Begleitforum Industrie 4.0. Safety & Security in der Industrie München. Dr. Armin Pfoh TÜV SÜD AG TÜV SÜD AG

Transkript

1 Begleitforum Industrie München Safety & Security in der Industrie 4.0 Dr. Armin Pfoh TÜV SÜD AG TÜV SÜD AG Slide 1

2 Data & Process Complexity Industrie Industrial Revolution On the basis of cyber-physical systems and smart factories 1784 first mechanical loom 3. Industrial Revolution Utilization of electronics and IT to further automate production 2. Industrial Revolution Mass production using electrical energy and division of labor 1. Industrial Revolution Mechanical production with water and steam engines 1800s 1900s 1970s Today TÜV SÜD Management Service GmbH Folie 2

3 Seit 146 Jahren bemühen wir uns um die Sicherheit neuer Technologien Establishment of a Mannheim-based steam boiler inspection association by 21 operators and owners of steam boilers, with the objective of protecting man, the environment and property against the risk emanating from a new and largely unknown form of technology First vehicle periodic technical inspection (PTI) 1926 Introduction of the TÜV mark / stamp in Germany 1958 Development of a Bavaria-wide network of vehicle inspection centres in the late 1950s 1990s Conglomeration of TÜVs from the southern part of Germany to form TÜV SÜD and the expansion of business operations into Asia 2006 Expansion of services in ASEAN by acquiring Singapore-based PSB Group 2009 Launch of Turkey-wide vehicle inspection by TÜVTURK Today TÜV SÜD continues to pursue a strategy of internationalisation and growth TÜV SÜD AG Corporate Presentation Slide 3

4 Data & Process Complexity Industrie 4.0 the internet has come to the factory 4. Industrial Revolution On the basis of cyber-physical systems and smart factories 1784 first mechanical loom 3. Industrial Revolution Utilization of electronics and IT to further automate production 2. Industrial Revolution Mass production using electrical energy and division of labor 1. Industrial Revolution Mechanical production with water and steam engines 1800s 1900s 1970s Today TÜV SÜD Management Service GmbH Folie 4

5 CHECK POINT Security Report % Increase in new malware from 2012 to 2013 ( ) 800% since % of organizations downloaded at least one infected file with unknown malware 58% of organizations experienced a user downloading malware every 2 hours or less 14% in 2012 On average, a host accesses a malicious web site every minute and every 10 minutes a malware is downloaded Percentage of organizations using high-risk applications 90% Remote Admin 86% File Storage and Sharing 75% P2P File Sharing 56% Anonymizer Source: Check Point Technologies 2014 TÜV SÜD Management Service GmbH Folie 5

6 Cyber Risiken - Unterschiede zu klassischen Risiken Wenig Erfahrung im Umgang mit Risiken in Verbindung mit IT und Cyber Space Massive Zunahme der Internet-Aktivitäten (z.b. Handel, Online-Services, Blogs) im letzten Jahrzehnt steigert die Verletzlichkeit von Unternehmen Internationale Online-Geschäftsbeziehungen erhöhen die Gefahr, gegen spezielle, nationale Datenschutzgesetzgebung zu verstoßen (Compliance-Verstöße) Komplexe & neue Soft- und Hardware verbunden mit häufigen Updates erhöht Angriffs-Möglichkeiten Kaum Austausch von Erfahrungen zwischen den Unternehmen zu (bereits erfolgten) Cyber-Attacken Interaktive Angreifer richten gezielte Attacken gegen die zu schädigende Firma TÜV SÜD AG Abteilung: V-INM Slide 6

7 Safety & Security Safety?? In der Industrie 4.0 müssen Safety und Security zusammen betrachtet werden!! TÜV SÜD Management Service GmbH Folie 7

8 Industrie needs Safety & Security at all levels CONCEPT IDEA PROTOTYPE CHIP PC BOARD MODULE SYSTEM SYSTEM OF SYSTEMS CONTROL SYSTEMS FACTORY LOGISTICS NETWORK OF FACTORIES INTERNET TÜV SÜD V-INM Folie 8

9 Industrial Control System Threats Source: BSI - Technology Review Industrie 4.0 Conf. Nov 2013 TÜV SÜD Management Service GmbH Folie 9

10 Cyber Attacken verursachen hohe reale Schäden Nach Angaben des Weltwirtschaftsforums besteht eine 10-prozentige Wahrscheinlichkeit, dass es im kommenden Jahrzehnt zu einem großen Ausfall kritischer Informationsinfrastrukturen kommt, der Schäden in Höhe von 250 Milliarden USD verursachen könnte. Ein großer Teil der Cybersicherheitsvorfälle wird durch cyberkriminelle Aktivitäten verursacht. Einer Schätzung von Symantec zufolge erleiden die Opfer von Cyberstraftaten jährlich Verluste in Höhe von 290 Milliarden EUR weltweit, wogegen McAfee die mit Cyberkriminalität erzielten Profite in einer Studie auf 750 Milliarden EUR pro Jahr beziffert. RICHTLINIE 2013/40/EU DES EUROPÄISCHEN PARLAMENTS UND DES RATES über Angriffe auf Informationssysteme [ ] ( ) Die Mitgliedstaaten werden ermutigt, für die einschlägigen Maßnahmen zur Begründung einer Haftung im Rahmen ihres nationalen Rechts in den Fällen zu sorgen, in denen eine juristische Person eindeutig kein ausreichendes Niveau des Schutzes vor Cyberangriffen gewährleistet hat.[ ] Die Mitgliedstaaten setzen die erforderlichen Rechts- und Verwaltungsvorschriften in Kraft, um dieser Richtlinie bis zum 4. September 2015 nachzukommen Millionenschäden durch gezielte Cyberangriffe auf Großunternehmen Moskau/lngolstadt, 25. Juli Gezielte Angriffe auf Firmen können enorme Schäden verursachen, die von Großunternehmen mit durchschnittlich 1,8 Millionen Euro beziffert werden. Kleine und mittlere Unternehmen (KMUs) kostet eine zielgerichtete Attacke im Schmitt Euro. Das ist ein Ergebnis einer weltweiten Umfrage, die Kaspersky Lab zusammen mit B2B International in diesem Jahr durchgeführt hat [1]. The number of clients purchasing cyber insurance increased 33% from 2011 to Cyber insurance limits purchased in 2012 averaged $16.8 million across all industries, an increase of nearly 20% over cyber_march%202013_final3.pdf Süddeutsche Zeitung Nr Juli 2013 TÜV SÜD AG Abteilung: V-INM Slide 10

11 Honey Nets and Honey Pots IT-SICHERHEITSFACHMANN SIMULIERT WASSERWERK SEIT DEM STUXNET-WURM GEHT DIE ANGST VOR CYBER-ANGRIFFEN AUF INDUSTRIEBETRIEBE UND INFRASTRUKTUR UM. TATSÄCHLICH SIND HACKER OFFENBAR STÄNDIG AUF DER SUCHE NACH VERWUNDBAREN ANLAGEN. EIN IT-EXPERTE SIMULIERTE NUN ALS HACKERFALLE EINE WASSERPUMPSTATION - UND BEKAM REICHLICH BESUCH. HAUPTBERUFLICH NIMMT KYLE WILHOIT IM AUFTRAG SEINES ARBEITGEBERS SCHADSOFTWARE AUSEINANDER. IN SEINER FREIZEIT BETREIBT ER IM KELLER SEINES HAUSES DIE WASSERPUMPSTATION EINER US-KLEINSTADT. ZUMINDEST SIEHT ES FÜR CYBER-ANGREIFER SO AUS, WENN SIE IM INTERNET NACH ZIELEN SUCHEN. TATSÄCHLICH STEHEN IM KELLER DES SOFTWARE-EXPERTEN NUR DIE STEUERUNGSANLAGEN, MIT DENEN SOLCHE PUMPSTATIONEN BETRIEBEN WERDEN. DIE TEILE DAFÜR HAT ER BEI EBAY GEKAUFT UND SO ZUSAMMENGEBAUT, DASS SIE FÜR HACKER WIE EIN LEICHTES ANGRIFFSZIEL ERSCHIENEN. WILHOITS KLEINER TEST WAR BEUNRUHIGEND ERFOLGREICH. TÜV SÜD Management Service GmbH Folie 11

12 Hardware Trojaner Hardware Trojaner werden zunehmend als Bedrohung bei dem Einsatz von Computer-Chips, etwa in Anwendungen wie Industrie- Automatisierung, oder auch Netzwerkausrüstung, gesehen. Eine Kompromittierung von Geräten auf Hardwareebene, auf der dann alles Weitere aufbaut, kann zu erheblichen Schäden führen. Auch erschwert das zunehmende Misstrauen gegen Hersteller, die beispielsweise im asiatischen Raum fertigen, einen Markzugang ohne Vorbehalte. Hieraus ergibt sich ein Bedarf an Kontrolle und vertrauenswürdiger Zertifizierung TÜV SÜD AG V-INM Folie 12

13 Es wird keine absolute Cyber-Security geben Wir müssen vielmehr den Cyberangriff für den Angreifer unrentabel gestalten. TÜV SÜD Management Service GmbH Folie 13

14 Security Assessment on Plant Level (Example: Manufacturing Industry) Office IT Plant Holistic approach Mitigation of Cybersecurity risks covering general security threats local security threats & aspects (e.g. likelihood, social engineering) Interfaces (Office IT & Operational IT) Combined security audits, testing and benchmarking for Office IT & Operational IT against International Standards Operational IT IACS 1 IACS 2 IACS 3 IACS n TÜV SÜD AG Abteilung: V-INM Slide 14

15 A Safety & Security Provider Penetration testing Safeguard your Industrial IT Systems and Critical Infrastructures against Vulnerabilities Risk Analysis Protect your Industrial Operations and Critical Infrastructures from IT Threats. Training Industrial IT Security (IEC 62443) TÜV SÜD Management Service GmbH Folie 15

16 Choose certainty. Add value. Today, TÜV SÜD stays true to its founding principle of protecting people, the environment and property against the potentially adverse effects of technology. Thank you! TÜV TÜV SÜD SÜD AG Corporate Presentation Slide 16