Was bedeutet Industrie 4.0 für die Sicherheit in der Supply Chain? 19.05.2016
Entwicklungen & Bestandteile von Industrie 4.0 INDUSTRIE 4.0 Big Data Self-Driving Vehicles Quelle: DHL u.a
Industrie 4.0 ist wesentlicher Bestandteil des Lagebilds für Cybercrime Zunehmende Vernetzung und Abhängigkeit vernetzter, selbst steuernder Produktionsprozesse und Logistikketten Problematik der Trennung/Abschottung der Netze zum Internet Steigende Abhängigkeit der Unternehmen von der Informationstechnik. Sehr hohes Bedrohungspotenzial für die Wirtschaft. Schädigung der IT-Infrastruktur führt nicht nur zur Störung der Kommunikation, sondern auch zum kompletten Produktionsstillstand und Unterbrechung der Supply Chain Enormes Verlustpotential für Unternehmen und gesamte Supply Chain Insbesondere die Gefahr der digitalen Erpressung von Unternehmen steigt Sabotage und Industriespionage können ebenfalls potentiell höhe Schäden verursachen [Cybercrime - Bundeslagebild 2014]
Neue Einfallstore für Wirtschaftsspionage Die Vielzahl an Schnittstellen in einer vernetzten Industrie schafft neue Angriffsmöglichkeiten Geplante IT-Schnittstellen für Mitglieder der Supply Chain erleichtern Dritten zudem den unbefugten Zugriff auf Unternehmensnetzwerke Möglicher Abfluss von z.b. Auftragsdaten, Transportdaten oder Produktspezifikationen Gezielter Zugriff auf z.b. ausgewählte Warentransporte wird erleichtert Der Diebstahl von geistigem Eigentum wie Produktspezifikationen ist insbesondere im Hinblick auf 3D-Druck problematisch Anstatt Plagiaten können Originale gefertigt werden
Steigende Gefahr der Industriespionage Industriespionage durch Regierungen Spionage erfolgt nicht nur zwischen Firmen, sondern bereits im Jahre 1996 warnte die Bundesregierung in Deutschland vor einer zunehmenden Tendenz zur Industriespionage, bei der auch Nachrichtendienste zur Überwachung der elektronischen Kommunikation eingesetzt werden Insbesondere die NSA (National Security Agency) betreibt mit ECHELON seit 1948 ein umfangreiches Spionagesystem in Westeuropa, das seit einigen Jahren hauptsächlich auf zivile Ziele ausgerichtet ist, und wertet gezielt die verschiedenen Formen der elektronischen Kommunikation, d.h. alle Telefonate, E- Mails und Fax-Sendungen, für die Zwecke der amerikanischen Wirtschaftsspionage aus. [Radome in Menwith Hill, Yorkshire, Nov. 2005]
Nachrichten- und Sicherheitsdienste [Nds. Ministerium für Inneres und Sport 2011]
Russische Nachrichtendienste Bundesgesetz Nr. 5 der Russischen Föderation Über die Auslandsaufklärung vom 10. Januar 1996 legitimiert Wirtschaftsspionage 5 Ziele der Nachrichtenbeschaffung 3.) die wirtschaftliche Entwicklung und den wissenschaftlich-technischen Fortschritt des Landes zu unterstützen und die Sicherheit des Russischen Föderation in militärisch-technischer Hinsicht zu gewährleisten. Deutschland rückt verstärkt ins Visier russischer Wirtschaftsspionage: Der Energiesektor spielt dabei eine besondere Rolle. Großes Interesse an Informationen über regenerative Energien, Möglichkeiten zur Steigerung der Energieeffizienz, europäische Energieinteressen sowie die konjunkturelle Entwicklung in Deutschland. [Nds. Ministerium für Inneres und Sport 2011; Focus 2009]
École de Guerre Économique Hochschule für Wirtschaftskrieg 1997 gegründet, mit Sitz in Paris Lehre von kognitiven Kampftechniken nach Methoden des Militärs. Finanzielle Unterstützung vom französischen Verteidigungsministerium und der Rüstungsberatungsfirma Défense Conseil International. Wirtschaftlicher Patriotismus spielt innerhalb der EU auch weiterhin eine Rolle. Absolventen finden vorwiegend Anstellung bei Beraterfirmen oder bei großen Konzernen in der Strategieabteilung. [Nds. Ministerium für Inneres und Sport 2011; Spiegel 2007]
Möglichkeiten zur Sabotage - Praxisbeispiele Der Stuxnet Computerwurm wurde speziell zum Angriff auf ein SCADA- System entwickelt und blieb vermutlich 3 Jahre unentdeckt. Der hohe Aufwand deutet auf die Initiative einer Regierung hin. Das BSI identifizierte 2013 ca. 500 Unternehmen, die ihre Steuerungsmodule ungeschützt mit dem Internet verbunden hatten und stufte dies als kritisch ein. Hierzu gehörten u.a. Fernwärmekraftwerke für mehrere Tausend Personen, Gefängnisse, Kirchen oder Brauereien Hohes Schadenspotential für weitreichende SC-Unterbrechungen Es lassen sich gezielt kritische Infrastrukturen angreifen [heise.de, Kaspersky]
Bedrohung durch vernetzte Industriesteuerung Zur Steuerung werden vielzählige Programmable Logic Controller (PLC) eingesetzt PLC sind kleine Computer, sind in das Produktionsnetzwerk integriert, steuern direkt Fertigung, Kraftwerke, Zentrifugen, Raffinerien etc., sind angreifbar wie andere Computer, werden vergleichsweise schlecht geschützt, laufen häufig mit alter Software, die u.u. nicht auf aktuellen Stand gebracht werden kann, Hersteller informieren Kunden nicht ausreichend über Sicherheitsrisiken Können u.u. bereits nach zwei Jahren aktuellen Sicherheitsansprüchen nicht mehr genügen [Siemens]
Cyberatacken auf die deutsche Industrie Auch Produktionsnetze sind betroffen
Bewusstsein der Bedrohung fehlt Maschinen werden nicht als Computer betrachtet Viele Maschinen weisen eine Netzwerkschnittstelle auf, da sie in eine bestehende Netz eingebunden werden oder auch z.b. nur durch den Hersteller bequem ferngewartet werden Der Kunde weiß u. U. gar nicht, welche Geräte betroffen sein können und wer sich gerade im eigenen Netz aufhält Industrieunternehmen sind sich u. U. der Notwendigkeit des Sicherheitsmanagement für Maschinen nicht bewusst Vorteile der Automatisierung überdecken in der Wahrnehmung die damit verbundenen Risiken. Insbesondere Supply Chains Unterbrechungen können unternehmensübergreifend hohe Schäden verursachen Es ist eine gute Zusammenarbeit aller Beteiligten notwendig, damit die vernetzte Steuerung stets den aktuellen Sicherheitsansprüchen genügt
Erpressung - DDoS Die steigende Abhängigkeit von der Verfügbarkeit von IT schafft neue Geschäftsmodelle und -praktiken für Kriminelle Mit Hilfe von DDoS-Attacken lassen sich bequem Unternehmen erpressen, die auf eine funktionierende IT angewiesen sind Gruppen wie DD4BC erpressten systematisch bis zu 50 Bitcoins (ca. 20.000 ) von Unternehmen (Finanzdienstleister, Onlineshops, Wettanbieter Onlinecasinos etc.) Die potentiell hohen Schäden durch Supply Chain Unterbrechungen, z.b. durch einen Bandabriss beim Automobilhersteller, können die Höhe der Forderungen der Erpresser beeinflussen Von: DD4BC Team Betreff: DDOS ATTACK!... So, it s your turn! You are going under DDoS attack unless you pay 30 Bitcoin Please note that it will not be easy to mitigate our attack, because our current UDP flood power is 400-500 Gbps. Right now we are running small demonstrative attack on But if you ignore us, and don t pay within 24 hours, long term attack will start, price to stop will go to 50 BTC and will keep increasing for every hour of attack REMEMBER THIS: It s a one-time payment. Pay and you will not hear from us ever again! We do bad things, but we keep our word. Thank you.
Erstes Fazit Ziel: die unangreifbare Maschine (VDMA 2015)
Addendum: Rechtliche Fragen ungeklärt - Haftung Vertragsabschluss durch Maschinen? Welche rechtliche Rolle nehmen Maschinen ein? Wer haftet zivil und strafrechtlich für Schäden, die durch Maschinen autonom verursacht werden? Hardware-, Software-Hersteller, Verkäufer, Anwender, niemand? Wo liegt die Beweislast? Abgrenzung von Missbrauch, Fehlgebrauch und Systemfehlern Unterschiedliche Rechtslagen international Harmonisierung Strafverfolgung im Ausland möglich? Versicherbarkeit von Risiken? Haftung unsicher für potentiell hohe und schlecht abzuschätzende Schäden für vernetzte Supply Chains
Addendum: Rechtliche Fragen ungeklärt Datenschutz/-sicherheit Datenschutz Werden personenbezogene Daten erfasst? Bestehen Einwilligungen der Personen? Wie und wo werden diese gespeichert? Wer erhält Zugang zu diesen Daten? Datensicherheit Wie werden vorhandene Daten gegenüber unberechtigtem Zugriff geschützt? Welche Reaktionsmöglichkeiten bestehen? (Nachvollziehbarkeit, Möglichkeit der zivilrechtlichen Durchsetzung etc.) Sind Unternehmen ausreichend sensibilisiert? Industrie 4.0 verstärkt die offenen rechtlichen Fragen für Datenschutz und Datensicherheit
Kontakt Für weitere Informationen kontaktieren Sie bitte: Technische Universität Hamburg Institut für Logistik und Unternehmensführung (W-2) Am Schwarzenberg-Campus 4 21073 Hamburg Tel.: +49 40 42878-3524 email@thorsten-blecker.de