Cybersecurity für kritische Infrastrukturen und Produktionsanlagen: Praxisbeispiele für den Schutz vor Manipulation und Spionage

Transkript

1 Cybersecurity für kritische Infrastrukturen und Produktionsanlagen: Praxisbeispiele für den Schutz vor Manipulation und Spionage VDE Berlin-Brandenburg / SIBB Berlin, Marius Münstermann Head of Enterprise Sales marius.muenstermann@rohde-schwarz.com

2 Rohde & Schwarz im Überblick ı Unabhängiges Familienunternehmen ı Globale Präsenz in über 60 Ländern ı Umsatz: 1,87 Mrd. Euro (GJ 15/16) ı 90 Prozent Exportquote ı Mitarbeiter weltweit, 5900 in Deutschland Rohde & Schwarz Cybersecurity: Praxisbeispiele 1

3 Rohde & Schwarz Standorte in Deutschland München Teisnach Memmingen Berlin Köln Hannover R&S Cybersecurity GmbH Rohde & Schwarz Cybersecurity: Praxisbeispiele 2

4 Cybersecurity ist neues Arbeitsgebiet bei Rohde & Schwarz Messtechnik Rundfunk- und Medientechnik Sichere Kommunikation Cyber-Sicherheit Funkerfassung Messgeräte und -systeme für Mobilfunk- und Wireless- Anwendungen allgemeine Elektronik Aerospace & Defense Betriebs-, Messund Studiotechnik für Netzbetreiber Sendeanstalten Studios Filmindustrie Hersteller von Unterhaltungselektronik Kommunikationssysteme für Flugsicherung Streitkräfte Verschlüsselungstechnik für Militär Behörden kritische Infrastrukturen IT-Sicherheitslösungen für Wirtschaft Kritische Infrastrukturen Behörden Funkerfassungstechnik für Regulierungsbehörden innere und äußere Sicherheit Netzbetreiber Radaraufklärungstechnik Service Rohde & Schwarz Cybersecurity: Praxisbeispiele 3

5 Strategisches Ziel: Wir stehen als zuverlässiger Lieferant für Cybersecurity Produkte und Lösungen in Europa Tap-proof communication Voice Encryption Apps & Devices Secure Messaging Fax & Radio Encryption Trusted Management CA, PKI, HSMs Crypto Management Configuration, Policy Firmware Deployment Trusted solutions from a single source Secure Endpoints Full-Disk Encryption Secure Browsing & Cloud Secure Desktop & Mobile Protected networks and network analytics Next Generation Firewalls & UTM Deep Packet Inspection Incident Detection / Response Encrypted Backbone / WAN Layer 3 IP Encryption Layer 2 Ethernet Encryption Secure Remote Access Rohde & Schwarz Cybersecurity: Praxisbeispiele 4

6 Sicheres Surfen im Worldwide Web

7 95 % aller Angriffe kommen über den Webbrowser Ransomware wie Lockey führen zu Millionen-Schäden Rohde & Schwarz Cybersecurity: Praxisbeispiele 6

8 Lösungsansatz: Browserkapselung durch Virtualisierung Browser in the Box Sicherer Internet-Browser für Clients und virtuelle Infrastrukturen Virtuelle Surf-Umgebung (Gekapselter Browser in virtueller Linux-Maschine) Schützt Intranet und Firmennetzwerk vor Schadcode aus dem Internet Einfacher Roll-out und zentrales Management Start immer von einem sauberen Snapshot Sicherheitsanalyse der VM-Technik zusammen mit BSI durchgeführt Um die Verbindung zum Internet für ihre Mitarbeiter abzusichern, nutzen alle baden-württembergischen Polizeidienststellen künftig Browser in the Box Rohde & Schwarz Cybersecurity: Praxisbeispiele 7

9 Browser-in-the-Box: Isolation auf Client und Netzwerkebene Rohde & Schwarz Cybersecurity: Praxisbeispiele 8

10 Browser in the Box bietet der Leitstelle des Ennepe-Ruhr- Kreises sichere Internetnutzung rund um die Uhr Anforderungen: ı ı ı ı Mitarbeiter im 24x7 Schichtbetrieb sollen getrennt von kritische Infrastruktur sicheren Zugriff ins Internet haben Trennung von kritischer Infrastruktur auf Client- und Netzwerkseite Schutz vor Angriffen aus dem Internet auf kritische Notfallinfrastruktur IT-Sicherheit Made in Germany Rohde & Schwarz Cybersecurity: Praxisbeispiele 9

11 Internetsicherheit bei der Bayerischen Versorgungskammer Browser in the Box ermöglicht sicheres Surfen ı ı MA betreuen knapp 1,6 Mio. Versicherte BitBox seit 5 Jahren erfolgreich in Betrieb Unsere größten Vorteile sind die Steigerung der Anwenderzufriedenheit und die Einhaltung einer einheitlichen IT-Sicherheitspolitik Georg Loder, Abteilungsleiter IT- Bereich der Versorgungskammer Bayerische Versorgungskammer Rohde & Schwarz Cybersecurity: Praxisbeispiele 10

12 Absicherung von Netzwerken und Netzleittechnik im Energiesektor

13 Neue Herausforderungen für Netzleittechnik und Produktionsumgebungen Konvergenz der Netze ı Abrechnungsdaten vom Prozess-Netz in das Büronetz ı Fernüberwachung und Fernsteuerung ı Datenübertragung über öffentliche Netze Zunehmende Komplexität ı Steigende Anzahl von Feldelementen ı Dezentralisierung der Devices und Standorte ı Wachsendes Datenvolumen ı Echtzeitanforderungen Technologie-Inkompatibilität ı Netzleittechnik wurde für geschlossene Netze entwickelt und verfügt über wenig bis keine Security ı Herkömmliche IT hat geringere Anforderungen an die Verfügbarkeit ı Klassischer IT-Ansatz der Negative-Validation (Blacklisting) Rohde & Schwarz Cybersecurity: Praxisbeispiele 12

14 Was passierte am 2. Mai 2013? Rohde & Schwarz Cybersecurity: Praxisbeispiele 13

15 Das Problem: Österreichisches Stromnetz im Blindflug ı Tests in neuem Steuernetzwerk für ein Gas-Kraftwerk in Bayern ı Status-Abfrage von Leitstelle an alle Feldelemente (Broadcast) ı auch in das Steuernetz einiger österreichischer Stromerzeuger ı Alle Feldelemente aus den Strom-Netzen (sehr viel größere Anzahl) schickten ebenfalls Status-Meldungen ı Nur: Diese Feldelemente interpretierten die Staus-Abfrage ein ganz klein wenig anders: Sie schickten Ihren Staus ebenfalls als Broadcast an alle, was wie eine distributed denial of service Attacke (DDoS) wirkt ı Die Folge: Massive Überlastung des Steuernetzes der Stromversorger, Zusammenbruch der Kommunikation, Spannung von 50 Hertz musste von Deutschland aus über mehrere Tage stabil gehalten werden Rohde & Schwarz Cybersecurity: Praxisbeispiele 14

16 Ein Lösungsansatz: Application Whitelisting mittels einer leistungsfähigen Next Generation Firewall Second-line-of-Defense analog zum PAP-Konzept des BSI Internet Router Packet Filter R&S gateprotect NP+ DMZ Prozess- Netz Full-Positive-Validation des gesamten Datenstroms Netzübergang zwischen Prozessnetz und IT-Netz über eine eigene DMZ Router Packet Filter R&S gateprotect NP+ Büro-IT Auftrennung des LANs in verschiedene Security-Zonen durch die interne Firewall Rohde & Schwarz Cybersecurity: Praxisbeispiele 15

17 Technologieupdate: Next Generation Firewall Single Pass-Technologie für minimale Latenz ı Daten-Integrität durch Protokollerkennung und -validierung Klassische Firewalls: Teilstreckenverfahren (store and forward) ı Hochverfügbarkeits-Lösungen mit schnellem hand-over ı Authentizität und Vertraulichkeit: VPN-Verschlüsselung basierend auf OpenVPN und IPSec Echte NGFW: Single Pass Technologie (Datenstrom-basiert) ı IT-Sicherheit Made in Germany Rohde & Schwarz Cybersecurity: Praxisbeispiele 16

18 Next-Generation Firewall R&S gateprotect NP+ bietet Protokoll-Erkennung und -Validierung für IEC ı gateprotect NP+ erlaubt fein granulare Firewall-Regelwerke basierend auf dem Protokoll IEC ı Beispiel aus der Praxis: Feldelemente können zwar Messwerte, aber keine Steuerbefehle zur Leitstelle senden ı Derzeit werden weitere Industrie- Protokolle ergänzt (Modbus, Profi- Net, OPC UA, etc.) für den Einsatz bei Industrie 4.0 Anwendungen Rohde & Schwarz Cybersecurity: Praxisbeispiele 17

19 Intuitive grafische Benutzerführung reduziert Kosten und verringert das Risiko von Bedienfehlern Technische Vorteile: ı Sichere -Kommunikation ı Schutz vor Hacker-Angriffen ı Extended-User-Authentifizierung ı Single-Pass-Engine Rohde & Schwarz Cybersecurity: Praxisbeispiele 18

20 Komplettlösungen mit innovativen Sicherheitsfeatures UTM+ Appliances und Next-Generation-Firewall NP+ UTM+ Appliance NP+ übergreifende Vorteile IT-Sicherheit made in Germany für Praxen, kleine Betriebe und mittelständische Unternehmen IT-Sicherheit made in Germany : Beste Performance und Stabilität für komplexe IT-Netzwerke größerer Unternehmen Modernste Sicherheitsfunktionen zum verlässlichen Schutz von Netzwerk und Daten vor Spam, Viren und Malware u.a. mit portunabhängiger Anwendungserkennung und Single- Pass-Technik aus Deutschland Exklusiv in gateprotect-lösungen: Leistungsstarke, performante NGFW- Features und verlässliche Hochverfügbarkeitslösungen verhindern Systemausfall und Datendiebstahl Verlässlicher Schutz für IT-Netzwerke auch von Betreibern Kritischer Infrastrukturen durch Dekodierung domänenspezifischer Protokolle wie SCADA und IEC 104 Mehrfach ausgezeichnete easy-touse -Bedieneroberfläche: Firewall-Administration per WebGUI im Browser möglich Rohde & Schwarz Cybersecurity: Praxisbeispiele 19

21 Stadtwerke Tübingen sowie Baden-Baden schützen bereits Leitstelle und Steuerungsnetzwerke Mehrstufiges Sicherheitskonzept mit Applikationserkennung Insbesondere für die mehrstufige Absicherung der Netzsegmente vom Büro-LAN zum Netzwerk der Leittechnik bietet R&S gateprotect einen enormen Schutzmechanismus Franz Schaub, IT-Leiter Stadtwerke Baden-Baden Neukonzeption des Netzwerkes in ein mehrstufiges FW-System und Integration der NGFW als Second line of Defense Rohde & Schwarz Cybersecurity: Praxisbeispiele 20

22 Verschlüsselte Übertragung zwischen Standorten und Rechenzentren

23 Datensicherheit ist besonders für RZ unabdingbar Sicheres Disaster Recovery für Big Data ı Rechenzentren ermöglichen Cloud Computing Private Clouds (z. B. Enterprise Cloud, Green Government Cloud) Hybrid Clouds ı Treiber Big Data > SAN-Switching (Storage) Virtualisierung > Low-Latency-Netzwerke Verfügbarkeit oberstes Ziel ı Notfallwiederherstellung (DR) Geo-Redundanz durch Backup-Standorte Kryptografie für Datensicherheit (Vertraulichkeit und Integrität) Zentrales Rechenzentrum WAN Backup- Rechenzentrum Rohde & Schwarz Cybersecurity: Praxisbeispiele 22

24 Abhörsichere Verbindung für Patienten-/Abrechnungsdaten Verband der Ersatzkassen (vdek) sichert Glasfaseranbindung Zentrale Berlin Remote Backup, RZ, Berlin Rohde & Schwarz Cybersecurity: Praxisbeispiele 23

25 Sichere Standortverbindung für das Gedächtnis der Nation Deutsche Nationalbibliothek setzt auf R&S SITLine ETH Frankfurt am Main Leipzig Rohde & Schwarz Cybersecurity: Praxisbeispiele 24

26 Sichere RZ-Dienstleistungen für Energie- und Wasserwirtschaft SIV AG setzt auf R&S SITLine ETH Rostock Roggentin RZ Stralsund Rohde & Schwarz Cybersecurity: Praxisbeispiele 25

27 Starke Verschlüsselung für Ethernet-Connect-Leitungen Sichere Anbindungen zwischen Rohde & Schwarz Standorten Rohde & Schwarz Cybersecurity: Praxisbeispiele 26

28 Leit- und Sicherungstechnik der Bahn müssen geschützt werden Starke Verschlüsselung für Signal- und Weichensteuerung ı ı Leit- und Sicherungstechnik im Bahnverkehr hat strenge Sicherheitsanforderungen: Redundanz Vermeidung gegenseitiger Beeinflussung CRC-Prüfsummen, um mit Übertragungsfehlern umzugehen Widerstandsfähigkeit gegen Manipulation erfordert Sicherheitsfunktionen wie: Integritätsschutz Verschlüsselung mit starker Authentifizierung Rohde & Schwarz Cybersecurity: Praxisbeispiele 27

29 Ethernet-Verschlüsselung für alle Bandbreiten R&S SITLine ETH passt in jedes Netz ı ı ı ı ı Real Time Applikationen mit geringer Verzögerung (VoIP, Videokonferenz, RZ-Spiegelung, ) optimale Bandbreitennutzung und schnelle Antwortzeiten Hoher Datendurchsatz Geringe Latenzzeit < 3μs Echte Ende-zu-Ende Verschlüsselung, Carrier- bzw Transition-Point übergreifend Rohde & Schwarz Cybersecurity: Praxisbeispiele 28

30 Leitungs- und Netzwerk-Verschlüsselung mit 40 Gbit/s R&S SITLine ETH40G 40 Gbit/s in nur einer Höheneinheit Maximale Bandbreiteneffizienz Geringste Latenz Sitzungsschlüssel mit hoher Entropie Starke 2-Faktor- Authentisierung durch Passwort und Token Manipulationsresistente Geräte 100 Watt Nennleistung, 90% Wirkungsgrad Weniger Strom und weniger Abwärme Optimiert für Kaltgangseinhausungen 99,9941% Verfügbarkeit (höchste MTBF) Im Betrieb wechselbare Netzteile, Lüfter und Batterien Automatischer Krypto- Betrieb Höchste Performance Wirksame Verschlüsselung Green IT 24x7 serienmäßig Rohde & Schwarz Cybersecurity: Praxisbeispiele 29

31 Mitwachsende Lösung für heterogene Infrastrukturen R&S SITLine ETH-Serie Skalierbare Verschlüsselungslösung R&S SITLine ETH4G R&S SITLine ETH4G R&S SITLine ETH40G 1 x 1 Gbit/s Ethernet Upgrade per Lizenz 4 x 1 Gbit/s Ethernet Firmware-Upgrade 4 x 10 Gbit/s Ethernet Rohde & Schwarz Cybersecurity: Praxisbeispiele 30

32 R&S SITLine ETH40G Gewinner des Deutschen Rechenzentrumspreises 2015

33 Rohde & Schwarz Cybersecurity GmbH Mühldorfstraße 15, München Phone Fax Mail Rohde & Schwarz Cybersecurity: Praxisbeispiele 32