Integrationserfahrungen, Risiken und Maßnahmenvorschläge für hochsichere und gekapselte IP-Netzwerkinfrastrukturen

17. VDE-Symposium Untertitel Netzleit-, Zähler- & Informationstechnik Integrationserfahrungen, Risiken und Maßnahmenvorschläge für hochsichere und gekapselte IP-Netzwerkinfrastrukturen Dipl.-Ing. René Fiehl controlnet - Automation. IT. Sicherheit. Senior Professional - Network & Security Analysis www.controlnet.de info@controlnet.de Dipl.-Ing. René Fiehl Senior Professional - Network & Security Analysis rene.fiehl@controlnet.de Weimar, 03. und 04. September 2014

Hochsichere Netzwerke Inhalt, Schwerpunkte Gefahren und aktuelle Bedrohungen der IT, Probleme Spezifische Gefahrenlage Kritische Infrastrukturen Betrachtungen und Empfehlungen zur Gestaltung hochsicherer Infrastrukturen für die Prozeß-IT Ausblick - 2 -

Hochsichere Netzwerke Ziel des Vortrags An die Hand geben von IT- und Prozeß-Werkzeugen für: sichere, stabile und standardisierte Energiedienste Informationskaskaden Systemdienstleistungen Datensicherheit Grundlagen ISMS-Zertifizierung - 3 -

1988 EDV 1994 EVU-Carrier EVU-ISP 2008 controlnet Systemhaus mit Integrationskompetenz und zwei Kerngeschäftsfeldsäulen Netze, Serversysteme, Virtualisierung, Storage, Softwarerollout, Client-Mgmt. Bild Systemhaus IT- Systeminfrastrukturen CIT, PIT Planung, Implementierung und Betrieb Softwareentwicklung, DevOps Monitoring, Analyse, Audit f g h i j k l m n I J K L M N O P Q IT- Sicherheitslösungen Planung, Implementierung und Betrieb Monitoring, Analyse, Audit, Penetration Lösungsentwicklung u.a. mit eigenen Technologien IT-Recht und Datenschutz Marktfokus: Ver- und Entsorgungsunternehmen, Industrieunternehmen - 42- -

Einführung Wichtige Begriffe, Definitionen CIT Commercial IT PIT Process IT Malware Schadprogramm Threat Bedrohung APT, Advanced Persistent Threat Andauernde Bedrohung // Stuxnet, Havex Vulnerability Schwachstelle // Heartbleed (CVE-2014-0160) Exploit Schwachstelle ausnutzen // Internet Explorer (MSA 2963983) AV Antivirus Web-Technologien ausschließliche Anwendung im Internet - 5 -

Gefahren und aktuelle Bedrohungen der IT, Probleme - 6 -

die Welt ist mehr bedroht durch die, welche das Übel dulden oder ihm Vorschub leisten Hommage an Pau Casals 30. März 1953-7 -

Internet-Nutzungsraum Gesamtanzahl aller Internetnutzer 2,9 Mrd. User 1.826.000 TB/Tag = 1.826 PB/Tag Quelle: www.internetlivestats.com/internet-users/ - 8 -

Internet-Nutzungsraum Bedrohungen und Gefahrenlage Ungezielte Angriffe (Grundrauschen) Ziel: Finanzbetrug, kleinkriminelle Aktionen, Austesten, Hobby, Spaß Malware: Viren, Würmer, Spyware, Trojaner, Botnetze, (Baukästen), Gezielte Angriffe (hoch spezialisiert) Ziel: Spionage, Sabotage, Diebstahl, Erpressung Distributed Denial of Service (DDoS) Strategic web compromise (SWC) Quelle: Checkpoint Security Report 21.07.2014 Advanced persistent threats (APTs) - 9 -

Aktuelle Gefahren in der IT Extremer Anstieg von Unbekannte Malware / APTs völlig neue Formen von Malware täglich 220.000 neue Malware-Programme entdeckt Umgeht Proxy-Lösungen und Malware-Erkennung mit klassischen Anti-Virus und Intrusion-Technologie nur bedingt zu erkennen Weniger als 10% der Anti-Virus-Engines erkennen Unbekannte Malware APTs basieren auf hoch spezialisierten, komplexen Funktions- und Codestrukturen AV-Hersteller bisher fokussiert auf Massenmarkt Mehr als 33% der Organisationen mit Enterprise-grade IT registrierten Schadcodebefall in den letzten Wochen. Quelle: Checkpoint Security Report 21.07.2014 Quelle: www.av-test.org - 10 -

Aktuelle Gefahren in der IT Anatomie eines Angriffs mit Unbekannter Malware (APT) Jeder Internet-Nutzer wird nahezu täglich, mehrfach penetriert. - 11 -

Aktuelle Gefahren in der IT Microsoft Windows OS - Bereitstellung von Patches Am 26. April 2013 war Windows 8 ein halbes Jahr auf dem Markt. Bis dahin wurden rund 100 Mio. Lizenzen verkauft und mehr als 700 Patches ausgeliefert. (Quelle: chip.de) 450 400 350 300 250 200 150 100 50 Updateanzahl pro Monat 0 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 Zeit - 12 -

Aktuelle Gefahren in der IT Angriffsvektor singulär Multipel gezielt ungezielt Angriffsklassifizierung Entwicklung der Angriffsvektoren nach 2010 vor 2010 niedrig Auswirkung hoch - 13 -

Aktuelle Gefahren in der IT Angriffsklassifizierung und Beispiele ungezielt gezielt Netz Portscans SYN-Flood ARP/DNS-Spoofing Angriffe gegen Funktionsprotokolle DDoS DNS-Reflective Server Anlagen SQL-Injection CSRF [4,5 Mio. Router 2012] Carna Botnet APT-Malware [420.000 Systeme 2012] VAX-Tojaner [Shady RAT 2006-2011, Cross Site Scripting [NASA-Hack 1987] Stuxnet 2005-2010, Aurora 2009-2010, Ransomware Flame 2012, Havex 2014] [Cloudspace 2014] Clients CyberVor Datenbank [1,2 Mrd. Anmeldedaten 2014] SpyEye [1,4 Mio. Systeme 2009-2011-2014] APT-Malware [Adobe Flash CVE-2011-0609 RSA Hack 2011] SWC Identity Misuse - 14 -

Herausforderungen für die IT-Sicherheit Neuartige Technologien: Problemfelder, Unsicherheiten Ursache: Mensch Social Media Cloud Juristische Fallstricke Social Media Cloud Cloud Internet of Things (IoT) Datenabfluß Smartphone-Nutzung, Bring Your Own Device (BYOD) Kompromittierung Virtualisierung Security-Schwachstellen (Vulnerabilities) Stabilität, Verfügbarkeit Ursache: Technik - 15 -

Spezifische Gefahrenlage Kritische Infrastrukturen - 16 -

Kritische Infrastrukturen im Fadenkreuz Elementare Abhängigkeit Sektoren Abhängigkeiten Staat u. Verwaltung Notfall- u. Rettungsdienste, Katastrophenschutz Gesundheit Transport u. Verkehr Staat u. Verwaltung, Polizei, Militär Finanzsystem IuK-Infrastruktur Energie- u. Wasserversorgung Quelle: www.kritis.bund.de/shareddocs/downloads/kritis/de/ Fortschreibung_Gesamtdokument.html - 17 -

Kritische Infrastrukturen im Fadenkreuz Angriffsziele Unternehmensnetzwerke Leitstellen-Netzwerke Stationsleittechnik-Netzwerke Hohe Komplexität der betriebenen Systeme Enorme Auswirkungen bei Ausfall oder Fehlfunktionen Carrier-Netzwerke, City-Netzwerke ISP-Ressourcen Smart-Meter-Infrastrukturen Smart-Grid-Infrastrukturen Smart-Home-Infrastrukturen / Internet of Things Durch notwendige Netzkopplungen und Datenaustausch erhöhte Eintrittswahrscheinlichkeit von Penetrationen und Schadcode. - 18 -

Kritische Infrastrukturen im Fadenkreuz Erhöhter Schutz notwendig, Aktivitäten Bundesrepublik 2005 BMI - Schutz Kritischer Infrastrukturen Basisschutzkonzept 2007 Verabschiedung Umsetzungsplan KRITIS 2009 BMI - Nationale Strategie zum Schutz Kritischer Infrastrukturen 2011 BMI - Cyber-Sicherheitsstrategie für Deutschland 2011 Smart Meter-White Paper, BSI-TR-03109 2014-02 UP KTITIS - Öffentlich-Private Partnerschaft z. Schutz krit. Infrastrukturen 2014-08-19 BMI - Entwurf IT-Sicherheitsgesetz 2014-08-20 Digitale Agenda, u.a. Schutz Kritischer Infrastrukturen Unternehmen sind in erster Linie eigenverantwortlich! - 19 -

Kritische Infrastrukturen im Fadenkreuz Auszug von Schwachstellen in Automationslösungen 2012 2013 2014 2015 14.06.2012 RuggedCom-L2-Switch, Multiple Security Vulnerabilities -- Patches ROS3.7.9, ROS3.8.5, ROS3.9.3, ROS3.10.1 26.09.2013 Emerson-ROC800 RTU Multiple Security Vulnerabilities CVE-2013-068 CVE-2013-0694 -- Patches available 23.09.2013 Schneider Elect. Quantum Ethernet Module Multiple Security Vulnerabilities CVE-2011-4859 -- Patches available 07.01.2014 ADVANTECH WebAccess RPC Vulnerabilitiy, -- Patch V7.1 23.07.2014 SIMATIC WinCC Vulnerabilities (SSA-214365) -- Patch WinCC V7.3 14.08.2014 SIMATIC S7-1500 CPU DoS-Vulnerabilitiy (SSA-310688) -- Patch FW S7-1500 V1.6-20 -

PIT-Infrastrukturen Wohin kommunizieren Prozeßnetzwerke, Beispiele Quelle Ziel Anwendung Leitsystem Leitsystem Beobachten, Bedienen (lokaler Verkehr) Stationsleittechnik Leitsystem Meldungen, Meßwerte Leitsystem Stationsleittechnik Steuern (Befehle) Leitsystem CIT-Netzwerk Datenaustausch z.b. z. ERP-System Leitsystem EEG-Mgmt.-Netz EEG-Einspeise-Management ZFA-Netz ERP-System Datenaustausch, Zählerdaten zur Abrechnung Smart Meter-Netz ERP-System Zählerdaten zur Abrechnung, Verbrauchsprofile Ein Inselbetrieb von Leitsystemumgebungen, ohne Datenaustausch, ist heute kaum praktizierbar. - 21 -

PIT-Infrastrukturen Auswahl häufiger Konzept-Defizite (Organisation, allgemein) Sicherheit ist unterrepräsentiert (Unkenntnis, keine Zeit, zu viel zu tun ) Kapitulation vor Komplexität ( keine Leute ) Keine schlüssigen Projektdefinitionen Unvollständige Budgetplanung Ungenügende Zusammenarbeit der Bereiche PIT & CIT Meiden von Schnittstellen, Abschottung Defizite d. Systemhersteller in der Gesamtsichtweise von Prozessen u. Techniken beim VU - 22 -

PIT-Infrastrukturen Auswahl häufiger Konzept-Defizite (Umsetzung) 1/2 Historisch gewachsene Infrastrukturen ohne grundlegenden Redesign-Ansatz Fehlende Sicherheits- u. Design-Richtlinen Keine eindeutig definierten Prozesse, ungenügende Dokumentation Trivialpassworte Keine Passwortänderungen CIT und PIT werden als ein Netzwerk betrieben - 23 -

PIT-Infrastrukturen Auswahl häufiger Konzept-Defizite (Umsetzung) 2/2 Leitstellennetz nicht entkoppelt vom Stationsnetz Nicht Policy-konforme Wartungszugänge (ISDN, GSM, DSL) Keine End-to-End-Verschlüsselung bei Security-Policy-Zonen-Übergängen Kein Monitoring wesentlicher System- und Sicherheitsparameter Netzwerkdienste (Reports, Audits, Log-File-Analyse, Risikoanalysen) Keine stringente Richtlinienvorgabe für Parametriergeräte (eigene u. Dienstleister) Veraltete Softwarestände - 24 -

Betrachtungen und Empfehlungen zur Gestaltung hochsicherer Infrastrukturen für die Prozeß-IT - 25 -

Everything should be made as simple as possible but not simpler. - 26 -

Hochsichere Netzwerke Simplifizierung durch Vertrauen auf Produkte & Module? Cisco ASA 5500 Multiple Vulnerabilities in Firewall Services Module cisco-sa- 20070214-fwsm Checkpoint UTM-1 Automatischer Reboot aller UTM-1, weltweit sk56641 GateProtect CC v3.0.1 Memory Corruption Vulnerability NTP Reflection <=V4.2.7p25 CVE-2013-5211 Open Source Apache, Cisco, Compumatica, Sophos, Fortigate, Juniper, Heartbleed-Bug CVE-2014-0160 CVE-2014-0221 CVE-2014-0224 CVE-2014-3470 Dell SonicWALL Email Security Virtual App CVE-2014-2879 2007 2010 2012 2013 2014 Einzelne Produkte, Module können Schwachstellen aufweisen. Ein mehrstufiges Funktionskonzept bietet erhöhten Schutz. - 27 -

Hochsichere Netzwerke Aktives Security-Management Der Weg zur Zertifizierung 1. IT-Security-Katalog BSI 2. SM TR BSI-03109 3. EnWG 11, 29( 1) ITIL-angelehnte Prozesse (insb. Problem-, Incident- und Change-Management) Prozeß- und Richtliniendefinition mittels ISMS auf Basis ISO27001 Zentral geführte Systemauswahl und Integration Kerngeschäft Zyklisches Berichtswesen Regelmäßige Auditierung Rechtliche Vorgaben Existenz Stabilität Kosten IT - 28 -

Einführung Aktives Security-Management IT-Sicherheitsmanagementsystem (ISMS) Strukturierung aller IT-Sicherheitsprozesse nach dem Plan-Do-Check-Act -Modell (PDCA): Definition der Ziele und Sicherheitsrichtlinien für das Unternehmen Implementierung und Etablierung laufender Überwachungsfunktionen zur Identifikation von Sicherheitsrisiken Überwachung der Wirksamkeit und Effektivität des ISMS Kontinuierliche Prüfung und Weiterentwicklung des ISMS - 29 -

Einführung Aktives Security-Management Beispielmodell Security-Policy-Zonen (SPZ) - Projekt Einordnung der Netze in Security Policy Zonen (SPZ) Entscheidung über einzusetzende Architekturen und Sicherheitstechniken Anwendung 0 Unsichere Netze Unsicher 1 Vertrauenswürdige Netze Niedrig Internet, Integration/Abspaltung von Unternehmensstrukturen, Netzwerke von Geschäftspartnern DMZ, Gast-WLAN, Integration/ Abspaltung von Unternehmensstrukturen, Netzwerke von Geschäftspartnern, Sondernetzwerke, IP-Carrier-Netzwerke 2 Sichere Netze Standard Internes Netzwerk (CIT) 3 Höher gesicherte Netze Höher als Standard Server-Netzwerk (CIT), Leitstelle (PIT), SLT - 30 -

Einführung Aktives Security-Management Security-Policy-Zonen (SPZ) SPZ definieren stufenweise die Vertrauenswürdigkeit von Systemen und Netzen und damit den Umfang der Sicherheitsanforderungen für die Integration Netzwerke müssen vor Bau und Inbetriebnahme entsprechenden Security-Policy- Zonen zugeordnet werden Der Transit von Informationen zwischen den Netzwerken muß eindeutig definiert und den entsprechenden Geschäftsvorfällen zugeordnet werden (Protokollierung) Das Zonenkonzept ( Tiering ) stellt die Betriebs- und Informationssicherheit her und gibt eindeutige Handlungsanweisungen zu Verfahrensweisen und zur Umsetzung Ein Verstoß gegen das Zonenkonzept ist unzulässig und umgehend im Rahmen des ISMS der Leitung, Geschäftsführung anzuzeigen - 31 -

Hochsichere Netzwerke Orientierungshilfe: Organisatorisches Projekt (CIT & PIT) 1. Übergeordnetes, unternehmensweites Security- und Risiko-Management 2. Umsetzung einer praktikablen, nachhaltigen und protokollierbar ausgelegten Prozeßorganisation ITIL-Framework, Version 2 3. Durchgängige Zusammenarbeit zwischen PIT & CIT 4. Kritische Herstellerund Systemauswahl Sicherung der Infrastruktur Security (Informationssicherheit) Safety (Technische Sicherheit) Quelle: Zarnekow, Serviceorientiertes IT-Management, Springer Verlag 2005-32 -

Hochsichere Netzwerke Orientierungshilfe: Technisches Projekt - allgemein 1. Segmentierung von Netzen und Funktionsbereichen (SPZ) 2. Zentrales Management und Policierung aller Server- und Clientsysteme 3. Client-Verkehr in und aus Hochsicherheitsnetzwerken verboten für: E-Mail Web-Surfing Social Media, Instant Messaging Transfer auf mobile Datenträger Hochsicherheit erfordert harte Beschränkungen und stetige Kontrolle. - 33 -

Hochsichere Netzwerke Orientierungshilfe: Technisches Projekt - PIT 1. Keine direkte Anbindung von Leitstellen-Netzwerken an Außenfirewalls 2. Trennung von Leitstellen-, Transport- und Stationsnetzwerken 3. Kein Datenaustausch aus Hochsicherheitsnetzen ohne Proxy-Lösung 4. End-to-End-Verschlüsselung (VPN) beim Transit über niedrigere SPZ 5. Perfect Forward Secrecy (PFS) bei allen VPN- und SSL-Verbindungen 6. Netzzugangsmanagement mittels RADIUS/NAP (802.1x) 7. Vermeidung von WLAN-Kommunikation, wenn notwendig dann EAP/RADIUS 8. Keine Smartphone/Tablet-Systeme an Leitsystem- u. SLT-Umgebungen ohne Proxy 9. Starke Passwortrichtlinie, besser 2-Faktor-Authentifizierung Praxistip für sichere Passworte: z.b. durch Bildung von Sätzen wie,,früher ging ich immer mit Mutti um 5 zum Konsum!" -> FgiimMu5zKonsum! - 34 -

Hochsichere Netzwerke Soll-Kann-Szenario Verantwortung CIT Internet Internet- Firewall CIT-Transit- Firewall Leitstellen- Firewall Leitsystem PIT-Transit- Firewall SLT Verantwortung PIT - 35 -

Hochsichere Netzwerke Soll-Kann-Szenario: Problem Gesamtverantwortung Unternehmenssicherheit = CIT+ PIT+(Aktives Security-Monitoring) Verantwortung CIT Internet Internet- Firewall CIT-Transit- Firewall Leitstellen- Firewall Leitsystem PIT-Transit- Firewall SLT Verantwortung PIT - 36 -

Hochsichere Netzwerke Lösungsvorschlag Aktives Security-Monitoring controlnet Practical Security Monitoring Verantwortung CIT Internet Internet- Firewall CIT-Transit- Firewall Leitstellen- Firewall Leitsystem PIT-Transit- Firewall SLT Verantwortung PIT * Unterstützte Hersteller: Checkpoint, Cisco ASA, Sophos UTM, Dell Sonicwall - 37 -

Ausblick Schutzkonzepte für komplexe, hochsichere IT-Umgebungen Sandbox-Systeme zur Malwareerkennung Ausbruchsdetektionssysteme Risiko-Management-Lösungen (Vulnerability, Security) Log-Management und -Analyse Big Data -Datenanalyse (Data Monitoring) Software Defined Networking (SDN), Software Defined Security Infrastructure, Software Defined Protection - 38 -

Zusammenfassung Hochsicherheitsumgebungen 1. Stärken Sie mit Aufwand Ihr Fundament und Ihre Tragwerke. 2. Überwachen Sie deren Zustände dauerhaft, organisiert und akribisch, ohne Kompromisse. 3. Es ist nicht genug zu wissen, www.controlnet.de man muß auch info@controlnet.de anwenden. Es ist nicht genug zu wollen, man muß auch tun. - 39 -

Kontakt Dipl.-Ing. René Fiehl Senior Professional - Network & Security Analysis controlnet - Automation. IT. Sicherheit. Geschwister-Scholl-Strasse 5, 99423 Weimar, Germany Phone: +49 (0) 3643 908 5051 info[at]controlnet.de IT-Security & Compliance Administration Monitoring Client Mgmt. www.controlnet.de - 40 -