Seminar Industrial Security

16.01.2014 SnowDome Bispingen Seminar Industrial Security siemens.de/industry-nord

Seminar Industrial Securiry Agenda 2 Überblick zu IndustrialSecurity 5 Anlagensicherheit 9 Systemintegrität 18 Netzwerksicherheit 37

Agenda 11:00 Uhr 12:00 Uhr Aktuelles Lagebild zur Bedrohungslage Cybersecurity in Deutschland Herr Holger Junker Bundesamt für Sicherheit in der Informationstechnik (BSI) 12:00 Uhr 13:00 Uhr Mittagessen 13:00 Uhr 14:00 Uhr Cybersecurity bei Siemens wie nahm das Thema seinen Anfang? Vorstellung des ProductCERT Herr Rupert Wimmer Siemens CorporateTechnology, ProductCERT 14:00 Uhr 14:30 Uhr Kaffeepause 14:30 Uhr 16:00 Uhr Praktische Vorführung zum Thema Industrial Security Dennis Kortstock, Klaas Eßmüller Siemens Region NORD

Agenda 3 Überblick zu IndustrialSecurity 4 Anlagensicherheit 9 Systemintegrität 18 Netzwerksicherheit 37

Wo findet sich Industrial Security? Anlagensicherheit Netzwerksicherheit Systemintegrität

Defence-in-Depth Erklärung eines Schlagwortes Anlagensicherheit Zutrittssperre für unbefugte Personen Verhinderung des physischen Zugangs zu kritischen Anlagenkomponenten Produktion Netzwerksicherheit Kontrollierte Schnittstellen zwischen Office- und Anlagennetzwerk, z. B. über Firewalls Gesicherte Komminikation z.b. über über VPN Weitere Segmentierung des Anlagennetzwerks Systemintegrität Antivirus- und Whitelisting-Software Wartungs- und Updatevorgänge: Benutzerauthentifizierung für Anlagen- oder Maschinenbediener In Automatisierungskomponenten integrierte Zugriffsschutzmechanismen Security-Lösungen im Industriekontext müssen alle Schutzebenen berücksichtigen

Defence-in-Depth Erklärung eines Schlagwortes Anlagensicherheit Zutrittssperre für unbefugte Personen Verhinderung des physischen Zugangs zu kritischen Anlagenkomponenten Produktion Netzwerksicherheit Kontrollierte Schnittstellen zwischen Office- und Anlagennetzwerk, z. B. über Firewalls Gesicherte Komminikation z.b. über über VPN Weitere Segmentierung des Anlagennetzwerks Systemintegrität Antivirus- und Whitelisting-Software Wartungs- und Updatevorgänge: Benutzerauthentifizierung für Anlagen- oder Maschinenbediener In Automatisierungskomponenten integrierte Zugriffsschutzmechanismen Security-Lösungen im Industriekontext müssen alle Schutzebenen berücksichtigen

Agenda 3 Überblick zu IndustrialSecurity 5 Anlagensicherheit 8 Systemintegrität 18 Netzwerksicherheit 37

Anlagensicherheit Anlagensicherheit Netzwerksicherheit Systemintegrität

Anlagensicherheit ganz einfach: physikalischer Zugang Ein einfaches Beispiel für Anlagensicherheit Verhinderung des physischen Zugangs

Anlagensicherheit Security-Management Security-Manament ist eine Schlüssel-Aufgabe: Risikoanalyse mit Definition von Risikominderungsmaßnahmen 1 Riskoanalyse Festlegung von Richtlinien und Koordinierung organisatorischer Maßnahmen Koordination technischer Maßnahmen Regelmäßige/ereignisabhängige Wiederholung der Risikoanalyse 4 Validierung und Verbesserung 3 2 Richtlinien, organisatorische Maßnahmen Technische Maßnahmen Security-Management ist unverzichtbar für ein durchdachtes Sicherheitskonzept

Anlagensicherheit Informationsmöglichkeiten Ist die Presse die richtige Informationsquelle? Nachfolgend eine kurze Presseschau

Presseschau c t vom 30.10.2012 Quelle: c t v. 30.10.2012 http://www.heise.de/ct/meldung/ ICS-CERT-warnt-vor-Angriffen-auf-industrielle-Steuerungssysteme-1738902.html

Presseschau Spiegel Online v. 25.05.2013 Quelle: Spiegel Online v. 25.05.2013 http://www.spiegel.de/netzwelt/netzpolitik/angriffe-auf-us-firmen-hacker-hatten-zugang-zu-us-pipeline-steuerung-a-901849.html

Presseschau Heise Security v. 28.06.2013 und c t v. 28.06.2013 Quelle: c t v. 28.06.2013 http://heise.de/-1897198 Quelle: heise security v. 28.06.2013 http://www.heise.de/security/meldung/verwundbare-industrieanlagen-fernsteuerbares-gotteshaus-1902245.html

Anlagensicherheit Informationsmöglichkeiten Wo finde ich Informationen? BSI (Bundesamt für Sicherheit in der Informationstechnik) z.b. http://www.bsi.bund.de/ ICS Cert (Industrial Control Systems Cyber Emergency Response Team) Alerts ( Warnungen ) unter http://ics-cert.us-cert.gov/alerts Siemens Industrial Security Siemens-spezifische Warnungen unter http://www.siemens.de/industrial-security

Agenda 3 Überblick zu IndustrialSecurity 5 Anlagensicherheit 9 Systemintegrität 17 Netzwerksicherheit 37

Systemintegrität Manipulationsschutz Anlagensicherheit Netzwerksicherheit Systemintegrität

Industrial Security Manipuliationsschutz im System SIMATIC S7-1500 Höherer Manipulationsschutz Verbesserter Schutz gegen Manipulation der Kommunikation bei Zugriff auf Controller durch digitale Prüfsummen Schutz vor Netzwerkangriffen wie Einschleusen gefälschter / aufgezeichneter Netzwerkkommunikation (Replay Angriffe) Geschützte Übertragung von Passwörtern bei Authentifizierung Erkennung manipulierter Firmware-Updates durch digitale Signaturen Schutz der Kommunikation vor unberechtigten Manipulationen für höchste Anlagenverfügbarkeit

Industrial Security Systemintegrität durch Achilles Level 2 Zertifizierung Achilles zertifizierte Baugruppen Liste zertifizierter Baugruppen: http://www.wurldtech.com/product_services/certifications/certified_pro ducts Aktuell (Stand: 14.01.2014) über 35 Siemens-Produkte mit Achilles Level 2 Zertifizierung Achilles-Test als Bestandteil des Systemtests

SIMATIC S7-1518 Die leistungsfähigste CPU von Siemens S7-1518 Highlights Performance Bit, Word, Gleitpunkt: 1ns, 2ns, 6ns Klemme-Klemme Reaktion: ~160µs Kurze Zyklus Zeit: 250µs Rückwandbus: 400M Baud Kommunikation PN IRT (V2.3) drei PROFINET Schnittstellen mit eigner IP-Adresse IPv6 mittels CP 1543-1 Code-Performance (Analyse von 247 Kundenprojekten) 8 mal schneller als die CPU S7-1516 4 mal schneller als die CPU S7-319 10 12 mal schneller als die CPU S7-319 bei der Verwendung von symbolischer Programmierung Security Hacker-Attacken Tests von ENCS (European Network for Cyber Security) blieben ohne Erfolg VPN und Firewall mit CP 1543-1 Security Integrated: Know-How-Schutz, Binding to SMC, Manipulationsschutz,... Benutzerfreundlichkeit Integrierte Funktionalitäten: z.b. Motion, Trace, Mehrsprachige Vor-Ort Diagnose am Display Forcetable und Watchtable direkt auf dem Display

Systemintegrität KnowHow-Schutz Anlagensicherheit Netzwerksicherheit Systemintegrität

Industrial Security KnowHow-Schutz im System SIMATIC S7-1500 Höherer Know-how Schutz in STEP 7 Passwortschutz gegen unberechtigtes Öffnen der Programmbausteine mit STEP 7 und somit Schutz vor unberechtigtem Kopieren von z.b. entwickelten Algorithmen Passwortschutz gegen unberechtigtes Auswertung der Programmbausteine mit externen Programmen aus dem STEP 7 Projekt von Daten der Speicherkarte aus Programmbibliotheken Schutz des geistigen Eigentums und getätigtem Invest

Live!

Systemintegrität Kopierschutz Anlagensicherheit Netzwerksicherheit Systemintegrität

Industrial Security Kopierschutz im System SIMATIC S7-1500 Höherer Kopierschutz Binden von einzelnen Bausteinen an die Seriennummer der Speicherkarte oder CPU Schutz vor unberechtigtes Kopieren von Programmbausteinen mit STEP 7 Schutz vor unberechtigtes Duplizieren der Projektierung auf der Speicherkarte Schutz vor unautorisierter Vervielfältigung ablauffähiger Programme

Live!

Systemintegrität Zugriffsschutz Anlagensicherheit Netzwerksicherheit Systemintegrität

Industrial Security Zugriffsschutz im System SIMATIC S7-1500 Höherer Zugriffsschutz (Authentifizierung) Neue Schutzstufe 4 für CPU-Komplettverriegelung (auch HMI Verbindungen benötigen Passwort) * Granulare Vergabe von Berechtigungsstufen (1-3 mit eigenem PW) Für Zugriffe über CPU und CM Schnittstelle Generelle Projektierungssperre über CPU-Display Erweiterter Zugriffschutz über Security CP 1543-1 durch integrierte Firewall und VPN * Nur in Zusammenspiel mit den SIMATIC HMI Panels möglich Umfassender Schutz gegen unberechtigte Projektierungsänderungen

Live!

Systemintegrität Manipulationsschutz über Whitelisting Anlagensicherheit Netzwerksicherheit Systemintegrität

Industrial Security Systemintegrität durch Whitelisting Whitelisting Anstatt ausführbare Programme (z.b..exe,.bat,.dll ) bei Start auf Malware zu untersuchen, werden einmalig alle ausführbaren Programme signiert. Nach Aktivierung des Whitelisting können nur noch autorisierte Anwendungen ausgeführt werden. Es können sichere Update-Quellen (z.b. für Sicherheitspatches) angegeben werden Automatischer Schutz gegen fremden Programmcode (z. B. per USB-Stick) und sog "Zero-Day Exploits" Nachrüstung in bestehenden Anlagen möglich McAfee ApplicationControl ist auf Verträglichkeit bei diverser SIMATIC Software getestet (s. nächste Seite) An dieser Stelle: der Support für Windows XP durch Microsoft endet am 08. April 2014

Industrial Security Systemintegrität durch Whitelisting Windows XP Auszug aus dem BSI-Dokument Umgang mit dem Ende des Supports für Windows XP Quelle: https://www.allianz-fuer-cybersicherheit.de/acs/de/_downloads/anwender/software/bsi-cs_085.html?nn=3193110

Industrial Security Systemintegrität durch Whitelisting Folgende SIMATIC Produkte wurden erfolgreich auf Verträglichkeit mit McAfee Application Control V5.1 bzw. V6.0 getestet: STEP 7 V5.5 / V12 (TIA-Portal) PCS 7 V8.1 PCS 7 V8.0 PCS 7 V7.1 + SP3 PCS 7 V7.0 + SP3 PCS 7 V6.1 + SP4 WinCC V7.2 WinCC V7.1 WinCC V7.0 + SP1 WinCC V7.0 + SP2 WinCC flexible 2008 + SP2 S7-mEC, EC31 ab 08/2010 PCS 7 AS mec RTX Nano / MircoBox

Live!

Agenda 3 Überblick zu IndustrialSecurity 5 Anlagensicherheit 9 Systemintegrität 18 Netzwerksicherheit 36

Netzwerksicherheit Firewall Anlagensicherheit Netzwerksicherheit Systemintegrität

Industrial Security Firewall mit dem CP 1543-1 Höherer Zugriffsschutz (Authentifizierung) Neue Schutzstufe 4 für CPU-Komplettverriegelung (auch HMI Verbindungen benötigen Passwort) * Granulare Vergabe von Berechtigungsstufen (1-3 mit eigenem PW) Für Zugriffe über CPU und CM Schnittstelle Generelle Projektierungssperre über CPU-Display Erweiterter Zugriffschutz über Security CP 1543-1 durch integrierte Firewall und VPN * Nur in Zusammenspiel mit den SIMATIC HMI Panels möglich Umfassender Schutz gegen unberechtigte Projektierungsänderungen

Industrial Security Netzwerksicherheit durch Einsatz einer Firewall - Begriffserklärung Port Firewall-Regeln 20 FTP Kommunikation gesperrt 192.168.1.15 21 80 102 FTP HTTP STEP7 Kommunikation gesperrt Kommunikation erlaubt Kommunikation gesperrt Port Firewall-Regeln 119 NTP Kommunikation gesperrt 20 FTP Kommunikation gesperrt 666 DOOM Kommunikation gesperrt 192.168.1.20 21 80 102 FTP HTTP STEP7 Kommunikation gesperrt Kommunikation erlaubt Kommunikation erlaubt 119 NTP Kommunikation gesperrt 666 DOOM Kommunikation gesperrt

Industrial Security Netzwerksicherheit durch Einsatz von Firewalls Durch den Einsatz einer Firewall kann gezielt Kommunikation am Netzwerk blockiert oder erlaubt werden. Durch eine Firewall kann Zugriff auf definierte Netzwerkdienste beschränkt werden. Port 20 FTP Firewall-Regeln Kommunikation gesperrt Vordefinierte Regeln ermöglichen eine sehr einfache Parametrierung der Firewall im TIA Portal für den CP1543-1 Durch entsprechende Firewall-Regeln kann der Zugriff auf Netzwerkdienste auch auf bestimmte Quell- Adressen beschränkt werden. Firewall-Regeln werden zentral im TIA Portal verwaltet. 192.168.1.15 21 80 102 FTP HTTP STEP7 119 NTP 666 DOOM Kommunikation gesperrt Kommunikation erlaubt Kommunikation gesperrt Kommunikation gesperrt Kommunikation gesperrt

Live!

Netzwerksicherheit VPN (Virtuelles Privates Netzwerk) Anlagensicherheit Netzwerksicherheit Systemintegrität

Industrial Security Netzwerksicherheit durch Einsatz von VPN Zertifikat (=Schlüssel) alternativ PSK (Pre-shared key) möglich VPN Von Ende-zu-Ende verschlüsselte Kommunikation (Tunnel) 192.168.1.20 192.168.1.15

Industrial Security Netzwerksicherheit durch Einsatz von VPN Durch den Einsatz eines VPN (Virtuelles Privates Netzwerk) wird Kommunikation zwischen zwei Teilnehmern verschlüsselt. Zur Verschlüsselung kommen sog. Zertifikate oder Pre-shared keys (PSK) zum Einsatz, die automatisch vom TIA Portal generiert werden. Der sog. VPN-Tunnel bietet einen gesicherten Kommunikationskanal über ein unsicheres Netzwerk hinweg. Nur Teilnehmer mit Zertifikat oder PSK können an der VPN-Kommunikation teilnehmen. Ein Mitlesen oder Stören der Kommunikation ist nicht möglich.

Live!

Vielen Dank für Ihre Aufmerksamkeit! Dennis Kortstock & Klaas Eßmüller GER I S NORD Lindenplatz 2 20099 Hamburg siemens.de/industry-nord