Seminar Industrial Security

Transkript

1 SnowDome Bispingen Seminar Industrial Security siemens.de/industry-nord

2 Seminar Industrial Securiry Agenda 2 Überblick zu IndustrialSecurity 5 Anlagensicherheit 9 Systemintegrität 18 Netzwerksicherheit 37

3 Agenda 11:00 Uhr 12:00 Uhr Aktuelles Lagebild zur Bedrohungslage Cybersecurity in Deutschland Herr Holger Junker Bundesamt für Sicherheit in der Informationstechnik (BSI) 12:00 Uhr 13:00 Uhr Mittagessen 13:00 Uhr 14:00 Uhr Cybersecurity bei Siemens wie nahm das Thema seinen Anfang? Vorstellung des ProductCERT Herr Rupert Wimmer Siemens CorporateTechnology, ProductCERT 14:00 Uhr 14:30 Uhr Kaffeepause 14:30 Uhr 16:00 Uhr Praktische Vorführung zum Thema Industrial Security Dennis Kortstock, Klaas Eßmüller Siemens Region NORD

4 Agenda 3 Überblick zu IndustrialSecurity 4 Anlagensicherheit 9 Systemintegrität 18 Netzwerksicherheit 37

5 Wo findet sich Industrial Security? Anlagensicherheit Netzwerksicherheit Systemintegrität

6 Defence-in-Depth Erklärung eines Schlagwortes Anlagensicherheit Zutrittssperre für unbefugte Personen Verhinderung des physischen Zugangs zu kritischen Anlagenkomponenten Produktion Netzwerksicherheit Kontrollierte Schnittstellen zwischen Office- und Anlagennetzwerk, z. B. über Firewalls Gesicherte Komminikation z.b. über über VPN Weitere Segmentierung des Anlagennetzwerks Systemintegrität Antivirus- und Whitelisting-Software Wartungs- und Updatevorgänge: Benutzerauthentifizierung für Anlagen- oder Maschinenbediener In Automatisierungskomponenten integrierte Zugriffsschutzmechanismen Security-Lösungen im Industriekontext müssen alle Schutzebenen berücksichtigen

7 Defence-in-Depth Erklärung eines Schlagwortes Anlagensicherheit Zutrittssperre für unbefugte Personen Verhinderung des physischen Zugangs zu kritischen Anlagenkomponenten Produktion Netzwerksicherheit Kontrollierte Schnittstellen zwischen Office- und Anlagennetzwerk, z. B. über Firewalls Gesicherte Komminikation z.b. über über VPN Weitere Segmentierung des Anlagennetzwerks Systemintegrität Antivirus- und Whitelisting-Software Wartungs- und Updatevorgänge: Benutzerauthentifizierung für Anlagen- oder Maschinenbediener In Automatisierungskomponenten integrierte Zugriffsschutzmechanismen Security-Lösungen im Industriekontext müssen alle Schutzebenen berücksichtigen

8 Agenda 3 Überblick zu IndustrialSecurity 5 Anlagensicherheit 8 Systemintegrität 18 Netzwerksicherheit 37

9 Anlagensicherheit Anlagensicherheit Netzwerksicherheit Systemintegrität

10 Anlagensicherheit ganz einfach: physikalischer Zugang Ein einfaches Beispiel für Anlagensicherheit Verhinderung des physischen Zugangs

11 Anlagensicherheit Security-Management Security-Manament ist eine Schlüssel-Aufgabe: Risikoanalyse mit Definition von Risikominderungsmaßnahmen 1 Riskoanalyse Festlegung von Richtlinien und Koordinierung organisatorischer Maßnahmen Koordination technischer Maßnahmen Regelmäßige/ereignisabhängige Wiederholung der Risikoanalyse 4 Validierung und Verbesserung 3 2 Richtlinien, organisatorische Maßnahmen Technische Maßnahmen Security-Management ist unverzichtbar für ein durchdachtes Sicherheitskonzept

12 Anlagensicherheit Informationsmöglichkeiten Ist die Presse die richtige Informationsquelle? Nachfolgend eine kurze Presseschau

13 Presseschau c t vom Quelle: c t v ICS-CERT-warnt-vor-Angriffen-auf-industrielle-Steuerungssysteme html

14 Presseschau Spiegel Online v Quelle: Spiegel Online v

15 Presseschau Heise Security v und c t v Quelle: c t v Quelle: heise security v

16 Anlagensicherheit Informationsmöglichkeiten Wo finde ich Informationen? BSI (Bundesamt für Sicherheit in der Informationstechnik) z.b. ICS Cert (Industrial Control Systems Cyber Emergency Response Team) Alerts ( Warnungen ) unter Siemens Industrial Security Siemens-spezifische Warnungen unter

17 Agenda 3 Überblick zu IndustrialSecurity 5 Anlagensicherheit 9 Systemintegrität 17 Netzwerksicherheit 37

18 Systemintegrität Manipulationsschutz Anlagensicherheit Netzwerksicherheit Systemintegrität

19 Industrial Security Manipuliationsschutz im System SIMATIC S Höherer Manipulationsschutz Verbesserter Schutz gegen Manipulation der Kommunikation bei Zugriff auf Controller durch digitale Prüfsummen Schutz vor Netzwerkangriffen wie Einschleusen gefälschter / aufgezeichneter Netzwerkkommunikation (Replay Angriffe) Geschützte Übertragung von Passwörtern bei Authentifizierung Erkennung manipulierter Firmware-Updates durch digitale Signaturen Schutz der Kommunikation vor unberechtigten Manipulationen für höchste Anlagenverfügbarkeit

20 Industrial Security Systemintegrität durch Achilles Level 2 Zertifizierung Achilles zertifizierte Baugruppen Liste zertifizierter Baugruppen: ducts Aktuell (Stand: ) über 35 Siemens-Produkte mit Achilles Level 2 Zertifizierung Achilles-Test als Bestandteil des Systemtests

21 SIMATIC S Die leistungsfähigste CPU von Siemens S Highlights Performance Bit, Word, Gleitpunkt: 1ns, 2ns, 6ns Klemme-Klemme Reaktion: ~160µs Kurze Zyklus Zeit: 250µs Rückwandbus: 400M Baud Kommunikation PN IRT (V2.3) drei PROFINET Schnittstellen mit eigner IP-Adresse IPv6 mittels CP Code-Performance (Analyse von 247 Kundenprojekten) 8 mal schneller als die CPU S mal schneller als die CPU S mal schneller als die CPU S7-319 bei der Verwendung von symbolischer Programmierung Security Hacker-Attacken Tests von ENCS (European Network for Cyber Security) blieben ohne Erfolg VPN und Firewall mit CP Security Integrated: Know-How-Schutz, Binding to SMC, Manipulationsschutz,... Benutzerfreundlichkeit Integrierte Funktionalitäten: z.b. Motion, Trace, Mehrsprachige Vor-Ort Diagnose am Display Forcetable und Watchtable direkt auf dem Display

22 Systemintegrität KnowHow-Schutz Anlagensicherheit Netzwerksicherheit Systemintegrität

23 Industrial Security KnowHow-Schutz im System SIMATIC S Höherer Know-how Schutz in STEP 7 Passwortschutz gegen unberechtigtes Öffnen der Programmbausteine mit STEP 7 und somit Schutz vor unberechtigtem Kopieren von z.b. entwickelten Algorithmen Passwortschutz gegen unberechtigtes Auswertung der Programmbausteine mit externen Programmen aus dem STEP 7 Projekt von Daten der Speicherkarte aus Programmbibliotheken Schutz des geistigen Eigentums und getätigtem Invest

24 Live!

25 Systemintegrität Kopierschutz Anlagensicherheit Netzwerksicherheit Systemintegrität

26 Industrial Security Kopierschutz im System SIMATIC S Höherer Kopierschutz Binden von einzelnen Bausteinen an die Seriennummer der Speicherkarte oder CPU Schutz vor unberechtigtes Kopieren von Programmbausteinen mit STEP 7 Schutz vor unberechtigtes Duplizieren der Projektierung auf der Speicherkarte Schutz vor unautorisierter Vervielfältigung ablauffähiger Programme

27 Live!

28 Systemintegrität Zugriffsschutz Anlagensicherheit Netzwerksicherheit Systemintegrität

29 Industrial Security Zugriffsschutz im System SIMATIC S Höherer Zugriffsschutz (Authentifizierung) Neue Schutzstufe 4 für CPU-Komplettverriegelung (auch HMI Verbindungen benötigen Passwort) * Granulare Vergabe von Berechtigungsstufen (1-3 mit eigenem PW) Für Zugriffe über CPU und CM Schnittstelle Generelle Projektierungssperre über CPU-Display Erweiterter Zugriffschutz über Security CP durch integrierte Firewall und VPN * Nur in Zusammenspiel mit den SIMATIC HMI Panels möglich Umfassender Schutz gegen unberechtigte Projektierungsänderungen

30 Live!

31 Systemintegrität Manipulationsschutz über Whitelisting Anlagensicherheit Netzwerksicherheit Systemintegrität

32 Industrial Security Systemintegrität durch Whitelisting Whitelisting Anstatt ausführbare Programme (z.b..exe,.bat,.dll ) bei Start auf Malware zu untersuchen, werden einmalig alle ausführbaren Programme signiert. Nach Aktivierung des Whitelisting können nur noch autorisierte Anwendungen ausgeführt werden. Es können sichere Update-Quellen (z.b. für Sicherheitspatches) angegeben werden Automatischer Schutz gegen fremden Programmcode (z. B. per USB-Stick) und sog "Zero-Day Exploits" Nachrüstung in bestehenden Anlagen möglich McAfee ApplicationControl ist auf Verträglichkeit bei diverser SIMATIC Software getestet (s. nächste Seite) An dieser Stelle: der Support für Windows XP durch Microsoft endet am 08. April 2014

33 Industrial Security Systemintegrität durch Whitelisting Windows XP Auszug aus dem BSI-Dokument Umgang mit dem Ende des Supports für Windows XP Quelle:

34 Industrial Security Systemintegrität durch Whitelisting Folgende SIMATIC Produkte wurden erfolgreich auf Verträglichkeit mit McAfee Application Control V5.1 bzw. V6.0 getestet: STEP 7 V5.5 / V12 (TIA-Portal) PCS 7 V8.1 PCS 7 V8.0 PCS 7 V7.1 + SP3 PCS 7 V7.0 + SP3 PCS 7 V6.1 + SP4 WinCC V7.2 WinCC V7.1 WinCC V7.0 + SP1 WinCC V7.0 + SP2 WinCC flexible SP2 S7-mEC, EC31 ab 08/2010 PCS 7 AS mec RTX Nano / MircoBox

35 Live!

36 Agenda 3 Überblick zu IndustrialSecurity 5 Anlagensicherheit 9 Systemintegrität 18 Netzwerksicherheit 36

37 Netzwerksicherheit Firewall Anlagensicherheit Netzwerksicherheit Systemintegrität

38 Industrial Security Firewall mit dem CP Höherer Zugriffsschutz (Authentifizierung) Neue Schutzstufe 4 für CPU-Komplettverriegelung (auch HMI Verbindungen benötigen Passwort) * Granulare Vergabe von Berechtigungsstufen (1-3 mit eigenem PW) Für Zugriffe über CPU und CM Schnittstelle Generelle Projektierungssperre über CPU-Display Erweiterter Zugriffschutz über Security CP durch integrierte Firewall und VPN * Nur in Zusammenspiel mit den SIMATIC HMI Panels möglich Umfassender Schutz gegen unberechtigte Projektierungsänderungen

39 Industrial Security Netzwerksicherheit durch Einsatz einer Firewall - Begriffserklärung Port Firewall-Regeln 20 FTP Kommunikation gesperrt FTP HTTP STEP7 Kommunikation gesperrt Kommunikation erlaubt Kommunikation gesperrt Port Firewall-Regeln 119 NTP Kommunikation gesperrt 20 FTP Kommunikation gesperrt 666 DOOM Kommunikation gesperrt FTP HTTP STEP7 Kommunikation gesperrt Kommunikation erlaubt Kommunikation erlaubt 119 NTP Kommunikation gesperrt 666 DOOM Kommunikation gesperrt

40 Industrial Security Netzwerksicherheit durch Einsatz von Firewalls Durch den Einsatz einer Firewall kann gezielt Kommunikation am Netzwerk blockiert oder erlaubt werden. Durch eine Firewall kann Zugriff auf definierte Netzwerkdienste beschränkt werden. Port 20 FTP Firewall-Regeln Kommunikation gesperrt Vordefinierte Regeln ermöglichen eine sehr einfache Parametrierung der Firewall im TIA Portal für den CP Durch entsprechende Firewall-Regeln kann der Zugriff auf Netzwerkdienste auch auf bestimmte Quell- Adressen beschränkt werden. Firewall-Regeln werden zentral im TIA Portal verwaltet FTP HTTP STEP7 119 NTP 666 DOOM Kommunikation gesperrt Kommunikation erlaubt Kommunikation gesperrt Kommunikation gesperrt Kommunikation gesperrt

41 Live!

42 Netzwerksicherheit VPN (Virtuelles Privates Netzwerk) Anlagensicherheit Netzwerksicherheit Systemintegrität

43 Industrial Security Netzwerksicherheit durch Einsatz von VPN Zertifikat (=Schlüssel) alternativ PSK (Pre-shared key) möglich VPN Von Ende-zu-Ende verschlüsselte Kommunikation (Tunnel)

44 Industrial Security Netzwerksicherheit durch Einsatz von VPN Durch den Einsatz eines VPN (Virtuelles Privates Netzwerk) wird Kommunikation zwischen zwei Teilnehmern verschlüsselt. Zur Verschlüsselung kommen sog. Zertifikate oder Pre-shared keys (PSK) zum Einsatz, die automatisch vom TIA Portal generiert werden. Der sog. VPN-Tunnel bietet einen gesicherten Kommunikationskanal über ein unsicheres Netzwerk hinweg. Nur Teilnehmer mit Zertifikat oder PSK können an der VPN-Kommunikation teilnehmen. Ein Mitlesen oder Stören der Kommunikation ist nicht möglich.

45 Live!

46 Vielen Dank für Ihre Aufmerksamkeit! Dennis Kortstock & Klaas Eßmüller GER I S NORD Lindenplatz Hamburg siemens.de/industry-nord