... Einflüssen Gesetzliche Vorgabe EU-Verordnung 402/2013 (Common Safety Methods) 4.6 Zugriffsschutz Technischer Sicherheitsbericht EN Anknüpfpunkt Sicherheitsnachweis nach DIN EN IT Security für Safety EN Keine eigenen Normen, sondern Anwendung bestehender Normen IEC DIN VDE V Beispiel: IEC über DKE-Leitfaden DIN VDE V Seite 11

12 Wie ist der grundsätzliche Ansatz für IT- Sicherheit in IEC 62443? 1. Zerlege das System in Zonen und Kanäle so, dass gilt: In Zonen bzw. Kanälen herrschen gemeinsame IT-Sicherheitsanforderungen. Jedes Objekt (SW, HW, Bediener ) ist zugeordnet. 2. Bewerte das Risiko für jede Zone bzw. jeden Kanal und für jede Anforderungsgruppe: Zugriffskontrolle (Identifizierung und Authentifizierung, IAC) Nutzungssteuerung und -Kontrolle (UC) Systemintegrität (SI) Datenschutz (DC) Eingeschränkter Datenfluss (RDF) Rechtzeitige Reaktion auf Ereignisse (TRE) Ressourcenverfügbarkeit (RA) Seite 12 12

13 Welcher Zusammenhang besteht zum IT- Sicherheitsgesetz? Betreiber kritischer Infrastrukturen müssen dem BSI branchenspezifische Sicherheitsstandards (B3S) vorschlagen, die Mindestanforderungen abdecken. Diese Betreiber müssen regelmäßig nachweisen, dass die Mindeststandards auch eingehalten werden. Hersteller können vom BSI zur Mitwirkung verpflichtet werden, z. B. bei der Beseitigung von Störungen oder der Bereitstellung von Updates. Erarbeitungen eines B3S im DKE erscheint sinnvoll. CENELEC EN wird bereits angepasst und soll durch einen IT- Sicherheitsstandard ergänzt werden. Vorarbeiten dazu erfolgten schon in DIN VDE V Seite 13 13

14 Einbettung von IT-Sicherheit in die Normung DKE-Leitfaden DIN VDE V Veröffentlichung Oktober 2015 Seite 14

15 Lösungen Security Gateway (Internet of Zones) Zone A Netzwerk Zone B LST-Anwendung VPN-Tunnel LST-Anwendung Management Administrator Architektur ermöglicht die Verbindung sicherer (safe) Zonen mit Hilfe von sicheren (secure) Tunneln unter Einsatz von COTS-Security-Komponenten. Architektur erlaubt weitgehende Orthogonalisierung der Safety- und Security- Eigenschaften (bis auf Rückwirkungsfreiheit). Zulassung bzw. Zertifizierung kann weitgehend separiert werden. Beispiel: Security Gateway für BZ/UZ-Kopplung, KISA Seite 15

16 Lösungen SW-Updates und Patch-Management Die Anforderungen von Safety und Security sind gegenläufig: Bei Safety ändert man Software möglichst nicht. Bei Security ändert man Software möglichst täglich. Innovatives Konzept Safety-Software, COTS und Security-Software: In einem System Aber in getrennten, redundanten Kanälen Pilotierung S-Bane Copenhagen Seite 16

17 Lösungen ESTW-Server (Internet of Things) Aus 586 Anlagen 155 ESTW-Z und 431 ESTW-A können wenige ESTW-Server mit Multicore-Architektur werden. WAN/SG IKI/KISA ESTW-Server ESTW-Z ESTW-A Point of Service Seite 17

18 Fazit Zunehmender Einsatz von COTS-Produkten und Systemen im Bereich Eisenbahn-Leit- und Sicherungstechnik erfordert IT Security-Mechanismen. Eisenbahnanforderungen sollten auf Grundlage allgemeiner IT-Security- Standards, z. B. IEC 62443, definiert werden. Safety und Security müssen in modernen Eisenbahnsignalsystemen in ihrer Gesamtheit betrachtet werden. Dazu gibt es bereits bewährte Architekturen und Lösungskonzepte. Aber: Wenn möglich, sollte eine getrennte Zulassung von Safety- und Security-Produkten angestrebt werden. Seite 18

19 Vielen Dank für Ihre Aufmerksamkeit! Seite 19