Cybersicherheit von Automatisierungssystemen Unsere Dienstleistungen

Transkript

1 Cybersicherheit von Automatisierungssystemen Unsere Dienstleistungen

2 Erkennung und Abwehr von Sicherheitsrisiken in Automatisierungssystemen Die Zukunft der Cybersicherheit von Automatisierungssystemen ist vergleichbar mit der der Informationstechnik im Unternehmen. Hier gehört das Thema Informationssicherheit mit automatisierten Softwareupdates, Sicherheitspatches und Antivirusupdates zur Bewältigung von Bedrohungen mittlerweile zum Alltag. Im Vergleich zu Computersystemen in einer Büroumgebung können die potenziellen Auswirkungen eines Cyberangriffs auf die Automatisierungstechnik in einer Produktionsumgebung weitaus schwerwiegendere Folgen haben. Hier kann es sowohl zu Personen- und Sachschäden als auch zu Umwelt- oder wirtschaftlichen Schäden kommen. Deshalb rückt das Thema Cybersicherheit immer stärker in den Fokus und es stellt sich die Frage: Wie können ausreichende Sicherheitskonzepte für die Prozessautomatisierung aussehen? Die Anforderungen und Bedingungen in einer Produktionsumgebung unterscheiden sich von denjenigen in der Bürowelt. Sicherheitskonzepte für Automatisierungssysteme wehren Angriffsrisiken ab, ohne die Verfügbarkeit, Zuverlässigkeit und Stabilität der Anlagen zu gefährden. Als führender Anbieter von Prozessleitsystemen helfen wir unseren Kunden dabei, die Automatisierungssysteme sicher und erfolgreich zu betreiben. Dabei nutzen wir unsere Kompetenzen im Technologiebereich und die Erfahrungen aus der großen installierten Basis weltweit. Ziel ist es, das erforderliche Niveau an Cybersicherheit mit unseren Dienstleistungen zu erreichen und dieses auch nach technischen Veränderungen und Ergänzungen über den gesamten Lebenszyklus der Systeme zu halten. 2 ABB Cybersicherheit

3 Schutz vor Cyberangriffen Strengere nationale Richtlinien sowie weltwirtschaftliche und geopolitische Umstände zwingen Produktionsunternehmen heute, die Cybersicherheit für ihre unternehmerisch entscheidenden Anlagengüter zu verbessern. Integrität und Vertraulichkeit von Systemdaten schützen Automatisierungssysteme von ABB geben den Anwendern eine zuverlässige und unkomplizierte Systemumgebung an die Hand, in die bereits Sicherheitsfunktionen integriert sind. ABB arbeitet ständig an der Verbesserung und Weiterentwicklung dieser Sicherheitsfunktionen untermauert durch eine aktive Mitarbeit in Normungsgremien und durch die Berücksichtigung der einschlägigen Sicherheitsnormen und Sicherheitsrichtlinien, die von Organisationen wie ISO/IEC, VDI/VDE, NAMUR und BSI* veröffentlicht werden. Darüber hinaus führt ABB Studien zur Modellierung von Bedrohungsszenarien durch und praktiziert Secure by design -Methoden bei der Produktentwicklung. Schutz vor Cyberangriffen Strukturierte Vorgehensweisen und Abläufe helfen, die Dienstleistungen zur Cybersicherheit effektiv in das Automatisierungssystem zu integrieren. Bedrohungen verstehen Risiken können kontrolliert, aber nie vollkommen beseitigt werden. Das Ziel sollte sein, Schäden und Störungen auf ein Mindestmaß zu reduzieren. Dieser Ansatz der Risikosteuerung ist am effektivsten, wenn am Anfang Analysen vorgenommen und fundierte Erkenntnisse über Sicherheitslücken gewonnen werden. Basismaßnahmen einführen Zielführend ist die Umsetzung des sogenannten Defense-in- Depth-Ansatzes, also eines mehrschichtigen Sicherheitskonzeptes, in dem die ausgewählten Sicherheitsmechanismen sich gegenseitig ergänzen. Umfassendes Sicherheitskonzept umsetzen Wir etablieren schrittweise die Maßnahmen zur Cybersicherheit, um das spezifizierte Sicherheitsniveau zu erreichen und zu halten. Cybersicherheit kann in den Lebenszyklus der Automatisierungssysteme integriert werden. *BSI: Bundesamt für Sicherheit in der Informationstechnik. ABB Cybersicherheit 3

4 Auf Nummer sicher gehen Unsere Service-Produkte Bedrohungen verstehen Basismaßnahmen einführen Ausweitung der Konzepte und regelmäßige Kontrolle Täglich Monatlich Jährlich Wir entwickeln mit Ihnen zusammen Sicherheitsvorkehrungen, die den Anforderungen in Ihrer Produktionsumgebung entsprechen. Dabei kann es sich um ein einzelnes Automatisierungssystem oder auch um mehrere Systeme mit zentralem Sicherheitsmanagement handeln. Was können wir für Sie tun? Dienstleistungspakete Bedrohungen verstehen Audit, Konzeption und Schulung Cyber Security Benchmark Sicherheitsrisiken identifizieren Initiale Maßnahmen X Regelmäßige Maßnahmen Cyber Security Fingerprint Sicherheitsrisiken identifizieren und bewerten X X (z. B. jährlich) Cyber Security Consulting Sicherheitskonzept erstellen Cyber Security Training Sensibilisierung und Information X X Basismaßnahmen einführen Systemkonfiguration Authentifikation und Zugriffskontrolle Rollenbezogener Zugriffsschutz X Systemhärtung Systembarrieren stärken X Netzwerkabsicherung Netzwerkzugangskontrolle X Ausweitung der Konzepte und regelmäßige Kontrolle der Maßnahmen Zusatzmaßnahmen Zentrales Sicherheitsmanagement ServicePort X X Patch Management Sicherheitspatches für Third Party Software X (z. B. monatlich) Schutz vor Schadprogrammen Virenschutzprogramme X X (z. B. täglich) Whitelisting Applikationskontrolle X X (bei Bedarf) Sicherer Fernzugriff und sichere Fernwartung Remote Access Platform X X (bei Bedarf) Cyber Security Monitoring automatisierte Überwachung des Sicherheitsstatus X X (z. B. jährlich) Backup und Recovery Notfallvorsorge X Individuell 4 ABB Cybersicherheit

5 Bedrohungen verstehen Basismaßnahmen einführen Audit, Konzeption und Schulung Cyber Security Benchmark Sicherheitsrisiken identifizieren In einem ersten Schritt kann der Cyber Security Benchmark Sicherheitsrisiken automatisiert identifizieren und die technischen Aspekte zum Sicherheitsstatus eines Automatisierungssystems visualisieren. Cyber Security Fingerprint Sicherheitsrisiken identifizieren und bewerten Sind aktuelle und zukünftig zu erwartende Risiken durch die organisatorischen und technischen Maßnahmen ausreichend abgedeckt? Im Laufe der Zeit können Standardeinstellungen sowie organisatorische Abläufe verändert worden sein. Der Fingerprint unterstützt bei der Verbesserung der Cybersicherheit durch eine Gegenüberstellung der aktuell implementierten Schutzmaßnahmen mit empfohlenen oder bereits definierten Schutzmaßnahmen. Der Fingerprint beinhaltet: Interviews mit Ansprechpartnern aus den relevanten Abteilungen zur Einschätzung der aktuellen Maßnahmen Online erfasste sicherheitsrelevante Informationen aus dem Leitsystem und anderen Computern im Produktionsbereich Analyse durch Vergleich mit empfohlenen oder bereits definierten Schutzmaßnahmen (Best Practice) Ergebnisse und Handlungsempfehlungen als Bericht Cyber Security Consulting Sicherheitskonzept erstellen Der aktuelle Cyber Security Fingerprint kann die Basis für einen umfassenden Sicherheitsplan sein, der konkrete organisatorische oder technische Maßnahmen und deren Umsetzung festlegt und beschreibt. ABB berät und unterstützt Sie bei der Erstellung effektiver Sicherheitskonzepte und -pflichtenhefte. In die Sicherheitsstrategie fließen der aktuelle Sicherheitsstatus (Fingerprint) sowie eventuell schon vorhandene Vorgaben des Betreibers ein. Die definierten Maßnahmen gewährleisten ein Höchstmaß an Sicherheit und unterstützen den Erhalt des erreichten Sicherheitsniveaus. Cyber Security Training Sensibilisierung und Information Ein bestehendes Sicherheitskonzept steht und fällt mit der korrekten Umsetzung und konsequenten Befolgung durch alle Beteiligten. Um mögliche Bedrohungen erkennen zu können, ist es wichtig, dass ein entsprechender Wissensstand bei den Anwendern vorhanden ist und sie rechtzeitig einbezogen werden. Die Trainingsinhalte werden individuell festgelegt vom Sensibilisieren des Anlagenpersonals im täglichen Umgang mit Cybersicherheit bis hin zum Aufbau von Expertenwissen. Systemkonfiguration Authentifikation und Zugriffskontrolle Rollenbezogener Zugriffsschutz In der digitalen Welt ist eine sichere Authentifizierung unabdingbar. Wichtig ist, dass die richtigen Personen Zugriff auf die richtigen Informationen haben. Automatisierungssysteme sollten den Nachweis einfordern, dass eine interagierende Person tatsächlich als Systembenutzer zugelassen ist. Wir richten für Sie personenbezogenen Zugriffsschutz mittels individueller Benutzerkonten und Computerrichtlinien ein. Dabei achten wir auf eine Trennung der Konten von Administratoren und anderen Benutzern. Systemhärtung Systembarrieren stärken Härtung bedeutet, dass Funktionen und Programme deaktiviert oder eingeschränkt werden, die für den Betrieb des Automatisierungssystems nicht erforderlich sind. ABB-Automatisierungssysteme unterstützen Schutzmaßnahmen, die es einem Angreifer erschweren, die Barrieren erfolgreich zu überwinden. Individuelle Sicherheitskonzepte werden umgesetzt: Deaktivierung von USB-Ports, die nicht benötigt werden oder ungeschützt zugänglich sind Software und Dienste, die nicht für den Systembetrieb benötigt werden, werden entfernt oder deaktiviert Ausschließlich bekannte Systemkomponenten dürfen auf Systemdienste zugreifen Mobile Geräte, die nicht als systemzugehörig identifiziert werden, werden abgewehrt Netzwerkabsicherung Netzwerkzugangskontrolle Automatisierungssysteme waren in der Vergangenheit physisch von anderen Netzen entkoppelt und damit vor äußeren Einflüssen geschützt. Heute ist der Wunsch der Anlagenbetreiber nach horizontaler und vertikaler Integration Realität. Das Netzwerk des Leitsystems sollte aus mehreren Netzsegmenten, wie zum Beispiel Bedien- und Prozessstationsebene, mit unterschiedlichen individuellen Schutzbedarfen bestehen. Gewünschte Interfacepartner werden gesichert angebunden und nicht erwünschte werden blockiert Sichere Anbindung von Netzwerkkomponenten durch individuelle Portfreigaben und Konfigurierung der Switches Segmentierung Datenflusskontrolle (Firewall) ABB Cybersicherheit 5

6 Ausweitung der Konzepte Regelmäßige Kontrolle der Maßnahmen Zusatzmaßnahmen Zentrales Sicherheitsmanagement ServicePort Der ServicePort bietet eine flexible Bereitstellungsumgebung, um das definierte Sicherheitsniveau im Betrieb aufrechterhalten zu können und zu überwachen. ServicePort-Nutzer entscheiden sich für Dienste wie sichere Fernwartung, Verteilung von Virensignaturen oder Sicherheitsupdates und Überwachung des Sicherheitsstatus für ein System oder zentral für mehrere Automatisierungssysteme. Der ServicePort wird am Standort oder im Betrieb installiert und ermöglicht: Sicheren Fernzugriff und sichere Fernwartung Sicheren Fernzugriff auf einen ABB Security Update Server, der aktuelle von ABB freigegebene Virensignaturen und Sicherheitsupdates bereitstellt Verteilung von Virensignaturen und Sicherheitsupdates an das oder die Systeme Cyber Security Monitoring Service Patch Management Sicherheitspatches für Third Party Software Patches schließen bekannte Sicherheitslücken in der Software. Die regelmäßige Aktualisierung von Sicherheitspatches ist die Voraussetzung, um einen dauerhaften Schutz des Systems über den gesamten Lebenszyklus sicherzustellen. ABB testet regelmäßig, welche Third-Party-Sicherheitspatches für die ABB-Leitsysteme empfohlen werden können. Die Verteilung erfolgt via Fernwartung, über das zentrale Sicherheitsmanagement oder manuell vor Ort. Die Aktivierung der Microsoft-Sicherheitspatches erfolgt vor Ort, durch Reboot der Nodes in einem definierten Zyklus, der die Verfügbarkeitsanforderungen Ihrer Anlage berücksichtigt. Schutz vor Schadprogrammen Virenschutzprogramme Als Hersteller dokumentiert ABB die getesteten und freigegebenen Virenschutzprogramme für die ABB-Leitsysteme. Um die Aktualität von Antivirensoftware auf Ihrem Leitsystem aufrechtzuerhalten, können wir diese regelmäßig via Fernwartung, über das zentrale Sicherheitsmanagement oder vor Ort aktualisieren. Zeitnahe Aktualisierungen gewährleisten den maximalen Schutz vor Angriffen auf das System. Wir bieten variable Aktualisierungsvarianten an, die eine tägliche, wöchentliche oder monatliche automatische Aktualisierung der Virensignaturen unterstützen. Whitelisting Applikationskontrolle Es besteht auch die Möglichkeit, das Ausführen von Programmen in Ihrem Automatisierungssystem zu überwachen und einzuschränken. Diese Software erlaubt ausschließlich die Ausführung erwünschter Programme. Das Verfahren eignet sich in Systemen, die nur geringfügigen Änderungen durch Softwarekonfigurationen unterliegen. Sicherer Fernzugriff und sichere Fernwartung Soll ein Verbindungsaufbau zum Leitsystem durch Ihr Personal oder durch ABB von extern erfolgen, richten wir eine gesicherte Verbindung ein, die bei Bedarf vom Systemverantwortlichen aktiviert werden kann. Die Realisierung erfolgt über die Dienste Remote Access Platform und Remote Diagnose Service auf dem ServicePort. Entsprechend Ihren Sicherheitsanforderungen wird dieser Verbindungsaufbau in der Regel über eine demilitarisierte Zone (DMZ) und nicht direkt zum System eingerichtet. Über diese Verbindung können dann beispielsweise die aktuellen Sicherheitspatches oder Virensignaturen vom ABB Security Update Server automatisiert Ihrem zentralen Sicherheitsma nagement bereitgestellt werden. Und es kann Expertenwissen genutzt werden, ohne dass Reisezeit und -kosten anfallen. 6 ABB Cybersicherheit

7 ABB ServicePort Explorer Procedures and Protocols Breakdown Security Policies Security Policies Breakdown Computer Settings Breakdown Organization 83.64% Policy Breakdown Enforcement 77.50% Startup Items % 55.42% Passwords 54.00% Firewall Administration % Policy Enforcement Auditing 77.50% Network 47.50% Physical Security 46.00% Shares 50.00% Maintenance 40.48% User Passwords Accounts 46.00% 54.00% Services 50.00% Interactive Logon 37.00% Compliance 37.50% Windows Security Updates 33.33% 47.50% Auditing Access Network 35.71% Access Control 34.38% Open Ports 10.00% System User and Devices Accounts 46.00% 35.00% Personnel 29.72% Antivirus 10.00% 100% 46.73% Details for Startup Items 37.77% Network Security Interactive Logon 25.00% Installed Applications 10.00% 37.00% Recovery Console 10.00% Operating System Version 10.00% Network Access 35.71% System Cryptography 10.00% System and Devices 35.00% Network Security 25.00% Recovery Console 10.00% System Cryptography 10.00% 37.77% 41.48% Effektiver Ansatz für Cybersicherheit Praktikable Vorgehensweisen Sind die Sicherheitsmaßnahmen dem Sicherheitskonzept entsprechend umgesetzt, gehört der Erhalt des Sicherheitsniveaus zur Schlüsselaufgabe beim Thema Cybersicherheit. Cyber Security Monitoring automatisierte Überwachung des Sicherheitsstatus Änderungen der Systemkonfiguration des Leitsystems oder Einbindung in die Unternehmens-IT stellen potenzielle Risiken dar. Der Cyber Security Monitoring Service stellt sicher, dass der einmal erreichte Sicherheitsstatus erhalten bleibt. Potenzielle neu auftretende Risiken und Schwachstellen werden aufgedeckt. Hierbei sammelt ein Überwachungsdienst zu geplanten Zeitpunkten oder auf Anfrage sicherheitsrelevante Daten der Automatisierungssysteme, die bei Ihnen im Einsatz sind. Die zu erfassenden Systemeinstellungen und KPIs* werden auf Basis Ihres Sicherheitskonzeptes definiert und überwacht. Der ServicePort Explorer bietet Ihnen die Möglichkeit, den aktuellen Status und die Historie der sicherheitsrelevanten KPIs auf einen Blick zu erkennen und zu bewerten. Bei KPI-Abweichungen besteht die Möglichkeit einer Signalisierung per SMS oder Mail. Backup und Recovery Notfallvorsorge Um das Risiko und die Folgen eines Datenverlustes zu reduzieren, wie zum Beispiel durch unbeabsichtigte Datenänderungen oder Hardwaredefekte, sollten auf allen Systemen in regelmäßigen Abständen Datensicherungen durchgeführt werden. Wir helfen Ihnen, eine Backup-Strategie für Ihr Automatisierungssystem und alle IT-Systeme im Produktionsbereich zu beschreiben. Abhängig von Verfügbarkeitsanforderungen oder der Häufigkeit von Konfigurationseingriffen können das Intervall (täglich, wöchentlich oder monatlich), der Umfang (inkrementell oder vollständig) sowie der Ablageort (lokal und/oder zentral, zum Beispiel auf dem ServicePort) der Datensicherung variieren. Um die Produktionsausfallzeit im Schadensfall zu minimieren, empfehlen wir, auch die Wiederherstellungsprozedur zu beschreiben. Praktikable Konzepte Der größte Nutzen von Sicherheitsinvestitionen ergibt sich durch die Konzentration auf geschäfts- und sicherheitskritische Operationen. Vor diesem Hintergrund müssen Betreiber eine neue Balance zwischen Kosten und Compliance in ihren Sicherheitsrichtlinien zum Schutz der Automatisierungstechnik finden. Maßgeschneiderte Lösungen hängen auch von der Lebenszyklusphase des Leitsystems und den unterschiedlichen Parteien und Prozessen ab, die Einfluss auf den Betrieb des Automatisierungssystems nehmen. Gern arbeiten wir gemeinsam mit Ihnen ein Sicherheitskonzept nach Maß für Ihre Automatisierung aus. *Key Performance Indicator ABB Cybersicherheit 7

8 Kontakt ABB Automation GmbH Automation Service Oberhausener Str Ratingen, Deutschland Kundencenter Service: * Fax: automation.service@de.abb.com * 14 Cent/Minute aus dem deutschen Festnetz, max. 42 Cent/Minute aus dem Mobilfunknetz Hinweis: Technische Änderungen der Produkte sowie Änderungen im Inhalt dieses Dokuments behalten wir uns jederzeit ohne Vorankündigung vor. Bei Bestellungen sind die jeweils vereinbarten Beschaffenheiten maßgebend. ABB übernimmt keinerlei Verantwortung für eventuelle Fehler oder Unvollständigkeiten in diesem Dokument. Wir behalten uns alle Rechte an diesem Dokument und den darin enthaltenen Gegenständen und Abbildungen vor. Vervielfältigung, Bekanntgabe an Dritte oder Verwertung seines Inhaltes auch von Teilen sind ohne vorherige schriftliche Zustimmung durch ABB verboten. 3BDD DE Copyright 2015 ABB Alle Rechte vorbehalten