art Elevators 4.0: Security und Safety CURITY-4-SAFETY (S4S) rlift 2017 sburg, 20. Oktober 2017

Ähnliche Dokumente
Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443

Security & Safety Bewertung (S4S) als Schlüssel zu einer sicheren Industrie 4.0

Validierung von Software-Werkzeugen Medical Device Day, Dipl.-Phys. Matthias Hölzer-Klüpfel, M.Sc.

Anlage zur Akkreditierungsurkunde D-PL nach DIN EN ISO/IEC 17025:2005

Security und Privacy im Smart Home aus Sicht des Nutzers. Dr. Siegfried Pongratz ITG Workshop, 23. Oktober 2015, Offenbach

TÜV Rheinland: Cybergefahren für Industrieanlagen unterschätzt

Management Hardware Software

Teamcenter Durchgängige PLM Lösung bis hin zur TIA Portal Anbindung. Digitalization Days 2017

industrial engineering Safety & Security integrierte Entwicklung 1

Security as a Secure Service Euralarm perspektive

Sicherheit in der E-Wirtschaft

Strukturierte Verbesserung der IT-Sicherheit durch den Aufbau eines ISMS nach ISO 27001

Informations-Sicherheits- Management DIN ISO/IEC 27001: einfach und sinnvoll -

BCM in der Energieversorgung: 4 Stunden ohne Strom was soll s!

ISO / FuSi Funktionale Sicherheit Road Vehicle - Functional Safety

Industrie 4.0. Der Weg zur Smart Factory - von der Analyse bis zur Umsetzung SEITE 1

Herzlich Willkommen. Unternehmenspräsentation. Firmenpräsentation inkl. allen Daten, Fakten und Know-how. Stuttgart // November

IT-Security in der Automation: Verdrängen hilft nicht!

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

Der bessere Schutz. VDE-zertifizierte Informationssicherheit

Sicherheit für Maschinen und Anlagen

IT-Security für Autonomik. Dr. Carsten Rudolph Abteilungsleitung Trust and Compliance

Aktuelle Bedrohungen im Umfeld von Industrie 4.0

Industrial Security. Sicherheit im industriellen Umfeld. Frei verwendbar Siemens AG 2018

Thomas W. Harich. IT-Sicherheit im Unternehmen

Hauke Kästing IT-Security in der Windindustrie

ISO / FuSi Funktionale Sicherheit Road Vehicle - Functional Safety

LIVE HACKING: AUSNUTZUNG VON SICHERHEITSLÜCKEN BEI INDUSTRIELLEN AUTOMATISIERUNGSSYSTEMEN

Herzlich willkommen: #ITTage16 Nutzenpotenziale der digitalen Transformation entdecken. Ihr Trainer: Dr. Pascal Sieber

Informationssicherheit für den Mittelstand

Siemens AG IT-Sicherheit von Automatisierungssystemen

Cybersicherheit in der Smart Factory

DIN EN ISO 9001: deutlich einfacher -

Sicherheit der industriellen Automatisierung in österreichischen Unternehmen

Automotive Embedded Software. Consulting Development Safety Security

Tool Qualifikation. Schreckgespenst der Testautomatisierung? HEICON Global Engineering Kreuzweg 22, Schwendi

Funktionale Sicherheit und Simulation

ANHANG 17-G FRAGENKATALOG ZU NACHWEISEN INTERNATIONALER NORMEN UND ZERTIFIZIERUNGEN

Smart Metering. IT-Sicherheit in der Produktion. Verein zur Förderung der Sicherheit Österreichs strategischer Infrastruktur

Grundlagen des Datenschutzes und der IT-Sicherheit

Übersicht über die IT- Sicherheitsstandards

splone Penetrationstest Leistungsübersicht

voith.com Damit auch Ihre IIoT-Umgebung in Zukunft sicher bleibt Industrial Cyber Security

Compass Security [The ICT-Security Experts]

Funktionale Sicherheit. Sicher besser mit uns.

Security Einfach Machen

Security Einfach Machen

Journey to the. Cloud

Informationsrisikomanagement

Übersicht. Inhalte der DIN EN Ziele der DIN EN Notwenigkeit

SAP Penetrationstest. So kommen Sie Hackern zuvor!

Separierung/Isolation Steffen Heyde secunet

Absicherung eines Netzbetriebs. innogy SE Group Security Alexander Harsch V öffentlich

Digitale Implantate Steuerung, Programmierung und Monitoring über die Cloud ETHICS AND CYBERSECURITY IN HEALTH CARE

SmartMX, NFC & Arygon. Ralf Kretschmann, Achim Kretschmann, Bernd Fleischmann

IEC Grundlagen und Praxis Dipl.-Ing. Peter Knipp. 8. Augsburger Forum für Medizinprodukterecht 13. September 2012

splone SCADA Audit Leistungsübersicht

Simulink PLC Coder für sichere IEC Steuerungen bei MAGIRUS GmbH

Grundlagen des Datenschutzes. Musterlösung zur 7. Übung im SoSe 2008: Vergleich Fehlerbaum und Angriffsbaum

Automation meets IT. Industrial Security Heinrich Homann Security Specialist Plant Security Services

Industrial IT Security

nestor-kriterien Vertrauenswürdige digitale Langzeitarchive

Neues deutsches IT-Sicherheitsgesetz Was bedeutet das für die Kunden? Wie können wir helfen?

Model-based risk assessment with CORAS. Seminarvortrag. Marica Federico Angewandte Informatik

Entwurf E DIN EN (VDE ): FprEN :2008

CYBERSECURITY UND TESTING. Swiss Testing Night

Der IT-Security Dschungel im Krankenhaus. Ein möglicher Ausweg

Information Security Management Systeme-ISMS Beispiele erfolgreicher Umsetzung

VDE CERT Was ist ein Response Team?

Zusammenarbeit zwischen TÜV und Steuerungshersteller. Volker Sepanski Dipl.-Ing. TÜV Rheinland Michael Müller Sales Manager Böhnke + Partner GmbH

Andreas Seiler, M.Sc. IT-Security in der Industrie - Vorfälle und Gegenmaßnahmen Clustertag 2017

Digitalisierung / Industrie 4.0 Zertifizierung von IoT-Devices

Digitalisierung/Industrie 4.0

CeBIT CARMAO GmbH

Fernwartung, was kann da schon schiefgehen? Erfahrungsberichte aus dem BSI

Personal Firewall. Ein weiterer Schritt zu umfassender IT-Sicherheit. Norbert Pohlmann. Vorstand Utimaco Safeware AG. Internet.

IT-Sicherheit in der Produktion

Checkliste zur Computersystemvalidierung

Informationssicherheit - Nachhaltig und prozessoptimierend

Einstieg in die Cybersicherheit: Introduction to Cybersecurity und Cybersecurity Essentials

Management von Informationssicherheit und Informationsrisiken Februar 2016

PRE-SCAN KRITIS. Delivering Transformation. Together.

HOME SWEET HOME. Smart! Safe? Secure? embeteco GmbH & Co. KG - Matthias Brucke

Fachvortrag Bedrohung und Sicherheitslage in der Cloud bei cloudbasierten Anwendungen und Prozessen. Markus Willems

Sicherheit und Qualität digitaler Leittechnik eine wesentliche Voraussetzung für Kraftwerke der Zukunft

Funktionale Sicherheit in der Prozessindustrie

Blick über den Tellerand Erfahrungen der EVU

Vielen Dank für Ihre Aufmerksamkeit!

Medizintechnik und IT

Ask the CEO Workshop. Alles über den digitalen Arbeitsplatz

Entwicklung von Medizinischen Algorithmen für die Kardiologie mit Hilfe Simulink und Modellbasiertes Design

IT-Security als Voraussetzung für Digitalen Wandel Hausaufgaben für Industrie 4.0 und Digitales Business

IT-Sicherheitsgesetz Sie müssen handeln! Was bedeutet das für Ihr Unternehmen?

So funktioniert Erfolg. Unsere Services zur Funktionalen Sicherheit. TÜV SÜD Product Service GmbH

Generische Normen zur Funktionalen Sicherheit im Maschinenbau. IEC und ISO 13849

51. ITS Techno-Apéro Industrie 4.0

Transkript:

art Elevators 4.0: Security und Safety CURITY-4-SAFETY (S4S) rlift 2017 sburg, 20. Oktober 2017

LEVATOR 4.0 EUE SCHNITTSTELLEN Diagnose Inhouse Vernetzung Cloud Anbindung Fernwartung

LEVATOR 4.0 EUE PRÜFMITTEL UND SENSOREN ei der Aufzugprüfung können inzwischen viele Werte digital ausgelesen werden. Gestern Heute Morgen

ie analoge und die digitale Welt verschmelzen, sodass neben der funktionalen Sicherheit (Safety) stets auch die IT-Sicherheit ecurity) zu prüfen ist. Aufgrund der Verschmelzung von funktionaler und IT-Sicherheit können die bisher getrennt voneinander betrachteten Arbeitsfelder nicht mehr singulär bearbeitet werden.

ine reine Produkt- oder Systemprüfung ist nicht mehr sicher. Die IT-Netze, Zonen und Organisations-Strukturen, in denen die Produkte er Systeme eingebunden sind, müssen notwendigerweise mitgeprüft werden. Prozesse + Produktion + Produkte GANZHEITLICHE BETRACHTUNG ZUM NACHWEIS DES STANDS DER TECHNIK: Informationssicherheits-Managementsystem > Betrachtung und Bewertung von Organisation und Prozessen > ISO 27001 als Grundvoraussetzung für I4.0 ( die ISO 9001 der digitalen Transformation ) > ISO 2700x als Nachweis zum Stand der Technik > Information Security Readiness (ISO 2700x in drei Stufen) System- und Komponentenbetrachtung > Ganzheitliche Security- und Safety Risikobetrachtung (S4S-Risk-Analyse) > Umsetzung von Best Practices > Umsetzung von normativen Anforderungen gem. Industrial Security (IEC 62443) > Konzeptprüfung > Penetration Tests (Überprüfung der Wirksamkeit der Techniken und Maßnahmen) Keine Prüfung ohne IT-Security > Rechtssicheres und dem Stand der Technik entsprechendes Inverkehrbringen und Betreiben von smarten Systemen/Produkten ist ohne Bewertung der IT-Security nicht möglich Security Prozess-, System-, und Komponentenbewertungen als integraler Bestandteil von Industrie 4.0 rmationssicherheits-managementsystem

ÜR PRODUKTE (Z.B. AUFZUGSSTEUERUNGEN) Schnittstellen Security Safety

NTERSCHIEDLICHE BETRACHTUNGEN Hardware Software Schnittstellen Cloud Safety - Hardware Ausfall - Systematische HW + SW Fehler - Übertragungsfehler (Schnittstellen) - Soft Errors Security - Datendiebstahl - Viren - SW Manipulation - Hacking

URITY4SAFETY Safety und Security Bedrohungen müssen gemeinsam betrachtet werden! Datenschutz-Recht Wie kann ich die Software Applikation sicher entwickeln?

ORMEN Safety Security DIN EN 81 IEC 61508-1/2/3 Common Criteria 1-3 DIN ISO IEC 2700X Elevator J3061 (ISO 26262) IEC 62443-X generisch Klassische Security Normen Cybersecurity Guidebook for Cyber-Physical Vehicle Systems Industrial Security (weitgehend im Draft Status) Wie ist die Vorgehensweise zur Erstellung sicherer Software?

URITY4SAFETY ETZUNG VON SAFETY & SECURITY Entwicklungs- Prozess Techniken und Maßnahmen Daten Sicherung Verifikation und Validierung Dokumentation V-Model (Safety + Security) Lebenszyklus Risiko-Analyse Verhindert systematische Fehler Authentifizierung Signierung Fehlerwahrscheinlichkeit Datensicherheit Kryptographie Gegenseitige Kontrolle Penetrationstest SW Modul Test Integrationstest Nachvollziehbarkeit

4S RISK ANALYSE TOOL Risiko-Beurteilung nach IEC 62443-3-2 + J3061 Detaillierte Risiko-Analyse zur Bestimmung der Anforderungen

ORGEHEN BEI DER RISIKO ANALYSE / BETRACHTUNGSGEGENSTÄNDE Kosten (RO Maßnahmen System Beschreibung Schwachstellen Inventar Bedrohungen Assets Zonenbetrachtung Bedrohungsquelle

RSTER SCHRITT IST DIE ERFASSUNG DER RISIKEN Erster Schritt: Erkennung des Risikos und Ableitung von geeigneten Techniken und Maßnahmen zur Verhinderung von Schäden Angreifer Bedrohung Schwachstelle Schaden Schadensausmaß + Eintritts- Wahrscheinlichkeit oder Wahrscheinlichkeit der Aufdeckung Lösung Definition von Techniken und Maßnahmen Anforderungsspezifikation Safety & Security

ISIKO BEURTEILUNG / RISIKO-BESTIMMUNG uswirkung Techniken und Maßnahmen ICS Security Kompendium Quelle: IEC 62443-3-3

ISIKO BEURTEILUNG / RISIKO-BESTIMMUNG Die Wahrscheinlichkeit den Angriff nicht zu entdecken (E) wird intuitiv im Team festgelegt Expertise: 0 = Several experts 1 = One expert 2 = Amateur 3 = Man on the street Knowledge: 0 = Top secret 1 = Developer knowledge 2 = Restricted-access knowledge 3 = Publicly available knowledge Window of opportunity: 0 = Less (server room) 1 = Middle (field) 2 = High (office IT) 3 = Permanent (Office-IT) Equipment: 0 = Several special tools necessary 1 = One special tool necessary 2 = Specialised tool 3 = Standard equipment

ISIKO BEURTEILUNG / RISIKO-BESTIMMUNG Risk = A x E x B A = probability of occurrence (1... 10) E = weak points (1... 10) B = impact (max (safety+1 + financial+1) * 2-1) Ist der safety impact > 0 muss eine Gegenmaßnahme getroffen werden! SL 0: No particular requirements or protective measures SL 1: Protection against occasional or accidental violations necessary SL 2: Protection against an intentional violation with simple means and low commitment, general abilities and low motivation SL 3: Protection against an intentional violation with sophisticated means, medium commitment, automation technology abilities and medium motivation SL 4: Protection against an intentional violation with sophisticated means, significant commitment, automation technology abilities and high motivation

CURITY4SAFETY ENSTLEISTUNGEN: KONZEPTANALYSE + KONFORMITÄTSPRÜFUNG Anforderungs- Spezifikation Software Design Safety + Security Konzept Analyse Konformität zu IEC 62443-3-3

ENETRATIONSTEST / ÜBERPRÜFUNG DER WIRKSAMKEIT DER MAßNAHMEN SW Sicherheits- Anforderungsspezifikation Validierung E/E/PES Sicherheits- Anforderungsspezifikation Validierungsprüfung Validierte SW Security Penetrations-Test Bericht

ROZESSE J3061 IEC 62443-4-1 nformitätsüfung IEC 27001 / 2

ARTNER IM BEREICH SECURITY http://www.silver-atena.de https://www.tuvit.de HSAinnoS Institut für innovative IT-Sicherheit https://www.secuvera.de https://www.hsasec.de

elen Dank für Ihre Aufmerksamkeit! Kontakt Dipl. Ing.(FH) Martin Zeh Sachverständiger für Funktionale Sicherheit & Security Manager OBS Manufacturing TÜV NORD Systems GmbH & Co. KG Halderstraße 27 86150 Augsburg Telefon: +49 821 450954-4290 E-Mail: mzeh@tuev-nord.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback