Fachworkshop 2: Industrie 4.0 Wie sichert man Produktionsketten gegen Wirtschaftsspionage ab?

Transkript

1 Fachworkshop 2: Industrie 4.0 Wie sichert man Produktionsketten gegen Wirtschaftsspionage ab? Dr. Detlef Houdeau (Infineon Technologies AG) Prof. Dr. Oliver Rose (UniBwM)

2 Industrie 4.0 technologisch OR Projekt in der Hightech-Strategie der deutschen Bundesregierung zur Steigerung der Informatisierung der Fertigungstechnik Ziel: die intelligente Fabrik (Smart Factory) Technologische Grundlagen: Cyber-physische Systeme Internet der Dinge Fertigungscharakteristika Starke Individualisierung der Produkte Hohe Flexibilität der Produktion Automatisierung mit Selbstkognition, Selbstkonfiguration und Selbstdiagnose

3 Industrie 4.0 wirtschaftlich OR PWC-Studie zur dt. Industrie: Investitionen in Industrie 4.0 von 40 Mrd. pro Jahr bis 2020 Mehrumsätze durch Industrie 4.0 von 30 Mrd. pro Jahr 85% der Unternehmen haben bis 2020 Industrie 4.0 in kritischen Bereichen Kritik Fehlende Standards Viele Aspekte für Großunternehmen nicht neu, aber für KMU Realisierbarkeit unklar Erhöhte Verwundbarkeit der IT-Systeme der Firmen durch starke Vernetzung

4 VDMA Report TOP 10 Bedrohungen im Maschinen- und Anlagenbau VDMA Report, publiziert am Abschätzung von Mirko Panev, Steffen Zimmermann, Dr. Detlef Houdeau DH Bedrohung Bewertung (1 bis 5) TOP-Position Erwartete Tendenz bei der Migration zu Industrie 4.0 Menschliches Fehlverhalten und Sabotage 3,03 10 Einschleusen von Schadcode auf Maschinen und Anlagen 2,94 9 Technisches Fehlverhalten und höhere Gewalt 2,9 8 Online-Angriffe über Office-/ Enterprise-Netze 2,49 7 Unberechtigter Zugriff auf Ressourcen 2,4 6 Angriffe auf Netzwerkkomponenten 2,31 5 Unberechtigte Nutzung von Fernwartungszugängen 2,22 4 Lesen und Schreiben von Nachrichten im ICS-Netz 2,14 3 Angriffe auf eingesetzte Standardkomponenten im ICS-Netz 2,08 2 (D)DoS Angriffe 2,03 1

5 Schaden durch Industriespionage über das Internet OR Schätzung der dt. Wirtschaft: jährlicher Schaden von 50 bis 100 Mrd. Fallbeispiele: Der frustrierte Mitarbeiter: Ausnutzung wirtschaftlicher Notlagen, Eitelkeit, Prahlerei, etc., z.b. Edward Snowden Die Konkurrenz: gemäß NRW-Landtagsbericht Spionage von Unternehmen aus Italien, Frankreich, China und Japan Der Staat: ca Mitarbeiter des chinesischen Auslandsgeheimdienstes betreiben Industriespionage über das Internet

6 Angreifer-Typen der Wirtschaftsspionage DH Anwender Mitarbeiter Böswillige Angestellte Wirtschaftsspionage Konkurrenz Kleinkriminelle Hacktivist organisiertes Verbrechen Staat z.b. Geheimdienst

7 Menschliches Fehlverhalten und Sabotage DH Fallunterscheidung Intern Extern zufällig gezielt zufällig gezielt z.b. unbewusst Schad-SW einbringen z.b. STUXNET z.b. Bedienfehler z.b. DOS, DDOS

8 Angreifer-Typ, Fähigkeiten, Motivation OR Typ Beschreibung Fähigkeiten Motivation Anwender Böswillige Angestellte Kleinkriminelle Hacktivisten Manipulation zur Arbeitserleichterung Niedrig Umgehung von Workflows Komfortablere Nutzung Schädigung des Arbeitgebers Niedrig/Mittel Erpressung Rache Karriere nicht organisierte Angriffe; keine umfassende Strategie wirtschaftl./politisch motivierte Angriffe Niedrig/Mittel Persönliche Bereicherung Mittel Öffentliche Aufmerksamkeit Erfolgshonorar Konkurrenz Angriffe mit krimineller Energie Mittel/Hoch Industriespionage Industriesabotage Geheimdienst Angriffe zu Aufklärungszwecken Hoch Auskundschaftung Angriff auf kritische Infrastrukturen Kriegsführung

9 Mögliche Gegenmaßnahmen bei Wirtschaftsspionage DH Operation Security Analyse Identifizierung der sensiblen Information Schwachstellenanalyse Risikobewertung Implementierung der Gegenmaßnahmen Gegenmaßnahmen Organisatorische Maßnahmen Personelle Maßnahmen z.b. Klassifizierung von Unterlagen z.b. Zugangsberechtigung zu Datenbanken definieren (ERM)* Materielle Maßnahmen z.b. Tresor für klassifizierte Unterlagen *ERM = Enterprise Rights Management

10 Mögliche Gegenmaßnahmen bei Wirtschaftsspionage DH Beispiel: Anlagen- und Maschinenbauer Kennzahlen Knapp 1 Mio. Beschäftigte in Deutschland* etwa Unternehmen Ø MA-Zahl: <200 >200 Mrd. Umsatz (Branche)* >70% Export* Besonderheit Überwiegend KMU Benötigt über 6 Monate um Cyberangriff zu erkennen IT-Abteilung in einem KMU? Security Awareness in einem KMU? *Quelle: VDMA

11 Abgrenzung zwischen W.-spionage und W.-sabotage OR Wirtschaftsspionage Wirtschaftssabotage Hauptziel: Erlangung von sensitiven Informationen (z.b. technische Zeichnungen) Hauptziel: Produktion lahmlegen z.b. Plagiatbau z.b. STUXNET

12 Zusammenfassung Technologisch: Hersteller/Ausrüster vs. Anwender; daneben gibt es noch die Anbieter-Industrie von Sicherheitstechnologien Funktionalität/Performance vs. Security Nur gehärtete Systeme anbieten? Wie vertraglich garantieren? Optimistischer Ausblick: Industrie hilft Industrie (groß -> klein, Ausrüster -> Anwender etc.) LKA: Wenig offizielle Deliktmeldungen, aber steigende Fallzahlen bei KMU und DAX-Konzernen Häufiges Problem: viele externe Mitarbeiter, oft nur 50% Stammpersonal bei KMUs (Beispiel Auto-Zulieferant) Wenig verlässliche Daten bzw. Statistiken Mehr und mehr organisierte Kriminelle Schaden: Lebensbedrohend für KMU: gesamtes Knowhow kann abfließen, da Produkt auch sein virtuelles Abbild dabei hat (zugänglich für Cyberkriminelle) Oft unklar, was genau schützenswert ist; wer hat überhaupt Zugriff? Behörden: EU-Agentur für Cyber Defence / EURO-CERT (Computer Emergency Response Team)? Regulierungsbehörde für IT-Komponenten? Mehr Zusammenarbeit zwischen Behörden und Industrie nötig Probleme: Maschinenbauer vs. Informatiker, unterschiedliche Weltsichten und Ausbildungsprofile Safety vs. Security, Safety ist wesentliches Merkmal deutscher Produkte, Security wird nicht vermarktet, Messbarkeit der Security? Zertifizierung ist teuer! Wert? Nur für das Marketing? Warum I4.0? Security allein verkauft sich nicht, muss integriert sein und funktionieren; soll aber über Lebenszeit von 20 Jahren funktionieren -> Widerspruch Keine Versicherung gegen Cyber Crime: kein Risikomodell vorhanden, da keine verlässlichen Statistiken vorliegen; Lösungen: Krisenmanagement / Plan B, Verantwortlichkeiten regeln Mehr Lösungen zur Angriffserkennung Security by Design, Security as a Service, wer realisiert das? Maschinenbauer oder Informatiker? Gesetzlicher Grundschutz, ggfs. ergänzt mit steuerlichen Investitionserleichterungen Erkenntnis, dass offene Systeme immer Security-Probleme haben werden, aber einen sicheren Umgang erlauben müssen Diese Auflistung spiegelt Kernaussagen aus dem Workshop wieder, mit etwa 50 Teilnehmern; die Aussagen wurden in Cluster zusammengefasst; Eine Anspruch auf Vollständigkeit der sehr intensiv geführten Diskussion besteht nicht. Auf eine Aufzeichnung des Workshops wurde verzichtet;

13 Quellen Industrie 4.0 PwC: FhG: r-iao-studie_produktionsarbeit_der_zukunft-industrie_4_0.pdf BITKOM: Wirtschaftsspionagefälle Der frustrierte Mitarbeiter: Die Konkurrenz: Konkurrenz-hoert-mit-_arid,1703.html Der Staat: