Security in der industriellen Automatisierung im aktuellen Kontext

Transkript

1 Anna Palmin, Dr. Pierre Kobes /18 November 2014, KommA 2014 Security in der industriellen Automatisierung im aktuellen Kontext Restricted Siemens AG 20XX All rights reserved. siemens.com/answers

2 Security in der industriellen Automatisierung im aktuellen Kontext Agenda Einleitung 3 Standards und Richtlinien 7 Proaktive Erkennung 13 Ausblick 16 Page 2

3 Security in der industriellen Automatisierung im aktuellen Kontext Agenda Einleitung 3 Standards und Richtlinien 7 Proaktive Erkennung 13 Ausblick 16 Page 3

4 Trends mit Auswirkungen auf die Industrial Security Horizontale und vertikale Integration aller Netzwerkebenen Anbindung von Automatisierungsnetzwerken an IT-Netzwerke und das Internet zu Fernwartungszwecken Vermehrter Einsatz offener Standards und PC-basierter Systeme Zunehmender Einsatz von Drahtlostechnologie und Mobilgeräten Smart Grid Dezentralisierung Big Data Cloud Computing Das Internet der Dinge und Dienste Quelle: World Economic Forum, 50 Global Risks Page 4

5 Besondere Security-Anforderungen in der industriellen Automatisierung 24/7/365-Verfügbarkeit hat die höchste Priorität Zuverlässiger Betrieb Systemperformanz Schutz gegen Fehlbedienung und Sabotage Know-how-Schutz System- und Datenintegrität Datenübertragung in Echtzeit Unterstützung im gesamten Lebenszyklus Security-Trail und Change- Management Office Security Vertraulichkeit Integrität Verfügbarkeit Industrial Security Verfügbarkeit Integrität Vertraulichkeit Page 5

6 Das Defense-in-Depth-Konzept* bietet Schutz, der in die Tiefe geht Physischer Zugangsschutz zu Anlage und kritischen Systemen Security Management für Prozesse und technische Maßnahmen Sichere Fernzugriffe über Internet oder mobile Netze zur Anlage Schutz des Anlagen/ Maschinennetzwerks durch Segmentierung *nach IEC Security Services zum Schutz des kompletten Lebenszyklus einer Anlage Bewahren der Systemintegrität mit integrierten Security- Funktionen Page 6

7 Security in der industriellen Automatisierung im aktuellen Kontext Agenda Einleitung 3 Standards und Richtlinien 7 Proaktive Erkennung 13 Ausblick 16 Page 7

8 IEC/ISA Struktur und aktueller Status General Policies and procedures IEC / ISA System Component 1-1 Terminology, concepts and models IS Requirements for an IACS security management system 3-1 Security technologies for IACS TR 2009 Ed Master glossary of terms and abbreviations Profile of ISO / Security risk assessment and system DC* 10/12 design DC* 2Q System security compliance metrics DTS* 1Q Patch management in the IACS environment DTR* 2Q Requirements for IACS solution suppliers 3-3 System security requirements and security levels IS 08/ Product development requirements ID* 4Q Technical security requirements for IACS products ID* 4Q13 Definitionen Metriken *DC: Draft for Comment *CDV: Committee Draft for Vote IS* 4Q14 Organisatorische Maßnahmen des Anlagenbetreibers und Systemintegrators *IS: International Standard *DTR: Draft Technical Report *ID: Initial Draft Security-Funktionalitäten der Systeme und Lösungen Functional requirements Security-Funktionalitäten der Komponenten Processes / procedures Page 8

9 IEC/ISA Ganzheitlicher Ansatz Teile der Norm IEC / ISA General Policies and procedures IEC / ISA System Component Richtlinien und organisatorische Maßnahmen des Systemintegrators beim Einsatz der Automatisierungslösung Organisatorische Maßnahmen des Anlagenbetreibers Entwicklungsprozess des Herstellers und Security- Funktionalitäten der Komponenten Defense in Depth adressiert alle Beteiligten: Anlagenbetreiber, Systemintegrator, Hersteller Page 9

10 RichtlinienreiheVDI 2182 Informationssicherheitin der industriellen Automatisierung Ergebnis einer konstruktiven Zusammenarbeit von Herstellern, Integratoren, Anlagenbetreibern und Forschungseinrichtungen Informative Hilfestellung zur systematischen Ermittlung des Schutzbedarfs und zur Bestimmung einer speziell auf den Schutzbedarf zugeschnittenen Security- Lösung für industrielle Automatisierungskomponenten, -systeme und -anlagen Ganzheitliche Lebenszyklusbetrachtung Quelle: VDI/VDE 2182 Page 10

11 Das ICS-Security-Kompendium des BSI Ein Grundlagenwerk für die ICS- Security ermöglicht sowohl IT-Sicherheits- als auch ICS-Experten einen einfachen Zugang zum Thema IT-Sicherheit in industriellen Steuerungsanlagen. bildet den Rahmen für verschiedene Anwendungsbereiche industrieller Steuerungssysteme und dient als gemeinsame Basis für Experten in Anwendungsgebieten wie Fabrikautomation und Prozesssteuerung. Quelle: BSI ( Page 11

12 Die Profinet-Security-Richtlinie Ein Leitfaden für Anwender und Betreiber industrieller Netzwerke, speziell mit dem Ethernet-basierten Profinet Ziel ist hierbei der Schutz aller Automatisierungskomponenten, unabhängig von den verwendeten Kommunikationsprotokollen oder der Netzstruktur. Durch die Verwendung bewährter und offener Security-Mechanismen ist auch die Integration in bestehende Security-Konzepte möglich. Quelle: PNO ( Page 12

13 Security in der industriellen Automatisierung im aktuellen Kontext Agenda Einleitung 3 Standards und Richtlinien 7 Proaktive Erkennung 13 Ausblick 16 Page 13

14 Industry SIEM zur proaktivenerkennung von Angriffen und Anomalien Definition Security Event Management (SEM) ermöglicht ein Echtzeit- Monitoring, Erfassung, Korrelation von Security- Events und das Generieren von Alarmen Security Information Management (SIM) Ermöglicht eine Langzeit- Speicherung von Log- Daten und das Generieren von Compliance-Reports Correlate Collect Alarms Events Storage Console Views Reports Motivation SIEM gefordert von den relevanten Standards, der Zertifizierung und Marktanforderungen Industry SIEM trägt zur Erhöhung des Schutzes von Anlagen, Systemen und Komponenten gegen Cyber-Angriffe bei DCS/ SCADA* *DCS: Distributed Control System SCADA: Supervisory Control and Data Acquisition Page 14

15 Industry SIEM Herausforderungen Einsatzszenarien I IA, I DT I CS Schnittstellen Korrelationsregeln SIEM Evaluieren von SIEM-Systemen Integration von Automatisierungskomponenten Implementieren von Security-Events/Logfiles Schnittstellen/Protokolle Konfiguration (u. a. Aktivieren von Logging) Page 15

16 Security in der industriellen Automatisierung im aktuellen Kontext Agenda Einleitung 3 Standards und Richtlinien 7 Proaktive Erkennung 13 Ausblick 16 Page 16

17 Ausblick Wichtige Herausforderungen Beweisbare Sicherheit zum Erhöhen der Security-Transparenz Physischer Zugangsschutz zu Anlage und kritischen Systemen Security Management für Prozesse und technische Maßnahmen Sichere digitale Identitäten für diverse Objekte Sichere Fernzugriffe über Internet oder mobile Netze zur Anlage Vertrauenswürdige Ausschreibung- und Angebotsprozesse Schutz des Anlagen/ Maschinennetzwerks durch Segmentierung Analyse der bestehenden Standards auf *nach ihreiec Anwendbarkeit im Kontext der neuen Trends Security Services zum Schutz des kompletten Lebenszyklus einer Anlage Bewahren der Systemintegrität mit integrierten Security- Funktionen Page 17

18 Vielen Dank für Ihre Aufmerksamkeit! Anna Palmin Projektleiterin Siemens AG Process Industries and Drives Technology and Innovations PD TI ATS TM2 3 Östliche Rheinbrückenstr Karlsruhe Tel.: 49 (721) Fax: 49 (721) anna.palmin@siemens.com siemens.com/industrialsecurity Page 18