VDI Fachkonferenz Industrial IT Security IT-Sicherheit in Produktions- und Automations-Systemen

Transkript

1 VDI Fachkonferenz Industrial IT Security IT-Sicherheit in s- und Automations-Systemen Prof. Dr. Michael Waidner Fraunhofer SIT und TU Darmstadt VDI Fachkonferenz Industrial IT Security Frankfurt a.m., Juli 2013

2 Fraunhofer-Institut für Sichere Informationstechnologie Älteste und größte Einrichtung für IT-Sicherheitsforschung in Deutschland Kompetenzfelder 167 Mitarbeiter (2012) 8.7 M Jahresbudget (2012) 3 Professoren der TU Darmstadt Michael Waidner (2010) Ahmad-Reza Sadeghi (2010) Eric Bodden (2013) Berlin Birlinghoven Darmstadt Industrie 4.0 Cyberphysical Systems Mobile Systeme Security Test Lab Cloud Computing Identity and Privacy IT-Forensik Mediensicherheit Secure Engineering Sicherheitsmanagement Betrieb Fraunhofer PKI 2

3 Themenblöcke der Konferenz Mittwoch Sichere Informationssysteme in der industriellen Eine Utopie? Identifikation wirkungsvoller Schutzmaßnahmen für die Industrie Anforderungen an die Sicherheit von Automatisierungslösungen Donnerstag Prozesse und Tools, um Sicherheitsschwachstellen schnell und nachhaltig zu schließen Strategien für mehr industrielle IT-Sicherheit und stabile snetze zum Schutz von Mensch und Maschine Flexibilität von Schutzmaßnahmen für sich ändernde Angriffsmotivationen und -szenarien 3

4 Sichere Informationssysteme in der industriellen Eine Utopie? 4

5 Entwicklung der Unsicherheit: Deutliche Zunahme seit 2006 Schäden durch Computerbetrug und Betrug mit Zugangsdaten zu Kommunikationsdiensten in Deutschland [Mio ] Quelle: AV-Test GmbH 2013 Quelle: BKA, Bundeslagebild Cybercrime,

6 Aktuelle IT-Angriffe: Aufwändig, zielgerichtet. Kriminalität, Spionage, Aktivismus. Zeus Trojan and Botnet (2007) Jérôme Kerviel vs. Société Générale (2008) Anonymous (2008) Iranian Cyber Army false flag vs. Baidu search engine (2010) DigiNotar (2011), RSA/Lockheed-Martin (2011), Saudi Aramco (2012), EADS (2012),... Angriffe (auch) auf die Industrie Stuxnet (2010) NSA PRISM, GCHQ Tempora (2013) PRC Unit 61398, Shanghai (2013) 6

7 Erfahrungen mit Internet-Unsicherheit 39% der Unternehmen und 52% der Privaten haben IT-Unsicherheit erlebt b Mehr als 5 gezielte Angriffe pro Tag auf die Netze des Bundes c 91% aller Passwörter auf Top Liste i, 58% aller Nutzer verraten ihr Passwort dem Support am Telefon h 43% aller Smartphones d und 34% aller Festplatten a werden vor dem Wegwerfen nicht gelöscht 45% aller Unternehmen haben keinen Notfallplan b 67% aller Softwarehersteller haben keinen identifizierten Sicherheitsprozess g 71% aller Software mit echten Produktivdaten getestet e, 86% aller Web-Anwendungen sicherheitskritisch falsch konfiguriert f Quellen: a. BBC 2009, b. BITKOM 2012, c. BMI 2013, d. BT 2008, e. CIO Magazin 2009, f. IBM 2011, g. Information Week 2012, h. Infosecurity Europe 2008, i. Mark Burnett

8 Security and Privacy by Design / Fehler Security by Design Fehlerkorrektur (Patching) Intrusion Prevention Intrusion/Botnet Detection Forensik Initiale Entwicklung ~30 x Weiterentwicklung und Betrieb 1 x ~10 x Quelle: NIST

9 Sichere Informationssysteme in der industriellen 100% Sicherheit Unmöglich Erreichbar mit überschaubaren Kosten für F&E Heute 0% Kosten 9

10 Sichere Informationssysteme in der industriellen Eine Utopie? 10

11 Kritische Schwachstelle in hunderten von Industrieanlagen Quellen: Heise c t Mai 2013; Shodan Homepage ( 11

12 Bedrohungslage (BSI 2012) 1. Fernwartungszugänge 2. Verbundene Office- und Enterprise-Netze 3. Standardkomponenten im ICS-Netz 4. (D)DoS Angriffe 5. Menschliche Fehler und Innentäter 6. Schadcode über mobile Hardware 7. Ungesicherte, offene ICS-Netze 8. Ungesicherte, offen Dienste und Komponenten 9. Ungesicherte Netzwerkkomponenten 10. Technische Fehler, höhere Gewalt Quelle: Industrial Control System Security -- Top 10 Bedrohungen; BSI, Bonn

13 Die nächsten Herausforderungen IT-Sicherheit 4.0? 13

14 Industrie 4.0 Internet, Cloud, Big Data Cyber-physical Systems Smart Grid Quelle: Forschungsunion Wirtschaft und Wissenschaft: Umsetzungsempfehlungen 14 für das Zukunftsprojekt Industrie 4.0, 2012

15 Beispiel: Smart Factory Kunden Internet Hacking Dienste Horizontale Integration Geschäftsprozesse Vertikale Integration Maschinen Smart Factory Produzent Produkte Menschen Kommunikation Entwurf, Engineering, Planung Ressourcen Lager & Logistik Lager & Logistik Smart Factory Zulieferer 15

16 Beispiel: Smart Factory Kunden Bestellung für individuelle Internet Hacking Einbindung von Diensten Dienste Vertikale Integration Geschäftsprozesse Maschinen Dynamische Anpassung Smart Factory Produzent Produkte Dynamische Aushandlung Prozesse Gegenseitige Steuerung Eindeutig identifizierbar Menschen Kommunikation Jederzeit lokalisierbar Eigenständiger Informationsaustausch Kennen Historie Entwurf, Engineering, Planung Ressourcen Dynamische Integration Intelligentes Lagersystem Kennen Zustand Horizontale Integration Echtzeitmonitoring Lager & Logistik Lager & Logistik Smart Factory Zulieferer Kennen Wege zum Ziel 16

17 Beispiel: Smart Factory Kunden Bestellung für individuelle Internet Hacking Einbindung von Diensten Dienste Vertikale Integration Geschäftsprozesse Maschinen Dynamische Anpassung Smart Factory Produzent Produkte Dynamische Aushandlung Prozesse Gegenseitige Steuerung Eindeutig identifizierbar Menschen Kommunikation Jederzeit lokalisierbar Eigenständiger Informationsaustausch Kennen Historie Entwurf, Engineering, Planung Ressourcen Dynamische Integration Intelligentes Lagersystem Kennen Zustand Horizontale Integration Echtzeitmonitoring Lager & Logistik Lager & Logistik Smart Factory Zulieferer Kennen Wege zum Ziel 17

18 Risiken Hacking Kunden Bestellung für individuelle Internet Einbindung von Diensten Dienste Vertikale Integration Dynamische Aushandlung Manipulation Prozesse Bestelldaten Geschäftsprozesse Maschinen Änderung Änderung sprozess Stückzahl Dynamische Anpassung Smart Factory Produzent Produkte Gegenseitige Steuerung Eindeutig identifizierbar Manipulation Kommunikation Spoofing Kommunikation Eigenständiger Änderung Informationsaustausch stermin Manipulation Lokalisierung Jederzeit lokalisierbar Kennen Historie Ressourcen Dynamische Integration Ausspionieren Konstruktionsdaten Entwurf, Engineering, Planung Menschen Intelligentes Lagersystem Kennen Zustand Horizontale Integration Echtzeitmonitoring Lager & Logistik Manipulation Lagerdaten Lager & Logistik Smart Factory Zulieferer Kennen Wege zum Ziel Manipulation Monitoringdaten Manipulation alternativer Wege 18

19 Sichere Informationssysteme in der industriellen Keine Utopie 19

20 Prof. Dr. Michael Waidner Fraunhofer-Institut für Sichere Informationstechnologie (SIT) Institutsleiter Rheinstraße Darmstadt Technische Universität Darmstadt Fachbereich Informatik, Lehrstuhl Sicherheit in der IT (SIT) Direktor CASED und EC SPRIDE Mornewegstraße Darmstadt 20