ACHEMA meets Wasser. Aktuelle Bedrohungen für Industrieanlagen & IT Sicherheit Produktion vs. Office

Transkript

1 ACHEMA meets Wasser Aktuelle Bedrohungen für Industrieanlagen & IT Sicherheit Produktion vs. Office siemens.de/industrialsecurity

2 IT in Industrieanlagen Von isolierten Kommunikationsinseln Seite 2

3 IT in Industrieanlagen zu komplexen Landschaften Office Network ERP- and MES-Systems Internet and Mobile Network UMTS, GPRS, etc. Control Network WLAN Ethernet WLAN Seite 3

4 Aktuelle Bedrohungslage Bedrohungen für Steuerungskomponenten Top 10 Bedrohungen im Überblick 1. Infektion mit Schadsoftware über Internet und Intranet 2. Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware 3. Social Engineering 4. Menschliches Fehlverhalten und Sabotage 5. Einbruch über Fernwartungszugänge 6. Internet-verbundene Steuerungskomponenten 7. Technisches Fehlverhalten und höhere Gewalt 8. Kompromittierung von Smartphones im Produktionsumfeld 9. Kompromittierung von Extranet und Cloud-Komponenten 10. (D)DoS Angriffe Seite 4

5 Aktuelle Bedrohungslage BSI und BITKOM Berichte Studie des Digitalverbands BITKOM BSI Die Lage der IT-Sicherheit in Deutschland Quelle: Quelle: BSI - Die Lage der IT-Sicherheit in Deutschland 2014 Seite 5

6 Aktuelle Bedrohungslage Schlagzeilen über aufgedeckte Schwachstellen Quelle: Quelle: Quelle: Quelle: Seite 6

7 Industrial Security vs. IT Security Produktion und Büro haben unterschiedliche Schutzziele Verfügbarkeit Hauptziel Vertraulichkeit Integrität Integrität Vertraulichkeit Netzausfallzeiten < 300 ms Verfügbarkeit Minutenbereich akzeptabel Verfügbarkeit Anlagen- IBS-Personal Installation Netzwerk- Fachpersonal Anlagenspezifisch Topologie Sternförmig Raue Umgebungen Einsatzort Klimatisierte Büros Industrial Security Niedrig, Switches mit weniger Ports Gerätedichte Hoch, Switches mit hoher Portanzahl IT-Security Seite 7

8 Aktuelle Gesetzeslage IT-Sicherheit in kritischen Infrastrukturen Bedrohung Gesetz Betroffene Gesetz im Bundesrat beschlossen Quelle: Bericht zur Lage der IT-Sicherheit in Deutschland 2014 Seite 8 Quelle: Bundesministerium des Innern: Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie) ( )

9 ACHEMA meets Wasser Ganzheitliches Sicherheitskonzept für Industrieanlagen (..vom sicheren Netz bis zum sensiblen Mitarbeiter) siemens.de/industrialsecurity

10 IT-Sicherheit in Industrieanlagen Defense-in-Depth als Schlüssel für eine sichere Infrastruktur Große Mauer Unüberwindbare Mauer Einschichtiger Schutz Ein Angriffspunkt Defense in Depth Vielschichtiger Schutz Jede Schicht unterstützt die Anderen Bei jedem Übergang muss ein Angreifer Zeit und Aufwand aufbringen Eine einzelne Schutzmaßnahme ist niemals gut genug, um einer Bedrohung stand zu halten! Seite 10

11 IT-Sicherheit in Industrieanlagen Das Defense-in-Depth-Konzept Seite 11

12 ACHEMA meets Wasser Plant Security Services Antworten für kontinuierlichen Schutz und Sicherheit siemens.de/plant-security-services

13 Industrial Security Plant Security Services Umsetzung der gesetzlichen Anforderungen Aktuelle Gesetzlage Herausforderungen und Ziele Siemens Konzept und Herangehensweise Umsetzung der gesetzlichen Anforderungen Portfolioübersicht Beispielumsetzung Seite 13

14 Aktuelle Gesetzeslage Herausforderungen und Ziele Herausforderungen Das IT-Sicherheitsniveau bei kritischen Infrastrukturen und Infrastrukturbetreibern ist heute sehr unterschiedlich Vorgaben Risikomanagement Übergreifende Sicherheitskonzepte Audits Informationsaustausch Defizite im Bereich IT-Sicherheit sind abzubauen, um ein gefordertes Mindest-Niveau / Grundschutz zu erreichen Ziele des Gesetzes Einhaltung eines Mindestniveau an IT-Sicherheit Verfügbarkeit Integrität Vertraulichkeit Authentizität Meldung von IT-Sicherheitsvorfälle an BSI Den Nachweis der Erfüllung durch Sicherheitsaudits Die Einrichtung und Aufrechterhaltung von Verfahren für die Meldung erheblicher IT- Sicherheitsvorfälle an das BSI Das Betreiben einer Kontaktstelle Seite 14 * Zeit zum Umsetzung nach Inkrafttreten der gesetzlichen Vorgaben

15 Siemens Konzept unterstützt den Kunden bei der Erfüllung des Gesetzes Bedarfsgerechter Ansatz für den langfristigen Schutz Ihres industriellen Automatisierungssystems (ICS) Bewerten Information über den Sicherheitsstatus und Entwicklung eines Security- Fahrplans Realisieren Planen, entwickeln und umsetzen eines ganzheitlichen Industrial Security Programms Betreiben Durchgängige Sicherheit durch proaktiven Schutz Geplant ab 2016 Seite 15

16 Siemens Plant Security Services Unterstützung zur Erfüllung der gesetzlichen Anforderungen Unser Portfolio Die Einrichtung und Aufrechterhaltung von Verfahren für die Meldung erheblicher IT- Sicherheitsvorfälle an das BSI* Den Nachweis der Erfüllung durch Sicherheitsaudits* Die Einhaltung eines Mindestniveaus an IT-Sicherheit* Seite 16 * Anforderungen aus dem neuen IT-Sicherheitsgesetz Das Betreiben einer Kontaktstelle* Cyber-SecurityOperationCenter Industrial - Plant Security (C-SOC) Services

17 Siemens Plant Security Services Bündelung basiert auf den gesetzlichen Anforderungen Planen: Überprüfung des IST-Zustands der Anlage hinsichtlich industrieller Sicherheit Durchführen: Implementierung der identifizierten Maßnahmen zur Risikominderung Planen: Festlegung eines Prozesses Prüfen: Validierung der Maßnahmen durch kontinuierliche Überwachung Handeln: Instandhalten und Verbessern Durchführen: Umsetzung und Durchführen Handeln: Verbesserung der Sicherheit durch regelmäßige/ereignisabhängige Überprüfung des IST-Zustands Prüfen: Überwachen und Überprüfen Seite 17

18 Planen Assessment Überprüfung des IST-Zustands der Anlage hinsichtlich industrieller Sicherheit Security Assessment entsprechend IEC 62443, ISO & BSI Grund Schutz Was liefern wir? Menschen Bewertung des Sensibilisierungsgrads sowie die Ausgangsqualifikation bezogen auf industrielle Sicherheit Security Assessment für PCS7 und WIN CC Prozesse Bewertung der Wirksamkeit Ihrer sicherheitsrelevanten, organisatorischen Prozesse Assess Security Assessment für Plants Den Nachweis der Erfüllung durch Sicherheitsaudits Technik Überprüfung des IST-Zustands ihrer installierten Basis und Netzwerkarchitektur zur Erkennung von Sicherheitslücken Security Consulting & Auditierung Seite 18

19 Durchführen Implement Implementierung der identifizierten Maßnahmen zur Risikominderung (1 von 2) Implementierung von Maßnahmen für die Einhaltung eines IT-Mindestniveaus Was liefern wir? Netzwerkplanung (incl. Perimeternetz) Einrichtug Firewalls System-Härtung Implement Patchmanagement Virenscan / Whitelisting Die Einhaltung eines Mindestniveaus an IT-Sicherheit Remotezugriff Benutzerverwaltung Training Seite 19

20 Durchführen Implement Implementierung der identifizierten Maßnahmen zur Risikominderung (2 von 2) Kundenanlage Implementierungselemente Schulungen & Prozesse Sicherheitszellen und DMZ Firewalls und VPN Systemhärtung Benutzerverwaltung Patch Management Malware-Erkennung und -Vermeidung Seite 20

21 Prüfen Manage Validierung der Maßnahmen durch kontinuierliche Überwachung Kontinuierliche Überwachung Services Manage Security Menschen Aufrechterhaltung des Ausbildungsstandes der Mitarbeiter entsprechend der sich ändernden Bedrohungslage Zyklische Kontrolle der Sec. Maßnahmen Prozesse Überprüfung der Wirksamkeit der eingesetzten Prozesse, Arbeitsanweisungen und Richtlinien Überwachung der Einhaltung gesetzter Vorgaben Manage Automatische Zyklische Kontrolle Netzwerk Security Monitoring Die Einrichtung und Aufrechterhaltung von Verfahren für die Meldung erheblicher IT- Sicherheitsvorfälle an das BSI Technik Überwachung des Sicherheitszustands Überprüfung der Wirksamkeit der implementierten technischen Mechanismen On-Demand Incident Handling Das Betreiben einer Kontaktstelle Seite 21 Cyber-SecurityOperationCenter Industrial - Plant Services (C-SOC)

22 Handeln Re-Assessment Regelmäßige Überprüfung des IST-Zustands Regelmäßige Wiederholung des Security Assessments entsprechend IEC 62443, ISO & BSI Grund Schutz Was liefern wir? Menschen Bewertung des Sensibilisierungsgrads sowie die notwendige, spezifische Qualifikation bezugnehmend auf das zuvor durchgeführte Assessment Security Assessment für PCS7 und WIN CC Prozesse Bewertung der Wirksamkeit Ihrer sicherheitsrelevanten, organisatorischen Prozesse in Bezug auf Veränderungen in den Anforderungen vom Anlagenbetrieb Assess Security Assessment für Plants Den Nachweis der Erfüllung durch Sicherheitsaudits Technik Überprüfung der Änderungen in ihrer installierten Basis und Netzwerkarchitektur bezugnehmend auf das zuvor durchgeführte Assessment zur Erkennung von Sicherheitslücken Security Consulting & Auditierung Seite 22

23 Plant Security Services Portfolioübersicht - Zusammenfassung IT-Sicherheitsgesetz PSS Portfolio Seite 23 Den Nachweis der Erfüllung durch Sicherheitsaudits Die Einhaltung eines Mindestniveaus an IT-Sicherheit Die Einrichtung und Aufrechterhaltung von Verfahren für die Meldung erheblicher IT- Sicherheitsvorfälle an das BSI Das Betreiben einer Kontaktstelle Manage Implement Assess Security Assessment für PCS7 und WIN CC Security Assessment für Plants Security Consulting & Auditierung Netzwerkplanung (incl. Perimeternetz) EinrichtugFirewalls System-Härtung Patchmanagement Virenscan / Whitelisting Remotezugriff Benutzerverwaltung Training Starter: Zyklische Kontrolle der Sec. Maßnahmen Advance: Automatische Zyklische Kontrolle Expert: Netzwerk Security Monitoring On-Demand Incident Handling Cyber-Security Operation Center (C-SOC) Unser Portfolio deckt alle Anforderungen bezüglich Security Assessment, Implementation und Manage Services ab

24 Vielen Dank für Ihre Aufmerksamkeit! Heinrich Homann RC-DE DF CS P Service Promotion Plant Security Services Mobile: +49 (172) heinrich.homann@siemens.com Siemens AG Alle Rechte vorbehalten. Seite 24 Industrial Security

25 Industrial Security Ausschlussklausel (Disclaimer) Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren Betrieb von Anlagen, Lösungen, Maschinen, Geräten und/oder Netzwerken unterstützen. Sie sind wichtige Komponenten in einem ganzheitlichen Industrial Security-Konzept. Die Produkte und Lösungen von Siemens werden unter diesem Gesichtspunkt ständig weiterentwickelt. Siemens empfiehlt, sich unbedingt regelmäßig über Produkt-Updates zu informieren. Für den sicheren Betrieb von Produkten und Lösungen von Siemens ist es erforderlich, geeignete Schutzmaßnahmen (z. B. Zellenschutzkonzept) zu ergreifen und jede Komponente in ein ganzheitliches Industrial Security-Konzept zu integrieren, das dem aktuellen Stand der Technik entspricht. Dabei sind auch eingesetzte Produkte von anderen Herstellern zu berücksichtigen. Weitergehende Informationen über Industrial Security finden Sie unter: Um stets über Produkt-Updates informiert zu sein, melden Sie sich für unseren produktspezifischen Newsletter an. Weitere Informationen hierzu finden Sie unter: Seite 25