Andreas Seiler, M.Sc. IT-Security in der Industrie - Vorfälle und Gegenmaßnahmen Clustertag 2017

Transkript

1 Andreas Seiler, M.Sc. IT-Security in der Industrie - Vorfälle und Gegenmaßnahmen Clustertag 2017

2 Persönliche Vorstellung B.Sc. Wirtschaftsinformatik IBM Security Services in Mannheim Wissenschaftlicher Mitarbeiter HSASec Hochschule Augsburg M.Sc. Informatik - Industrial Control Systems Security Andreas Seiler ICS Security kooperative Promotion an der Universität der Bundeswehr München zum Thema Evaluierung der IT- Sicherheit von industriellen Netzwerken

3 Welches Risiko besteht realistisch für uns? Risiko Wahrscheinlichkeit, dass eine Bedrohungsquelle ein Bedrohungsereignis verursacht Bedrohungsvektor, aufgrund einer potentiellen Schachstelle in einem Zielsystem Konsequenzen mir unterschiedlichen Auswirkungen abhängig vom Anwendungsfall

4 [1]

5 [2]

6 [3] [4] [5] [6]

7 Es war einmal in einem Wasserwerk in den USA IP Adresse in Logs aus Russland Login in Steuerungssysteme mit validen Anmeldedaten Mechanischer defekt einer Pumpe [7]

8 Es war einmal in einem Wasserwerk in den USA Jim Mimlitz, Mitarbeiter eines Integrators für Wasserversorgungsanlagen Fernwartung aus dem Urlaub in Russland zerstörte Pumpe war lediglich technischer Defekt [8]

9 ICS Security Trends signifikante Zunahme von Schwachstellenmeldungen in den Letzten 2 Jahren Verizon Data Breach Investigation Report: 99,9 % der genutzten Schwachstellen wurden mehr als ein Jahr nach ihrer Veröffentlichung ausgenutzt zielgerichtete Kampagnen und Angriffe Social Engineering Weiterentwicklung von Schadsoftware Informationssammlung Ausnutzen von Vertrauensbeziehungen

10 [9]

11 Die 10 Gebote der industriellen IT-Sicherheit 1. Risikoanalysen und Penetrationstest helfen Bedrohungen zu identifizieren und Schwachstellen aufzudecken. 2. Industriekomponenten sollen nicht öffentlich über das Internet zugänglich sein, da spezielle Suchmaschinen, wie z.b. SHODAN, solche Komponenten finden und Angreifern einen leichten Zugang bieten. 3. Netzwerke sollen segmentiert und abgesichert werden um bei einem Vorfall den Schaden so gering wie möglich zu halten und Angreifer am Vordringen in das System zu hindern. 4. Der Fernzugriff soll entsprechend abgesichert sein um einen Missbrauch zu verhindern. 5. Vorsichtiger Umgang mit Wechseldatenträgern wie USB-Sticks schützt vor ungewollter Infektion mit Viren und anderer Malware

12 Die 10 Gebote der industriellen IT-Sicherheit 6. Komponenten sollen gehärtet werden um Missbrauch oder versehentlicher Fehlnutzung vorzubeugen. Das bedeutet zum Beispiel bei einem HMI-Betriebssystem alle Benutzerkonten zu löschen und alle Dienste zu deaktivieren, die nicht benötig werden. 7. Zugang zu Anlagenteilen beschränken und absichern. Dies schließt sowohl den physischen Zugang als auch Benutzerverwaltung und Authentisierung mit ein. 8. Kritische Komponenten redundant anlegen um im Notfall die Funktionsfähigkeit der Anlage schnell wiederherstellen zu können. 9. Security Policies festlegen und Mitarbeiter schulen um Verantwortliche und Prozesse zu definieren und ein Sicherheitsbewusstsein zu schaffen. 10. Die Sicherheit der Anlage überwachen, indem der Netzwerkverkehr aufgezeichnet wird, um ungewollte Kommunikation zu erkennen

13 Ein guter Schutz industrieller Netzwerke ist schwierig aber machbar!

14 Fragen und Diskussion

15 Kontakt Forschungsgruppe für IT-Security und Digitale Forensik der Hochschule Augsburg. Die HSASec ist sowohl im wissenschaftlichen als auch im Dienstleistungsbereich tätig. #HSASec

16 Quellen [1] [2] [3] [4] [5] [6] [7] html [8] [9] gtndhmyi04zdfllwy1nzu3ytcwmjziyw.png