VDMA 2016 Praxisbericht: Produktivität umfassend schützen mit Plant Security Services siemens.com/industrialsecurity
Plant Security Services Entwicklungen im industriellen Umfeld Herausforderungen auf dem Weg zu Industrie 4.0 Beispiel: Siemens Cloud for Industry IT-Sicherheitsgesetz Aufbau eines Security Programms Siemens Herangehensweise und Lösungen Cyber Security Operating Center Seite 2
Aktuelle Bedrohungslage Bedrohungen können Industrieanlagen an vielen Stellen treffen Sicherheitsbedrohungen schaffen Handlungsbedarf Verlust von geistigem Eigentum, Rezepturen, Sabotage an der Produktionsanlage Anlagenstillstand z. B. durch Viren oder Malware Manipulation von Daten oder Anwendungssoftware Unbefugter Einsatz von Systemfunktionen Vorschriften und Normen bezüglich Industrial Security müssen eingehalten werden Seite 3
IT in Industrieanlagen Von isolierten Kommunikationsinseln Seite 4
IT in Industrieanlagen zu komplexen Landschaften Office Network ERP- and MES- Systems Internet and Mobile Network UMTS, GPRS, etc. Control Network WLAN Ethernet WLAN Seite 5
vs. IT Security Schutzziele in einer Industrieanlage Unterschiedliche Hauptschutzziele im Büro-IT und Anlagen-IT Verfügbarkeit Hauptziel Vertraulichkeit Integrität Vertraulichkeit Raue Umgebungen Einsatzort Klimatisierte Büros Integrität Verfügbarkeit Anlagen-IBS-Personal Installation Netzwerk-Fachpersonal Anlagenspezifisch Topologie Sternförmig Netzausfallzeiten < 300 ms Verfügbarkeit Sekunden- bis Minutenbereich akzeptabel Niedrig, Switches mit weniger Ports Gerätedichte Hoch, Switches mit hoher Portanzahl Mind. 5 15 Jahre Investitionszyklen Alle 2 3 Jahre IT-Security Seite 6
MindSphere - Eine offene Cloud-Plattform für Industriekunden Basierend auf der SAP HANA Cloud Plattform Optimierung von Maschinen und Anlagen sowie Energie und Ressourcen Offene Standards (OPC) für die Konnektivität zu Siemens und Fremdprodukten Plug-and-play Verbindung von Siemens Produkten (Engineering im TIA Portal) Wählbare Cloud Infrastruktur Öffentliche Cloud, private Cloud oder On-Premise Offene Applikationsschnittstelle für individuelle Kundenapplikationen Transparentes nutzungsabhängiges Preismodell Ermöglicht komplett neue Geschäftsmodelle (z.b. Verkauf von Maschinenstunden) Seite 7
Aktuelle Gesetzeslage IT-Sicherheit in kritischen Infrastrukturen Bedrohung Gesetz Betroffene Gesetz im Bundestag beschlossen Quelle: Bericht zur Lage der IT-Sicherheit in Deutschland 2014 Seite 8 Quelle: Bundesministerium des Innern: Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie) http://www.bmi.bund.de/shareddocs/downloads/de/broschueren/2009/kritis.html (17.06.2009)
Aktuelle Gesetzeslage Herausforderungen und Ziele Herausforderungen Das IT-Sicherheitsniveau bei kritischen Infrastrukturen und Infrastrukturbetreibern ist heute sehr unterschiedlich Vorgaben Risikomanagement Übergreifende Sicherheitskonzepte Audits Informationsaustausch Defizite im Bereich IT-Sicherheit sind abzubauen, um ein gefordertes Mindest-Niveau / Grundschutz zu erreichen Ziele des Gesetzes Einhaltung eines Mindestniveau an IT-Sicherheit Verfügbarkeit Integrität Vertraulichkeit Authentizität Meldung von IT-Sicherheitsvorfälle an BSI Den Nachweis der Erfüllung durch Sicherheitsaudits Die Einrichtung und Aufrechterhaltung von Verfahren für die Meldung erheblicher IT- Sicherheitsvorfälle an das BSI Das Betreiben einer Kontaktstelle Seite 9 * Zeit zum Umsetzung nach Inkrafttreten der gesetzlichen Vorgaben
Das Defense-in-Depth-Konzept Aufbau eines Security Programms gemäß IEC 62443 Anlagensicherheit Physischer Zugangsschutz Prozesse und Richtlinien Security Services zum Schutz von Produktionsanlagen Sicherheitsrisiken zwingen zum Handeln Netzwerksicherheit Zellenschutz und Perimeternetzwerk Firewalls und VPN Systemintegrität Systemhärtung Authentifizierung und Benutzerverwaltung Patch Management Erkennung von Angriffen Integrierter Zugangsschutz in der Automatisierung Security-Lösungen im Industriekontext müssen alle Schutzebenen berücksichtigen Seite 10
Plant Security Services Assess Assess IST-Aufnahme des Sicherheitsstatus Bedrohungs-, Schwachstellen- und Gap-Analyse Identifizierung, Klassifizierung und Bewertung von Risiken Bewertung der Kritikalität: Sichtverlust, Kontrollverlust Ausführung aus Prozessengineering- und Automatisierungssicht Basis für die Etablierung eines Security-Fahrplans Implement Implement Risikoreduzierung durch die Implementierung von Sicherheitsmaßnahmen Validierung des Sicherheitsstatus der Systeme Planung und Realisierung technischer Sicherheitsmaßnahmen für reaktiven Schutz Entwicklung und Etablierung von sicherheitsrelevanten Prozeduren und Richtlinien in der Anlage Schulungen Manage Manage Durchgängige Sicherheit durch Überwachung und proaktiven Schutz Kontinuierlicher Betrieb der implementierten Maßnahmen mit Updates und Backups Schutz Ihrer Sicherheitsinvestition Überwachung der Netzwerk-Sicherheit mit Threat Intelligence Erkennung und Beseitigung von Sicherheitsvorfällen Frühzeitige Anpassung an sich ändernde Bedrohungen Seite 11
Plant Security Services Implementierung der identifizierten Maßnahmen zur Risikominderung Kundenanlage Implementierungselemente Schulungen & Prozesse Sicherheitszellen und DMZ Firewalls und VPN Systemhärtung Benutzerverwaltung Patch Management Malware-Erkennung und -Vermeidung Seite 12
Siemens Cyber Security Operations Center Kontinuierlicher und proaktiver Schutz von Industrieanlagen Angeschlossener Kunde Angeschlossener Kunde Angeschlossener Kunde Gesicherte Verbindung CSOC Security Management Kontinuierliches Plant Security Monitoring Anlagenperimeter Firewall Management und Firewall Regelüberprüfung Virenschutz und Whitelisting Management Incident Handling Die Managed Plant Security Services von Siemens, geliefert vom Siemens Cyber Security Operations Center, bieten ein umfassendes Security Management Security Analysten überwachen weltweit mögliche Schwachstellen und Bedrohungen, um proaktive Warnungen und Alarmen in Echtzeit geben zu können Wenn die globale Threat Intelligence ein erhöhtes Risiko zeigt, definiert und liefert das Siemens Cyber Security Operations Center passende pro-aktive Gegenmaßnahmenahmen Bei einem Sicherheitsvorfall in Ihrer Anlage koordiniert das Cyber Security Operations Center die Reaktionen: forensische Analyse und Empfehlungen zu geeigneten Gegenmaßnahmen Unterstützung durch einen Sicherheitsexperten entsprechend der Kritikalität des gemeldeten Vorfalls, den Auswirkungen auf Ihrer Anlage sowie Ihren Geschäftsbedürfnissen Seite 13
Plant Security Monitoring Notwendigkeit einer industriellen SIEM* Lösung SIEM!??? Security Officer Sicherheitsvorfall! ALERT Seite 14 Anlagenbetreiber *Security Information and Event Management
Plant Security Monitoring Verwaltet und betrieben durch das Siemens Cyber Security Operation Center Kundenanlage CSOC* 24/7 Verfügbarkeit Log Sammlung Log Sammlung Log Management Log Sammlung Log Sammlung Secure Connection Log Analyse Berichte System Mgmt. Security Expertise Hochstrukturierter Ansatz bei Reaktion auf Sicherheitsvorfälle Unterstützung von Siemens Industrial Security Experten Festlegung und Lieferung maßgeschneiderter Sicherheitsmaßnahmen für einen pro-aktiven Schutz Keine Ressourcenbeschränkungen Log Sammlung Security Management Ereignis Korrelation Log Management Mitnutzung von Threat Intelligence Datenbanken Schutz verschiedener Branchen sowie Siemens eigene Infrastruktur Seite 15 *Cyber Security Operation Center
Plant Security Referenz Linde Gas Program Herausforderung Unterschiedliche Reifegrade zu bei Linde Gas Bedarf nach einem holistischem Implementierungskonzept Lösung Entwicklung eines übergreifenden Programms zu für 600+ Produktionsanlagen und alle Remote Operation Center Unterstützung bei der Pilotierung in den Regionen Deutschland und Asia Pacific Linde ist ein weltweit Anbieter von technischen Gasen. Profil SO Linde x and Produkte NO x emissions und Dienstleistungen reduced by more können than in90% nahezu allen Branchen gefunden werden, in mehr als 100 Ländern. Mehrwert Vereinheitlichter Ansatz für eine globale Einführung, um einen höheren Reifegrad bei zu erreichen Wirtschaflich umsetzbare Strategie zur globalen Einführung auf allen Plattformen (herstellerunabhängig) Seite 16
Vielen Dank für Ihre Aufmerksamkeit! Christian Telgen RC-DE DF CS DS Service Promotion Plant Security Services Franz-Geuer-Str. 10 50823 Köln, Deutschland Mobile: +49 (162) 2030474 christian.telgen@siemens.com Seite 17
Ausschlussklausel (Disclaimer) Siemens bietet Produkte und Lösungen mit -Funktionen an, die den sicheren Betrieb von Anlagen, Lösungen, Maschinen, Geräten und/oder Netzwerken unterstützen. Sie sind wichtige Komponenten in einem ganzheitlichen -Konzept. Die Produkte und Lösungen von Siemens werden unter diesem Gesichtspunkt ständig weiterentwickelt. Siemens empfiehlt, sich unbedingt regelmäßig über Produkt-Updates zu informieren. Für den sicheren Betrieb von Produkten und Lösungen von Siemens ist es erforderlich, geeignete Schutzmaßnahmen (z. B. Zellenschutzkonzept) zu ergreifen und jede Komponente in ein ganzheitliches -Konzept zu integrieren, das dem aktuellen Stand der Technik entspricht. Dabei sind auch eingesetzte Produkte von anderen Herstellern zu berücksichtigen. Weitergehende Informationen über finden Sie unter: http://www.siemens.com/industrialsecurity Um stets über Produkt-Updates informiert zu sein, melden Sie sich für unseren produktspezifischen Newsletter an. Weitere Informationen hierzu finden Sie unter: http://support.automation.siemens.com Seite 18