Sicherheitsbetrachtung von Industrie 4.0 und cyberphysischen Systemen Tim Okolowski
Inhalt Industrie 4.0 Rückblick Industrial Internet Consortium (IIC) Cyber-Physical-Systems (CPS)
Inhalt Mögliche Gefahren Security by Design Sicherheitsziele für CPS Integrität Verfügbarkeit Vertraulichkeit Sicherheitsstandards
Inhalt Ausblick Kritik
Industrie 4.0 (Rückblick) Industrie 4.0 symbolisiert vierte industrielle Revolution 1. Revolution: Dampfkraft-betriebene Produktion 2. Revolution: Elektrische Fabrikanlagen (Fließband) 3. Revolution: Speicherprogrammierbare Steuerungen (SPS), Automation durch Robotik
Industrie 4.0 (Rückblick)
Industrie 4.0 Zukunftsprojekt des Bundesministeriums für Bildung und Forschung Ziel: Entwicklung und Etablierung von intelligenten Fabriken (Smart Factories) Vernetzte Produktionsstandorte Vergleichbar mit Smart Grids
Industrie 4.0 Flexible Anpassung von Produktionsschritten Beachtung von Kundenwünschen Reaktion auf veränderte Produktionsbedingungen Optimierung an Ressourcen- und Energieverbrauch Deutschland auch zukünftig wettbewerbsfähig
Industrial Internet Consortium (IIC) Organisation gegründet im März 2014 Gründer umfassen US-Unternehmen Cisco, General Electric, Intel und IBM Ziel: Entwicklung von Anwendungsfällen und Testumgebungen für vernetzte Industriestandorte Schaffung von Standards und unterstützenden Frameworks Bereits 2 Monate nach Gründung sind über 50 neue Mitglieder beigetreten
Cyber-Physical-Systems (CPS) Basierend auf eingebetteten Systemen Spezialisierte Ein- und Ausgabemethoden Schwerpunkt auf Vernetzung (Internetanbindung) Beispiele: Smart Grids, Smart Home Grundbaustein für Industrie 4.0/Smart Factories
Cyber-Physical-Systems (CPS)
Mögliche Gefahren Ausnutzung von Buffer Overflows Systemausfälle verursachen mögliche katastrophale Folgen bei harter Echtzeit Manipulation von Daten bei Kenntnis über das System können Bestandteile gezielt beschädigt werden In Hochsicherheitsbereichen können bedrohliche Situationen für Arbeiter und Anwohner entstehen
Security by Design Sicherheit oft nur durch Monitoring-Software von Drittherstellern sichergestellt Sicherheitsupdates oft teuer und aufwändig Probleme sollten von Beginn an vermieden werden
Security by Design Sicherheitsbedenken in allen Phasen des Systementwurfs beachten Zusätzlicher Entwicklungsaufwand deutlich günstiger als nachträgliche Fixes Kompetenz in Security by Design kann mehr Vertrauen bei Kunden schaffen
Sicherheitsziele für CPS 3 Ziele der Informationssicherheit: Integrität Verfügbarkeit Vertraulichkeit Lassen sich auf vernetzte CPS übertragen
Integrität Daten und Information dürfen nicht verändert werden Manipulierte Daten sind Zeichen eines unbefugten Zugriffs von Außen Beispiel: Manipulation von Sensormessungen Maßnahme: Verschlüsseln oder Signieren von Datenpaketen
Verfügbarkeit Zugriff auf Dienste und Funktionen eines Systems muss gewährt sein Beispiel: Ausfall eines Datenbank-Servers Bei System mit harter Echtzeit kann Ausfall eines Teilsystems fatal sein Maßnahme: Backup-Systeme (Redundanz) oder Notfallpläne
Vertraulichkeit Anwender nur Zugriff auf Daten gewähren, falls dieser ausreichende Rechte vorweist Fehlschlagende Autorisierung kann zu Herausgabe von sensiblen Daten führen (Firmengeheimnisse) An CPS können physikalisch Daten abgefangen werden Maßnahme: Rechtemanagement, Sicherheitsvorkehrungen am Standort
Sicherheitsstandards Komponenten eines Systems stammen oft von einer Vielzahl von Herstellern Standardisierung in der Definition von Sicherheitseigenschaften vorteilhaft Bildung von Standards nicht leicht aufgrund großer Unterschiede in Unternehmensstrukturen, Entwicklungsverfahren und Sicherheitsprozessen Aufgabengebiet der Plattform Industrie 4.0
Ausblick Industrie 4.0 noch ausschließlich in Forschungsphase In Arbeitsgruppen werden bereits Themen wie Standardisierung, Forschung und Sicherheit behandelt Ab 2016: Veröffentlichung von Modellen und Leitfäden Bis 2017: Veröffentlichungen zum Thema Embedded IT-Security
Kritik Bisher zu wenige Ergebnisse Keine vorzeigbaren Erfolgsprojekte Fehlende praktische Anwendungsfälle Vertrauensverlust Große Deutsche Unternehmen wie Siemens und Bosch sind bereits IIC beigetreten
Abbildungen Rückblick Industrie 4.0 http://www.plattform-i40.de/sites/default/files/rueckblick.gif RWE Smart-Home Produkte http://www.rwe-smarthome.de/web/cms/mediablob/de/477188/data/6/blob.jpg
Literatur Gemeinsame Plattform Industrie 4.0 startet www.bmwi.de/de/presse/pressemitteilungen,did=701050.html Industrie 4.0: Digitalisierung der Wirtschaft www.bmwi.de/de/themen/industrie/industrie-4-0.html Bosch Software Innovations joins Industrial Internet Consortium www.bosch-si.com/newsroom/news/publications/publications-43712.html Alvaro A. Cardenas, Saurabh Amin, and Shankar Sastry. Secure Control: Towards Survivable Cyber- Physical Systems feihu.eng.ua.edu/nsf_cps/year1/w8_1.pdf Alvaro A. Cardenas, Saurabh Amin, Bruno Sinopoli, Annarita Giani, Adrian Perrig, and Shankar Sastry. Challenges for Securing Cyber Physical Systems. cimic.rutgers.edu/positionpapers/cps-security-challenges-cardenas.pdf
Literatur Cyber-Physical Systems: Chancen und Nutzen aus Sicht der Automation www.vdi.de/uploads/media/stellungnahme_cyber-physical_systems.pdf Industrie 4.0 - Whitepaper FuE-Themen www.plattform-i40.de/sites/default/files/i40%20whitepaper%20fue%20version%202015.pdf Ariane Hellinger and Veronika Stumpf. Umsetzungsempfehlungen für das Zukunftsprojekt Industrie 4.0. www.bmbf.de/pubrd/umsetzungsempfehlungen_industrie4_0.pdf Industrial Internet Consortium Reaches Over 50 Members Two Months After Launch www.iiconsortium.org/press-room/06-03-14.htm The Industrial Internet Consortium: A Global Nonprofit Partnership Of Industry, Government And Academia. www.iiconsortium.org/about-us.htm