IT-Security in der Produktion Gefahren und LösungsansL sungsansätze für f Produktionssysteme Alexandra Klawonn ROTON Unternehmensberatung GmbH Consultant Informationssicherheit, Datenschutzbeauftragte und IT-Security-Managerin
Die ROTON Gruppe Gründung 1996 regionales Betätigungsfeld: Hessen, Baden-Württemberg, Bayern 50 Mitarbeiter/-innen über 10 Mio. Gruppen-Umsatz p.a. Fachgebiete: Datenschutz, Informationssicherheit, IT-Sicherheit in der Produktion, Schwachstellen- Scan, Security-Audits, Outtasking, Systemhaus, IT-Projekte, IT-Beratung, Wartung, Betreuung
was Sie erwartet IT-Sicherheit im Unternehmen - Statistik Produktion und Industrie-Spionage Wo liegen die Sicherheitsprobleme? Kernpunkte: IT-Sicherheit in der Produktion Das schwächste Glied der Kette Da ist noch nie etwas passiert! Räuber und Gendarm und nun? wie beim Segeln! - Lösungsansätze Was kostet das?
IT-Sicherheit im Unternehmen - Statistik Studie von Corporate Trust: 21,4 % aller deutschen Unternehmen sind spionagegeschädigt mit 23,5 % ist der Mittelstand am häufigsten betroffen Produzierendes Gewerbe (Detailbetrachtung) 18,8 % der KMUs mit Steuerungsanlagen betroffen 63,6 % droht ein hoher finanzieller Schaden 36,4 % befürchten Schäden für die Umwelt! 13 % geben eine Gefahr für die Bevölkerung an! -> Die wenigsten Unternehmen merken es überhaupt! Hackerangriffe dauern oft über mehrere Monate
Produktion und Industrie-Spionage Intension von Stuxnet, Duqu & Co: kein Datenabzug gezielter Angriff auf iranische Nuklear-Anlagen Verknüpfung unterschiedlicher Viren (Duqu arbeitet mit dem Quellcode von Stuxnet, kein Wurm, sondern Aufklärungsdrohne ) JPEG-Bilder zur Datenübertragung (Steganografie) Aktuell laufen unentdeckte Angriffe ( Schläfer ) Ziel: Kontrolle über Versorgungs- und Industrie-Anlagen
Wo liegen die Sicherheitsprobleme? NICHT in der Verwaltung Geschultes Personal und gute Grundabsicherung Virenscanner, Firewall und Patch-Management IT-Sicherheit in der Produktion IT-Monokultur: Techniker koppeln sich direkt an die Geräte Standards erleichtern den Zugriff, schneller Informationsaustausch IT-Verantwortlicher ohne Expertenwissen, ungeschultes Personal Verfügbarkeit (Schichtbetrieb) Gewachsene Strukturen, alte Steuergeräte strenge Herstellervorgaben Fehlende Konzepte, Fertigungsdruck und Ignoranz!
Technische Herausforderungen: Kernpunkte: IT- Security in der Produktion Alte Geräte ohne Virenscanner Fehlendes Zeitfenster für Sicherheitsupdates Keine Herstellerfreigabe für Sicherheitssoftware Unübersichtliche Netzwerkstrukturen Organisatorische Probleme: Techniker müssen schnell und unkompliziert an die Maschinen Mangelnder Überblick über Zugriffe von außen Nicht ausreichend sensibilisiertes Personal Keine Verantwortlichkeiten für IT-Sicherheit definiert
Das schwächste Glied der Kette Top 10 der Gefährdungen 1. Nicht gesicherte Wartungszugänge 2. Online-Angriffe über das Internet 3. Angriff auf Standard-Komponenten 4. DDoS-Angriffe bringen Systeme zum Absturz 5. Menschliches Fehlverhalten (Sabotage oder Leichtsinn) 6. Schadcode auf externen Datenträgern 7. Steuerbefehle werden unverschlüsselt versendet 8. Unberechtigter Zugriff auf Ressourcen (fehlende Authentisierung) 9. Angriff auf Netzwerk-Komponenten 10. Höhere Gewalt und technische Defekte
Da ist noch nie etwas passiert! Gefahren werden falsch eingeschätzt Keine sensiblen personenbezogenen Daten -> geringe Datenschutz-Relevanz Kaum Betriebsgeheimnisse oder Forschungsergebnisse -> Security Beauftragter nicht zuständig Geringes Knowhow der IT-Abteilung bei Steuerungen Steuergeräte werden nicht als Teil der IT wahrgenommen Aktuelle Beispiele Stromversorgung: Virus in US-Kraftwerk Iran: Stuxnet noch immer aktiv Pentagon: Virus über USB
Räuber und Gendarm Was kommt auf uns zu? neue Techniken, neue Gefahren Steuerung per mobilem Gerät (Pad, SmartPhone) Neue Programmiertechniken oder Schnittstellen (USB oder JAVA) Wireless-Verbindungen Geballtes (kriminelles) Know-how Personalisierte Viren Downloadbarer Selbstbaukasten für Viren Finanzieller Anreiz (Hacking lukrativer als Drogenhandel) Dienstleistung Virenschmiede Gezielte Angriffe durch Regierungen, Wirtschaftsspione und Kriminelle!
und nun? 1. Relevante Schutzziele ermitteln (was ist wichtig?) 2. Bedrohungen analysieren (wo sind offene Flanken?) 3. Risiken analysieren (kann das ein Problem werden?) 4. Maßnahmen treffen (Schwachstellen-Scan, Netzwerk-Virenscanner, Schnittstellenüberwachung, ) 5. Gesamtlösung / -konzept erarbeiten 6. Maßnahmen implementieren und kontrollieren! 7. Verantwortlichkeiten festlegen! 8. Alle Betroffenen sensibilisieren (Betreiber, Hersteller und Anwender) 9. an das Unvorstellbare glauben!
wie beim Segeln! Lösungsansätze Der Kapitän zeichnet verantwortlich! Sicherheit von oben (Sicherheitspolitik) Schotten dicht! Nichts Fremdes ins Unternehmen lassen (Security Richtlinie) Alles hat seinen Platz! Gesicherter, strukturierter Aufbau der Produktions-IT Ein eingespieltes Team Jeder Mitarbeiter weiß, was zu tun ist (Informationssicherheitsprozess) Schwimmwesten raus! Regelmäßige Tests des Notfallplans (Risk-Management)
und was kostet es? Viele Fragen bis man die Produktions-IT verstanden hat. Reichlich Gehirnschmalz bis ein tragfähiges Konzept steht. Den letzten Nerv bis Betreiber, Hersteller und Anwender überzeugt sind. Viel Geduld weil man oft wieder von vorne anfangen muss. Vertrauen auf geeignete Partner, die unterstützen. Zeit bis alle Maßnahmen umgesetzt wurden. Ein Lächeln um alle zu motivieren. Das Leben NEIN, das kostet es hoffentlich nicht!
das gute Gefühl der Sicherheit! ROTON Vielen Dank für Ihr Interesse!