Industrial Security im Produktionsumfeld 8. Tag der IT-Sicherheit. Siemens AG 2016

Transkript

1 Industrial Security im Produktionsumfeld 8. Tag der IT-Sicherheit Siemens AG 2016 Karlsruhe am

2 Industrial Security Die intelligente Wahl für mehr Sicherheit in der Industrie-Automatisierung Informationstechnologien kommen in der Industrie- Automatisierung zum Einsatz Horizontale und vertikale Integration Dringender Handlungsbedarf durch wachsende Sicherheitsbedrohung Verlust geistigen Eigentums, von Rezepturen... Anlagenstillstand, z. B. durch Viren oder Malware Sabotage in der Produktionsanlage Offene Standards PC-basierte Systeme Manipulation von Daten oder Anwendungssoftware Unbefugte Nutzung von Systemfunktionen Verbindliche Einhaltung von Standards und Vorschriften Die Siemens-Lösung bietet ein höheres Maß an Sicherheit Seite 2

3 IT in Industrieanlagen Von isolierten Kommunikationsinseln Seite 3

4 IT in Industrieanlagen zu komplexen Landschaften Office Network ERP- and MES-Systems Internet and Mobile Network UMTS, GPRS, etc. Control Network WLAN Ethernet WLAN Seite 4

5 Industrial Security vs. IT Security Schutzziele in einer Industrieanlage Unterschiedliche Hauptschutzziele im Büro-IT und Anlagen-IT Verfügbarkeit Hauptziel Vertraulichkeit Integrität Vertraulichkeit Raue Umgebungen Einsatzort Klimatisierte Büros Integrität Verfügbarkeit Anlagen-IBS-Personal Installation Netzwerk-Fachpersonal Anlagenspezifisch Topologie Sternförmig Netzausfallzeiten < 300 ms Verfügbarkeit Sekunden- bis Minutenbereich akzeptabel Niedrig, Switches mit weniger Ports Gerätedichte Hoch, Switches mit hoher Portanzahl Industrial Security Mind Jahre Investitionszyklen Alle 2 3 Jahre IT-Security Seite 5

6 IT- Sicherheitsgesetz für kritische Infrastrukturen (KRITIS) in Deutschland Branchen Teil 1: Wasser/Abwasser Ernährung Energie Informationstechnik & Telekommunikation Teil 2: Gesundheit Transport und Verkehr Finanz- und Versicherungswesen Betroffenen ist jede Anlage mit mehr als Abnehmern 1 2 Meldepflicht Meldepflicht Ggü. BSI bei IT-Sicherheitsvorfällen Einschließlich Pflicht zur Einrichtung einer Kontaktstelle zum BSI Bußgelder bis zu EUR Voraussichtlich ab Nov 2016 IT-Security-Mindeststandards Mindeststandards werden derzeit erarbeitet Einhaltung der Mindeststandards wird regelmäßig durch BSI geprüft Bußgelder bis zu EUR Voraussichtlich ab Mai 2018 Siemens Angebot Cyber Security Operations Center Kontinuierliches Security Monitoring von Anlagen Assess Security Sicherheitsstatus und Entwicklung eines Security-Fahrplans Security Integrated Portfolio Umsetzung der Mindeststandards zu reduzierten Kosten Integrated Engineering Effiziente Umsetzung im Automatisierungsprojekt Seite 6

7 Industrial Security Umgang mit Sicherheitslücken ProductCERT als zentrale Anlaufstelle für den Umgang mit sicherheitsrelevanten Vorfällen Pflege einer offenen Kommunikation mit unseren Kunden Alle sicherheitsbezogenen Updates sind auf einer öffentlichen Website verfügbar Seite 7

8 Das Defense-in-Depth-Konzept Aufbau eines Security Programms gemäß IEC Security-Lösungen im Industriekontext müssen alle Schutzebenen berücksichtigen Seite 8

9 Netzwerksicherheit Schlüsselfaktor für gesicherte industrielle Kommunikation DMZ Besserer Schutz durch Datenaustausch via DMZ und die Vermeidung eines direkten Zugriffs auf das Automatisierungsnetzwerk Eine Firewall kontrolliert den gesamten Datenverkehr zwischen den verschiedenen Netzwerken und der DMZ. Sichere Redundanz Höhere Zuverlässigkeit und Verfügbarkeit sowie Sicherstellung redundanter Netzwerkstrukturen Sicherheitsmodule in synchronisiertem Standby-Modus und Ringredundanz-Integration. Seite 9 Unsichere Zone DMZ- Zone Sichere Zone MRP-Ring (CU oder Glasfaser) Fernzugriff Abgesicherter Fernzugriff über das Internet oder mobile Netzwerke zur Vermeidung von Spionage und Sabotage Verschlüsselung der Datenübertragung und Zugriffskontrolle über Sicherheitsmodule oder Internetund mobile Drahtlos-Router Zellschutz Geräte ohne eigene Netzwerksicherheitsfunktionalität können innerhalb der Automatisierungszellen geschützt werden Zugriff auf die Zelle wird über einen Firewall-Mechanismus abgesichert

10 Systemintegrität Security-Anwendungsfälle mit SIMATIC S7-Controllern Schutz des Know-hows Kopierschutz Schutz des geistigen Eigentums im Programmcode Know-how-Schutz für PLC-Programmbausteine TIA Portal ******* Schutz vor nicht autorisierter Duplizierung des Runtime- Programmcodes Bindung von Programmbausteinen an Hardware-Seriennummern (CPU oder Speicherkarte) Speicher A A A Speicher B B A Controller Controller Controller Zugriffsschutz Kommunikationsintegrität Schutz vor unbefugtem Zugriff und Modifizierung der Konfiguration Schutzlevel-Konzept mit unterschiedlichen Zugriffsrechten inkl. HMI-Anbindungen Engineering Fernsteuerung Instandhaltung Betrieb Erkennung manipulierter Kommunikationsdaten Engineering und HMI- Kommunikation mit integrierter Sicherheit TIA Portal Controller HMI Seite 10

11 Plant Security Services Breites Service-Portfolio strukturiert entsprechend Risikomanagement Assess Security Evaluierung des Sicherheitsstatus einer Industrieanlage Manage Security Durchgängige Sicherheit durch Überwachung und proaktiven Schutz Implement Security Risikoreduzierung durch die Implementierung von Sicherheitsmaßnahmen für den reaktiven Schutz Seite 11

12 Technik Prozesse Assess Menschen Assess Security Überprüfung des IST-Zustands der Anlage hinsichtlich industrieller Sicherheit Security Assessment entsprechend IEC 62443, ISO & BSI Grund Schutz Was liefern wir? Bewertung des Sensibilisierungsgrads sowie die Ausgangsqualifikation bezogen auf industrielle Sicherheit Security Assessment ISO Bewertung der Wirksamkeit Ihrer sicherheitsrelevanten, organisatorischen Prozesse Security Assessment IEC Den Nachweis der Erfüllung durch Sicherheitsaudits Überprüfung des IST-Zustands ihrer installierten Basis und Netzwerkarchitektur zur Erkennung von Sicherheitslücken Security Consulting & Auditierung Seite 12

13 Implement Implement Security Implementierung der identifizierten Maßnahmen zur Risikominderung (1 von 2) Implementierung von Maßnahmen für die Einhaltung eines IT-Mindestniveaus Was liefern wir? Netzwerkplanung (incl. Perimeternetz) Einrichtung Firewalls System-Härtung Patchmanagement Virenscan / Whitelisting Die Einhaltung eines Mindestniveaus an IT-Sicherheit Remotezugriff Benutzerverwaltung Training Seite 13

14 Implement Security Implementierung der identifizierten Maßnahmen zur Risikominderung (2 von 2) Kundenanlage Implementierungselemente Schulungen & Prozesse Sicherheitszellen und DMZ Firewalls und VPN Systemhärtung Benutzerverwaltung Patch Management Malware-Erkennung und -Vermeidung Seite 14

15 Cyber Security Operation Center Kontinuierlicher und proaktiver Schutz von Industrieanlagen Die Plant Security Services von Siemens bieten einen umfassenden, kontinuierlichen Schutz Kundenanlage CSOC Security Management Security Analysten überwachen weltweit mögliche Schwachstellen und Bedrohungen, um proaktive Warnungen und Alarmen zeitnah geben zu können Wenn die globale Threat Intelligence ein erhöhtes Risiko zeigt, definiert und liefert das CSOC passende pro-aktive Gegenmaßnahmenahmen Kundenanlage Sichere Verbindung Industrial Security Monitoring Bei einem Sicherheitsvorfall in Ihrer Anlage koordiniert das CSOC die Reaktionen: Ursachenanalyse und Empfehlungen zu geeigneten Gegenmaßnahmen Kundenanlage Incident Handling Unterstützung durch einen Sicherheitsexperten entsprechend der Kritikalität des gemeldeten Vorfalls, den Auswirkungen auf Ihrer Anlage sowie Ihren Geschäftsbedürfnissen Seite 15

16 Industrial Security Monitoring Kontinuierlicher und proaktiver Schutz von Industrieanlagen??? Security Officer Security Sicherheitsvorfall Incident? Plant Management Seite 16

17 Plant Security Referenz Linde Gas Industrial Security Program Herausforderung Unterschiedliche Reifegrade zu Industrial Security bei Linde Gas Bedarf nach einem holistischem Implementierungskonzept Lösung Entwicklung eines übergreifenden Programms zu Industrial Security für 600+ Produktionsanlagen und alle Remote Operation Center Unterstützung bei der Pilotierung in den Regionen Deutschland und Asia Pacific Linde ist ein weltweit Anbieter von technischen Gasen. Profil SO x and NO x emissions reduced by more than 90% Linde Produkte und Dienstleistungen können in nahezu allen Branchen gefunden werden, in mehr als 100 Ländern. Mehrwert Vereinheitlichter Ansatz für eine globale Einführung, um einen höheren Reifegrad bei Industrial Security zu erreichen Wirtschaflich umsetzbare Strategie zur globalen Einführung auf allen Plattformen (herstellerunabhängig) Seite 17

18 Kontakt Timo Wirtz DF PL DS TS DEL 3 Consultant Plant Security Services Siemensallee Karlsruhe, Deutschland Tel.: Mobil: mailto:timo.wirtz@siemens.com siemens.de/plant-security-services Seite 18

19 Industrial Security Ausschlussklausel (Disclaimer) Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren Betrieb von Anlagen, Lösungen, Maschinen, Geräten und/oder Netzwerken unterstützen. Sie sind wichtige Komponenten in einem ganzheitlichen Industrial Security-Konzept. Die Produkte und Lösungen von Siemens werden unter diesem Gesichtspunkt ständig weiterentwickelt. Siemens empfiehlt, sich unbedingt regelmäßig über Produkt-Updates zu informieren. Für den sicheren Betrieb von Produkten und Lösungen von Siemens ist es erforderlich, geeignete Schutzmaßnahmen (z. B. Zellenschutzkonzept) zu ergreifen und jede Komponente in ein ganzheitliches Industrial Security-Konzept zu integrieren, das dem aktuellen Stand der Technik entspricht. Dabei sind auch eingesetzte Produkte von anderen Herstellern zu berücksichtigen. Weitergehende Informationen über Industrial Security finden Sie unter: Um stets über Produkt-Updates informiert zu sein, melden Sie sich für unseren produktspezifischen Newsletter an. Weitere Informationen hierzu finden Sie unter: Seite 19