Cyber Security als Chance für vernetzte Industrie

Transkript

1 Cyber Security als Chance für vernetzte Industrie VACE Systemtechnik GmbH business unit SECURITY Linzer Straße 16e, 4221 Steyregg

2 Wer ist VACE? - Unternehmensüberblick 1981 Gründung der VACE Die Voest Alpine Consulting Engineering - kurz VACE - wird am Standort Linz gegründet Eingliederung in die MCE Im Zuge einer Umstrukturierung wird die VACE von der damaligen MCE übernommen. neue Eigentümerstruktur Dreißig Jahre nach ihrer Gründung wird die VACE von der damaligen MCE losgelöst. Gründung der VACE GROUP Neu aufgestellt präsentiert sich die VACE Group als spezialisierter Industriedienstleister mit 8 Standorten in Österreich und Deutschland.

3 Wer ist VACE? - Unternehmensüberblick Geschäftsleitung Helmut Altreiter, Andreas Obermüller, Franz Humer, Klaus Kremmair VACE-Bereiche VACE Engineering, VACE Systemtechnik, VACE IT Services, VACE Security, VACE Education & Training Über Mitarbeiter Unsere Vorzüge ISO 9001:2008 zertifiziert Best Recruiters 2016/17 mit goldenem Siegel Kununu-Arbeitgeber-Ranking Platz 3 Trend-Ranking Top Arbeitgeber 2017 Andreas Obermüller Helmut Altreiter Franz Humer Klaus Kremmair

4 Aktuelle Bedrohungen Cyber Security betrifft Über 50% aller Unternehmen sind bereits betroffen Alle betroffenen Unternehmen nutzten Virenscanner, Firewalls sowie Passwortschutz Beliebteste Angriffsziele sind die Automobilindustrie, Chemie- und Pharma-Branche sowie Banken und Versicherungen 52 % aktuelle oder ehemalige Mitarbeiter 39 % Wettbewerber, Lierferanten, Dienstleister, Kunden 17% Hacker 11% organisierte Bandenkriminalität 3% Geheimdienste WannaCry, Heartbleed, Glibc Fehler in breit verwendeten, sicher geglaubten Technologien siehe WannaCry von 2017, glibc von 2016, OpenSSL-Fehler von Öffentliche Einrichtungen Cyberangriffe richten sich auch gegen öffentliche Einrichtungen. Alle IT- Systeme können von Angriffen betroffen sein. Whistleblower Geheimdienste erspähen Kundendaten. Admins haben Zugriff auf fast alle Daten. In Europa laufen mindestens dreimal so viele Daten über verschlüsselte Verbindungen wie noch Anfang Quelle Bitkom.org Studie zu Wirtschaftsschutz und Cybercrime KRITIS Wir sind mehr denn je von technischen Systemen abhängig. Kritische Infrastrukturen Strom, Trinkwasser, Informations- und Kommunikationstechnologie, Bankwesen, Treib- und Brennstoff, Verkehr, Die NIS Richtlinie für Netz- und Informations-Sicherheit tritt zeitgleich zur EU-DSGVO im Mai 2018 in Kraft.

5 Aktuelle Vorfälle Mai 2017: WannaCry infiziert über Computer Am 12. Mai 2017 wurde ein schwerwiegender Cyber-Angriff in 150 Ländern beobachtet. Unter den betroffenen Unternehmen befanden sich unter anderem der französische Autokonzern Renault, der japanische Autohersteller Nissan, das US-Logistikunternehmen FedEx, die Deutsche Bahn mit der Logistiktochter Schenker sowie Teile des britischen National Health Services (NHS). Der Angriff nutzte eine Sicherheitslücke aus, die dem USamerikanischen Auslandsgeheimdienst NSA mehr als 5 Jahr lang bekannt war. März 2017: Wirtschaftsspionage bei Firma Bulmor Industries vereitelt Laut Auskunft der Landespolizeidirektion und des Verfassungsschutzes wurde ein Fall von Industriespionage beim oberösterreichischen Unternehmen Bulmor Industries erfolgreich verhindert. Die vermeintlichen Täter wollten die Technologie für einen neuen Supergabelstapler ins Ausland verkaufen für mehrere Euro. Die Ermittlungen wurden gestartet, als sich ein ausländischer Mitbewerber beim Perger Unternehmen meldete. Dezember 2016: Thyssenkrupp wird Opfer von massiven Hacker-Angriff Die Abwehr eines erfolgreichen Angriffs dauerte beim deutschen Industriekonzern mehr als sechs Monate. Die Angreifer hätten versucht, von einem IT- System, das bereits geknackt wurde, auf weitere Systeme einzudringen. Es wird vermutet, dass der Zugriff über Phishing- s erfolgt sein könnte. Das IT-Sicherheitsteam konnte den Angriff letztendlich abwehren. August 2016: Autozulieferer Leoni wird Betrugsopfer: 40 Millionen Euro Der deutsche Autozulieferer Leonie wurde um etwa 40 Millionen Euro betrogen. Das Vorgehen der Täter entspricht der sogenannten Fake-President- Trick, mit der Unbekannte bereits in den vorangegangenen Monaten andere Unternehmen um große Beträge erleichtert hatten.

6 Was hat eine Burg mit Cyber Security zu tun?

7 Vernetzung - Entwicklungsstufen der Industrie ENDE 18. JAHRHUNDERT BEGINN 20. JAHRHUNDERT BEGINN DER 70ER JAHRE HEUTE INDUSTRIE 1.0 Mechanisierung durch Einführung mechanischer Produktionsanlagen mithilfe von Wasser- und Dampfkraft 1784 Erster mechanischer Webstuhl INDUSTRIE 2.0 Elektrifizierung durch Einführung arbeitsteiliger Massenproduktion mithilfe von elektrischer Energie 1870 Erstes Fließband, Schlachthöfe von Cincinnati INDUSTRIE 3.0 Automatisierung von Produktionsprozessen durch Einsatz von Elektronik und IT 1969 Erste speicherprogrammierbare Steuerung (SPS), Modicon 084 INDUSTRIE 4.0 Vernetzung von Menschen, Maschinen (M2M) und Dingen (Internet der Dinge) auf Basis von cyberphysischen Systemen

8 Cloud Industrieunternehmen Produktion CZ Produktion USA Niederlassung FR Hauptstandort Österreich Supply Chain

9 Nutzung von Cloud Computing in der EU 17% 21% 57% Österreich EU-Durchschnitt Finnland Quelle: Eurostat, Cloud computing use in EU enterprises 2016 VACE-Security VACE-Security member member of of the the VACE VACE Group Group

10 Nutzung von Cloud Computing in Österreich 12% 20% 45% Produzierende Industrie Dienstleistungen IKT-Sektor Quelle: Statistik Austria, Unternehmen mit Nutzung von Cloud Services 2016 VACE-Security VACE-Security member member of of the the VACE VACE Group Group

11 Sicherheitsaspekte bei Industrial IoT IT-SICHERHEIT DATENSCHUTZ PRIVACY BY DESIGN PRODUKTBEOBACH- TUNGSPFLICHTEN INDUSTRIAL IoT PRODUKTHAFTUNG KNOW-HOW & GEHEIMNISSCHUTZ ABSICHERUNG VON PRODUKTIONS- AUSFÄLLEN

12 Chancen bei Industrial IoT Disruptive Geschäftsmodelle Geisterschichten Digitaler Zwilling IndustRIal IoT Stabilere Produktion bei geringeren Kosten Vorbeugende Wartung Digitale Kooperation

13 1. Social Engineering und Phishing 2. Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware 3. Infektion mit Schadsoftware über Internet und Intranet 4. Einbruch über Fernwartungszugänge 5. Menschliches Versagen und Sabotage Top 10 ICS Bedrohungen des BSI (BSI-CS-005) Quelle: Bundesamt für Sicherheit in der Informationstechnik (Deutschland) blob=publicationfile 6. Internet-verbundene Steuerungskomponenten 7. Technisches Fehlverhalten und höhere Gewalt 8. Kompromittierung von Extranet und Cloud- Komponenten 9. (D)DoS-Angriffe 10. Kompromittierung von Smartphones im Produktionsumfeld

14 Beispiel: Einbruch über Fernwartungszugänge VNC Keyhole ist ein Projekt von Marco DiFilippo und dient als Awareness-Tool. Beschreibung Das Projekt sucht nach offenen, und ungeschützten Fernwartungszugängen und stellt diese in Form von Screenshots dar. Zweck Steigerung des Problembewusstseins Website:

15 IoT Device Default Password Lookup DefPass.com ist ein Projekt von Marco DiFilippo und dient als Awareness-Tool. Beschreibung Das Projekt stellt Standard-Zugangsdaten für (Industrial) IoT-Geräte bereit. Zweck Steigerung des Problembewusstseins Website:

16 Internet-verbundene Steuerungskomponenten Shodan ist eine Computersuchmaschine von John Matherly. Beschreibung Die 2009 veröffentlichte Plattform durchsucht das Internet und stellt die Informationen in einer einfachen, und übersichtlichen Art dar. Neben grafischen Auswertungen, und einfachen Suchabfragen, gibt es auch Programmierschnittstellen. Zweck Steigerung des Problembewusstseins Website

17 Shodan.io Suchmaschine - BACnet

18 (D)DoS durch ein IoT-Botnetz Quelle: Twitter.com -

19 (D)DoS durch ein IoT-Botnetz Das Mirai-Botnet (japanisch für Zukunft ) infiziert zunehmend IoT-Geräte. Beschreibung Im September 2016 wurde auf Krebs On Security ein Angriff mit 620 Gbps durchgeführt und auf den französischen Cloud Dienstleister OVH, mit ca. 1 Tbps. Der Quellcode ist inzwischen im Internet verfügbar. Quelle: Github.com Leaded Mirai Botnet- Quellcode:

20 Unterbrechung des Geschäftsbetriebes (inkl. Zusammenbruch der Lieferantenkette) Sicherheitsvorfälle (Cyber Crime, Datenlecks, IT-Fehler) Reputationsverlust Diebstahl, Betrug, Korruption, Sabotage und Terrorismus Neue Technologien, Kollateralschäden Menschliche Fehler Blackouts Quelle: Allianz Risk Barometer 2016 / in Anlehnung an Herbert Dirnberger (Cyber Security Austria) Auszug Global Business Risken für 2016

21 Wenn Sie heute wüssten, dass auch Ihrem Unternehmen demnächst ein Cyberangriff droht, wäre es bereits zu spät! Jedes zweite betroffene Unternehmen wurde erst nach einer Verweildauer von durchschnittlich 150 Tagen im Kundennetzwerk durch externe Stellen auf die Attacke aufmerksam gemacht!

22 Sicherheit ist ein Prozess 1 RISIKOANALYSE 4 VALIDIERUNG UND VERBESSERUNG SICHERHEITS MANAGEMENT PROZESS 2 RICHTLINIEN, ORGANISATORISCHE MAßNAHMEN 3 TECHNISCHE MAßNAHMEN VACE-Security VACE Security member member of of the the VACE VACE Group Group

23 Datenschutz Grundverordnung EU-DSGVO Grundrecht für EU Bürger Die Europäische Union verankert den Schutz, natürlicher Personen betreffende, personenbezogene Daten auf Grundrechtsebene EU-weites Datenschutzrecht Die Verordnung ist der Versuch alle 28 bestehende nationale Gesetz zu vereinheitlichen auf Grund der Öffnungsklauseln unzureichend Sanktionen bis 10 Mio. bzw. 2% des weltweiten Vorjahresumsatzes Bei Verletzung technischer und organisatorischer Schutzmaßnahmen Fehlender Nachweis der Verarbeitungstätigkeit, Datenschutz-Folgenabschätzung bis 20 Mio. bzw. 4% des weltweiten Vorjahresumsatzes Verletzung der Rechtmäßigkeit, mangelnde oder nicht vorhandene Einwilligung Verletzung der Rechte Betroffener Drittlandübermittlung Fehlende Zusammenarbeit mit der Aufsichtsbehörde Beweislastumkehr: der Verantwortliche muss die Rechtskonformität seiner Datenverarbeitung nachweisen. Meldepflicht bei Datenschutzvergehen, innerhalb von 72 Stunden an die Behörde und die Betroffenen. Handlungsbedarf die Maßnahmen sollten bis zum 25. Mai 2018 bereits umgesetzt sein! VACE-Security VACE Security member member of of the the VACE VACE Group Group

24 Planung der Audits Überblick über Cyber Security Maßnahmen Compliance Dashboard Control Assessment Übersicht der Controls VACE-Security VACE Security member member of of the the VACE VACE Group Group

25 Diskussion zum Abschluss Safety, Security, Resilienz und Privacy von Anfang an Das deutsche Cybersicherheitsgesetz und die Europäische Datenschutzgrundverordnung (EU-DSGVO) setzen die ersten Schritte in diese Richtung. Industrial IoT vs. IoT vs. IT vs. AT Jeder Teilbereich bringt unterschiedliche Aspekte mit sich und es ist daher umso entscheidender zu verstehen worin die Unterschiede und die Gemeinsamkeiten von (Industrial) IoT, IT und AT liegen. Chancen und Risiken erkennen Durch eine zunehmende Vernetzung können Synergieeffekte genutzt werden, allerdings müssen die Technologien sicher und beherrschbar angewendet werden, denn sonst wird aus einer Chance ein Risiko. Legacy von Stunde 0 weg Ohne einer Risiko- und Technologie-Folgenabschätzung von Anfang an, kann ein Digitalisierungs-Projekt in einem Legacy-Projekt enden. VACE-Security VACE-Security member member of of the the VACE VACE Group Group

26 Das Angebot an Dienstleistern für Human Ressources, Engineering, Training und Education, Netzwerk- und IT-Security-Dienstleister, ist groß, aber wir vereinen all diese Kernkompetenzen zum einzigartigen Nutzen für Sie! VACE Systemtechnik GmbH Linzer Straße 16e A-4221 Steyregg