SCADA-Live-Hacking Angriffe auf Prozessnetze verstehen. (Kurzbeschreibung)

Transkript

1 SCADA-Live-Hacking Angriffe auf Prozessnetze verstehen (Kurzbeschreibung)

2 1 Über die secunet Security Networks AG secunet, IT-Sicherheitspartner der Bundesrepublik Deutschland und Partner der Allianz für Cyber-Sicherheit, ist einer der führenden Anbieter anspruchsvoller IT-Sicherheit. Wir entwickeln innovative Produkte sowie hochsichere und vertrauenswürdige Lösungen für den effektiven Schutz Ihrer Netzwerke und Daten. Mit unseren fünf Divisionen agieren wir dabei sehr nah an unseren Kunden. Mit den besonderen Schutzbedarfen der Kritischen Infrastrukturen beschäftigen wir uns in einer eigenen Division. Mit spezifischer Branchenkenntnis und technisch-methodischem Expertenwissen werden in der Division Kritische Infrastrukturen effektive und effiziente IT- Sicherheitsstrategien sowie individuelle Informationssicherheitsmaßnahmen umgesetzt. Das Angebot richtet sich dabei nicht nur an die Betreiber Kritischer Infrastrukturen, sondern auch an Integratoren und Hersteller. Die Kernkompetenz der Division ist die Absicherung der neuralgischen Punkte in Kritischen Infrastrukturen unter gleichzeitiger Berücksichtigung der gesetzlichen Anforderungen. Das Dienstleistungsportfolio umfasst IT-Sicherheitsberatung, den Aufbau von Informationssicherheitsmanagementsystemen, die kundenspezifische Softwareentwicklung, Penetrationstests, Zertifizierungsdienstleistungen sowie Schulungen im Bereich Security Awareness. Ein umfassendes Produktportfolio bietet die Möglichkeit, Betriebsstörungen und Sicherheitsvorfällen vorzubeugen und in geeigneter Form auf diese zu reagieren. Mit einem ganzheitlichen IT-Sicherheitsansatz werden sichere, manipulationsgeschützte Verbindungen zwischen Netzen realisiert, geschützte (mobile) Fernzugänge zu sensiblen IT-Bereichen wie Prozessleit- und Automatisierungssystemen ermöglicht und Schutzsysteme implementiert. Cyberangriffe werden wirkungsvoll abgewehrt und die Verfügbarkeit kritischer Systeme bleibt erhalten. 2 Leistung Um die ständige Verfügbarkeit eines Produktionsnetzwerks zu gewährleisten, wurde in der Vergangenheit ein strikt isoliertes eigenständiges Netzwerk betrieben. So waren Fernwirknetze wie (Ab-)Wasser-, Verkehrs-, Energie- oder sonstige eigenständige Netze mit Netzleit- oder Großrechnersystemen zuverlässig von gefährlichen Schnittstellen in die Außenwelt, und damit auch vom Unternehmensnetzwerk, getrennt. Doch mit der Digitalisierung werden die Anforderungen an diese Netzwerke komplexer. IT- und Prozessnetze wachsen zusammen, Informationen werden netzwerkübergreifend ausgetauscht, neue Geräte und Zugangspunkte etabliert und damit smarte Funktionen integriert. Der Datenaustausch muss möglich gemacht, die Fernwirknetze geöffnet werden. Damit haben Angreifer zahlreiche Angriffspunkte. Das Schadenspotenzial ist vielen Betreibern (noch) nicht bewusst. Ein erfolgreicher Angriff bedeutet nicht nur einen Informationsabfluss, sondern die Zerstörung von Produktionswerten mit erheblichem Potenzial für Sach- und Personenschäden. In dem Live-Hacking veranschaulichen wir in einem nicht nur für Ingenieure verständlichen Szenario, an welchen Schwachstellen ein Angreifer ansetzen kann und welche Angriffsmöglichkeiten in einem Netzverbund aus klassischer Office-IT, Steuernetz und Anlagensteuerung bestehen. Dafür zeigen wir als anschauliches Beispielnetz einen Prozessnetzaufbau (SCADA-Workbench), der die Auswirkungen von Angriffen sofort sichtbar macht. Stand: September 15 Seite 2

3 Die Performance wird zu zweit in einem Rollenspiel aufgeführt. Anhand typischer Arbeitsabläufe werden mögliche Lücken live aufgezeigt und Probleme vorgeführt. Anschließend werden konkrete Gegenmaßnahmen dargestellt und eine Anleitung zum korrekten Vorgehen gegeben. Die lebendige Darbietung macht sowohl Probleme als auch Lösungsansätze für den Zuschauer gut nachvollziehbar und sehr greifbar. 2.1 Ihre Erwartungen unsere Antworten Je nach Themenvielfalt dauert ein Live-Hacking zwischen 30 und 120 Minuten. Nach und während der Veranstaltung stehen wir selbstverständlich gern für Fragen zum Thema Steuernetzsicherheit oder Informationssicherheit im Allgemeinen zur Verfügung. 2.2 Inhalte Die folgenden Themenblöcke geben einen Überblick möglicher Szenarien. Die Ausprägung ist dabei sehr unterschiedlich und sollte vorab in einem Gespräch geklärt werden: Sicherheit in Office-Netzen Angriffe im Office-LAN kombinieren häufig mehrere Schwachstellen. In diesem Themenblock wird gezeigt, welche Auswirkungen ein nicht funktionierendes Patch- Management kombiniert mit falschen lokalen Benutzerrechten und unvorsichtigen Benutzern haben kann. Sicherheit in Steuernetzen In Steuernetzen arbeiten häufig IT-erfahrene Benutzer. Entsprechend werden für dieses Szenario andere Schwachstellen demonstriert: Der Angriff beginnt mit dem Einschleusen von manipulierter Hardware. Diese ermöglicht die automatische Installation von Malware oder Änderungen an zentralen Komponenten im Steuernetz. In einem zweiten Schritt verschafft sich ein Angreifer Zugriff über ein manipuliertes Update-Paket. Sicherheit in Anlagennetzen Während die Auswirkungen von Angriffstools in Kombination mit Benutzeraktionen in den ersten beiden Szenarien dargestellt werden, wird in diesem Themenblock demonstriert, welche Auswirkungen ein direkter Zugriff ins Anlagennetz haben kann. Mit einem eingeschleusten Mini-PC werden die Geräte und deren Kommunikation analysiert. Basierend auf diesen Informationen werden die übertragenen Daten verfälscht, was in direkter Folge fehlerhaftes Verhalten des Bedienpersonals hervorruft. Darüber hinaus greift der Hacker direkt ein und zerstört ausgewählte Produktionshardware. Die Szenarien können im Bereich Fernwirknetze inhaltlich genau auf die Zielgruppe (Energiewirtschaft, Pharma & Chemie und Produktion) angepasst werden, so dass eine direkte Ansprache der Zuhörer möglich ist. Stand: September 15 Seite 3

4 3 Die Referenten Markus Linnemann ist Leiter der Division Kritische Infrastrukturen und seit Juni 2011 bei secunet. Zuvor war er ab Juli 2008 Geschäftsführer des Instituts für Internet- Sicherheit der FH Gelsenkirchen. Mit seinen Kollegen entwickelte er erfolgreich ein neues Geschäftsfeld und etablierte Live-Hacking-Veranstaltungen, die mittlerweile bei vielen öffentlichen und privatwirtschaftlichen Auftraggebern durchgeführt werden. Vor seiner Ernennung zum Geschäftsführer arbeitete er von Juli 2005 bis Juni 2008 am Institut als Projektleiter in den Bereichen Trusted Computing, Identity Management und Awareness. Seine Diplomarbeit in Informatik an der FH Gelsenkirchen verfasste er zum Thema Identity Management. Markus Linnemann ist Autor eines Buches und einer Vielzahl von Veröffentlichungen. Als Experte für das Thema IT-Sicherheit und Security Awareness wird er von Rundfunk, TV und Print-Medien gefragt. Dirk Reimers ist seit 1999 bei secunet beschäftigt. Zuvor hat er den Windows-Bereich im DFN-CERT aufgebaut und technische Vorträge und Tutorien für das DFN-CERT geleitet. Heute leitet er bei secunet den Bereich Penetrationstest & Forensik und koordiniert die Tätigkeiten der Security-Berater. Das Vorgehens- und Dokumentationsmodell von secunet basiert auf seiner langjährigen Tätigkeit. Darüber hinaus analysiert er als aktiver Security-Berater Unternehmensnetzwerke, WLANs und IT-Organisationen. Mehrfach veröffentlichte er Artikel in Fachzeitschriften und wurde als Sicherheitsexperte im Fernsehen zurate gezogen. Mit seinem Kollegen Torben Klagge entwickelte und realisierte er die SCADA Live-Hacking-Veranstaltung, um typische Schwachstellen im Bereich der Fernwirk- und Steuernetze plastisch darzustellen. Torben Klagge ist zertifizierter Global Industrial Cyber Security Professional und arbeitet seit 2012 bei secunet. Hier analysiert er als Senior Security-Berater aktiv Unternehmensnetzwerke und IT-Organisationen. Sein Schwerpunkt liegt dabei unter anderem in der Analyse von Kommunikationsprotokollen, neben den klassischen Protokollen hier vor allem auf den Bussystemen (RS232, Profibus, LIN, CAN), gängigen Steuerprotokollen (Profinet, BroadR-Ethernet, Modbus) sowie Funkschnittstellen (GSM, ZigBee, Bluetooth). Vor seiner Tätigkeit bei secunet war Torben Klagge, nach Abschluss seines Dipl.-Ing. der Elektrotechnik/Telekommunikation sowie seines M.Sc. in Computer Security, aktiv in der Forschung und Entwicklung von Mess- und Steuergeräten, sowie als Gastdozent an Universitäten tätig. Markus Ohnmacht arbeitet seit September 2012 bei secunet in den Bereichen Informationssicherheitsmanagementsysteme und Awareness. Darüber hinaus ist er in der Produktentwicklung von secunet safe surfer tätig. Er kann ein abgeschlossenes Studium Security Management sowie eine Ausbildung zum Fachinformatiker Systemintegration vorweisen. Markus Ohnmacht ist aktiv für das secunet Hacker-Team im Einsatz und hat bereits zahlreiche Live-Hackings bei großen Unternehmen und Behörden durchgeführt. Marian Jungbauer ist seit Februar 2012 bei secunet. Vorrangig wird er gefragt für Penetrationstests bei Behörden und Firmen. Zuvor war er Projektleiter im Bereich Trusted Desktop bei der Sirrix AG. Von Oktober 2007 bis Anfang 2011 arbeitete er am Institut für Internet-Sicherheit an der Fachhochschule Gelsenkirchen als wissenschaftlicher Mitarbeiter und war Projektleiter im Bereich Trusted Computing und technischer Projektleiter im Bereich Awareness. Mit dem Awareness-Schulungskonzept ist er als Mitentwickler seit einigen Jahren bei vielen Veranstaltungen und Kongressen als Vortragender zu Gast. Er hat das Studium der Informatik an der FH Gelsenkirchen im Bereich Trusted Computing mit dem Diplom abgeschlossen und ist Autor einer Vielzahl von Veröffentlichungen. Stand: September 15 Seite 4

5 4 Die technischen Voraussetzungen Für die Durchführung benötigen wir: Zwei (besser drei) Anzeigegeräte und zwei (besser drei) Anzeigeflächen (Beamer, Leinwände oder TFTs, ). Internetanschluss am besten per Ethernet. Sollten raumgrößenbedingt Mikrofone eingesetzt werden, wären Headsets von Vorteil. Notebooks, SCADA-Systeme und weiteres Equipment werden von secunet bereitgestellt. Stand: September 15 Seite 5