Juli White Paper V1.0. Fertigungsindustrie. of industrial plant. Industrial Security. siemens.com/industrial-security

Transkript

1 White Paper V1.0 Juli 2016 Security Konzept concept für for Prozess- the protection und Fertigungsindustrie of industrial plant Industrial Security siemens.com/industrial-security

2 Prolog Dieses Whitepaper gibt einen Überblick zum Thema Industrial Security. Es beschreibt die Bedrohungen und Gefährdungen, denen industrielle Automatisierungsnetze ausgesetzt sind und zeigt die Konzepte auf, wie diese Risiken minimiert und auch unter wirtschaftlichen Gesichtspunkten ein vertretbarer Schutz erreicht werden kann. Es gibt darüber hinaus einen Ausblick in welche Richtung sich die Situation aufgrund der aktuellen Trends entwickeln wird und welche Security Mechanismen zukünftig auch im industriellen Umfeld Verwendung finden werden. Weitere Information zum Thema Industrial Security bei Siemens finden Sie unter: Stand der Informationen im vorliegenden White Paper: Juli 2016 Herausgeber SIEMENS AG DF & PD Division Gleiwitzer Str Nürnberg, Deutschland Weitere Unterstützung: Bei weiteren Fragen wenden Sie sich bitte an Ihren Siemens-Ansprechpartner in den für Sie zuständigen Vertretungen und Geschäftsstellen. All Rights reserved Seite 1 von 20

3 Security-Hinweise Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren Betrieb von Anlagen, Systemen, Maschinen und Netzwerken unterstützen. Um Anlagen, Systeme, Maschinen und Netzwerke gegen Cyber-Bedrohungen zu sichern, ist es erforderlich, ein ganzheitliches Industrial Security-Konzept zu implementieren (und kontinuierlich aufrechtzuerhalten), das dem aktuellen Stand der Technik entspricht. Die Produkte und Lösungen von Siemens formen nur einen Bestandteil eines solchen Konzepts. Der Kunde ist dafür verantwortlich, unbefugten Zugriff auf seine Anlagen, Systeme, Maschinen und Netzwerke zu verhindern. Systeme, Maschinen und Komponenten sollten nur mit dem Unternehmensnetzwerk oder dem Internet verbunden werden, wenn und soweit dies notwendig ist und entsprechende Schutzmaßnahmen (z.b. Nutzung von Firewalls und Netzwerksegmentierung) ergriffen wurden. Zusätzlich sollten die Empfehlungen von Siemens zu entsprechenden Schutzmaßnahmen beachtet werden. Weiterführende Informationen über Industrial Security finden Sie unter Die Produkte und Lösungen von Siemens werden ständig weiterentwickelt, um sie noch sicherer zu machen. Siemens empfiehlt ausdrücklich, Aktualisierungen durchzuführen, sobald die entsprechenden Updates zur Verfügung stehen und immer nur die aktuellen Produktversionen zu verwenden. Die Verwendung veralteter oder nicht mehr unterstützter Versionen kann das Risiko von Cyber-Bedrohungen erhöhen. Um stets über Produkt-Updates informiert zu sein, abonnieren Sie den Siemens Industrial Security RSS Feed unter All Rights reserved Seite 2 von 20

4 Inhaltsverzeichnis Security-Hinweise Einleitung Das Industrial Security Konzept von Siemens im Überblick Anlagensicherheit Physikalischer Zugangsschutz Das Security Management Plant Security Services Netzwerksicherheit Sicherung der Schnittstellen zu anderen Netzen Netzsegmentierung und Zellenschutzkonzept Sichere Fernzugriffe Systemintegrität Schutz PC-basierter Systeme im Anlagennetz Schutz der Steuerungsebene Rollen- und Rechtekonzepte Angriffsszenarien in der Produkt-Entwicklung und Fertigung berücksichtigen Fazit: Industrial Security für Produktionsanlagen All Rights reserved Seite 3 von 20

5 1. Einleitung Die voranschreitende Digitalisierung der industriellen Automatisierungssysteme ist verbunden mit zunehmender Vernetzung, großen Datenmengen und der Verwendung offener Standards, mit der die erforderliche Durchgängigkeit aller Ebenen erreicht wird. Sowohl für die diskrete, als auch für die Prozessindustrie bieten diese Veränderungen große Chancen und Vorteile, so dass man unter dem Schlagwort Industrie 4.0 sogar von einer weiteren industriellen Revolution spricht. Die Schattenseite dieser Entwicklung ist aber die zunehmende Verwundbarkeit dieser Systeme gegenüber Cyberangriffen. So macht es die umfassende Vernetzung, zunehmende Datenmengen und durchgängige, standardisierte Anwendungen es Angreifern und Schadsoftware leichter auf die Systeme zuzugreifen. Hinzu kommt aber wie auch Studien und Vorfälle zeigen, dass die OT-Netze und Produktionsbereiche längst zu lukrativen Angriffszielen avanciert sind und das Vorgehen der Angreifer zunehmend aggressiver, die Werkzeuge effektiver und immer größere Ressourcen eingesetzt werden, so dass sich industrielle Anlagen mittlerweile auch professionell durchgeführten Angriffen ausgesetzt sehen. Der sogenannte Cyber War ist längst zur Realität geworden. Die veränderte Bedrohungslage erfordert ein grundlegendes Umdenken in Bezug auf Informations- und Zugriffsschutz, sowie das Vorgehen bei der Etablierung von industriellen Sicherheitskonzepten. Die Angreifer rüsten auf sowohl Hersteller, als auch Betreiber von Automatisierungs- und Produktionssystemen müssen sich diesen Bedrohungen mehr denn je stellen. Jedoch kann diesen Bedrohungen auch effektiv begegnet werden. Von einer 100%igen Sicherheit sollte man nie ausgehen, aber es gibt durchaus Mittel und Wege das Risiko auf ein vertretbares Maß zu reduzieren. Hierfür ist ein umfassendes Sicherheitskonzept erforderlich, das sowohl den verschiedenartigen Angriffen, als auch den professionellen Charakter der Angriffe Rechnung trägt und das Zusammenwirken der beteiligten Akteure, d.h. den Betreibern, Integratoren und Herstellern von Automatisierungssystemen erfordert. Organisatorische Maßnahmen müssen mit technischen Maßnahmen Hand in Hand gehen. Ein ganzheitliches Security Konzept betrifft Menschen, Prozesse und Technologien, um den erforderlichen Schutz überhaupt erreichen zu können. Dieses White Paper beschreibt ein entsprechend umfassendes Security-Konzept zum Schutz industrieller Anlagen. All Rights reserved Seite 4 von 20

6 2. Das Industrial Security Konzept von Siemens im Überblick Um Industrieanlagen umfassend vor Cyber Angriffen von innen und außen zu schützen, muss auf allen Ebenen gleichzeitig angesetzt werden von der Betriebs- bis zur Feldebene, von der Zutrittskontrolle bis zum Netzwerk- und Endgeräteschutz. Zu diesem Zweck ist eine tiefengestaffelte Verteidigung ein Defense in Depth Konzept nach den Empfehlungen der IEC 62443, -dem führenden Standard für Security in der industriellen Automatisierung- das geeignetste Mittel. Bild 1: Defense in Depth Konzept für industrielle Anlagen Die Elemente Anlagensicherheit, Netzwerksicherheit und Systemintegrität bilden die Grundlagen des Industrial Security Konzeptes von Siemens. Hierbei werden alle wesentlichen Aspekte berücksichtigt, wie physischer Zugangsschutz, organisatorische Maßnahmen wie Richtlinien und Prozesse, genauso wie technische Maßnahmen zum Schutz der Netzwerke und Systeme vor unbefugten Zugriffen, Spionage und Manipulation. Der Schutz auf mehreren Ebenen und das Zusammenspiel verschiedener Schutzmaßnahmen sorgt für ein hohes Maß an Sicherheit und reduziert so das Risiko von erfolgreichen Angriffen, was im Endeffekt die Anlagenverfügbarkeit und damit die Produktivität steigert. All Rights reserved Seite 5 von 20

7 3. Anlagensicherheit Die Anlagensicherheit schafft die Voraussetzungen, dass technische Maßnahmen der IT-Sicherheit nicht anderweitig umgangen werden können. Dazu gehören physikalische Zugangsschutzmaßnahmen wie Zäune, Drehkreuze, Kameras oder Kartenlesegeräte sowie organisatorische Maßnahmen insbesondere ein Security Management Prozess, der die Sicherheit einer Anlage auch dauerhaft gewährleistet. 3.1 Physikalischer Zugangsschutz Folgende Punkte können hier eingeordnet werden: Maßnahmen und Prozesse, die den Zugang nicht autorisierter Personen zur Umgebung der Anlage verhindern. Physikalische Trennung unterschiedlicher Produktionsbereiche mit differenzierten Zugangsberechtigungen. Physikalischer Zugangsschutz für kritische Automatisierungskomponenten (z.b. sicher verschlossene Schaltschränke) Die Richtlinien für physikalische Zugangschutzmaßnahmen haben auch Einfluss darauf, welche IT-Security Maßnahmen erforderlich sind und in welcher Stärke. Wenn beispielsweise zu einem Bereich von vornherein nur ausgesuchte berechtigte Personen Zugang haben, müssen die Netzzugangsschnittstellen oder Automatisierungssysteme nicht im gleichen Maß abgesichert werden, wie es bei öffentlich zugänglichen Bereichen der Fall wäre. Bild 2: Physikalischer Schutz gegen unbefugten Zugang zu Produktionsbereichen All Rights reserved Seite 6 von 20

8 3.2 Das Security Management Ein unerlässlicher Bestandteil der Anlagensicherheit sind organisatorische Maßnahmen und die Einführung von Security Prozessen. Organisatorische Maßnahmen müssen mit den technischen Maßnahmen eng verzahnt sein und bedingen sich gegenseitig. Die meisten Schutzziele lassen sich auch nur durch eine Kombination beider Arten von Maßnahmen erreichen. Zu den organisatorischen Maßnahmen gehört die Etablierung eines Security- Management-Prozesses. Um fundiert entscheiden zu können, welche Maßnahmen sinnvoll sind, ist zunächst zu analysieren, welche Risiken konkret bestehen, die nicht toleriert werden können. Hierbei spielen sowohl die Eintrittswahrscheinlichkeit eines Risikos, als auch die mögliche Schadenshöhe eine Rolle (Bild 3). Werden Risikoanalyse und Ermittlung der Schutzziele vernachlässigt oder gar nicht durchgeführt, ist die Gefahr groß, dass unpassende, zu teure oder wirkungslose Maßnahmen getroffen werden und manche Schwachstellen nicht erkannt und damit auch nicht behoben werden. S c h a d e n s h ö h e sehr hoch hoch mittel gering sehr gering sehr gering akzeptables Risiko inakzeptables Risiko gering mittel hoch sehr hoch Eintrittswahrscheinlichkeit Bild 3: Entscheidungstabelle zur Bewertung von Risiken nach einer anlagenspezifischen Risikoanalyse, die regelmäßig überprüft werden Aus der Risikoanalyse ergeben sich dann Schutzziele, die als Basis für konkrete, organisatorische, als auch technische Maßnahmen dienen. Die Maßnahmen müssen nach der Implementierung überprüft werden. Von Zeit zu Zeit oder wenn sich Änderungen ergeben haben, muss das Risiko erneut bewertet werden, da sich die Bedrohungslage oder Randbedingungen mittlerweile geändert haben könnten. Die Risiko-Analyse bildet die Grundlage für das Vorgehen bzgl. der Implementierung von Schutz- und ggfs. Überwachungsmaßnahmen. All Rights reserved Seite 7 von 20

9 3.3 Plant Security Services Spezielle Security Services können Betreiber bei der Gestaltung von sicheren Produktionsumgebungen in vielerlei Hinsicht unterstützen. Dies beginnt mit einer Analyse des Risikos (Assess Security), geht über die Gestaltung und den Aufbau einer sicheren Produktion (Implement Security) bis hin zum kontinuierlichen Monitoring des Sicherheitszustandes einer Anlage (Manage Security). Bild 4: Die Siemens Plant Security Services unterstützen bei der Risiko-Analyse, der Implementierung von Maßnahmen und dem kontinuierlichen Management der Anlage Im Rahmen der Risikoanalyse wird Transparenz über den Sicherheitszustand einer Anlage erzeugt, Schwachstellen werden aufgezeigt und daraus wird das entsprechende Risiko abgeleitet. Als letzter Schritt werden die Maßnahmen in einen Maßnahmenplan (eine Roadmap) gebracht, der dann aufzeigt, wie der Sicherheitszustand einer Anlage auf ein neues, höheres Level gebracht werden kann. Als neueste Dienstleistung hat Siemens nun das IEC Assessment entwickelt, um für eine konkrete Anlage die Erfüllung gegenüber dem IEC Standard aufzuzeigen. Im nächsten Schritt gilt es, die vorgeschlagenen Maßnahmen zur Schließung der entdeckten Lücken zu implementieren. Dazu stehen sowohl Hardware wie Firewall als auch Software wie Anti Virus und Whitelisting zur Verfügung. Eingeschlossen sind auch klare Anweisungen und Richtlinien zur IT-Sicherheit. Schließlich können Security-Lösungen nur dann funktionieren, wenn die Mitarbeiter entsprechend sensibilisiert und geschult sind. Durch Workshops, webbasierte Schulungen oder ähnliche Maßnahmen sollten das Bewusstsein und die entsprechenden Kenntnisse fortlaufend gefördert werden. Als wesentliche weitere Maßnahme unterstützt Siemens seine Kunden bei der kontinuierlichen Überwachung ihrer industriellen Anlagen und Produktionsmaschinen. Siemens hat in Europa und den USA jeweils ein Cyber All Rights reserved Seite 8 von 20

10 Security Operation Center aufgebaut, mit welchem der Sicherheitszustand von industriellen Anlagen und Produktionsmaschinen kontinuierlich überwacht werden kann. Die Mitarbeiter im CSOC analysieren alle sicherheitsrelevanten Daten, die von der Anlage mitgeteilt werden, und informieren den Kunden über Gefahren und Angriffe. Gemeinsam werden dann Gegenmaßnahmen ergriffen. In einigen Ländern ist es bereits gesetzlich verpflichtend, dass Betreiber von Anlagen in kritischen Infrastrukturen Vorfälle (cyber incidents) an zuständige Behörden melden. Diese Auflage wird mit dem CSOC ebenfalls unterstützt. Die Defense-in-Depth-Strategie bildet eine geeignete Basis, um die Sicherheit in Industrieanlagen zu erhöhen. Unterstützung bei der Umsetzung entsprechender Maßnahmen finden Unternehmen bei den Siemens-Plant Security Services. Mit umfassenden Services unterstützen sie Industriekunden, das Sicherheitsrisiko in ihren Anlagen zu senken von Security Assessments über die Firewall- Einrichtung und Schulungen bis hin zum kontinuierlichen Monitoring und Erkennung von Angriffen. Bild 5: Das Portfolio der Plant Security Services basierend auf dem industriellen Standard IEC All Rights reserved Seite 9 von 20

11 4. Netzwerksicherheit Das zentrale Element des industriellen Security-Konzeptes ist die Netzwerksicherheit. Dies beinhaltet den Schutz von Automatisierungsnetzen vor unbefugten Zugriffen und die Kontrolle aller Schnittstellen zu anderen Netzen wie z. B. zum Büronetzwerk und insbesondere den Fernwartungszugängen zum Internet. Zum Bereich der Netzwerksicherheit gehört darüber hinaus auch der Schutz der Kommunikation vor Abhören und Manipulation, d.h. die Verschlüsselung der Datenübertragung und Authentisierung der jeweiligen Kommunikationsteilnehmer. 4.1 Sicherung der Schnittstellen zu anderen Netzen Übergänge zu anderen Netzwerken können mittels Firewalls und gegebenenfalls Aufbau einer DMZ überwacht und geschützt werden. Der Ausdruck DMZ steht für demilitarisierte Zone und ist ein Netzwerk mit sicherheitstechnisch kontrollierten Zugriffsmöglichkeiten auf die darin vorhandenen Daten, Geräte, Servern und Dienste. Die in der DMZ aufgestellten Systeme werden durch Firewalls gegen andere Netze abgeschirmt, die die Zugriffe kontrollieren. Durch diese Trennung können Daten aus dem internen Netz (z.b. Automatisierungsnetz) externen Netzen zur Verfügung gestellt werden, ohne direkten Zugang zum Automatisierungsnetz gewähren zu müssen. Üblicherweise ist eine DMZ so ausgelegt, dass davon auch kein Zugriff oder Verbindungsaufbau in das Automatisierungsnetz möglich ist, d.h. also selbst wenn ein Rechner in der DMZ von einem Hacker übernommen worden ist, bleibt das Automatisierungsnetz weiterhin geschützt (Bild 6). Bild 6: Einsatz einer Demilitarisierten Zone für den Datenaustausch zwischen Unternehmens- und Produktionsnetz. All Rights reserved Seite 10 von 20

12 4.2 Netzsegmentierung und Zellenschutzkonzept Die sicherheitstechnische Segmentierung des Anlagennetzwerks in einzelne geschützte Automatisierungszellen, dient der weiteren Risikominimierung und Erhöhung der Sicherheit. Dabei werden Teile eines Netzwerkes, z.b. ein IP- Subnetz von einer Security-Appliance geschützt und dadurch das Netz sicherheitstechnisch segmentiert. Somit können Geräte innerhalb dieser Zelle, vor unbefugten Zugriffen von außen geschützt werden, ohne dass dabei innerhalb die Echtzeitfähigkeit, Performance oder andere Funktionen beeinträchtigt werden. Die Firewall kann nun die Zugriffe von und zur Zelle kontrollieren, wobei festgelegt werden kann, welche Netzteilnehmer miteinander und ggf. auch mit welchen Protokollen kommunizieren dürfen. Damit können nicht nur unbefugte Zugriffe unterbunden, sondern auch die Netzlast reduziert werden, da nicht jede, sondern nur die gewollte und erforderliche Kommunikation passieren darf. Die Datenübertragung von und zu den Zellen kann zudem bei Bedarf mittels VPN von den Security Appliances verschlüsselt und so vor Datenspionage und Manipulation geschützt werden. Die Kommunikationsteilnehmer werden dabei authentifiziert und ggfs. für die Zugriffe autorisiert. Beispielsweise kann mit den Komponenten wie den SCALANCE S Security Appliances oder den Security CPs für das Automatisierungssystem SIMATIC S7 das Zellenschutzkonzept umgesetzt und die Kommunikation dazwischen gesichert werden (Bild 7). Mit dem SCALANCE S615 können Zellen zudem auf Basis von VLANs definiert und geschützt werden. Bild 7: Netzsegmentierung und Zellenschutz mit speziellen Security Komponenten (siehe rotes Schloss-Symbol) All Rights reserved Seite 11 von 20

13 4.3 Sichere Fernzugriffe Für Fernwartung oder Fernwirkungsanwendungen aber auch zur Überwachung von weltweit installierten Maschinen werden immer mehr Anlagen direkt über das Internet angebunden bzw. abgesetzte Anlagen über mobile Netze (GPRS, UMTS, LTE). Hier ist die Absicherung der Zugänge besonders wichtig. Mit Hilfe von Suchmaschinen, Portscannern oder automatischen Scripten können Hacker einfach und ohne großen Aufwand ungesicherte Zugänge finden. Hier gilt es die Authentifizierung der Kommunikationsteilnehmer, die Verschlüsselung der Datenübertragung und die Integrität der Daten sicher zu stellen. Besonders dann, wenn es sich um Anlagen kritischer Infrastrukturen handelt. Das Eindringen unbefugter Personen, das Auslesen vertraulicher Daten und die Manipulation von Parametern oder von Steuerbefehlen können enormen Schaden anrichten, negative Auswirkungen auf die Umwelt haben und Menschen gefährden. Als Schutzfunktionen haben sich hier besonders VPN-Mechanismen bewährt, die genau die Funktionen Authentifizierung, Verschlüsselung und Integritätsschutz zur Verfügung stellen. Die industriellen Internet- und Mobilfunk- Router von Siemens unterstützen VPN um damit Daten gesichert über diese Netze zu übertragen und unbefugte Zugriffe unterbinden können. Hierbei werden Geräte z.b. mittels Zertifikaten als vertrauenswürdige Kommunikationsteilnehmer authentifiziert und IP-Adressen oder DNS-Namen werden in den Firewall-Regeln verwendet, um Zugänge freizuschalten oder zu blockieren. Die VPN-Appliance und Firewall SCALANCE S bietet mit userspezifischen Firewall-Regeln darüber hinaus die Möglichkeit, Zugriffsrechte auch an User zu binden. Hier loggen sich User an einem Webinterface mit Namen und Passwort ein und jedem berechtigten User wird ein spezieller Firewall-Regelsatz zugeordnet und kann so gemäß seiner Rechte zugreifen. Der Vorteil ist hier, dass auch ganz klar nachvollzogen werden kann, wer zu einem bestimmten Zeitpunkt zugegriffen hat. Die Variante SCALANCE S623 mit drei Firewall-Ports bietet zudem einen Ausweg aus einem Dilemma, den sich Systemintegratoren, OEMs und Endanwender oft gegenübersehen. Einerseits sollen Maschinenbauer zu Wartungszwecken in der Lage sein, auf ihre Maschinen beim Endanwender zuzugreifen, aber andererseits möchte die IT des Endanwenders nur ungern Firmenfremde in das Netzwerk lassen, in dem die Maschine steht. Mit dem SCALANCE S623 kann die Maschine mit dem Anlagennetzwerk verbunden werden und mit dem dritten Port der Firewall mit dem Internet. Damit kann der Zugriff Internet -> Maschine erlaubt, aber der Zugriff auf das Anlagennetzwerk vom Internet aus unterbunden werden. Somit sind Fernwartungszugriffe vom Internet auf die Maschine möglich ohne den Servicetechniker direkten Zugang zum Anlagennetzwerk geben zu müssen (Bild 8). All Rights reserved Seite 12 von 20

14 Bild 8: Sicherer Fernzugriff auf Anlagenteile ohne direkten Zugang zum Anlagennetzwerk mit 3-Port Firewall. Vermittlung gesicherter Fernzugriffe mittels Managementplattform Industrieanlagen sind oft weit verteilt teilweise sogar über Ländergrenzen hinaus. Für einen effizienten und sicheren Fernzugriff auf Maschinen und Anlagen in der Fertigungsoder Prozessindustrie über die öffentliche Infrastruktur bietet sich ab einer gewissen Größe und Komplexität der Verbindungen eine Managementplattform an, die diese Verbindungen verwaltet, wobei sämtliche Kommunikationsverbindungen damit auch gesichert, authentifiziert und autorisiert werden. Dies eignet sich besonders für den Serien- und Sondermaschinenbau: Erstausrüster so genannte OEMs (Original Equipment Manufacturer) können damit beispielsweise viele baugleiche Maschinen bei unterschiedlichen Kunden eindeutig identifizieren und für die Fernwartung ansteuern. Die Managementplattform SINEMA Remote Connect ist eine Server-Applikation, die für die sichere Verwaltung von Tunnelverbindungen (VPN) zwischen der Zentrale, den Servicetechnikern und den installierten Anlagen sorgt. Die Identität der Teilnehmer wird über Zertifikatsaustausch ermittelt, bevor der Zugriff auf die Maschine erfolgen kann. Unautorisierte Zugriffe auf das Firmennetzwerk, in dem die Anlage oder Maschine eingebunden ist, können somit unterbunden werden. Die Rechtevergabe für den Zugriff auf Maschinen lässt sich über die Benutzerverwaltung der Managementplattform zentral regeln. Da der Verbindungsaufbau immer von der Anlage zum Server, sowie nur bei Bedarf erfolgt und damit auch keine eingehenden Verbindungen in die Anlage erlaubt werden müssen, wird dadurch die Sicherheit weiter erhöht. All Rights reserved Seite 13 von 20

15 Bild 9: SINEMA Remote Connect ist eine Managementplattform für den effizienten und gesicherten Fernzugriff auf weltweit verteilte Anlagen und Maschinen. Bild 10: Gesicherter Fernzugriff auf verteilte Anlagen mit SINEMA Remote Connect. All Rights reserved Seite 14 von 20

16 Systemintegrität Als dritter wesentlicher Aspekt eines ausgewogenen Security-Konzeptes ist die Sicherung der Systemintegrität zu sehen. Hiermit sind Automatisierungssysteme, Steuerungskomponenten, SCADA und HMI Systeme gemeint, die gegen unbefugte Zugriffe und Malware geschützt sind oder spezielle Anforderung wie Know-How Schutz erfüllen müssen. 5.1 Schutz PC-basierter Systeme im Anlagennetz In Büroumgebungen werden PC-Systeme typischerweise gegen Schadsoftware geschützt und durch Installation von Updates/Patches Schwachstellen im Betriebssystem oder in der Anwendersoftware geschlossen. Je nach Anwendungsfall sind auch für Industrie-PCs und PC-basierte Steuerungssysteme entsprechende Schutzmaßnahmen erforderlich. Prinzipiell sind die aus dem Büroumfeld bekannten Schutzmechanismen wie beispielsweise Antivirus-Software auch hier einsetzbar. Allerdings ist zwingend darauf zu achten, dass keine Störeinflüsse auf die Automatisierungsaufgabe entstehen. Als Alternative oder Ergänzung zur Antivirus-Software bietet sich der Einsatz sogenannter Whitelisting Lösungen an. Solche Whitelisting Lösungen arbeitet mit Positivlisten, in denen der Benutzer festlegen kann, welche Prozesse bzw. Programme auf dem Rechner laufen dürfen. Versucht dann ein Benutzer oder eine Schadsoftware ein neues Programm zu installieren, so wird dies unterbunden und der Schaden verhindert. Siemens als Hersteller von Industriesoftware unterstützt die Absicherung von Industrie-PCs und PC-basierter Systeme, indem die Software auf Verträglichkeit mit Virenscannern und Whitelisting-Software getestet wird. Darüber hinaus stehen natürlich auch die zahlreichen integrierten Security- Mechanismen der Windows-Betriebssysteme für eine angemessene Systemhärtung zur Verfügung. Dies umfasst die Benutzer- und Rechteverwaltung bis hin zur feingranularen Einstellung über Security-Policies. Auch hier bietet Siemens Unterstützung durch ausführliche Guidelines. 5.2 Schutz der Steuerungsebene Der Schutz der Steuerungsebene richtet sich im Kern darauf, die Verfügbarkeit in der Automatisierungslösung sicherzustellen. Die Basis dafür bilden die in den Standard-Automatisierungskomponenten integrierten Security-Mechanismen. Diese können je nach erforderlichem Schutzbedarf der Maschine oder Anlage aktiviert bzw. konfiguriert werden. Das Engineering der Security-Mechanismen erfolgt dabei komfortabel und effizient im TIA-Portal, zusammen mit der eigentlichen Automatisierungslösung. All Rights reserved Seite 15 von 20

17 Mit zunehmender Vernetzung und der Integration von IT-Mechanismen in die Automatisierungstechnik, verändern sich jedoch die Anforderungen an Zugriffsschutz und Manipulationssicherheit von Produktionsanlagen. Dieser ist für moderne Steuerungssysteme unumgänglich und in den Controller- FamilienSIMATIC S und S inkl. des Software-Controllers bereits integriert. Zum einen umfasst dies einen mehrstufigen Zugriffsschutz mit unterschiedlichen Zugriffsrechten. Des Weiteren beinhalten die Kommunikationsprotokolle für die Controller-Projektierung oder HMI-Anbindung integrierte Security-Mechanismen zur deutlich verbesserten Erkennung von Manipulationen. Zunehmend rückt auch der Schutz des geistigen Eigentums in den Fokus, denn das Entwicklungs-Know-how bezüglich der Maschine stellt für Maschinenbauer eine große Investition dar. Mit den Funktionen zum Know-how- und Kopierschutz der Siemens Steuerungen gibt es auch in diesem Themenfeld einfache und komfortable Unterstützung. Hierbei bietet der Know-how-Schutz einen feingranularen Schutz von Programmbausteinen, um Zugriffe auf deren Inhalt zu unterbinden und somit Algorithmen nicht herauskopieren oder verändern können. Mit dem Kopierschutz erfolgt eine Verknüpfung von Programmteilen mit der Seriennummer der Speicherkarte oder CPU. Dies unterstützt dabei, die Vervielfältigung der Maschinen zu unterbinden, da geschützte Programme nur in vorgesehenen Maschinen eingesetzt werden können. Diese Funktionen helfen Maschinenbauern, die Investitionen zu sichern und den technologischen Vorsprung zu behalten. Weitere Security-Funktionen wie Stateful Inspection Firewall und VPN sind in den Kommunikationsprozessoren für S7-Steuerungen integriert. Die Kommunikationsprozessoren CP343-1 Advanced für die Steuerungen SIMATIC S7-300 bzw. CP443-1 Advanced für die SIMATIC S7-400 und CP für die S werden dadurch zur sicheren Schnittstelle hin zum gesamten Anlagennetzwerk. Damit schützen sie die jeweils angebundenen Steuerungen, sowie die unterlagerten Netze und bei Bedarf auch die Kommunikation zwischen ihnen und ergänzen bzw. erweitern damit das Zellenschutzkonzept in einer Anlage (siehe Bild 7). Bei PCs kommt die Ethernetkarte CP1628 zum Einsatz, die ebenfalls mittels VPN und Firewall die Kommunikation zu Industrie-PCs schützen kann. Alle diese Security Integrated Produkte sind kompatibel zueinander und können gesicherte VPN-Verbindungen zueinander aufbauen, so dass praktisch jeder Anlagenteil und alle Arten von Automatisierungskomponenten damit geschützt werden können. All Rights reserved Seite 16 von 20

18 6. Rollen- und Rechtekonzepte Wir haben gesehen, dass zur Abwehr der unterschiedlichen Bedrohungen und zum Erreichen eines angemessenen Schutzes, ein Verteidigungskonzept erforderlich ist, das mehrere Hürden für Angreifer aufbaut (Defense-in-Depth- Konzept). Das bedeutet aber gleichzeitig, dass berechtigte Personen diese Hürden überwinden müssen. In der Praxis gibt es normalerweise verschiedene Zugangsberechtigungen bzw. Klassen von Rechten. Bestimmte Anwender dürfen beispielsweise nur auf bestimmte Anlagenteile, Geräte oder Applikationen zugreifen, manche haben Administratorrechte, andere nur Lese- oder auch Schreibrechte. Die Umsetzung eines Security-Konzeptes dient also nicht nur der Abwehr von direkten Angriffen, sondern auch der Umsetzung eines Berechtigungs- Konzeptes. Damit soll sichergestellt werden, dass nur berechtigte Personen gemäß ihrer jeweils zugeordneten Rechte zugreifen können. Üblicherweise wird nicht für jede Person ein eigenes Rechteprofil erstellt, sondern es werden Rollen definiert, die wiederum bestimmte Rechte haben. Benutzern oder auch Benutzergruppen werden dann diese Rollen zugeordnet, wodurch diese dann ihre entsprechenden Zugriffsrechte erhalten. Ein wichtiger Aspekt in Zusammenhang mit Industrial Security ist daher auch die Benutzer- und Rechteverwaltung. Eine durchgängige Projektierung für alle Automatisierungskomponenten erleichtert hier die Userverwaltung, da von zentraler Stelle aus Rollen und Rechte verschiedener Personen festgelegt und gepflegt werden können. Bild 11 zeigt einen Screenshot der Benutzer- und Rechteverwaltung im TIA-Portal. Bild 11: Usermanagement im TIA Portal mit Rollen- und Rechte-Vergabe All Rights reserved Seite 17 von 20

19 7. Angriffsszenarien in der Produkt-Entwicklung und Fertigung berücksichtigen Security-by-Design, also bereits während der Produktentwicklung und Fertigung Security Aspekte zu berücksichtigen, wird immer häufiger von Herstellern gefordert, z.b. auch in der IEC 62443, dem internationalen Standard für Industrial Security. Das bedeutet, dass ein Automatisierungsprodukt von der Entstehung über die Produktion bis hin zum Einsatz in ein Holistic Security Concept (HSC) einbettet werden soll. Das betrifft beispielsweise Source Code, IT-Verfahren oder Produktionsmaschinen. Je nach Sicherheitsbedarf eines Produkts steigen die Anforderungen an die Sicherheit der Assets und der Organisation in Prozessen und Verfahren. Der Produkt Eigentümer ist verantwortlich für die Festlegung, mit welchem Sicherheitslevel er das Produkt und die dazugehörigen Assets bewertet werden (Bild 12). Insbesondere bei der Entwicklung und Fertigung von Automatisierungsprodukten mit Security-Funktionen ist der Sicherheitsbedarf hoch. Das verwendete Schlüsselmaterial beispielsweise muss sicher gegen unbefugte Zugriffe verwahrt werden, da eine Kompromittierung einen sehr hohen Aufwand nach sich zieht, um neue Schlüssel zu generieren und wieder zu verteilen. Sollte die Kompromittierung nicht oder erst nach einiger Zeit entdeckt werden, entsteht ein Sicherheitsrisiko. Aus diesem Grund sind für Hersteller von Produkten mit Security-Funktionen diese Schutz- und Überwachungsmaßnahmen besonders relevant. Aber nicht nur das Portfolio von Security-Produkten wie die Security- Router Scalance S und Scalance M sowie die Kommunikationsprozessoren für Simatic mit integrierter Firewall und VPN profitieren vom HSC, sondern auch alle Standard-Produkte, mit integrierten Security-Funktionen, wie beispielsweise das Engineering Werkzeug TIA Portal und die Simatic S und Simatic S Controller. Denn auch diese Produkte können beim Endanwender das Risiko reduzieren, da schon während der Entwicklung die Produkte auf Schwachstellen getestet und das Design durch Risikoanalysen optimiert wurde. Bild 12: Ganzheitliches Security Konzept für IT and OT All Rights reserved Seite 18 von 20

20 8. Fazit: Industrial Security für Produktionsanlagen Noch bis vor wenigen Jahren war Security für Produktionsanlagen eher ein Randthema. Die Bedrohungen schienen abstrakt und theoretisch zu sein und nur wenige Hersteller und Betreiber beschäftigten sich damit ernsthaft. Dies änderte sich schlagartig, als mehrere Vorfälle medienwirksam bekannt wurden und damit das allgemeine Bewusstsein geschärft wurde, dass nun auch Automatisierungssysteme und Produktionsanlagen im Fokus von Cyberangriffen stehen und diesen real ausgesetzt sind, womit in letzter Konsequenz auch hohe Verluste verbunden sein können. Allein die schiere Anzahl der bekannt gewordenen Fälle, aber auch Untersuchungen mit sogenannten Honeypots, die als Fallen für Hacker aufgestellt wurden, um deren Methodik zu studieren und Statistiken zu erzeugen, zeigten das wahre Ausmaß dieser Bedrohungen. Auf dem Weg zur digitalen Fabrik setzen sich vielerlei Trends fort, die die Risiken von Cyberattacken vergrößern, wie zunehmende Vernetzung, immer mehr Daten müssen übertragen und gespeichert werden, sowie weitere Verbreitung der eingesetzten offenen Standards. Sich diesen Entwicklungen zu verschließen, - allein aus sicherheitstechnischen Überlegungen- ist aber auch nicht der richtige Weg. Denn damit würde die Wettbewerbsfähigkeit immer stärker leiden und massive Umsatzverluste wären die Folge. Somit ist die Abwehr von Bedrohungen und Angriffen eine besonders wichtige Grundvoraussetzung für die digitale Transformation. Gerade auch vor dem Hintergrund der kürzlich in Kraft getretenen Datenschutz-Grundverordnung der EU ist es für Unternehmen ohnehin wichtig, einen schärferen Blick auf ihre Datensicherheit zu werfen. Als Hersteller und Komplettanbieter industrieller Automatisierungs- und Kommunikationssysteme kann Siemens Integratoren und Betreiber dabei unterstützen, sich diesen zunehmenden Herausforderungen zu stellen. Indem bereits während des Designs, der Entwicklung und Fertigung Security Aspekte berücksichtigt werden (siehe Holistic Security Concept) und dementsprechend robuste und mit effektiven Security-Funktionen ausgestattete Komponenten geschaffen werden, können Risiken erfolgreich minimiert werden. Aber Technik und Technologie alleine reichen nicht. Auch Prozesse müssen eingeführt, organisatorische Maßnahmen ergriffen und den jeweiligen, spezifischen Anforderungen angepasst werden. Bei Bedarf kann hier Siemens in Form von Security Services unterstützen. All Rights reserved Seite 19 von 20

21 Bild 13: Industrial Security Portfolio: Konzept, Produkte und Services. Mit Expertise sowohl im Automatisierungs-, als auch im Security-Umfeld, ist Siemens ein starker Partner sowohl für Maschinenbauer, als auch Integratoren und Betreibern von Produktionsanlagen. Neben einem effektiven Industrial Security Konzept wird auch das passende Portfolio an Security Produkten und Services bereitgestellt (Bild 13). Bild 14: Industrial Security - für rundum gesicherte Produktionsanlagen All Rights reserved Seite 20 von 20