SIEMENS AG. Industrie Tag Industrial Security

Transkript

1 SIEMENS AG Industrie Tag Industrial Security siemens.de/industrialsecurity

2 Agenda 10:00 10:15 Begrüßung Herr Thomas Münnicke Leitung Vertrieb 10:15 10:30 Aktuelle Bedrohungen für Industrieanlagen & IT Sicherheit Produktion vs. Office Herr Mario Heinrich Schenk Leitung Plant Data Services 10:30 11:30 Risiko-Management - Know-How-Schutz im Zeitalter moderner Wirtschaftsspionage Herr Martin Kreuzer Bayerisches Landesamt für Verfassungsschutz 11:30 12:00 Ganzheitliches Sicherheitskonzept für Industrieanlagen (..vom sicheren Netz bis zum sensiblen Mitarbeiter) Herr Mansoor Bley - Service Promotor Plant Security Services 12:00 13:00 Pause 13:00 13:35 Vernetzte Produkte, Vernetzte Produktion mit Sicherheit Herr Jürgen Heisel Produkt Promotor Industrial Communication 13:35 14:05 Plant Security Services Antworten für kontinuierlichen Schutz und Sicherheit Herr Mansoor Bley Service Promotor Plant Security Services 14:05 14:45 Livedemo - Security Information and Event Management (SIEM) in Industrieanlagen Herr Jan Kißling und Herr Timo Wirtz Systemexperten Plant Security Services 14:45 15:45 Get together / Diskussion / Erfahrungsaustausch / Microfair Seite 2

3 "Industrie Tag Industrial Security" Aktuelle Bedrohungen für Industrieanlagen & IT Sicherheit Produktion vs. Office siemens.de/industrialsecurity

4 IT in Industrieanlagen Von isolierten Kommunikationsinseln Seite 5

5 IT in Industrieanlagen zu komplexen Landschaften Office Network ERP- and MES-Systems Internet and Mobile Network UMTS, GPRS, etc. Control Network WLAN Ethernet WLAN Seite 6

6 Aktuelle Bedrohungslage Bedrohungen für Steuerungskomponenten Top 10 Bedrohungen im Überblick 1. Infektion mit Schadsoftware über Internet und Intranet 2. Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware 3. Social Engineering 4. Menschliches Fehlverhalten und Sabotage 5. Einbruch über Fernwartungszugänge 6. Internet-verbundene Steuerungskomponenten 7. Technisches Fehlverhalten und höhere Gewalt 8. Kompromittierung von Smartphones im Produktionsumfeld 9. Kompromittierung von Extranet und Cloud-Komponenten 10. (D)DoS Angriffe Seite 7

7 Aktuelle Bedrohungslage BSI und BITKOM Berichte Studie des Digitalverbands BITKOM BSI Die Lage der IT-Sicherheit in Deutschland Quelle: Quelle: BSI - Die Lage der IT-Sicherheit in Deutschland 2014 Seite 8

8 Aktuelle Bedrohungslage Schlagzeilen über aufgedeckte Schwachstellen Quelle: Quelle: Quelle: Quelle: Seite 9

9 Industrial Security vs. IT Security Produktion und Büro haben unterschiedliche Schutzziele Verfügbarkeit Hauptziel Vertraulichkeit Integrität Integrität Vertraulichkeit Netzausfallzeiten < 300 ms Verfügbarkeit Minutenbereich akzeptabel Verfügbarkeit Anlagen- IBS-Personal Installation Netzwerk- Fachpersonal Anlagenspezifisch Topologie Sternförmig Raue Umgebungen Einsatzort Klimatisierte Büros Industrial Security Niedrig, Switches mit weniger Ports Gerätedichte Hoch, Switches mit hoher Portanzahl IT-Security Seite 10

10 Aktuelle Bedrohungslage Bedrohungen können Industrieanlagen an vielen Stellen treffen Sicherheitsbedrohungen schaffen Handlungsbedarf Verlust von geistigem Eigentum, Rezepturen, Sabotage an der Produktionsanlage Anlagenstillstand z. B. durch Viren oder Malware Manipulation von Daten oder Anwendungssoftware Unbefugter Einsatz von Systemfunktionen Vorschriften und Normen bezüglich Industrial Security müssen eingehalten werden Seite 11

11 Aktuelle Gesetzeslage IT-Sicherheit in kritischen Infrastrukturen Bedrohung Gesetz Betroffene Gesetz im Bundesrat beschlossen Quelle: Bericht zur Lage der IT-Sicherheit in Deutschland 2014 Seite 12 Quelle: Bundesministerium des Innern: Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie) ( )

12 Vielen Dank für Ihre Aufmerksamkeit! Mario Heinrich Schenk RC-DE DF CS DS Von-der-Tann-Str Nürnberg Telefon: Mobiltelefon: mario-heinrich.schenk@siemens.com siemens.de/industrialsecurity Seite 13

13 "Industrie Tag Industrial Security" Ganzheitliches Sicherheitskonzept für Industrieanlagen (..vom sicheren Netz bis zum sensiblen Mitarbeiter) siemens.de/industrialsecurity

14 Industrial Security Ganzheitliches Sicherheitskonzept für Industrieanlagen Defense-in-Depth als Schlüssel für eine sichere Infrastruktur Siemens Konzept und Herangehensweise: Anlagensicherheit Netzwerksicherheit Systemintegrität Ganzheitlicher Ansatz Seite 15

15 IT-Sicherheit in Industrieanlagen Defense-in-Depth als Schlüssel für eine sichere Infrastruktur Große Mauer Unüberwindbare Mauer Einschichtiger Schutz Ein Angriffspunkt Defense in Depth Vielschichtiger Schutz Jede Schicht unterstützt die Anderen Bei jedem Übergang muss ein Angreifer Zeit und Aufwand aufbringen Eine einzelne Schutzmaßnahme ist niemals gut genug, um einer Bedrohung stand zu halten! Seite 16

16 IT-Sicherheit in Industrieanlagen Das Defense-in-Depth-Konzept Seite 17

17 Defense-in-Depth Anlagensicherheit: Physikalische Sicherheit Das Ignorieren der Risiken der physischen Sicherheit kann alle anderen Maßnahmen ad absurdum führen Beschränkung des physischen und unautorisierten Zugriffs zu: Gebäuden und Anlagen Serverräumen und Leitwarten Schaltschränken Geräten, PCs (USB, CD/DVD) Switches, Verkablung LAN Ports, WiFi, Controller, IO Systeme, PS, etc. Seite 18

18 Defense-in-Depth Anlagensicherheit: Organisatorische Sicherheit Anlagenspezifischer Sicherheitsmanagement Prozess Risikoanalyse mit Definition von Risikominderungsmaßnahmen Festlegung von Richtlinien und organisatorischen Maßnahmen Festlegung technischer Maßnahmen Wartung aller implementierten Sicherheitsmaßnahmen Regelmäßige / ereignisabhängige Wiederholung der Risikoanalyse Seite 19

19 Defense-in-Depth Netzwerksicherheit: Zellenschutz und Perimeternetzwerk Schutz der internen Netzwerkstruktur Beschränkt die Wirkung einer Bedrohung auf eine Zelle Interne Netzwerkstruktur ist nicht nach außen sichtbar Isolation von Systemen gegenüber Netzwerken Sichere Dienst-Bereitstellung für unsichere als auch sichere Netzwerke Zugriff zum Automatisierungsnetzwerk nur über klar definierte und überwachte Zugangspunkte Seite 20

20 Defense-in-Depth Netzwerksicherheit: Firewalls und VPNs Firewalls betrachten und filtern Datenverkehr nach festgelegten Regeln: Sie schützen den Eingang zu Sicherheitszellen Ausprägungen: Paketfilter, Stateful Inspection, Application Proxy Sie erlauben den Datenverkehr mit Hilfe von Computer- und Nutzerauthentifizierung Überprüfen des Datenverkehrs auf Viren (Eingebaute Virenscanner) Man unterscheidet drei Typen von Firewalls: Front-Firewall (zur WAN Anbindung Internet Zugang) Back-Firewall (zur Abgrenzung interner Netzsegmente) Threehomed Firewall (Kombination aus beiden Eine Firewall für Alles) Verstecken von internen Informationen NAT, PAT, 1-to-1-NAT Internet Seite 21 Verbindungen: Verweigerung als Standard! Zulassen von def. Protokollen, Ports, IP-Adressen...

21 Defense-in-Depth Systemintegrität: Systemhärtung PCs enthalten eine Menge an Software, die auf Automatisierungssystemen nicht benötigt wird Viren sind i.d.r. für weitverbreitete Software wie Internet Explorer, Media Player, Active X, Javascript, geschrieben Änderung des Standard-Systemstatus: Abschalten/Deaktivieren von USB, CD/DVD, nicht benötigten Ports Entfernen/Abschalten von nicht benötigen Anwendungen, Protokollen und Diensten, wie , Spielen, Autorun, Screensaver, Messenger, BIOS-Passwort und Einschränkung des Desktop- und Systemzugriffs Seite 22

22 Defense-in-Depth Systemintegrität: Authentifizierung und Benutzerverwaltung Grundsatz Minimalitätsprinzip Klare Zuordnung von Rollen und Rechten Regelmäßige Überprüfung der Rollenzuordnung und Rechte Zuweisung sichererer Passwörter Zentrale Benutzer-, Passwort und Rechteverwaltung (Arbeitsgruppe oder Windows Domäne Active Directory) Zugriffsschutz für Projektierungsdaten Seite 23

23 Defense-in-Depth Systemintegrität: Patch Management 90% aller erfolgreichen Attacken basieren auf Schwachstellen, für die ein Patch bereits existiert Alle Patches sollten auf Systemverträglichkeit getestet werden Nur 2% aller Systeme sind vollständig gepatcht (Quelle: Secunia) Patch-Verteilung mittels zentralem Patch-Server, der innerhalb DMZ steht und bspw. auf Windows Server Update Services (WSUS) basiert Aufbau von Patch-Gruppen und Vorgehensweisen für Updates im laufenden Betrieb (Redundantes System) Seite 24

24 Defense-in-Depth Systemintegrität: Virenscanner & Whitelisting Um negative Einflüsse auf die Performance oder die Reaktionszeit des Systems zu vermeiden, sollten die Leitfäden des Automatisierungssoftware-Hersteller zur Einrichtung von Virenscanner befolgt werden. Whitelisting zum Schutz von nicht gewünschten Applikationen und Schadsoftware Seite 25

25 IT-Sicherheit in Industrieanlagen Ganzheitlicher Ansatz Assess Implement Manage Defense in Depth Seite 26

26 Vielen Dank für Ihre Aufmerksamkeit! Mansoor Bley RC-DE DF CS P Service Promotion Plant Security Services Mobile: +49 (174) mansoor.bley@siemens.com Marvin Eggebrecht RC-DE DF CS P Service Promotion Plant Security Services Mobile: +49 (172) marvin.eggebrecht@siemens.com siemens.de/plant-security-services Seite 27

27 Industrial Security Ausschlussklausel (Disclaimer) Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren Betrieb von Anlagen, Lösungen, Maschinen, Geräten und/oder Netzwerken unterstützen. Sie sind wichtige Komponenten in einem ganzheitlichen Industrial Security-Konzept. Die Produkte und Lösungen von Siemens werden unter diesem Gesichtspunkt ständig weiterentwickelt. Siemens empfiehlt, sich unbedingt regelmäßig über Produkt-Updates zu informieren. Für den sicheren Betrieb von Produkten und Lösungen von Siemens ist es erforderlich, geeignete Schutzmaßnahmen (z. B. Zellenschutzkonzept) zu ergreifen und jede Komponente in ein ganzheitliches Industrial Security-Konzept zu integrieren, das dem aktuellen Stand der Technik entspricht. Dabei sind auch eingesetzte Produkte von anderen Herstellern zu berücksichtigen. Weitergehende Informationen über Industrial Security finden Sie unter: Um stets über Produkt-Updates informiert zu sein, melden Sie sich für unseren produktspezifischen Newsletter an. Weitere Informationen hierzu finden Sie unter: Seite 28

28 "Industrie Tag Industrial Security" Vernetzte Produkte, Vernetzte Produktion mit Sicherheit siemens.de/industrialsecurity

29 Industrial Security System- und Wertschöpfungsaspekte der Industrial Security 1 Verfügbarkeit 2 Integrität 3 Vertraulichkeit Erhöhen der Anlagenverfügbarkeit durch Vermeiden oder Reduzieren von Störungen durch Angriffe oder Schadsoftware Hohe Produktivität durch Risikominimierung Schutz der System- und Datenintegrität zum Vermeiden von Fehlfunktionen, Produktionsfehler oder Stillständen Strategie Technik/ Portfolio Innovation Slides Anwendungsbei spiele Hauptwettbewer ber S615 Hauptwettbewer ber S627 Zielkunden Promotion Support Schutz vertraulicher Daten und Informationen, sowie geistigen Eigentums Seite 30 Industrial Security

30 Industrial Security Security in der SPS TIA Portal V13 Scalance M874-3 SINEMA Remote Connect Server SINEMA Server V13 SINEMA RC Client SCALANCE S615 Seite 31 Industrial Security

31 Industrial Security Security in der SPS S CPU mit Security Integrated WinCC / HMI-Panels bietet mehrere Security Features: Erhöhter Zugriffsschutz (Authentifizierung) granulare Berechtigungsstufen Schutzstufe 4 für CPU- Komplettverriegelung Erhöhter Know-how-Schutz (Sperren von Bausteinen) Erhöhter Kopierschutz (verhindert Vervielfältigung) Erhöhter Manipulationsschutz û TIA Portal V13 Stufe 1: Kein Schutz Stufe 2: Schreibschutz Stufe 3: Lese-/Schreibschutz Stufe 4: Komplettschutz Seite 32 S System Industrial Security

32 Industrial Security Security in der SPS Kommunikationsprozessoren (CPs) als spezielle Netzwerkkarte in der SPS-Steuerung schützen gegen: Spionage Datenmanipulation Zufälligen Zugriff CP CP343-1 Advanced CP CP443-1 Advanced Seite 33 Industrial Security

33 Industrial Security Security in der SPS Zellenschutz mit CPs für die SPS-Steuerung Erhaltung der Unversehrtheit/Verfügbarkeit der Zelle ist oberstes Ziel In die Automatisierung integrierter Zellenschutz durch SIMATIC NET CPs, z.b.: CP343-1 Advanced bzw. CP443-1 Advanced Integrierte Stateful Inspection Firewall VPN (Datenverschlüsselung und Authentifizierung) NAT/NAPT (Adressumsetzung) SNMP V3 (abhörsichere Übertragung von Netzwerkanalyse-Informationen) HTTPs (Zugriff auf Webseiten mit verschlüsseltem Datenaustausch via SSL) FTPs (gesicherte Dateiübertragungen) Seite 34 Industrial Security

34 Industrial Security Sichere Kommunikation TIA Portal V13 Scalance M874-3 SINEMA Remote Connect Server SINEMA Server V13 SINEMA RC Client SCALANCE S615 Seite 35 Industrial Security

35 Industrial Security Sichere Kommunikation Zellenschutz mit CPs für den PC Erhaltung der Unversehrtheit/Verfügbarkeit der Zelle ist oberstes Ziel In den PC integrierter Zellenschutz durch SIMATIC NET PC CP1628 Integrierte Stateful Inspection Firewall unabhängig vom Windows-Betriebssystem SNMP V3 Sichere redundante Kommunikation von PC zu hochverfügbarer S7-400H Steuerung über VPN Seite 36 Industrial Security

36 Industrial Security Sichere Kommunikation mit SCADA und Leitsystemen Ab WinCC V7.3 / PCS7 8.1 Verschlüsselung der Kommunikation zwischen WinCC Server und -Client Sichere Kommunikation des Terminalbusses über SSL Verschlüsslung mit PSK statischen Ports für Kommunikation Bereich TCP/UDP (kein dynamischer Port, Firewall kann entsprechend eingerichtet werden) Migrationsmodus Hochrüsten im laufenden Betrieb (Kommunikation mit Rechnern ohne Sichere Kommunikation) Erlaubt verschlüsselte und unverschlüsselte Verbindungen. Seite 37 Industrial Security

37 Industrial Security Netzwerkverfügbarkeit TIA Portal V13 Scalance M874-3 SINEMA Remote Connect Server SINEMA Server V13 SINEMA RC Client SCALANCE S615 Seite 38 Industrial Security

38 Industrial Security Netzwerkverfügbarkeit Erhöhte Prozessverfügbarkeit durch Ringredundanz mit SCALANCE X Erhaltung der Unversehrtheit/Verfügbarkeit der Zelle ist oberstes Ziel Ringredundanz: IT-Redundanzkonzepte wie z.b. Rapid Spanning Tree (RSTP) sind nicht eindeutig berechenbar und damit nicht deterministisch Ringredundanz mit Media Redundancy Protocol MRP garantiert Umschaltzeit von max. 200ms bei bis zu 100 erlaubten Teilnehmern im Ring Mit allen managed Switchen der SCALANCE X-200 Serie und größer kann ein MRP-Ring aufgebaut werden SIMATIC Automatiserungsysteme wie z.b. S7-300 PN/DP können durch integrierten 2-Port Switch direkt in den Ring integriert werden Seite 39 Industrial Security

39 Industrial Security Netzwerkverfügbarkeit Scalance X Portfolioübersicht Mgmt. / Operations Level Control / Operations Level Field Level Managed L2/L3 Managed L2 Unmanaged X-000 X-100 X-200 X-300 X-400 X-500 Vernetzung und Strukturierung von hochperformanten industriellen Netzwerken Modular anpassbar an die jeweilige Aufgabenstellung über Medienmodule Erweiterter Funktionsumfang (IT-Funktionalität, Layer 3, Router-Redundanz) Diagnose über SNMP, Webserver, STEP 7, vor-ort-diagnose Flexible und strukturierte Vernetzung von Anlagen / Anlagenbereichen Modular erweiterbar an die jeweilige Aufgabenstellung über Port Extender Zugang zu dynamischen Gerätedaten über Near Field Communication (NFC) Bauform im SIMATIC Design (S7-1500) Vernetzung von Teilanlagen / Anlagenbereichen Modular anpassbar an die jeweilige Aufgabenstellung über Medienmodule Erweiterter Funktionsumfang (VLAN, Port Security etc.) Diagnose über SNMP, Webserver, STEP 7, vor-ort-diagnose Für maschinennahe Anwendungen bis hin zu vernetzten Teilanlagen Diagnose über SNMP, Webserver, STEP 7, vor-ort-diagnose Geräte in hoher Schutzart und PROFINET-konformer Anschlusstechnik PROFINET IRT-Device (Isochronous Real-Time) Für maschinennahe Vernetzung Vollindustrietaugliche, unmanaged Ausführung vor-ort-diagnose Für Vernetzung in kleinen Maschinen vor-ort-diagnose Seite 40 Industrial Security

40 Industrial Security Netzwerkverfügbarkeit Security Funktionen der SCALANCE X Switche Konfiguration über HTTPs oder Zugriff über Secure Shell (SSH) Access Control Lists (ACL) Sperren von offenen Ports SNMP V3 Unterstützung Remote Monitoring (RMON) Benutzerauthentifizierung über Radius-Server VLAN Hinweis: nicht alle Funktionen sind in alle Geräteklassen integriert Seite 41 Industrial Security

41 Industrial Security Netzwerktrennung TIA Portal V13 Scalance M874-3 SINEMA Remote Connect Server SINEMA Server V13 SINEMA RC Client SCALANCE S615 Seite 42 Industrial Security

42 Industrial Security Netzwerktrennung Netzwerksicherheit durch Netzwerksegmentierung / Firewall mit SCALANCE S Modulen Größere Flexibilität, da nicht an die SPS gebunden Integrierte Stateful Inspection Firewall NAT/NAPT SNMP V3 Benutzerdefinierte Firewallregeln (noch nicht bei S615) Syslog Unterstützung VPN mit IPSec (S612/S623/S627) VPN mit OpenVPN (S615) Radius-Authentifizierung B I L D Hinweis: IPSec-VPN mit SCALANCE S612/S623/S627-2M, OpenVPN OpenVPN mit Scalance S615 Seite 43 Industrial Security

43 Industrial Security Netzwerktrennung Netzwerksicherheit durch Netzwerksegmentierung / Firewall mit SCALANCE S Modulen SCALANCE S602 SCALANCE S612 SCALANCE S623 SCALANCE S627 SCALANCE S615 Router + Firewall Router + Firewall + IPSec VPN Router + Firewall + IPSec VPN + DMZ Router + Firewall + IPSec VPN + DMZ + LWL+MRP Router + Firewall + Open VPN + DMZ Für die Sicherheit Ihrer Netze und Daten. Seite 44 Industrial Security

44 Industrial Security Netzwerktrennung Beispiel einer Einrichtung einer Demilitarisierten Zone (DMZ) mit einer Firewall Seite 45 Industrial Security

45 Industrial Security Netzwerksicherheit Beispiel einer Router-/Firewallredundanz mit SCALANCE S623 und S627-2M Bsp 1: ohne Ring => S623 Switch Office Netzwerk Stand-by-Kopplung SCALANCE S623 Switch Produktions Netzwerk Bsp 2: mit Ring =>S627-2M SCALANCE S627-2M Stand-by-Kopplung Office Netzwerk CU oder LWL MRP-Switch MRP-Ring Seite 46 Ring-Redundanz Manager Produktions Netzwerk Industrial Security

46 Industrial Security Fernwartung mit SINEMA Remote Connect Server TIA Portal V13 Scalance M874-3 SINEMA Remote Connect Server SINEMA Server V13 SINEMA RC Client SCALANCE S615 Seite 47 Industrial Security

47 Industrial Security Fernwartung mit SINEMA Remote Connect Server Typische Einsatzgebiete Anlagen- und Maschinenbau Energieverteilung / Unterstationen (Stadtwerke) Logistik / Hafenlogistik ITS / Verkehrsbetriebe Wasser & Abwasser (Stadtwerke, ) Konfigurationsbeispiel SINEMA RC - Gesamtübersicht Seite 48 Industrial Security

48 Industrial Security Fernwartung mit SINEMA Remote Connect Server Funktion Transparente IP-Kommunikation VPN Konzentrator Einsetzbar für Maschinen mit identischen lokalen Subnetzen (NAT) Gruppenverwaltung Einfach konfigurierbare Netzkomponente für die Automatisierungstechnik Autokonfiguration der Endgeräte und SINEMA RC Client einfaches Nutzerinterface Logging u u u u Vorteile Breites Einsatzfeld von Remote Service bis Remote Control Sichere und einfache Einwahl in die Anlagen von jedem Punkt der Welt Optimale Anbindung von identischen Maschinen z.b. für Serienmaschinenbauer und OEM Einfache Verwaltung verschiedener Nutzer (Servicetechniker) Einfache Integration in Industrieanlagen u kein spezielles IT KnowHow erforderlich u Erfüllung von Nachweispflichten gegenüber Betreiber / Endkunden bei jedem Fernzugriff durch OEM Seite 49 Industrial Security

49 Industrial Security Fernwartung mit SINEMA Remote Connect Server Vorteile Hohe Sicherheit bei maximaler Flexibilität Abhör- und übernahmesichere Verschlüsselung (bis 4096 Bit) Zahl Verbindungen / Geräte unbegrenzt, stufenlos skalierbar Kontrollierte Freischaltung / Sperrung des Wartungsobjekts Direkter Support und sehr hohe Funktionalität Support rund um die Uhr 365 Tage im Jahr Beratung und Unterstützung bei der Einrichtung des Systems Unterstützung der gängigen / etablierten VPN-Standards Durchgängiges Siemens Netzwerk Zuverlässige und robuste Hardware Gesamtlösung aus einer Hand für garantierte Kompatibilität Seite 50 Industrial Security

50 Industrial Security Netzwerkmonitoring mit SINEMA Server TIA Portal V13 Scalance M874-3 SINEMA Remote Connect Server SINEMA Server V13 SINEMA RC Client SCALANCE S615 Seite 51 Industrial Security

51 Industrial Security Netzwerkmonitoring mit SINEMA Server SINEMA Server V13 Inventarerstellung kontinuierliches Monitoring flexibles Reporting Transparente Netzwerke Seite 52 Industrial Security

52 Industrial Security Netzwerkmonitoring mit Sinema Server Topologie Startbildschirm Reports Ereignisliste Topologie Ansicht Serverübersicht Seite 53 Industrial Security

53 Industrial Security Erster Anbieter mit Achilles Level 2 Zertifizierung zertifizierte SPSen S7-300 PN/DP S7-400 PN und PN/DP zertifizierte DP ET200S PN/DP CPUs 04/ / Schutz gegen DoS-Attacken + Definiertes Verhalten bei Attacken è Verbesserte Verfügbarkeit è Schutz geistigen Eigentums è Internationaler Standard zertifizierte CPs CP343-1 Adv CP443-1 Adv CP1628 Seite 54 Industrial Security

54 Industrial Security Haftungsausschluss Siemens bietet Automatisierungs- und Antriebsprodukte mit Industrial Security-Funktionen an, die den sicheren Betrieb der Anlage oder Maschine unterstützen. Sie sind ein wichtiger Baustein für ein ganzheitliches Industrial Security- Konzept. Unsere Produkte werden unter diesem Gesichtspunkt ständig weiterentwickelt. Wir empfehlen Ihnen daher, sich regelmäßig über Aktualisierungen und Updates unserer Produkte zu informieren. Weitere Informationen und den Newsletter zu diesem Thema finden Sie unter: Für den sicheren Betrieb einer Anlage oder Maschine ist es darüber hinaus notwendig, geeignete Schutzmaßnahmen (z.b. Zellenschutzkonzept) zu ergreifen und die Automatisierungs- und Antriebskomponenten in ein ganzheitliches Industrial Security-Konzept der gesamten Anlage oder Maschine zu integrieren, das dem aktuellen Stand der Technik entspricht. Dabei sind auch eingesetzte Produkte von anderen Herstellern zu berücksichtigen. Weitergehende Informationen finden Sie unter: Seite 56 Industrial Security

55 Industrial Security Microfair Jürgen Heisel Siemens AG Promotion für Industrielle Kommunikation Tel: Michael Bock Siemens AG Promotion für Industrielle Kommunikation Tel: Seite 57 Industrial Security

56 "Industrie Tag Industrial Security" Plant Security Services Antworten für kontinuierlichen Schutz und Sicherheit siemens.de/plant-security-services

57 Industrial Security Plant Security Services Umsetzung der gesetzlichen Anforderungen Aktuelle Gesetzlage Herausforderungen und Ziele Siemens Konzept und Herangehensweise Umsetzung der gesetzlichen Anforderungen Portfolioübersicht Beispielumsetzung Seite 59

58 Aktuelle Gesetzeslage Herausforderungen und Ziele Herausforderungen Das IT-Sicherheitsniveau bei kritischen Infrastrukturen und Infrastrukturbetreibern ist heute sehr unterschiedlich Vorgaben Risikomanagement Übergreifende Sicherheitskonzepte Audits Informationsaustausch Defizite im Bereich IT-Sicherheit sind abzubauen, um ein gefordertes Mindest-Niveau / Grundschutz zu erreichen Ziele des Gesetzes Einhaltung eines Mindestniveau an IT-Sicherheit Verfügbarkeit Integrität Vertraulichkeit Authentizität Meldung von IT-Sicherheitsvorfälle an BSI Den Nachweis der Erfüllung durch Sicherheitsaudits Die Einrichtung und Aufrechterhaltung von Verfahren für die Meldung erheblicher IT- Sicherheitsvorfälle an das BSI Das Betreiben einer Kontaktstelle Seite 60 * Zeit zum Umsetzung nach Inkrafttreten der gesetzlichen Vorgaben

59 Siemens Konzept unterstützt den Kunden bei der Erfüllung des Gesetzes Bedarfsgerechter Ansatz für den langfristigen Schutz Ihres industriellen Automatisierungssystems (ICS) Bewerten Information über den Sicherheitsstatus und Entwicklung eines Security- Fahrplans Realisieren Planen, entwickeln und umsetzen eines ganzheitlichen Industrial Security Programms Betreiben Durchgängige Sicherheit durch proaktiven Schutz Geplant ab 2016 Seite 61

60 Siemens Plant Security Services Unterstützung zur Erfüllung der gesetzlichen Anforderungen Unser Portfolio Die Einrichtung und Aufrechterhaltung von Verfahren für die Meldung erheblicher IT- Sicherheitsvorfälle an das BSI* Den Nachweis der Erfüllung durch Sicherheitsaudits* Die Einhaltung eines Mindestniveaus an IT-Sicherheit* Seite 62 * Anforderungen aus dem neuen IT-Sicherheitsgesetz Das Betreiben einer Kontaktstelle* Cyber-Security Industrial Security Operation - Plant Center Security (C-SOC) Services

61 Siemens Plant Security Services Bündelung basiert auf den gesetzlichen Anforderungen Planen: Überprüfung des IST-Zustands der Anlage hinsichtlich industrieller Sicherheit Durchführen: Implementierung der identifizierten Maßnahmen zur Risikominderung Planen: Festlegung eines Prozesses Prüfen: Validierung der Maßnahmen durch kontinuierliche Überwachung Handeln: Instandhalten und Verbessern Durchführen: Umsetzung und Durchführen Handeln: Verbesserung der Sicherheit durch regelmäßige/ereignisabhängige Überprüfung des IST-Zustands Prüfen: Überwachen und Überprüfen Seite 63

62 Planen Assessment Überprüfung des IST-Zustands der Anlage hinsichtlich industrieller Sicherheit Security Assessment entsprechend IEC 62443, ISO & BSI Grund Schutz Was liefern wir? Menschen Bewertung des Sensibilisierungsgrads sowie die Ausgangsqualifikation bezogen auf industrielle Sicherheit Security Assessment für PCS7 und WIN CC Prozesse Bewertung der Wirksamkeit Ihrer sicherheitsrelevanten, organisatorischen Prozesse Assess Security Assessment für Plants Den Nachweis der Erfüllung durch Sicherheitsaudits Technik Überprüfung des IST-Zustands ihrer installierten Basis und Netzwerkarchitektur zur Erkennung von Sicherheitslücken Security Consulting & Auditierung Seite 64

63 Durchführen Implement Implementierung der identifizierten Maßnahmen zur Risikominderung (1 von 2) Implementierung von Maßnahmen für die Einhaltung eines IT-Mindestniveaus Was liefern wir? Netzwerkplanung (incl. Perimeternetz) Einrichtug Firewalls System-Härtung Implement Patchmanagement Virenscan / Whitelisting Die Einhaltung eines Mindestniveaus an IT-Sicherheit Remotezugriff Benutzerverwaltung Training Seite 65

64 Durchführen Implement Implementierung der identifizierten Maßnahmen zur Risikominderung (2 von 2) Kundenanlage Implementierungselemente Schulungen & Prozesse Sicherheitszellen und DMZ Firewalls und VPN Systemhärtung Benutzerverwaltung Patch Management Malware-Erkennung und -Vermeidung Seite 66

65 Prüfen Manage Validierung der Maßnahmen durch kontinuierliche Überwachung Kontinuierliche Überwachung Services Manage Security Menschen Aufrechterhaltung des Ausbildungsstandes der Mitarbeiter entsprechend der sich ändernden Bedrohungslage Zyklische Kontrolle der Sec. Maßnahmen Prozesse Überprüfung der Wirksamkeit der eingesetzten Prozesse, Arbeitsanweisungen und Richtlinien Überwachung der Einhaltung gesetzter Vorgaben Manage Automatische Zyklische Kontrolle Netzwerk Security Monitoring Die Einrichtung und Aufrechterhaltung von Verfahren für die Meldung erheblicher IT- Sicherheitsvorfälle an das BSI Technik Überwachung des Sicherheitszustands Überprüfung der Wirksamkeit der implementierten technischen Mechanismen On-Demand Incident Handling Das Betreiben einer Kontaktstelle Seite 67 Cyber-Security Industrial Security Operation - Plant Security Center (C-SOC) Services

66 Handeln Re-Assessment Regelmäßige Überprüfung des IST-Zustands Regelmäßige Wiederholung des Security Assessments entsprechend IEC 62443, ISO & BSI Grund Schutz Was liefern wir? Menschen Bewertung des Sensibilisierungsgrads sowie die notwendige, spezifische Qualifikation bezugnehmend auf das zuvor durchgeführte Assessment Security Assessment für PCS7 und WIN CC Prozesse Bewertung der Wirksamkeit Ihrer sicherheitsrelevanten, organisatorischen Prozesse in Bezug auf Veränderungen in den Anforderungen vom Anlagenbetrieb Assess Security Assessment für Plants Den Nachweis der Erfüllung durch Sicherheitsaudits Technik Überprüfung der Änderungen in ihrer installierten Basis und Netzwerkarchitektur bezugnehmend auf das zuvor durchgeführte Assessment zur Erkennung von Sicherheitslücken Security Consulting & Auditierung Seite 68

67 Plant Security Services Portfolioübersicht - Zusammenfassung IT-Sicherheitsgesetz PSS Portfolio Seite 69 Den Nachweis der Erfüllung durch Sicherheitsaudits Die Einhaltung eines Mindestniveaus an IT-Sicherheit Die Einrichtung und Aufrechterhaltung von Verfahren für die Meldung erheblicher IT- Sicherheitsvorfälle an das BSI Das Betreiben einer Kontaktstelle Manage Implement Assess Security Assessment für PCS7 und WIN CC Security Assessment für Plants Security Consulting & Auditierung Netzwerkplanung (incl. Perimeternetz) Einrichtug Firewalls System-Härtung Patchmanagement Virenscan / Whitelisting Remotezugriff Benutzerverwaltung Training Starter: Zyklische Kontrolle der Sec. Maßnahmen Advance: Automatische Zyklische Kontrolle Expert: Netzwerk Security Monitoring On-Demand Incident Handling Cyber-Security Operation Center (C-SOC) Unser Portfolio deckt alle Anforderungen bezüglich Security Assessment, Implementation und Manage Services ab

68 Seite 70

69 Vielen Dank für Ihre Aufmerksamkeit! Mansoor Bley RC-DE DF CS P Service Promotion Plant Security Services Mobile: +49 (174) mansoor.bley@siemens.com Marvin Eggebrecht RC-DE DF CS P Service Promotion Plant Security Services Mobile: +49 (172) marvin.eggebrecht@siemens.com siemens.de/plant-security-services Seite 71

70 Industrial Security Ausschlussklausel (Disclaimer) Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren Betrieb von Anlagen, Lösungen, Maschinen, Geräten und/oder Netzwerken unterstützen. Sie sind wichtige Komponenten in einem ganzheitlichen Industrial Security-Konzept. Die Produkte und Lösungen von Siemens werden unter diesem Gesichtspunkt ständig weiterentwickelt. Siemens empfiehlt, sich unbedingt regelmäßig über Produkt-Updates zu informieren. Für den sicheren Betrieb von Produkten und Lösungen von Siemens ist es erforderlich, geeignete Schutzmaßnahmen (z. B. Zellenschutzkonzept) zu ergreifen und jede Komponente in ein ganzheitliches Industrial Security-Konzept zu integrieren, das dem aktuellen Stand der Technik entspricht. Dabei sind auch eingesetzte Produkte von anderen Herstellern zu berücksichtigen. Weitergehende Informationen über Industrial Security finden Sie unter: Um stets über Produkt-Updates informiert zu sein, melden Sie sich für unseren produktspezifischen Newsletter an. Weitere Informationen hierzu finden Sie unter: Seite 72