Industrie 4.0 als Herausforderung für CyberSecurity in diversifizierten Industriekonzernen

Größe: px

Ab Seite anzeigen:

Download "Industrie 4.0 als Herausforderung für CyberSecurity in diversifizierten Industriekonzernen"

Frieder Hausler
vor 8 Jahren
Abrufe

1 Industrie 4.0 als Herausforderung für CyberSecurity in diversifizierten Industriekonzernen Münchner Cyber Dialog 2015 ThyssenKrupp AG - 1 -

2 ThyssenKrupp Diversifizierter Industriekonzern Führende Marktpositionen Ein integrierter Konzern Aktives Portfoliomanagement Diversifizierter Industriekonzern Benchmark Performance Profitables Wachstum Kapitaleffizienz Führende Engineering-Kompetenz - 2 -

Portfoliomanagement Diversifizierter Industriekonzern Benchmark

3 Diversifizierter Industriekonzern: Unsere Business Areas Kennzahlen Geschäftsjahr 2013/2014 Components Technology Elevator Technology Industrial Solutions Materials Services Steel Americas Steel Europe Umsatz (Mio ) EBIT (Mio ) Mitarbeiter Umsatz (Mio ) EBIT (Mio ) Mitarbeiter Umsatz (Mio ) EBIT (Mio ) Mitarbeiter Umsatz (Mio ) EBIT (Mio ) Mitarbeiter Umsatz (Mio ) EBIT (Mio ) Mitarbeiter Umsatz (Mio ) EBIT (Mio ) Mitarbeiter

941 Umsatz (Mio ) EBIT (Mio ) Mitarbeiter 6.416 751 50.282 Umsatz (Mio ) EBIT (Mio ) Mitarbeiter 6.271 738 18.

4 IT mega trends Nebeneffekte einbezogen - 4 -

5 Von Systemrisiken zu systematischen Risiken Viren, Würmer, Trojaner All-in-one Lösungen für perfekte Verbrechen? Floppy Disks Makros Mail Verschiedene Wege der Infizierung und Verbreitung Phishing, Exploits, Viren für Mobiltelefone,.NET Investigatives Hacking, Spezialisierte Angriffe heute Zukunft System Freaks Hacker (Hobby) organisiertes Verbrechen Cyber War/ Cyber Terrorismus Sources: McAfee, University of Ulm - 5 -

6 Industrie 4.0 Individualisierung von Produkten unter Großserienbedingungen Integration von Kunden und Partnern in Geschäftsprozesse Maßgeschneiderte Services für Produkte und die Produktion Monitoring und Echtzeit Kontrollen von Prozessen und Lieferketten Wettbewerbsorientierte Herausforderungen Technische Maßstäbe Kosteneinsparungen Cloud Access Information Herausforderungen für Informationssicherheit - 6 -

Geschäftsprozesse Maßgeschneiderte Services für Produkte und die Produktion Monitoring und Echtzeit

7 Steuerungssysteme direkte IT Anbindungen an Industrieanlagen SCADA (supervisory control and data acquisition) als Basiselement für industrielle Automatisierung Risiken Kompromittierte Systeme heißt kompromittierte Maschinen Risiken für Arbeitssicherheit und die Gesundheit der Mitarbeiter Betriebsbedingungen Patches müssen mit den Produktionsanforderungen synchronisiert werden Antivirensoftware ist teilweise nicht erlaubt Lebensdauer von Systemen entspricht der der Maschinen (Software und Hardware ist teilweise nicht auf dem neuesten Stand) - 7 -

Gesundheit der Mitarbeiter Betriebsbedingungen Patches müssen mit den Produktionsanforderungen synchronisiert werden Antivirensoftware

8 SCADA* - Security PLC als Sicherheitslücke für Angriffe auf Produktionssysteme PLC s (Programmable logic controller) zur Steuerung von SCADA-Systemen sind oft über das Internet frei zugänglich. Ein Angreifer kann hiermit Scanner in Industriesysteme implementieren. Die dafür notwendige Software gibt es zum freien Download im Internet. Zwischen 2013 und 2015 ist die Anzahl frei zugänglicher PLCs über 300 Prozent auf über gestiegen. Dies ist bemerkenswert, da der Stuxnet-Angriff in dieser Zeit schon intensiv diskutiert wurde. Quelle: heise.de *Supervisory Control and Data Acquisition

Die dafür notwendige Software gibt es zum freien Download im Internet.

9 Unterschiede zwischen gewöhnlichen APT* und weaponized Malware APT Qualitäten Qualitäten von weaponized Malware Greifen oft für erstmalige Infizierungen auf einfache Exploits zurück (Social Engineering) Konzipiert, um mit dem Angreifer zu kommunizieren Mechanismus für einen dauerhaften Betrieb, auch wenn der Angriff entdeckt wurde Nicht ausgelegt, den Betrieb zu stören oder darauf Einfluss zu nehmen Ausgereiftere Angriffe ausgerichtet gezielte Infizierungen (Social Engineering, interne Netzwerke oder USB-Ports) Für einen isolierten Betrieb konzipiert (i.d.r. ohne äußere Steuerung) Mechanismen für einen dauerhaften Betrieb oder eine Neuinfizierung im Falle der Entdeckung Mögliche Absichten beinhalten betriebliche Störungen Konzipiert um über lange Zeit nicht entdeckt zu werden Quelle: Knapp/Langill - Network Security 2015 *Advanced Persistent Threat

10 Unterschiede zwischen gewöhnlichen APT* und weaponized Malware Ziele für APT Ziele für weaponized Malware Know How, Patente, Informationswerte, Anwendungscodes Forschung & Entwicklung, Konstruktionsdesigns, Produkttechnologien Zugangsdaten, Kontrolle von IT- Administrationsumgebungen Steuerungsprotokolle, Funktionsdiagramme, Prozessparameter, Qualitätsprotokolle Layout von Kontrollsystemen und Sicherheitssteuerungen Monitoring- und Leitsysteme Totale Kontrolle über die kompromittierten Maschine Spionage Sabotage Quelle: Knapp/Langill - Network Security 2015 *Advanced Persistent Threat

Steuerungsprotokolle, Funktionsdiagramme, Prozessparameter, Qualitätsprotokolle Layout von Kontrollsystemen und Sicherheitssteuerungen Monitoring-

11 Integrierte Betrachtung der Herausforderungen Ganzheitlicher Ansatz zum Management der Informationssicherheit Top Management Awareness Nachverfolgung von Maßnahmen Steuerung Reporting Konzernrichtlinien/ -anweisungen Forensische Analysen Warum, wer mit welchen-konsequenzen Kontinuierliche Verbesserungsprozess Analyse/ Prognose Prävention Awareness Härtung Antivirus Neueinrichtung Isolation Kontrolle des Datenverkehrs Beseitigung Entdeckung Konfigurations-/logscans SIEM/SOC* Anomalien Erkennung *Security Incident and Event Management/ Security Operations Center

Kontinuierliche Verbesserungsprozess Analyse/ Prognose Prävention Awareness Härtung Antivirus Neueinrichtung Isolation Kontrolle des

-Framework: Funktionale Struktur und Dokumentenklassifizierung Group Regulations Group Policy Informationssicherheit für Manager für Mitarbeiter Group Operating Instructions Informationssicherheit

12 -Framework: Funktionale Struktur und Dokumentenklassifizierung Group Regulations Group Policy Informationssicherheit für Manager für Mitarbeiter Group Operating Instructions Informationssicherheit Management Klassifizierung Identity und Access Management Business Continuity Management Risiko Management Personelle Sicherheit Physischer Schutz Lokale IT Räume Netzwerksicherheit Lokale Endgeräte Produktions IT Incident Management Anwendungssicherheit ERP Dienstleistungserbringung Dritte Provider Cloud Group Supporting Documents ERP IAM Production IT Provider

Management Risiko Management Personelle Sicherheit Physischer Schutz Lokale IT Räume Netzwerksicherheit Lokale Endgeräte Produktions IT

13 Einschätzung der Informationssicherheitsrisiken Bisheriger Ansatz Blick in die Vergangenheit Was ist passiert? z. B. Anzahl von Informationssicherheitsvorfällen (Incidents) in den vergangenen Jahren Neuer Ansatz Was könnte passieren? z. B. Anzahl möglicher Informationssicherheitsvorfälle (Incidents) in den kommenden Jahren Blick in die Zukunft => Motivation potenzieller Angreifer

Anzahl von Informationssicherheitsvorfällen (Incidents) in den vergangenen Jahren Neuer Ansatz

14 Definition der Sicherheitsstufen (Security Level) Vertraulichkeit SL 1 Integrität Auswirkung Verfügbarkeit Motivation eines externen oder internen Angreifers Niedrig <-> Sehr hoch Klassifizierung in Sicherheitsstufen SL 2 SL 3 SL

Motivation eines externen oder internen Angreifers Niedrig

15 Sicherheitsstufen (Security Level) bieten einen qualitativen Ansatz bei der Festlegung der Sicherheitsbedürfnisse von Informationswerten SL 1 SL 2 SL 3 SL 4 Schutz gegen beiläufigen oder zufälligen Missbrauch Schutz gegen bewussten Missbrauch mit einfachen Mitteln, geringen Ressourcen, allgemeinen Kenntnissen und niedriger Motivation Schutz gegen bewussten Missbrauch mit anspruchsvollen Mitteln, moderaten Ressourcen, IACS* spezifischen Kenntnissen und moderater Motivation Schutz gegen bewussten Missbrauch mit anspruchsvollen Mitteln und erweiterten Ressourcen, IACS* spezifischen Kenntnissen und hoher Motivation *Industrial Automation and Control Systems

Motivation Schutz gegen bewussten Missbrauch mit anspruchsvollen Mitteln, moderaten Ressourcen, IACS* spezifischen Kenntnissen und moderater Motivation Schutz gegen

16 Security Level bestimmen die Anforderungen an verschiedene IT Services Element SL 1 SL 2 SL 3 SL 4 Produktions IT (Operation Technology OT = Produktions-IT) Produkttechnologie ERP-Systeme Definierte Anforderungen für jede Sicherheitszone Office IT IT Dienstleister

Technology OT = Produktions-IT) Produkttechnologie ERP-Systeme

17 Entwicklung der Kosten für Informationssicherheit schematisch Design Anschaffung Prozessplanung Prozessentwicklung Produktion Nutzung Entsorgung Technische Eigenschaften IT Eigenschaften Planung Aufbau Betrieb Abbau

Prozessentwicklung Produktion Nutzung Entsorgung

Ähnliche Dokumente

Informationstechnik in der Prozessüberwachung und -steuerung. Grundsätzliche Anmerkungen

Informationstechnik in der Prozessüberwachung und -steuerung Grundsätzliche Anmerkungen Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 95820 E-Mail: ics-sec@bsi.bund.de