IT-Sicherheit und Industrie 4.0 15.07.2016 Dr. Harald Schöning Vice President, Research Software AG Ringvorlesung Industrie 4.0 – Universität zu Köln Begriffsklärung Was ist Industrie 4.0 ? Was heißt denn „Sicherheit“ • wer oder was ist sicher? • vor wem oder was? • unter welchen Randbedingungen? Top 10 Bedrohungen • Infektion mit Schadsoftware über Internet und Intranet • Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware • Social Engineering • Menschliches Fehlverhalten und Sabotage • Einbruch über Fernwartungszugänge • Internetverbundene Steuerungskomponenten • Technisches Fehlverhalten und höhere Gewalt • Kompromittierung von Smartphones im Produktionsumfeld • Kompromittierung von Extranet und Cloud-Komponenten • (D)DoS Angriffe Begriffsklärungen • Security vs. Safety • IT-Security – Vertraulichkeit – Verfügbarkeit – Integrität der Daten Vertraulichkeit • wettbewerbsrelevante Informationen, Geschäftsgeheimnisse, z.B. – Formeln und Rezepturen, geistiges Eigentum • (inkl. Produktionsverfahren, Fabrikationsdaten, Fertigungsschritten, Softwarekonfigurationen, Konstruktionsdaten, Bauteilen, Entwürfen, Produktionsparametern etc.) – – – – Prozesse Be-/Verarbeitungsdetails, Konfiguration der Produktionsanlagen Auftragslage Auslastung, produzierte Stückzahlen • Daten, aus denen diese ableitbar sind – z.B. Protokolldaten (Logs), Energieverbrauchsverläufe, Bearbeitungsparameter, Bearbeitungsdauerns, Planungs-, Energie-, Takt- und Verbrauchsdaten • Datenschutz Verfügbarkeit • Resilienz der Produktion – Stillstand auch nur für wenige Minuten erzeugt durch Produktionsausfälle immense Schäden • Bedroht z.B. durch – „Denial of Service“-Angriffe – Fremdsteuerung von Maschinen (Stuxnet) – Verhinderung der Datenübertragung zwischen Unternehmen Verfügbarkeit • Installieren von Sicherheits-Updates? – mit Reboot? – Nebenbei: Betriebserlaubnis, Zertifizierung • Reaktion bei Sicherheitsvorfall – Abschalten? • DoS-Attacken Verfügbarkeit / Integrität • Verfügbarkeit und Verlässlichkeit der Planungs- und Steuerungsdaten – Daten nicht verfügbar Produktionsstillstand • Folgen falscher oder manipulierter Daten – Havarie der Produktion – verminderte Produktqualität der produzierten Güter. Integrität • Schutz vor Manipulation der Daten – Produktionsprotokolle (gesetzliche Nachweispflichten ) – Sensordatenströme • Basis für Entscheidungen (u.U. sogar automatisch) – Produktionsparameter • Fremdsteuerung von Maschinen von außerhalb – Angriff – Fernwartung Unabstreitbarkeit beispielhafte Bedrohung Verzögerungen in der Produktion kaufmännische Ebene • dort Umverteilung von Chargen zur Minimierung des geschäftlichen Schadens • Manipulation der Daten falsche Entscheidungen Beispiele für Sicherheitsbrüche • Tanklager – Füllstandsanzeige, aber auch Tankentlüftung und andere Wartungsarbeiten über seriellen Anschluss, d.h. physischen Kontakt. – später netzwerktauglich gemacht – Ohne Verschlüsselung und Authentifizierung • war ja im ursprünglichen Konzept nicht erforderlich verletztes Schutzziel? möglicher Schaden? Beispiele für Sicherheitsbrüche • Gebäudeautomatisierung – Auslieferung der Steuergeräte mit Standardpasswörtern und –zugriffsregeln – erlauben mit jedem Netzzugriff • Steuerung von Lüftung, Heizung, Klimaanlage • in Fabriken, Büros, Schulen etc. • komplette Übernahme der Geräte verletztes Schutzziel? möglicher Schaden? Beispiele für Sicherheitsbrüche • Kassensysteme scannen Strichcode – Darüber werden die Geräte aber auch programmiert. • entsprechenden Strichcode am gekauften Produkt befestigen – Systemmanipulation • Nebenbei: Security by Obscurity funktioniert nicht (mehr) möglicher Schaden? Blackout • i.W. zwei Angriffsziele – Smart Meter – Steuerungsanlagen der Kraftwerke (nur die Anzeigen!) IT-Security im Office vs. in Industrie 4.0 • • • • • strengere Echtzeitanforderungen in der Produktion oft geringe Speicher- und Rechenfähigkeiten von CPS ungewöhnlich lange Lebenszeiten von Industrieanlagen Wissensschutz: Entwurfs- und Konfigurationsdaten Piraterieschutz: Erkennung von gefälschten physischen und Cyber-physischen Systemen • gesetzliche Vorgaben zur Protokollierung von Vorgängen (Accountability, Provenance). • Arbeitnehmerdatenschutz • lieber Datenverlust als Produktionsausfall Fragen an das Security-Konzept • Welche Komponenten sollen digital angebunden werden? • Wer muss „nach außen“ kommunizieren und wie kann die Kommunikation gesichert werden • Welche Daten müssen wann wem wie bereitgestellt werden? • Wie kritisch sind die Daten in Bezug auf Vertraulichkeit und Integrität für das eigene Unternehmen? • Welche der Daten sind datenschutzrelevant (also personenbezogen)? • Welche Verträge müssen geschlossen werden (Zurechnung, Haftung,…) Faktor Mensch • Zeitdruck bei Inbetriebnahme einzelner Anlagen oder produktionsrelevanter Systeme – gefährdet Sicherheit kompletter Produktionsnetze. • Produktionsverantwortliche vernachlässigen eher Sicherheitsrichtlinien als Verzögerung des Produktionsanlaufs in Kauf zu nehmen • Resultat: „global“ unsichere Situationen – Ausnutzung lokaler Sicherheitslücken kompromittiert die gesamte Sicherheitsinfrastruktur Faktor Mensch • Security-Verantwortlicher im Sinne eines Informationssicherheitsmanagementsystems – Welche Mitarbeiter sind für die IT Sicherheit in Produktion, Verwaltung, übergreifend im eigenen Unternehmen zuständig? • Sensibilisierung der Mitarbeiter (auch in der Produktion) für IT-Sicherheitsrisiken – Regelungen zum Umgang mit Wechseldatenträgern und externer Hardware (Programmiergeräte, Diagnosesysteme) – Risiken bei der Nutzung von Smartphones und Tablets – „So nutzen bspw. Mitarbeiter in der Produktion USB-Ports der Anlagensteuerung, um ihre Mobiltelefone aufzuladen.“ na und, wo ist das Risiko? Angriffe aus den eigenen Reihen • 60 Prozent der Attacken auf Unternehmen aus den eigenen Reihen (lt. IBM) – oder zumindest indirekt von Insidern. – z.B. Ex-Angestellte • die noch Zugänge oder Passwörter habem • Rund 15 Prozent der Angriffe durch unachtsame oder manipulierte Anwender. Wie sicher ist sicher? • • • • • • 100% sicher? oder Pareto-Prinzip? oder sicherer als die anderen? oder „sicher genug“? oder versichert? (wirtschaftliche und strafrechtliche Folgen) d.h. auch für Schutzziele festlegen, wie streng sie einzuhalten sind – z.B. Verfügbarkeitsgrad 99,99 % – z.B. Integrität: muss Veränderung verhindert werden oder reicht es, sie zu erkennen? • Priorisierung von Verletzungen (z.B. unerheblich, marginal, kritisch, katastrophal) Bedrohungsmodell und Risikomodell Bedrohungsmodell u. a. • Gruppe der potentiellen Angreifer • deren mögliche Angriffsvektoren • schützenswerte Assets: alles, das einen Wert darstellt, z.B. • • • • Objekte Daten Personen oder deren Gesundheit abstrakte Werte, z. B. die Reputation eines Unternehmens Risikomodell: Abschätzung des Gesamtrisikos auf Basis konkreter Parameter eines Szenarios, z. B. • Exponiertheit einer Produktionsanlage • Gefahr für Leib- und Leben • rechtliche Rahmenbedingungen, die zu finanzielle Verpflichtungen führen Beispiel Gruppe der potentiellen Angreifer: • Mitarbeiter der Testabteilung deren mögliche Angriffsvektoren: • Manipulation der Prüfprotokolle schützenswerte Assets: • Gesetzeskonformität Bedrohungsmodellierung z.B. Threat Modeling durch die STRIDE-Methode – Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege • entwurfsgesteuerte Bedrohungsmodellierung aus dem Microsoft Security Development Lifecycle (SDL147). • systematische Bewertung von Prozessen, Daten, Schnittstellen, Systemgrenzen usw. • Erzeugung einer automatisch generierte Handlungsanweisung zur Einhaltung bestimmter Schutzziele • SDL Threat Modeling Tool Vorgehen bei STRIDE • 1. Schritt: Datenflussdigramm für High-Level-Sicht auf das gesamte System. – Beziehungen von externen Akteuren, Prozessen, Datenspeichern, Datenflüssen und Vertrauensgrenzen darstellen – Zerlegung eines Systems in seine relevanten Komponenten • 2. Schritt: Analyse jeder Komponente im Hinblick auf zutreffende Bedrohungen – Auswirkungen im Schadensfall – Maßnahmen für deren Entschärfung geeignete festhalten • 3. Schritt: Dokumentation von externen – Abhängigkeiten und getroffenen Annahmen für die Ausführungsumgebung Mögliche Bedrohungen • Beispiel Leugnung Rechteausweitung x Dienstblockade x Enthüllung Externe Akteure Datenfluss Datenspeicher Prozess Manipulation Täuschung Entität x x x x x x x x x x x x x angreifergesteuerte Bedrohungsmodellierung • ergänzend zu STRIDE • wer könnte an welchen Ressourcen interessiert sein? • Fähigkeiten und Angriffsmöglichkeiten der Angreifer • Betrachtung unterschiedlicher Angreifer-Profile • unterschiedliche Motivationen von AngreiferTypen berücksichtigen • in Verbindung mit der wirtschaftlichen Machbarkeit Angreifer-Typen und Motivationen Angreifertyp Anwender Böswillige Angestellte Kleinkriminelle Script-Kiddies Hacktivists Konkurrent Organisiertes Verbrechen Beschreibung typischerweise keine bösen Absichten. Fähigkeiten Motivation Niedrig Umgehen von Workflows Komfortablere Nutzung einer Software Anpassung von IT-Systemen an eigene Anforderungen schädigen Arbeitgeber Niedrig/ Erpressung / andere Angestellte Mittel Rache, Ausschalten von Rivalen in Unternehmen, vorsätzlich. Verstecken von unrechtmäßigen/unerlaubten Aktivitäten keine umfassende kriminelle Strategie wenig kriminelle Energie politisch motiviert Niedrig/ Mittel Niedrig/ Mittel Mittel Konkurrierende Mittel/ Unternehmen Hoch umfassende kriminelle Hoch Strategie Geheimdienste staatlich gelenkt Hoch Unrechtmäßige persönliche Bereicherung Hacken für Anerkennung Beeinträchtigung „böser“ Unternehmen Industriespionage Sabotage Illegale Aktivitäten mit monetärem Gewinn im großen Stil Verstecken illegaler Aktivitäten Erpressung Verhindern von Ermittlungen Auskundschaftung, Informationsdiebstahl Manipulation von Informationen Sabotage kritischer Infrastrukturen / Cyberwar Auf Komponenten anwenden • Ertrag eines Angriffs höher als Kosten – Kosten hängen vom Angreifer ab (z.B. Angriff auf ERP-Zugriffsdaten: niedrig für Angestellte, hoch für Externe) – gibt es eine Komponente, die für denselben Zweck billiger angreifbar ist? • Wert der verarbeiteten Daten / des Eingriffs für den Angreifer Priorisierung lt. Studie Sicherheit in Industrie 4.0 • Sicherheit des eigenen Unternehmens hat Vorrang: – erst eigene Sicherheit – erst danach Sicherheit des Kunden / Partners • Daten sind wichtiger als Prozesse Diskussion: stimmt das immer? IT-Sicherheit in Industrie 4.0 - Übertragung von IT-Konzepten • • • • Zugriffsrechte und Identitäten Virenschutz Sicherheits-Patches Verschlüsselung Zugriffsrechte und Identitäten • Wer darf welche Daten nutzen? • Ist jeder auch derjenige, für den er sich ausgibt? – beispielsweise der Mechaniker eines externen Dienstleister, der Maschinendaten ausliest • Worauf hat er Zugriff – und worauf eben nicht? • auch Maschinen und Sensoren. – Kein Gerät darf sich in den Produktionsprozess einklinken, ohne sich vorher zweifelsfrei identifiziert zu haben. Schwierigkeiten • individuelle Benutzerkonten auf IT-Systemen in Industrieumgebungen oft nicht umsetzbar – Verfügbarkeitsanforderungen – Administrationsaufwand • individuelle Konfiguration von Zugriffsberechtigungen – einzelne Personen zu Maschinen – erheblicher organisatorischer Mehraufwand – schnelles Einschreiten im Fehlerfall unnötig erschwert Virenschutz • Verwendung von Antiviren-Software – mögliche Performance-Verluste widersprechen Echtzeit – fehlende Freigaben einer Komponente durch den Hersteller (und damit einhergehende Service Level Agreements – fehlende Produktangebote für die Komponenten. • Datei-Quarantäne oder das Herunterfahren eines Systems bei Infektion, – so nicht umsetzbar. – Weitere Gründe, die gegen den • notwendige Pflege einer Antiviren-Lösung – regelmäßige Updates der Signaturdatenbank oft nicht möglich – Beeinträchtigung der Verfügbarkeit nicht akzeptabel Sicherheitsupdates Bedien- und Beobachtungssystem muss dem Bedienpersonal jederzeit zur Verfügung stehen • unkontrolliertes Einspielen von sicherheitsrelevanten Softwareaktualisierungen • ggf. Gefährdung des den Betrieb durch Nichtverfügbarkeit von betriebsrelevanten IT-Systemen • Reboot nicht akzeptabel • In vielen Fällen erlauben Gerätezertifizierungen oder behördliche Qualifizierungen kein Einspielen von Patches • veraltete Betriebssysteme (z.B. Windows XP) – Software läuft ggf. nicht unter neuen Betriebssystemen – Maschinen sind jahrzehntelang in Betrieb – eingeschränkte Speicher- und Rechenkapazität Verschlüsselung • Ende-zu-Ende-Verschlüsselung auch im Produktionsumfeld – Problem: Rechenkapazität • auch mobile Kommunikation spezielle Aspekte • Privacy / Datenschutz • Security by Design • Urheberschutz Privacy / Datenschutz • Schutz personenbezogener Daten Bundesdatenschutzgesetz • immer stärker automatisierte und umfassende Datenerfassung • personenbezogene Profile des Personals in der Fabrikhalle – u.U. sogar Gesundheit – Mitbestimmungspflicht Security by Design Soll- und Istzustand zu vergleichen und daraus Handlungsempfehlungen abzuleiten • Beispiel Reduktion der Daten auf das Notwenige z.B. gegen Ausspähung • gröbere Rasterung von Information als von Sensorik geliefert – für Verwendungszweck (z.B. zur Energieverbrauchsoptimierung) oft ausreichend. – entsprechenden Datenstrom aus der Sensorik früh verdichten. • Reduktion auf der semantischen Ebene – nur die zur Verarbeitung tatsächlich benötigte Information • semantische Beschreibung der Daten Urheberschutz und Lizensierung • Zur Produkterstellung werden sensible Daten auf unternehmensfremde Produktionssysteme transferiert Einbettung von Methoden zum Urheberschutz – z.B. Verfahren aus der digitalen Fotografie – dort Einbettung von Meta-Informationen in Bilddateien • Urheberschaft von digitalen Daten eindeutig und gerichtsverwertbar nachweisbar zu machen Werkzeuge aus der klassischen Kryptografie. • Lizensierung – wie verhindere ich, dass mit den Daten für 3D Drucker beliebig viele Kopien gedruckt werden? Vermeidung vs. Erkennung • kein System ist 100% sicher Angriffe können erfolgreich sein • Sicherheitsvorfälle bleiben oft unentdeckt – z.B. Spionage – schlimmstenfalls auch Sabotage Erkennung von Sicherheitsvorfällen • zwei Ansätze der klassischen IT: • Intrusion Detection Systeme – Erkennung verdächtiger Aktivitätsmuster in IPKommunikation • Probleme in einer Produktionsumgebung: – nicht alle relevanten Daten laufen über IP-Protokolle – Verursachung von Latenzzeiten in der Produktion – Muster für IT-Sicherheitsvorfälle sind (noch) nicht bekannt Erkennung von Sicherheitsvorfällen • Security Information Event Management (SIEM) Systeme. • Speichern, Analysieren und Bewerten von Logdaten. • noch keine Anbindung an die Aktuatorik- und Sensorik-Datenebene Nochmal: Security vs. Safety • kann man diese Trennung im Kontext von Industrie 4.0 aufrecht erhalten? • Einbindung von Smart Products in Dienstleistungen • Wie kann verhindert werden, dass Smart Products wie Autos oder Produktionsmaschinen zur Gefahr werden? – durch die neuen Services – durch Angriffe auf die vernetzten Systeme Sicherheitsgebiete und -themen Fachgebiet Industrie 4.0 Relevanz (z. T. Beispiele, unvollständig) Erkennung von Sicherheitsvorfällen Intrusion Detection, Mustererkennung Anpassung auf das spezifische industrielle Umfeld Penetration Testing Autorisierte Tests der Systeme auf bekannte Schwachstellen Organisatorische Prozesse, Verfahren, Nachsorge, Messbarkeit IT-Sicherheitsmanagement Implementierbarkeit bei KMU, Internationalisierungs-Aspekte (organisatorisch, rechtlich) Schadensbegrenzung nach bei höchster Priorität der Aufrechterhaltung der Produktion Sicherheitsvorfallen Forensik bei Industrie-spezifischen Komponenten Zurechenbarkeit Unabstreitbarkeit/juristische Haftbarkeit auch unter dem Gesichtspunkt autonomen Handelns von Maschinen Analyse von Sicherheitsvorfallen Aufbau einer umfassenden Datenbasis von industrierelevanten Vorkommnissen; Forensische Überprüfung der Vorfalle Malware Analyse bei Industrie-spezifischen Komponenten Metriken Wirtschaftlichkeit von IT-Sicherheitsmaßnahmen in industriellen Produktionsnetzen Schwachstellenanalyse Checklisten, Sicherheitstestverfahren für SCADA-/ICS-/CPSSysteme, Schwachstellen in Wertschöpfungsketten Fachgebiet I4.0 Relevanz (z. T. Beispiele, unvollständig) Architektur, Vernetzung, Design, Schutz- und Abwehrtechnologien Sicherheitsarchitekturen Einbindung/Kapselung von Legacy-Komponenten Netzwerksicherheit Netzwerksegmentierung (IEC 62443), Herausforderungen bei ad-hoc Vernetzungen Sichere Kommunikationsprotokolle OPC UA, Einbindung von proprietären sowie von Legacy-Protokollen ohne interne Security-Features, SSL/TLS, SSH, IPSec Lightweight Cryptography Berücksichtigung von zeitkritischen Anforderungen und von begrenzten Ressourcen (Prozessor-Kapazität, Energie) AAA (Authentication, Authorization, Accounting) unternehmensübergreifende AAA-Verfahren, Berücksichtigung von zeitkritischen Anforderungen Identitäts-Management sicherer Identitätsnachweis von Maschinen und Komponenten Sicherheit von (Web-)Anwendungen Designvorgaben in Industrieumgebungen, Verfahren zum Schließen von Sicherheitslücken Sichere Firmware bei Industrie-spezifischen Komponenten Produktschutz, Enterprise Rights Management genuin Industrie-relevant Verfügbarkeit Implikationen von Sicherheitsmaßnahmen angesichts unterschiedlicher Schutzzielpriorisierung im Vergleich zur Office-IT Robustheit, Widerstandsfähigkeit (Resilience) Redundanzschemata, Isolation/Bypass befallener Komponenten, Robustheit drahtloser Kommunikation in Industrieumgebungen Sicherheitsgebiete und -themen Fachgebiet Interdependenzen Wechselwirkungen von IT-Sicherheit und funktionaler Sicherheit (Security/Safety) Schwachstellen bei Feature Interaktionen Datenschutz Datenschutz I4.0 Relevanz (z. T. Beispiele, unvollständig) bei I4.0 von besonderer Bedeutung, da in Produktionsumgebungen in keinem Fall die Arbeitssicherheit beeinträchtigt werden darf Entwicklung von spezifischen IT-SicherheitsTestverfahren für Industriekomponenten und systeme Technisch-organisatorische Maßnahmen und rechtliche Implikationen, die bei I4.0 aus dem vermehrten Weiterreichen von datenschutzrechtlich sensiblen Daten an unterschiedlichste Partner der Wertschöpfungskette und an Maschinen entstehen, Datenschutzaspekte bei grenzüberschreitendem Austausch von Daten Fazit • Die mit Industrie 4.0 einhergehende Vernetzung erfordert kompetente Behandlung von Sicherheitsfragen – Der Bestand von Unternehmen steht auf dem Spiel • Konzepte aus der Office-IT sind nicht einfach übertragbar • Viele Teilgebiete der Security sind im Umfeld von Industrie 4.0 relevant Literatur • Studie im Auftrag des Bundesministeriums für Wirtschaft und Energie: ITSicherheit für die Industrie 4.0 - Produktion, Produkte, Dienste von morgen im Zeichen globalisierter Wertschöpfungsketten • Plattform Industrie 4.0 Technischer Überblick: Sichere unternehmensübergreifende Kommunikation. Herausgeber Bundesministerium für Wirtschaft und Energie (BMWi) Öffentlichkeitsarbeit 11019 Berlin www.bmwi.de • Plattform Industrie 4.0 Technischer Überblick: Sichere Identitäten. Herausgeber Bundesministerium für Wirtschaft und Energie (BMWi) Öffentlichkeitsarbeit 11019 Berlin www.bmwi.de • Wegweiser IT-Security in der Industrie 4.0 - Erste Schritte zu einer sicheren Produktion Herausgeber Bundesministerium für Wirtschaft und Energie (BMWi) Öffentlichkeitsarbeit 11019 Berlin www.bmwi.de Empfehlung der Plattform Industrie 4.0 zu grundlegenden Maßnahmen • Benennung Security-Verantwortlicher • Sensibilisierung der Produktionsmitarbeiter für IT-Sicherheitsrisiken, auch im Umgang mit Handys und Tablets • Sicherheitskonzepte für Netzwerkzugänge erarbeiten und umsetzen • Umgang mit externer Hardware regeln (Diagnosegeräte, USB-Sticks) • Forderung an Hersteller: Virenschutz, aktuelle Betriebssysteme etc wer befasst sich mit Sicherheit?