IT Security: Anforderungen und Lösungen für Eisenbahnleit- und -sicherungstechnik

Transkript

1 Lorem est dolor sunt 2014 Prof. Dr. Jens Braband IT Security: Anforderungen und Lösungen für Eisenbahnleit- und -sicherungstechnik siemens.com/answers

2 Inhalt Security versus Safety 4 Security-Bedrohungen 5 Politische Trends 9 Einbettung von IT-Sicherheit in die Normung 10 Security-Level 12 Lösungen 13 Fazit 16 Seite 2

3 Eisenbahnleit- und -sicherungstechnik Seite 3

4 Security versus Safety Sicherheit (Safety) Freisein von nicht akzeptierbaren Risiken eines Schadens IT-Sicherheit (Security) In den Eisenbahnnormen nicht explizit definiert, aber meist verstanden als Zugriffsschutz Im technischen Sinne in den Eisenbahnnormen verstanden als Informationssicherheit, d. h. das Sicherstellen von Vertraulichkeit, Verfügbarkeit und Integrität In der Praxis Safety Schutz vor (unbeabsichtigten) Fehlfunktionen Security Schutz vor (absichtlichen) Angriffen Es besteht ein grundsätzlicher Unterschied, z. B. bei Risikoanalysen. Trotzdem gibt es eine breite Überlappung der Begriffe, teilweise sogar Begriffskonfusion. Seite 4

5 Security-Bedrohungen Beispiele Januar 2008: 14-jähriger Schüler hackt die Weichen-Fernsteuerung der Straßenbahn in Lodz und lässt Züge entgleisen. August 2003: Computer-Virus bei CSX bringt deren Betrieb in 23 US-Staaten komplett zum Erliegen. November 2011: Hacker stören die Signalisierung im Nordwesten der USA mehrere Tage lang. Seite 5

6 Security-Bedrohungen Security-relevante Anwendungen Das Verwenden kommerzieller Produkte und Systeme (COTS) für signaltechnisch sichere Anwendungen nimmt zu: GSM-R für Funkübertragung Kommerzielle Hardware- und Betriebssysteme Neue Gefährdungen bestehen bezüglich der Sicherheit der Anwendungen: Absichtliche Modifikation von Daten Manipulierter Verbindungsaufbau durch Dritte Bisher verwendete Mechanismen genügen nicht: Sicherheitscode (CRC) Adressierungsmechanismen Can trains be hacked? Security wird benötigt, um Safety zu gewährleisten. Seite 6

7 Security-Bedrohungen Wo sind die Angreifer? Bei 30C3 zeigte eine russische Hacker- Organisation, dass Zigtausende SCADA- Systeme vom Internet aus erreichbar sind. Darunter sollen auch Systeme an Bord von Zügen gewesen sein. Dahinter steckt ein klares Geschäftsmodell. Seite 7

8 Security-Bedrohungen Erkenntnisse Alles, was nicht Mindeststandards erfüllt, kann von Hacktivisten gebrochen werden. Wesentliche Ursachen: Überschätzen der Sicherheit Fehlerhaftes Implementieren Fehlerhafte Konfiguration Bekannte Schwachstellen Infizierte Geräte Standard-Passwörter Seite 8

9 Politische Trends Die Kommission fordert die Akteure auf: Sicherheitsnormen unter Federführung der Industrie entwickeln und verabschieden Normen für die Cybersicherheitsleistung der Unternehmen entwickeln und Informationen für die Öffentlichkeit durch eine Sicherheitskennzeichnung verbessern Seite 9

10 Einbettung von IT-Sicherheit in die Normung Übersicht Zukünftig Einbettung von IT-Security- Normen in die Safety-Landschaft Gesetzliche Vorgabe EU-Verordnung 402/2013 (Common Safety Methods) Anknüpfpunkt Sicherheitsnachweis nach DIN EN Keine eigenen Normen, sondern Anwendung bestehender Normen Beispiel: IEC über DKE-Leitfaden DIN VDE V Seite 10

11 Einbettung von IT-Sicherheit in die Normung DKE-Leitfaden DIN VDE V Veröffentlichung August 2015??? Seite 11

12 Security-Level (SL) Safety Hacker Organisation Cyberwar Seite 12

13 Lösungen Security Gateway (Internet of Zones) Zone A Netzwerk Zone B LST-Anwendung VPN-Tunnel LST-Anwendung Management Administrator Architektur ermöglicht die Verbindung sicherer (safe) Zonen mit Hilfe von sicheren (secure) Tunneln unter Einsatz von COTS-Security-Komponenten. Architektur erlaubt weitgehende Orthogonalisierung der Safety- und Security- Eigenschaften (bis auf Rückwirkungsfreiheit). Zulassung bzw. Zertifizierung kann weitgehend separiert werden. Beispiel: Security Gateway für BZ/UZ-Kopplung, KISA Seite 13

14 Lösungen SW-Updates und Patch-Management Die Anforderungen von Safety und Security sind gegenläufig: Bei Safety ändert man Software möglichst nicht. Bei Security ändert man Software möglichst täglich. Innovatives Konzept Safety-Software, COTS und Security-Software: In einem System Aber in getrennten, redundanten Kanälen Pilotierung S-Bane Copenhagen Seite 14

15 Lösungen ESTW-Server (Internet of Things) Aus 586 Anlagen 155 ESTW-Z und 431 ESTW-A können wenige ESTW-Server mit Multicore-Architektur werden. WAN/SG IKI/KISA ESTW-Server ESTW-Z ESTW-A Point of Service Seite 15

16 Fazit Zunehmender Einsatz von COTS-Produkten und Systemen im Bereich Eisenbahn-Leit- und Sicherungstechnik benötigt IT Security-Mechanismen. Eisenbahnanforderungen sollten auf Grundlage allgemeiner IT-Security- Standards, z. B. IEC 62443, definiert werden. Safety und Security müssen in modernen Eisenbahnsignalsystemen in ihrer Gesamtheit betrachtet werden. Dazu gibt es bereits bewährte Architekturen und Lösungskonzepte. Aber: Wenn möglich, sollte eine getrennte Zulassung von Safety- und Security-Produkten angestrebt werden. Seite 16

17 Vielen Dank für Ihre Aufmerksamkeit! Seite 17