Sicherheit in der Fernwirktechnik Informationstag Trinkwasser Patrick Erni

Transkript

1 Sicherheit in der Fernwirktechnik Informationstag Trinkwasser 2017 Patrick Erni 3 Jahre Leiter IT-Services bei Rittmeyer HSLU Information Security HSLU IT-Driven Business Innovation ISO Officer 12 Jahre Leiter Informatik bei Rittmeyer HSLU IT-Management ITIL Foundation 10 Jahre ICT-Projektleiter Banken, Versicherung und KMU Umfeld MCSE Microsoft zertifiziert NCSE Novell zertifiziert 10 Jahre Hardware System Engineer IBM HW Zertifiziert Das Unternehmen Rittmeyer Gründungsjahr:1904 Unternehmensform: Aktiengesellschaft Hauptsitz: Baar (Schweiz) Anzahl der Mitarbeitenden: 300 Weltweit installierte Systeme: über

2 Inhalt Was ist Sicherheit Bedrohungen Schwachstellen Gefahren Wie schützen wir uns Patrick Erni Rittmeyer AG Simulation eines Wasserkraftwerkes (mit Steuerungsebene über das Internet) Quelle: MELANI Halbjahresbericht

3 Bedrohung - Live Angriffe aus der Presse. 3

4 Es gibt zwei Arten von Unternehmen: solche die schon gehackt wurden, und solche, die es noch werden. Die Frage ist heute nicht mehr, ob ein Unternehmen angegriffen wird, sondern wann! Definition von Informations-Sicherheit Informationen sind wichtige Unternehmenswerte und werden heute überwiegend mit IT-Systemen übertragen, verarbeitet, gespeichert. 4

5 Gesetze und Vorlagen Das EU-Parlament beschliesst am eine Datenschutz- Grundverordnung (DSGVO) Die Bestimmungen der DSGVO und des österreichischen Datenschutzgesetzes (DSG) ist in der Fassung des Datenschutz- Anpassungsgesetzes 2018 und gelten ab Die Regeln für die Verarbeitung personenbezogener Daten, die Rechte der Betroffenen und die Pflichten der Verantwortlichen werden EU-weit vereinheitlicht. Jedes Unternehmen, das in irgendeiner Weise personenbezogene Daten verarbeitet, ist betroffen. (z.b. eine Kundendatei führt, Rechnungen ausstellt, Lieferantendaten speichert) Ab diesem Zeitpunkt drohen bei Verstössen hohe Geldbussen von bis zu 10 Mio oder im Fall eines Unternehmens von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Zukünftige Gesetze und Vorlagen In Österreich ist das BMI und das BKA für den Schutz kritischer Infrastrukturen beauftragt. Sie werden vom APCIP in der Umsetzung unterstützt. Das IT-Sicherheitsgesetz (ITSiG) verlangt von Betreibern kritischer Infrastrukturen, kurz KRITIS, dass sie ihre Netze besser schützen und Angriffe melden. Die ÖVGW hat einen Branchenstandard für IT-Sicherheit Wasser/Abwasser 5

6 Bedrohung + Schwachstelle = Gefahr Ausfall USB-Speicher Manipulation Diebstahl Internet Erpressung Netzwerk Spionage Zerstörung Mitarbeiter An der Bedrohung können wir nichts ändern - Schwachstellen können jedoch vermeiden werden Bedrohungen Menschen Cyber-Angreifer Terroristen Aktivisten Mitarbeiter Malware (Virus) Hardware / Technik externe Interne Software externe Interne höhere Gewalt Feuer Wasser Blitz Erdbeben 6

7 Angreifer-Typologie Die häufigsten erfolgreichen Tätergruppen Quelle: IBM X-Force Cyber Security Intelligence Index

8 Top Schwachstellen (BSI 2017) Social Engineering Einschleusen von Schadsoftware über Wechseldatenträger Infektion und Angriffe über Internet und Intranet Einbruch über Fernwartungszugänge Menschliches Fehlverhalten und Sabotage Technisches Fehlverhalten Höhere Gewalt (D)DoS - Angriffe Was ist Social Engineering? Social Engineering ist ein Verfahren, um sicherheitstechnisch relevante Daten Computer- oder Human Based durch Ausnutzung menschlicher Komponenten in Erfahrung zu bringen. Menschen sind manipulierbar und generell das schwächste Glied in einer Kette. Die Informationen werden gesammelt aus: Gesprächen Telefongesprächen Homepage Internet Darknet Social Medien (Facebook, Xing, LinkedIn, Search, usw.) Prospekte Firmenorganigramm Firmentelefonbuch 8

9 Schwachstelle USB-Speicher Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware wie USB-Sticks. Mitarbeiter verwenden diese häufig Privat, im Office- als auch in ICS-Netzen Schwachstelle Mitarbeiter (Klicker) LinkedIn Facebook DHL UPS Zalando ebay Amazon PayPal itunes Microsoft Banken Mastercard Visa Behörden 9

10 Top Malware-Quellen #1 Drive by Download Malware installiert sich im Hintergrund beim Download einer Webseite Bis zu neu infizierte Webseiten pro Monat #2 Spam Mail Öffnen einer infizierten oder deren Anhang führt zur Infektion 89% aller s sind Spam #3 Direkte Downloads Infektion durch den direkten Download von Malware (getarnt als gutartiges Programm) Eines von 14 heruntergeladenen Programmen ist böse Schwachstelle Netzwerk / Internet Digitalisierung Internet of Things Cloud Computing Industrie 4.o 10

11 Schwachstelle IP-Adresse (Shodan Suchmaschine) Schwachstelle Fernwartungszugang In ICS-Installationen sind externe Zugänge für Wartungszwecke weit verbreitet. Häufig existieren dabei Zugänge mit Standardpasswörtern oder fest kodierte Passwörter. Mit gestohlenem Equipment oder Zugangsdaten wird ein eindringen für Cyber-Kriminelle sehr einfach. Grundregel 1: Die Initiative zum Aufbau einer Support- oder Fernwartungssession muss immer vom Anwender ausgehen. Grundregel 2: Die Fernwartungsverbindung muss verschlüsselt sein. Grundregel 3: Der Fernwartende muss sich sicher authentifizieren, bevor er Zugriff auf das System erhält. Grundregel 4: Die Durchführung einer Fernwartung muss protokolliert werden. Grundregel 5: Verhängen einer Zeitsperre bei fehlerhaften Zugangsversuchen. ein VPN-Zugang ist ein Schlüssel in die Firma. 11

12 Gefahren Verfügbarkeit instabile Systeme instabile Kommunikation Blockierte / Defekte Systeme Zerstörung der Systeme Diebstahl Daten Informationen Finanzen Hardware Fernsteuerung Software Hardware Erpressung Datenmanipulation Sensoren (Überlauf) Sensoren (Durchfluss) Aufzeichnungen Abrechnungen Gefahren Map 12

13 Wie Schützen wir uns? PASSWORD Nur Technische Massnahmen Mythen, Missverständnisse und Fehleinschätzungen 13

14 Unterschied zwischen Office- und Industriewelt Wie müssen wir uns Schützen? IT-Sicherheit wird beeinflusst durch Menschen, Prozesse und Technologie Dabei besteht es aus 75% Mensch (Organisatorisch) und 25% Technologie den gesunden Menschenverstand einsetzen 14

15 Burgarchitektur als Vorbild 10 Punkte Sicherheitsplan 15

16 Update Service Schluss mit never change a running system! Um höchste Versorgungssicherheit zu gewährleisten und zu erhalten, müssen auftretende Sicherheitslücken in der Softwareinstallation umgehend behoben werden. Dafür ist es notwendig, dass verfügbare Aktualisierungen regelmässig durchgeführt werden. Backup Service Die Komplette Datensicherung in der Cloud Die Notwendigkeit für Backups ist vorhanden. Es wird jedoch unterschätzt, oft vernachlässigt und nicht seriös gehandhabt. Mit der vollautomatischen Daten-Backup Lösung übernimmt der Anbieter die Verantwortung für die regelmässige und effiziente Sicherung der wertvollen Anlagendaten. 16

17 Cloud Service Die Leittechnik Anwendung in einem Cloud Service. Sie ist rund um die Uhr, 365 Tage im Jahr verfügbar. Ein Anwender greift über das Internet (verschlüsselt) auf die gewünschte Anwendung zu. Alle Investitionen in eigene Hardware und Massnahmen zu deren sicheren und störungsfreien Betrieb entfallen. ICT-Sicherheitsberatung Zertifizierten ISO Experten unterstützen Sie dabei, potenzielle Schwachstellen und Bedrohungen frühzeitig zu erkennen. Wir erstellen Ihnen eine IST-Analyse und können danach mit gezielten Schutzmassnahmen ein individuelles und strukturiertes IT- Sicherheitskonzept für einen IT-Grundschutz erstellen. IT- Grundschutz IT- Sicherheitskonzept ISMS nach ISO Zertifizierung ISO

18 Die Welt der Hacker Ablaufphasen eines Hackerangriffs Aufklärung Scan Eindringen Nachbearbeiten Erhalten des Zugriffs Penetration Testing Informationsbasis Aggressivität Umfang Vorgehensweise Technik Ausgangspunkt 18

19 Penetration Testing mit einem Penetration-Tool (über 300 Werkzeuge) werden Angriffe durchgeführt Was darf Sicherheit Kosten? Eine Schutzmassnahme sollte nicht mehr kosten als das, was ich schützen will, Wert hat (es können auch subjektive Werte sein) 19

20 20