IT Sicherheit in der Gebäudeautomation
Werbung
“IT Sicherheit in der Gebäudeautomation” VDMA Einheitsblatt EB-24774 Württembergischer Ingenieurverein VDI TGA Seminarreihe 16. Januar 2017 Referent: Dipl.Ing.(FH) Karl Heinz Belser VDI VDMA Veranlassung Willkommen Willkommen Lösungsansatz: VDMA EB 24774 Neu erschienen im Juni 2016 VDMA | VDMA-AMG Einheitsblatt EB 24774 | IT Sicherheit in der Gebäudeautomation Seite 2 | 12/01/17 Agenda 1. Einführung 2. Elemente der IT-Sicherheit in der GA 3. Herstellerebene 4. Projektierungsebene 5. Inbetriebnahme Ebene 6. Wartungsebene 7. Fern-Service 8. Benutzerebene Maßnahmen zur Prävention und Schadenabwehr VDMA 3 | VDMA – AMG Einheitsblatt EB 24774 - IT Sicherheit in der Gebäudeautomation Einführung Bedrohung - Gegenmaßnahmen in der Gebäudeautomation im IT-Umfeld VDMA 4 | VDMA – AMG Einheitsblatt EB 24774 - IT Sicherheit in der Gebäudeautomation Einführung Gebäudeautomation (GA) Büro (IT) Sicherheitsprioritäten Verfügbarkeit, Prozess Sichtbarkeit, Prozess Operation, Integrität, Vertraulichkeit Vertraulichkeit, Integrität, Verfügbarkeit Verfügbarkeit des angebotenen Dienstes 24 / 7 Neustart wenn benötigt Verzögerung Echtzeitanforderung Variierende Antwortzeiten sind akzeptiert Software Robustheit Erwartet günstige Umgebung Protokolle versagen wenn gestört Implementiert unter ständiger Hack Gefahr; Schwachstellen entfernt Anti Maleware / Virus Nicht gängig; unzureichende Ressourcen in alten Betriebssystemen Standard Patching Fordern ein OK des Herstellers; Tests; schwere Installation in einer 24/7 Umgebung Nahezu sofort wenn verfügbar Passwörter Fest einprogrammiert; niemals geänderte Gruppenpasswörter Regelmäßiger Wechsel Default Zugänge Oftmals nicht geändert Entfernt Physische Sicherheit Oftmals sehr gut; gesicherte Betriebsräume; verschlossene Schaltschränke Hoch für Server und Netzwerk; niedrig für das Büro Sicherheitsbewusstsein Variiert sehr stark Ständige Aufmerksamkeit Lebenszyklus 10 bis 25 Jahre; ein Hersteller 3 bis 5 Jahre; ständig wechselnde Hersteller Sicherheitsfokus in der Büro IT versus Gebäudeautomatisierung VDMA 5 | VDMA – AMG Einheitsblatt EB 24774 - IT Sicherheit in der Gebäudeautomation Einführung Endkunde • Sicherheitsmanagement Systemintegrator • Systementwicklungspraktiken • Qualifiziertes Personal Hersteller • Software Entwicklung • Hersteller Methoden Automationsstation Verantwortungsebenen möglicher Beteiligter VDMA 6 | VDMA – AMG Einheitsblatt EB 24774 - IT Sicherheit in der Gebäudeautomation • Sicherheitsmaßnahmen • Tests Elemente der IT-Sicherheit in der GA Hersteller Planer und Endkunde Ab Werk möglichst sicher Zugriffsrechtesystem Passwortschutz Firewalls ... Systemintegrator IT Security muss Bestandteil der Ausschreibung sein Parametrieren und Konfigurieren der Sicherheitsmaßnahmen Der Fachplaner gibt die Funktionsanforderungen und Maßnahmen im LV vor Keine eigenen Fernwartungszugänge einrichten … GA Netzwerk Sicherheitsmaßnahmen VPN Firewall … Eine Erfüllung des geforderten Sicherheitsstandards kann nur erreicht werden, wenn alle beteiligten Instanzen ihren Beitrag dazu leisten. VDMA 7 | VDMA – AMG Einheitsblatt EB 24774 - IT Sicherheit in der Gebäudeautomation Herstellerebene Zugangsrechte-System / Passwortschutz VDMA • Webserver und Konfigurationszugänge • Datenschnittstellen vor unerlaubtem Zugriff schützen • Passwortkomplexität vorgeben • Passwort Aktualisierungsperiode definieren • Autologout bei Nichtbenutzung nach xx sec oder xx min • Integration der Passwortfunktionalität des Betriebssystems bei der Managementebene 8 | VDMA – AMG Einheitsblatt EB 24774 - IT Sicherheit in der Gebäudeautomation Herstellerebene Zugangsrechte-System / Passwortschutz VDMA • Verschlüsselte Kommunikation (Webserver) • Kommunikation sollte mit TLS 1.2 (HTTPS, SSH) gesichert sein TLS (Transport Layer Security) vormals SSL, siehe auch Broschüre des BSI zum Einsatz von Datenverschlüsselung 9 | VDMA – AMG Einheitsblatt EB 24774 - IT Sicherheit in der Gebäudeautomation Herstellerebene Zugangsrechte-System / Passwortschutz VDMA • Verschlüsselte Kommunikation (Webserver) • Firewall • Werksseitig installiert und vorkonfiguriert 10 | VDMA – AMG Einheitsblatt EB 24774 - IT Sicherheit in der Gebäudeautomation Herstellerebene Zugangsrechte-System / Passwortschutz VDMA • Verschlüsselte Kommunikation (Webserver) • Firewall • Gehärtete Geräte und Software • Ab Werk Opt-in statt Opt-out 11 | VDMA – AMG Einheitsblatt EB 24774 - IT Sicherheit in der Gebäudeautomation Herstellerebene Zugangsrechte-System / Passwortschutz VDMA • Verschlüsselte Kommunikation (Webserver) • Firewall • Gehärtete Geräte und Software • Audit-Trail-Funktionen (mit Signatur) • Erkennung von Manipulation und Fehlbedienung • Sicherung des Logs durch eine Signatur 12 | VDMA – AMG Einheitsblatt EB 24774 - IT Sicherheit in der Gebäudeautomation Herstellerebene Zugangsrechte-System / Passwortschutz VDMA • Verschlüsselte Kommunikation (Webserver) • Firewall • Gehärtete Geräte und Software • Audit-Trail-Funktionen (mit Signatur) • Security-relevante Updates / Upgrades • Security- / Updates und Upgrades müssen periodisch eingespielt werden 13 | VDMA – AMG Einheitsblatt EB 24774 - IT Sicherheit in der Gebäudeautomation Herstellerebene Zugangsrechte-System / Passwortschutz • Verschlüsselte Kommunikation (Webserver) • Firewall • Gehärtete Geräte und Software • Audit-Trail-Funktionen (mit Signatur) • Security-relevante Updates / Upgrades Betroffen sind alle kommunikationsfähigen Geräte die ans Netzwerk angeschlossen sind Automationsstationen, Raumcontroller, intelligente Sensoren und Software (SCADA, EnMS) VDMA 14 | VDMA – AMG Einheitsblatt EB 24774 - IT Sicherheit in der Gebäudeautomation Projektierungsebene GSM PSTN Festlegung der IT-Infrastruktur und grundlegender Sicherheitselemente RF Risiko- /Schwachstellenanalyse SCADA Getrennte GA-IP Netzwerke PG5 Mit Firewalls gesicherte Netzwerke/Segmente VPNs für abgesetzte Stationen, Insel oder Fern-Service Internet Intranet VPN VPN Switches mit Sicherheits-Funktionen WLAN-Zugänge (WPA2) VPN Malewareschutz und Software-Aktualisierungen Back-Up Konzepte inkl. Recovery Anweisungen Physische Anlage / Schaltschranksicherung GSM PSTN RF Feldgeräte Die technischen Anforderungen werden durch die Ausschreibung und das Leistungsverzeichnis vorgegeben, d. h. Bauherr und Fachplaner sind hierfür maßgeblich verantwortlich. VDMA 15 | VDMA – AMG Einheitsblatt EB 24774 - IT Sicherheit in der Gebäudeautomation Projektierungsebene Aufbau einer sicheren IT-Infrastruktur (Quelle: ICS-CERT) VDMA 16 | VDMA – AMG Einheitsblatt EB 24774 - IT Sicherheit in der Gebäudeautomation Inbetriebnahme Ebene Anpassung der Berechtigungen VDMA • Anlegen von Benutzern und Benutzergruppen • Default Zugänge deaktivieren oder ersetzen 17 | VDMA – AMG Einheitsblatt EB 24774 - IT Sicherheit in der Gebäudeautomation Inbetriebnahme Ebene Anpassung der Benutzer Berechtigungen VDMA • Passwort-Vorgaben/-Ablaufzeit, Autologout • Vorgaben nach Risikoanalyse • Änderungen müssen an das Servicepersonal gemeldet werden 18 | VDMA – AMG Einheitsblatt EB 24774 - IT Sicherheit in der Gebäudeautomation Inbetriebnahme Ebene Anpassung der Berechtigungen • Passwort-Vorgaben/-Ablaufzeit, Autologout • Nachhärtung der Geräte/PC/Komponenten • VDMA Deaktivieren oder entfernen von allen nicht genutzten Diensten, Benutzern und Zugängen 19 | VDMA – AMG Einheitsblatt EB 24774 - IT Sicherheit in der Gebäudeautomation Inbetriebnahme Ebene Anpassung der Berechtigungen • Passwort-Vorgaben/-Ablaufzeit, Autologout • Nachhärtung der Geräte/PC/Komponenten • Audit Trails • VDMA Sollten direkt am Anfang aktiviert werden um im Fehlerfall die System- bzw. Datenwiederherstellung zu vereinfachen 20 | VDMA – AMG Einheitsblatt EB 24774 - IT Sicherheit in der Gebäudeautomation Inbetriebnahme Ebene Anpassung der Berechtigungen • Passwort-Vorgaben/-Ablaufzeit, Autologout • Nachhärtung der Geräte/PC/Komponenten • Audit Trails • Arbeitsvorschriften/Verhaltensanweisungen • • VDMA Standard Operating Procedure (SOP) sollte bei beginn auf 2 Ebenen vorhanden sein: • SOP Normalbetrieb – stellen sicher das alle Sicherheitselemente dauerhaft funktionsfähig und „up to date“ sind • SOP Störfall – Festlegung der Abläufe und Informationen im falle einer Störung oder eines möglichen Angriffs SOP‘s bestehen aus Arbeitsabläufen, Checklisten und Erinnerungsfunktionen 21 | VDMA – AMG Einheitsblatt EB 24774 - IT Sicherheit in der Gebäudeautomation Inbetriebnahme Ebene Anpassung der Berechtigungen VDMA • Passwort-Vorgaben/-Ablaufzeit, Autologout • Nachhärtung der Geräte/PC/Komponenten • Audit Trails • Arbeitsvorschriften/Verhaltensanweisungen • Benutzerinformationen/-schulung • Technische Schulungen; am besten wiederkehrende separate Schulungen zu IT-Sicherheitsthemen • Sensibilisierung für die möglichen Gefahren und Risiken 22 | VDMA – AMG Einheitsblatt EB 24774 - IT Sicherheit in der Gebäudeautomation Inbetriebnahme Ebene Anpassung der Berechtigungen • Passwort-Vorgaben/-Ablaufzeit, Autologout • Nachhärtung der Geräte/PC/Komponenten • Audit Trails • Arbeitsvorschriften/Verhaltensanweisungen • Betreiberinformationen/-schulung Je besser und exakter die Rechte und Dienste an die Aufgaben angepasst werden, desto kleiner wird das Risiko für gezielte Angriffe und Fehlbedienungen. VDMA 23 | VDMA – AMG Einheitsblatt EB 24774 - IT Sicherheit in der Gebäudeautomation Wartungsebene Updates / Upgrades Alle Geräte und Programme PCs; VPN-Geräte und Router Systemanpassungen GA-Anlagen haben einen längeren Lebenszyklus als IT-Infrastruktur Ggf. müssen Geräte noch innerhalb des Lebenszyklus getauscht werden Periodische Security und Back-Up Tests Die Sicherheitsmaßnahmen sollten in vordefinierten Wartungsintervallen getestet werden Abläufe nach einem Angriff/Störungsfall sollten geübt werden. Alle installierten Elemente der IT-Sicherheit müssen periodisch bewertet, gepflegt und aktualisiert werden. Es kann u.U. angebracht sein, die Anlagen an die neuesten Entwicklungen anzupassen. VDMA 24 | VDMA – AMG Einheitsblatt EB 24774 - IT Sicherheit in der Gebäudeautomation Fern-Service Übertragung von Monitoring Daten aus dem GA-System Datengrundlage für Dienstleistungen: Bi-direktionale Kommunikation mit dem GA-System Im Falle einer Störung oder zur Systemanpassung kann ein Zugriff von „außen“ nötig sein. Systemoptimierungen Fernzugriffe müssen über ein VPN abgesichert werden Proaktives Störmanagement Diese Zugänge sollten selektiv gewährt und unterbrochen werden können. Energiemanagement Präventive Wartungsdienstleistungen Steuerung der Kommunikation sollte immer vom GASystem (Innen) zum externen System (außen) sein. Es muss sichergestellt sein, dass nur vereinbarte Daten aus vereinbarten Systemen übertragen werden. Die Grundlagen zum Fernzugriff sind durch entsprechende Verträge zu regeln. Dabei muss auch eine Vertraulichkeitsvereinbarung gemäß Bundesdatenschutzgesetz getroffen werden. VDMA 25 | VDMA – AMG Einheitsblatt EB 24774 - IT Sicherheit in der Gebäudeautomation Benutzerebene Zugangsdaten Back-up Fachplaner definiert die KomplexitätsAnforderungen Back-Up Abläufe müssen auf ihre vollständige Ausführung überwacht werden Voraussetzung für einen aussagekräftigen Audit Trail sind individuelle Benutzer Back-Up Dateien müssen verschlüsselt oder an einem sicheren Ort aufbewahrt werden Dokumentation Dokumente müssen zugangsgeschützt aufbewahrt werden BSI Empfehlungen zu Passwörtern sollten angewendet werden Der Benutzer mit seinem Verhalten ist für die IT-Sicherheit seiner GA maßgeblich verantwortlich VDMA 26 | VDMA – AMG Einheitsblatt EB 24774 - IT Sicherheit in der Gebäudeautomation Vielen Dank für Ihre Aufmerksamkeit Ihr Ansprechpartner: Dipl.Ing.(FH) Karl Heinz Belser VDI Johnson Controls Systems und Service GmbH Schockenriedstrasse 48 70565 Stuttgart-Vaihingen [email protected] Danke für Ihren Besuch VDMA 27 | VDMA – AMG Einheitsblatt EB 24774 - IT Sicherheit in der Gebäudeautomation
