Folien

Werbung
IT-Sicherheit und Industrie 4.0
15.07.2016
Dr. Harald Schöning
Vice President, Research
Software AG
Ringvorlesung Industrie 4.0 – Universität zu Köln
Begriffsklärung
Was ist
Industrie 4.0 ?
Was heißt denn „Sicherheit“
• wer oder was ist sicher?
• vor wem oder was?
• unter welchen Randbedingungen?
Top 10 Bedrohungen
• Infektion mit Schadsoftware über Internet und Intranet
• Einschleusen von Schadsoftware über Wechseldatenträger
und externe Hardware
• Social Engineering
• Menschliches Fehlverhalten und Sabotage
• Einbruch über Fernwartungszugänge
• Internetverbundene Steuerungskomponenten
• Technisches Fehlverhalten und höhere Gewalt
• Kompromittierung von Smartphones im Produktionsumfeld
• Kompromittierung von Extranet und Cloud-Komponenten
• (D)DoS Angriffe
Begriffsklärungen
• Security vs. Safety
• IT-Security
– Vertraulichkeit
– Verfügbarkeit
– Integrität der Daten
Vertraulichkeit
• wettbewerbsrelevante Informationen, Geschäftsgeheimnisse, z.B.
– Formeln und Rezepturen, geistiges Eigentum
• (inkl. Produktionsverfahren, Fabrikationsdaten, Fertigungsschritten,
Softwarekonfigurationen, Konstruktionsdaten, Bauteilen, Entwürfen,
Produktionsparametern etc.)
–
–
–
–
Prozesse
Be-/Verarbeitungsdetails, Konfiguration der Produktionsanlagen
Auftragslage
Auslastung, produzierte Stückzahlen
• Daten, aus denen diese ableitbar sind
– z.B. Protokolldaten (Logs), Energieverbrauchsverläufe,
Bearbeitungsparameter, Bearbeitungsdauerns, Planungs-, Energie-,
Takt- und Verbrauchsdaten
• Datenschutz
Verfügbarkeit
• Resilienz der Produktion
– Stillstand auch nur für wenige Minuten erzeugt
durch Produktionsausfälle immense Schäden
• Bedroht z.B. durch
– „Denial of Service“-Angriffe
– Fremdsteuerung von Maschinen (Stuxnet)
– Verhinderung der Datenübertragung zwischen
Unternehmen
Verfügbarkeit
• Installieren von Sicherheits-Updates?
– mit Reboot?
– Nebenbei: Betriebserlaubnis, Zertifizierung
• Reaktion bei Sicherheitsvorfall
– Abschalten?
• DoS-Attacken
Verfügbarkeit / Integrität
• Verfügbarkeit und Verlässlichkeit der
Planungs- und Steuerungsdaten
– Daten nicht verfügbar  Produktionsstillstand
• Folgen falscher oder manipulierter Daten
– Havarie der Produktion
– verminderte Produktqualität der produzierten
Güter.
Integrität
• Schutz vor Manipulation der Daten
– Produktionsprotokolle (gesetzliche
Nachweispflichten )
– Sensordatenströme
• Basis für Entscheidungen (u.U. sogar automatisch)
– Produktionsparameter
• Fremdsteuerung von Maschinen von
außerhalb
– Angriff
– Fernwartung  Unabstreitbarkeit
beispielhafte Bedrohung
Verzögerungen in der Produktion
 kaufmännische Ebene
• dort Umverteilung von Chargen zur
Minimierung des geschäftlichen Schadens
• Manipulation der Daten  falsche
Entscheidungen
Beispiele für Sicherheitsbrüche
• Tanklager
– Füllstandsanzeige, aber auch Tankentlüftung und
andere Wartungsarbeiten über seriellen Anschluss,
d.h. physischen Kontakt.
– später netzwerktauglich gemacht
– Ohne Verschlüsselung und Authentifizierung
• war ja im ursprünglichen Konzept nicht erforderlich
verletztes Schutzziel?
möglicher Schaden?
Beispiele für Sicherheitsbrüche
• Gebäudeautomatisierung
– Auslieferung der Steuergeräte mit
Standardpasswörtern und –zugriffsregeln
– erlauben mit jedem Netzzugriff
• Steuerung von Lüftung, Heizung, Klimaanlage
• in Fabriken, Büros, Schulen etc.
• komplette Übernahme der Geräte
verletztes Schutzziel?
möglicher Schaden?
Beispiele für Sicherheitsbrüche
• Kassensysteme scannen Strichcode
– Darüber werden die Geräte aber auch programmiert.
• entsprechenden Strichcode am gekauften
Produkt befestigen
– Systemmanipulation
• Nebenbei: Security by Obscurity funktioniert
nicht (mehr)
möglicher Schaden?
Blackout
• i.W. zwei Angriffsziele
– Smart Meter
– Steuerungsanlagen der
Kraftwerke (nur die
Anzeigen!)
IT-Security im Office vs. in Industrie 4.0
•
•
•
•
•
strengere Echtzeitanforderungen in der Produktion
oft geringe Speicher- und Rechenfähigkeiten von CPS
ungewöhnlich lange Lebenszeiten von Industrieanlagen
Wissensschutz: Entwurfs- und Konfigurationsdaten
Piraterieschutz: Erkennung von gefälschten physischen
und Cyber-physischen Systemen
• gesetzliche Vorgaben zur Protokollierung von
Vorgängen (Accountability, Provenance).
• Arbeitnehmerdatenschutz
• lieber Datenverlust als Produktionsausfall
Fragen an das Security-Konzept
• Welche Komponenten sollen digital angebunden
werden?
• Wer muss „nach außen“ kommunizieren und wie kann
die Kommunikation gesichert werden
• Welche Daten müssen wann wem wie bereitgestellt
werden?
• Wie kritisch sind die Daten in Bezug auf Vertraulichkeit
und Integrität für das eigene Unternehmen?
• Welche der Daten sind datenschutzrelevant (also
personenbezogen)?
• Welche Verträge müssen geschlossen werden
(Zurechnung, Haftung,…)
Faktor Mensch
• Zeitdruck bei Inbetriebnahme einzelner Anlagen
oder produktionsrelevanter Systeme
– gefährdet Sicherheit kompletter Produktionsnetze.
• Produktionsverantwortliche vernachlässigen
eher Sicherheitsrichtlinien als Verzögerung des
Produktionsanlaufs in Kauf zu nehmen
• Resultat: „global“ unsichere Situationen
– Ausnutzung lokaler Sicherheitslücken kompromittiert
die gesamte Sicherheitsinfrastruktur
Faktor Mensch
• Security-Verantwortlicher im Sinne eines
Informationssicherheitsmanagementsystems
– Welche Mitarbeiter sind für die IT Sicherheit in Produktion,
Verwaltung, übergreifend im eigenen Unternehmen
zuständig?
• Sensibilisierung der Mitarbeiter (auch in der
Produktion) für IT-Sicherheitsrisiken
– Regelungen zum Umgang mit Wechseldatenträgern und
externer Hardware (Programmiergeräte, Diagnosesysteme)
– Risiken bei der Nutzung von Smartphones und Tablets
– „So nutzen bspw. Mitarbeiter in der Produktion USB-Ports
der Anlagensteuerung, um ihre Mobiltelefone aufzuladen.“
 na und, wo ist das Risiko?
Angriffe aus den eigenen Reihen
• 60 Prozent der Attacken auf Unternehmen aus
den eigenen Reihen (lt. IBM)
– oder zumindest indirekt von Insidern.
– z.B. Ex-Angestellte
• die noch Zugänge oder Passwörter habem
• Rund 15 Prozent der Angriffe durch
unachtsame oder manipulierte Anwender.
Wie sicher ist sicher?
•
•
•
•
•
•
100% sicher?
oder Pareto-Prinzip?
oder sicherer als die anderen?
oder „sicher genug“?
oder versichert? (wirtschaftliche und strafrechtliche Folgen)
d.h. auch für Schutzziele festlegen, wie streng sie
einzuhalten sind
– z.B. Verfügbarkeitsgrad 99,99 %
– z.B. Integrität: muss Veränderung verhindert werden oder reicht
es, sie zu erkennen?
• Priorisierung von Verletzungen (z.B. unerheblich, marginal,
kritisch, katastrophal)
Bedrohungsmodell und Risikomodell
Bedrohungsmodell u. a.
• Gruppe der potentiellen Angreifer
• deren mögliche Angriffsvektoren
• schützenswerte Assets: alles, das einen Wert darstellt, z.B.
•
•
•
•
Objekte
Daten
Personen oder deren Gesundheit
abstrakte Werte, z. B. die Reputation eines Unternehmens
Risikomodell: Abschätzung des Gesamtrisikos auf Basis konkreter
Parameter eines Szenarios, z. B.
• Exponiertheit einer Produktionsanlage
• Gefahr für Leib- und Leben
• rechtliche Rahmenbedingungen, die zu finanzielle Verpflichtungen
führen
Beispiel
Gruppe der potentiellen Angreifer:
• Mitarbeiter der Testabteilung
deren mögliche Angriffsvektoren:
• Manipulation der Prüfprotokolle
schützenswerte Assets:
• Gesetzeskonformität
Bedrohungsmodellierung
z.B. Threat Modeling durch die STRIDE-Methode
– Spoofing, Tampering, Repudiation, Information Disclosure,
Denial of Service, Elevation of Privilege
• entwurfsgesteuerte Bedrohungsmodellierung aus dem
Microsoft Security Development Lifecycle (SDL147).
• systematische Bewertung von Prozessen, Daten,
Schnittstellen, Systemgrenzen usw.
• Erzeugung einer automatisch generierte
Handlungsanweisung zur Einhaltung bestimmter
Schutzziele
• SDL Threat Modeling Tool
Vorgehen bei STRIDE
• 1. Schritt: Datenflussdigramm für High-Level-Sicht auf das
gesamte System.
– Beziehungen von externen Akteuren, Prozessen,
Datenspeichern, Datenflüssen und Vertrauensgrenzen darstellen
– Zerlegung eines Systems in seine relevanten Komponenten
• 2. Schritt: Analyse jeder Komponente im Hinblick auf
zutreffende Bedrohungen
– Auswirkungen im Schadensfall
– Maßnahmen für deren Entschärfung geeignete festhalten
• 3. Schritt: Dokumentation von externen
– Abhängigkeiten und getroffenen Annahmen für die
Ausführungsumgebung
Mögliche Bedrohungen
• Beispiel
Leugnung
Rechteausweitung
x
Dienstblockade
x
Enthüllung
Externe Akteure
Datenfluss
Datenspeicher
Prozess
Manipulation
Täuschung
Entität
x
x
x
x
x
x
x
x
x
x
x
x
x
angreifergesteuerte
Bedrohungsmodellierung
• ergänzend zu STRIDE
• wer könnte an welchen Ressourcen interessiert
sein?
• Fähigkeiten und Angriffsmöglichkeiten der
Angreifer
• Betrachtung unterschiedlicher Angreifer-Profile
• unterschiedliche Motivationen von AngreiferTypen berücksichtigen
• in Verbindung mit der wirtschaftlichen
Machbarkeit
Angreifer-Typen und Motivationen
Angreifertyp
Anwender
Böswillige
Angestellte
Kleinkriminelle
Script-Kiddies
Hacktivists
Konkurrent
Organisiertes
Verbrechen
Beschreibung
typischerweise keine
bösen Absichten.
Fähigkeiten Motivation
Niedrig
 Umgehen von Workflows
 Komfortablere Nutzung einer Software
 Anpassung von IT-Systemen an eigene Anforderungen
schädigen Arbeitgeber Niedrig/
 Erpressung
/ andere Angestellte
Mittel
 Rache, Ausschalten von Rivalen in Unternehmen,
vorsätzlich.
 Verstecken von unrechtmäßigen/unerlaubten Aktivitäten
keine umfassende
kriminelle Strategie
wenig kriminelle
Energie
politisch motiviert
Niedrig/
Mittel
Niedrig/
Mittel
Mittel
Konkurrierende
Mittel/
Unternehmen
Hoch
umfassende kriminelle Hoch
Strategie
Geheimdienste staatlich gelenkt
Hoch
 Unrechtmäßige persönliche Bereicherung
 Hacken für Anerkennung
 Beeinträchtigung „böser“ Unternehmen









Industriespionage
Sabotage
Illegale Aktivitäten mit monetärem Gewinn im großen Stil
Verstecken illegaler Aktivitäten
Erpressung
Verhindern von Ermittlungen
Auskundschaftung, Informationsdiebstahl
Manipulation von Informationen
Sabotage kritischer Infrastrukturen / Cyberwar
Auf Komponenten anwenden
• Ertrag eines Angriffs höher als Kosten
– Kosten hängen vom Angreifer ab (z.B. Angriff auf
ERP-Zugriffsdaten: niedrig für Angestellte, hoch
für Externe)
– gibt es eine Komponente, die für denselben Zweck
billiger angreifbar ist?
• Wert der verarbeiteten Daten / des Eingriffs
für den Angreifer
Priorisierung lt. Studie Sicherheit in
Industrie 4.0
• Sicherheit des eigenen Unternehmens hat
Vorrang:
– erst eigene Sicherheit
– erst danach Sicherheit des Kunden / Partners
• Daten sind wichtiger als Prozesse
Diskussion: stimmt das immer?
IT-Sicherheit in Industrie 4.0
- Übertragung von IT-Konzepten
•
•
•
•
Zugriffsrechte und Identitäten
Virenschutz
Sicherheits-Patches
Verschlüsselung
Zugriffsrechte und Identitäten
• Wer darf welche Daten nutzen?
• Ist jeder auch derjenige, für den er sich ausgibt?
– beispielsweise der Mechaniker eines externen
Dienstleister, der Maschinendaten ausliest
• Worauf hat er Zugriff – und worauf eben nicht?
• auch Maschinen und Sensoren.
– Kein Gerät darf sich in den Produktionsprozess
einklinken, ohne sich vorher zweifelsfrei identifiziert
zu haben.
Schwierigkeiten
• individuelle Benutzerkonten auf IT-Systemen in
Industrieumgebungen oft nicht umsetzbar
– Verfügbarkeitsanforderungen
– Administrationsaufwand
• individuelle Konfiguration von
Zugriffsberechtigungen
– einzelne Personen zu Maschinen
– erheblicher organisatorischer Mehraufwand
– schnelles Einschreiten im Fehlerfall unnötig erschwert
Virenschutz
• Verwendung von Antiviren-Software
– mögliche Performance-Verluste widersprechen Echtzeit
– fehlende Freigaben einer Komponente durch den Hersteller
(und damit einhergehende Service Level Agreements
– fehlende Produktangebote für die Komponenten.
• Datei-Quarantäne oder das Herunterfahren eines Systems
bei Infektion,
– so nicht umsetzbar.
– Weitere Gründe, die gegen den
• notwendige Pflege einer Antiviren-Lösung
– regelmäßige Updates der Signaturdatenbank oft nicht möglich
– Beeinträchtigung der Verfügbarkeit nicht akzeptabel
Sicherheitsupdates
Bedien- und Beobachtungssystem muss dem Bedienpersonal jederzeit
zur Verfügung stehen
• unkontrolliertes Einspielen von sicherheitsrelevanten
Softwareaktualisierungen
• ggf. Gefährdung des den Betrieb durch Nichtverfügbarkeit von
betriebsrelevanten IT-Systemen
• Reboot nicht akzeptabel
• In vielen Fällen erlauben Gerätezertifizierungen oder behördliche
Qualifizierungen kein Einspielen von Patches
• veraltete Betriebssysteme (z.B. Windows XP)
– Software läuft ggf. nicht unter neuen Betriebssystemen
– Maschinen sind jahrzehntelang in Betrieb
– eingeschränkte Speicher- und Rechenkapazität
Verschlüsselung
• Ende-zu-Ende-Verschlüsselung auch im
Produktionsumfeld
– Problem: Rechenkapazität
• auch mobile Kommunikation
spezielle Aspekte
• Privacy / Datenschutz
• Security by Design
• Urheberschutz
Privacy / Datenschutz
• Schutz personenbezogener Daten
 Bundesdatenschutzgesetz
• immer stärker automatisierte und umfassende
Datenerfassung
• personenbezogene Profile des Personals in der
Fabrikhalle
– u.U. sogar Gesundheit
– Mitbestimmungspflicht
Security by Design
Soll- und Istzustand zu vergleichen und daraus
Handlungsempfehlungen abzuleiten
• Beispiel Reduktion der Daten auf das Notwenige
 z.B. gegen Ausspähung
• gröbere Rasterung von Information als von Sensorik
geliefert
– für Verwendungszweck (z.B. zur Energieverbrauchsoptimierung)
oft ausreichend.
– entsprechenden Datenstrom aus der Sensorik früh verdichten.
• Reduktion auf der semantischen Ebene
– nur die zur Verarbeitung tatsächlich benötigte Information
•  semantische Beschreibung der Daten
Urheberschutz und Lizensierung
• Zur Produkterstellung werden sensible Daten auf
unternehmensfremde Produktionssysteme transferiert
 Einbettung von Methoden zum Urheberschutz
– z.B. Verfahren aus der digitalen Fotografie
– dort Einbettung von Meta-Informationen in Bilddateien
• Urheberschaft von digitalen Daten eindeutig und
gerichtsverwertbar nachweisbar zu machen
 Werkzeuge aus der klassischen Kryptografie.
• Lizensierung
– wie verhindere ich, dass mit den Daten für 3D Drucker
beliebig viele Kopien gedruckt werden?
Vermeidung vs. Erkennung
• kein System ist 100% sicher
 Angriffe können erfolgreich sein
• Sicherheitsvorfälle bleiben oft unentdeckt
– z.B. Spionage
– schlimmstenfalls auch Sabotage
Erkennung von Sicherheitsvorfällen
• zwei Ansätze der klassischen IT:
• Intrusion Detection Systeme
– Erkennung verdächtiger Aktivitätsmuster in IPKommunikation
• Probleme in einer Produktionsumgebung:
– nicht alle relevanten Daten laufen über IP-Protokolle
– Verursachung von Latenzzeiten in der Produktion
– Muster für IT-Sicherheitsvorfälle sind (noch) nicht
bekannt
Erkennung von Sicherheitsvorfällen
• Security Information Event Management
(SIEM) Systeme.
• Speichern, Analysieren und Bewerten von
Logdaten.
• noch keine Anbindung an die Aktuatorik- und
Sensorik-Datenebene
Nochmal: Security vs. Safety
• kann man diese Trennung im Kontext von
Industrie 4.0 aufrecht erhalten?
• Einbindung von Smart Products in
Dienstleistungen
• Wie kann verhindert werden, dass Smart
Products wie Autos oder
Produktionsmaschinen zur Gefahr werden?
– durch die neuen Services
– durch Angriffe auf die vernetzten Systeme
Sicherheitsgebiete und -themen
Fachgebiet
Industrie 4.0 Relevanz (z. T. Beispiele, unvollständig)
Erkennung von Sicherheitsvorfällen
Intrusion Detection, Mustererkennung
Anpassung auf das spezifische industrielle Umfeld
Penetration Testing
Autorisierte Tests der Systeme auf bekannte Schwachstellen
Organisatorische Prozesse, Verfahren, Nachsorge, Messbarkeit
IT-Sicherheitsmanagement
Implementierbarkeit bei KMU, Internationalisierungs-Aspekte
(organisatorisch, rechtlich)
Schadensbegrenzung nach
bei höchster Priorität der Aufrechterhaltung der Produktion
Sicherheitsvorfallen
Forensik
bei Industrie-spezifischen Komponenten
Zurechenbarkeit
Unabstreitbarkeit/juristische Haftbarkeit auch unter dem
Gesichtspunkt autonomen Handelns von Maschinen
Analyse von Sicherheitsvorfallen
Aufbau einer umfassenden Datenbasis von
industrierelevanten Vorkommnissen; Forensische
Überprüfung der Vorfalle
Malware Analyse
bei Industrie-spezifischen Komponenten
Metriken
Wirtschaftlichkeit von IT-Sicherheitsmaßnahmen in
industriellen Produktionsnetzen
Schwachstellenanalyse
Checklisten, Sicherheitstestverfahren für SCADA-/ICS-/CPSSysteme, Schwachstellen in Wertschöpfungsketten
Fachgebiet
I4.0 Relevanz (z. T. Beispiele, unvollständig)
Architektur, Vernetzung, Design, Schutz- und Abwehrtechnologien
Sicherheitsarchitekturen
Einbindung/Kapselung von Legacy-Komponenten
Netzwerksicherheit
Netzwerksegmentierung (IEC 62443),
Herausforderungen bei ad-hoc Vernetzungen
Sichere Kommunikationsprotokolle
OPC UA, Einbindung von proprietären sowie von
Legacy-Protokollen ohne interne Security-Features,
SSL/TLS, SSH, IPSec
Lightweight Cryptography
Berücksichtigung von zeitkritischen Anforderungen
und von begrenzten Ressourcen (Prozessor-Kapazität,
Energie)
AAA (Authentication, Authorization, Accounting)
unternehmensübergreifende AAA-Verfahren,
Berücksichtigung von zeitkritischen Anforderungen
Identitäts-Management
sicherer Identitätsnachweis von Maschinen und
Komponenten
Sicherheit von (Web-)Anwendungen
Designvorgaben in Industrieumgebungen, Verfahren
zum Schließen von Sicherheitslücken
Sichere Firmware
bei Industrie-spezifischen Komponenten
Produktschutz, Enterprise Rights Management
genuin Industrie-relevant
Verfügbarkeit
Implikationen von Sicherheitsmaßnahmen angesichts
unterschiedlicher Schutzzielpriorisierung im Vergleich
zur Office-IT
Robustheit, Widerstandsfähigkeit (Resilience)
Redundanzschemata, Isolation/Bypass befallener
Komponenten, Robustheit drahtloser Kommunikation
in Industrieumgebungen
Sicherheitsgebiete und -themen
Fachgebiet
Interdependenzen
Wechselwirkungen von IT-Sicherheit und
funktionaler Sicherheit (Security/Safety)
Schwachstellen bei Feature Interaktionen
Datenschutz
Datenschutz
I4.0 Relevanz (z. T. Beispiele, unvollständig)
bei I4.0 von besonderer Bedeutung, da in
Produktionsumgebungen in keinem Fall die
Arbeitssicherheit beeinträchtigt werden darf
Entwicklung von spezifischen IT-SicherheitsTestverfahren für Industriekomponenten und systeme
Technisch-organisatorische Maßnahmen und
rechtliche Implikationen, die bei I4.0 aus dem
vermehrten Weiterreichen von datenschutzrechtlich
sensiblen Daten an unterschiedlichste Partner der
Wertschöpfungskette und an Maschinen entstehen,
Datenschutzaspekte bei grenzüberschreitendem
Austausch von Daten
Fazit
• Die mit Industrie 4.0 einhergehende
Vernetzung erfordert kompetente Behandlung
von Sicherheitsfragen
– Der Bestand von Unternehmen steht auf dem
Spiel
• Konzepte aus der Office-IT sind nicht einfach
übertragbar
• Viele Teilgebiete der Security sind im Umfeld
von Industrie 4.0 relevant
Literatur
•
Studie im Auftrag des Bundesministeriums für Wirtschaft und Energie: ITSicherheit für die Industrie 4.0 - Produktion, Produkte, Dienste von morgen im
Zeichen globalisierter Wertschöpfungsketten
•
Plattform Industrie 4.0 Technischer Überblick: Sichere
unternehmensübergreifende Kommunikation. Herausgeber
Bundesministerium für Wirtschaft und Energie (BMWi) Öffentlichkeitsarbeit
11019 Berlin www.bmwi.de
•
Plattform Industrie 4.0 Technischer Überblick: Sichere Identitäten.
Herausgeber Bundesministerium für Wirtschaft und Energie (BMWi)
Öffentlichkeitsarbeit 11019 Berlin www.bmwi.de
•
Wegweiser IT-Security in der Industrie 4.0 - Erste Schritte zu einer sicheren
Produktion Herausgeber Bundesministerium für Wirtschaft und Energie
(BMWi) Öffentlichkeitsarbeit 11019 Berlin www.bmwi.de
Empfehlung der Plattform Industrie
4.0 zu grundlegenden Maßnahmen
• Benennung Security-Verantwortlicher
• Sensibilisierung der Produktionsmitarbeiter für
IT-Sicherheitsrisiken, auch im Umgang mit Handys
und Tablets
• Sicherheitskonzepte für Netzwerkzugänge
erarbeiten und umsetzen
• Umgang mit externer Hardware regeln
(Diagnosegeräte, USB-Sticks)
• Forderung an Hersteller: Virenschutz, aktuelle
Betriebssysteme etc
wer befasst sich mit Sicherheit?
Herunterladen