In Sammlung (en) In der gespeicherten
  1. Keine Kategorie

Wolfgang Fritsche, IABG - Cyber Security Challenge Germany

Werbung 
Wolfgang Fritsche, IABG
Berlin, 02.-03.02.2015
Ziele von Industrie 4.0
Herausforderungen für die Sicherheit
Aktivitäten zu ersten Lösungsansätzen
Weitere Aktivitäten
Zusammenfassung
2
© Wolfgang Fritsche
3
Industrie 4.0 fokusiert auf Fertigungs- und
Produktionsindustrie
Kernziele von Industrie 4.0
Flexibilisierung der Fertigung
Individualisierung bei Serienfertiung („Losgröße 1“)
Integrierte Steuerung der gesamten Wertschöpfungskette
(Einbindung von Kunden und Geschäftspartnern)
Erhalt der Wettbewerbsstärke
Um die Kernziele zu erreichen, ist eine Vernetzung
aller Instanzen der Wertschöpfungskette
erforderlich
© Wolfgang Fritsche
4
ERP
MES
i40
i40
i40
SOA + Pub/Sub für M2B
(nicht echtzeitrelevant)
i40
Produkt mit seinem
IT-Repräsentant. z.B.
per RFID, NFC, etc.
i40
i40
TCP/UDP/IP-basiert
i40
i40
i40
I/O-Modul
i40
Echtzeit SOA
+ Pub/Sub für
M2M mit D1ms
i40
i40
i40
i40
i40
Quelle: IEC61131-3
© Wolfgang Fritsche
5
Durchgängige vertikale Vernetzung:
Kunde, ERP, Supplier, MES, SCADA,
factory floor, …
Echtzeitfähigkeit: Bestimmte Prozesse
erfordern Echtzeitfähigkeit bis zu 1ms
Automatisierungspyramide
Zeitsynchronisation: Bestimmte Prozesse
erfordern synchron / isochron
Drahtlos und drahtgebunden: Bestimmte
Prozesse erfordern drahtlose Vernetzung
(z.B. Steuerung beweglicher Teile)
Eindeutige und sichere Identifizierung:
Anmerkung – IP (IPv6) Adressen eignen
sich hier nicht
© Wolfgang Fritsche
6
Mehr als 86 % der Maschinenbau-Firmen
setzen Ethernet-Technologien ein
Mehr als 71% setzen Echtzeit-Ethernet ein
ProfiNet ist Marktführer bei den Echtzeit-EthernetProtokollen
Hauptkritikpunkt: Zu viele verschiedene
Standards treiben Kosten für Integration
Erforderliche Gateways, Inkompatibilitäten, …
Quelle: Quest TechnoMarketing, 2013
© Wolfgang Fritsche
Quelle: Quest TechnoMarketing, 2013
7
© Wolfgang Fritsche
8
Bedeutung von Sicherheit
für Industrie 4.0
© Wolfgang Fritsche
9
Industrial Control Systems / Cyber Physical
Systems (Steuer- und Regelungsgeräte) haben
mehrere Limitierungen bzgl. Sicherheit
Eingeschränkte Performance bewirkt Limitierung bei
Sicherheitsmechanismen
Wenig / keine Sicherheitsmechanismen implementiert
Einschränkung hinsichtlich Veränderungen / Updates
wegen Haftung
Probleme bei Durchführung von Veränderungen / Updates
wegen 24/7 operativer Betrieb
Oftmals proprietärer Code ohne Robustheit ggü.
möglichen Angriffen
Häufig keine regelmäßigen Software Updates vorhanden
Keine direkte Nutzerschnittstelle
…
© Wolfgang Fritsche
10
Infektion mit Schadsoftware über Internet und
Intranet
Einschleusen von Schadsoftware über
Wechseldatenträger und externe Hardware
Social Engineering
Menschliches Fehlverhalten und Sabotage
Einbruch über Fernwartungszugänge
Quelle: BSI
© Wolfgang Fritsche
11
Internet-verbundene Steuerungskomponenten
Technisches Fehlverhalten und höhere Gewalt
Kompromittieren von Smartphones im
Produktionsumfeld
Kompromittieren von Extranet und CloudKomponenten
(D)DoS Angriffe
Quelle: BSI
© Wolfgang Fritsche
12
Maleware, die speziell für Angriffe auf SCADASysteme entwickelt wurde
Anwendungsfeld: z.B. Frequenzumrichter, die bei
Steuerung von Industrieanlagen eingesetzt werden.
U.a. Störung von Anlagen des iranischen Atomprogramms
Infizierung von Programmiergeräten mit Ethernet,
USB, Profibus Schnittstellen und
Programmiersoftware
Eigenständige Verbreitung auf weitere Programmiergeräte
Bei Anschluss von Programmiergeräten an
Steuerungsanlage erfolgt die Manipulation der
Anlage
© Wolfgang Fritsche
13
© Wolfgang Fritsche
14
Mögliche Herangehensweise
Analyse eines Prozesses und Unterteilung in
Prozessabschnitte
Identifikation der jeweiligen Assets in den einzelnen
Prozessabschnitten
Identifikation der Security Anforderungen der
verschiedenen Assets (abgeleitet aus den
Schutzzielen aus Sicht des Vertriebs, Wettbewerbs
und Datenschutz)
Confidentiality
Integrity
Availability
© Wolfgang Fritsche
15
Beispiel: Produktfertigungsprozess
Assets im Prozessabschnitt „Auftrag“
Kundenbeziehungen (C, I, A)
 Geschäftshistorie (C, I, A)
…
Produktinformationen (C, I, A)
Virtuelles Produktmodell (C, I, A)
Kunden- und Vertragsdaten (C, I, A)
 Name (C, I, A)
 Bonität (C, I, A)
…
Assets im Prozessabschnitt „Produktion“
Verfügbarkeit und Zustandsdaten der Fertigungsanlage (C, I, A)
Auslastung und Qualität der Zulieferer (C, I, A)
Informationen über Produkteigenschaften und -qualität sowie
Prozessqualität (C, I, A)
© Wolfgang Fritsche
16
Sichere Identitäten sind u.a. erforderlich zur
Durchführung von Produktionsaufträgen
Nachvollziehung von Aufträgen
Umsetzung von Sicherheitsfunktionen
Mögliche Anforderungen an sichere Identitäten
Eindeutigkeit (kontextbezogen, ggf. weltweit)
Manipulationssicher
Nachweisbar (Identifizierung)
Vereinbar mit Datenschutz (Pseudonymisierung,
Anonymisierung)
Dauerhaft
…
© Wolfgang Fritsche
17
Ansatz: Verwendung von OPC
UA
Optimiertes TCP-basierte Binärprotokoll oder webbasiert
Unabhängigkeit
Von Hersteller, Branche, Betriebssystem,
Kommunikationsprotokoll
Skalierbarkeit
OPC UA Architektur
Quelle: www.elektroniknet.de
Ab 15 kByte footprint
Unterstützung von Plug & Produce
Mechanismen zur Bekanntmachung von
Teilnehmern und deren Funktion
Standardisierung ermöglicht
Konformitätsprüfung
IEC 62541
OPC UA in Industrie 4.0
Quelle: www.automationworld.com
© Wolfgang Fritsche
18
Sicherheitsmechanismen in OPC UA
User Level Security
Server authentifiziert Client anhand Token und autorisiert
Objektzugriff für Benutzer
Application Level Security
Austausch von Zertifikaten (z.B. X.509) zwischen Client und Server
Transport Level Security
Verschlüsselung der ausgetauschten Datenpakete (z.B. Verwendung
von SSL/TLS, AES, …)
Skalierbares Sicherheitskonzept
Quelle: OPC Foundation
© Wolfgang Fritsche
19
© Wolfgang Fritsche
20
Vielfalt relevanter Funktechnologien für Sensorik und
Steuerung bringt eigene (proprietäre) Sicherheitsmechanismen
WirelessHART
ZigBee / IEEE 802.15.4 (symmetrische Verschlüsselung und MAC)
Bluetooth (verschiedene Sicherheitsmodi)
WLAN (z.B. 802.11i)
RFID (z.B. Challenge-Response Authentifizierung)
Weiterentwicklung von IEEE 802.15.4 (e)
Timeslotted Channel Hopping Verfahren
Robuster gegen Interferenzen
Ziel: Bessere Einsatzmöglichkeiten in Industrie
WiTECK (Wireless Industrial Technology Konsortium) setzt
Standards zur drahtlosen Vernetzung um
Erster umgesetzter Standard war WirelessHART
© Wolfgang Fritsche
21
Standardisierungsaktivitäten der IETF
6lo: IPv6 Header Compression Mechanismus für
IEEE 802.15.4 Netzwerke
6tsch: IPv6 für Echtzeitmodus (timeslotted Channel
Hopping) von IEEE 802.15.4 (IEEE 802.15.4e)
roll: Optimiertes Routingprotokoll für Netzwerke mit
„eingeschränkter Leistung“
core: Constrained Application Protocols für Netzwerke
mit „eingeschränkter Leistung“
© Wolfgang Fritsche
22
AG 4: Sicherheit vernetzter Systeme
Quelle: Plattform Industrie 4.0
© Wolfgang Fritsche
23
Methodik
Diskussion von Bedrohungen und Risiken anhand einer
exemplarischen I4.0 Wertschöpfungskette
Berücksichtigung bekannter Sicherheitskonzepte, -architekturen
und Standards
Konzipierung Security in der vertikalen und horizontalen
Vernetzung
Lösungen
Anforderungen an sichere Identitäten für Produkte, Prozesse
und Maschinen
Darstellung der Bedeutung von Security aus
betriebswirtschaftlicher Perspektive
Identifikation von Bewertungsverfahren zur Überprüfung der
Security von einzelnen Komponenten
Identifikation von Bewertungsverfahren bei der Vernetzung von
Komponenten und Securitydomänen
Zulieferungen an I40-Referenzarchitektur
Anforderungen an Forschung und Standardisierung
© Wolfgang Fritsche
24
Dialogplattform Industrie 4.0 unter Leitung von
BMWi
Go Live zu Hannover Messe geplant
Quelle: ZVEI
© Wolfgang Fritsche
25
CyProS, BMBF, 09/12 – 09/15, ~10M€
Erarbeitung von Sicherheitskonzepten zwischen CPS und
Anwendungen
pICASSO, BMBF, 10/13 – 09/16, ~4,1 M€
Sichere und skalierbare Steuerung von CPS aus der Cloud
SecurePLUGandWORK, BMBF, 11/13 – 10/16,
~5,2 M€
Entwicklung einer sicheren, ebenenübergreifenden
Plug&Work Umgebung zur effektiven Vernetzung von
Komponenten
eApps4Production, BMBF, 11/13 – 10/16, ~3,6 M€
Sichere Bereitstellung von Informationen und Wissen von
CPS auf einer gemeinsamen Plattform
…
© Wolfgang Fritsche
26
© Wolfgang Fritsche
27
Industrie 4.0 erfordert eine enge Vernetzung von
Factory Floor und Office Floor
Cyber Physical Systems des Factory Floors haben
wenig/keine Sicherheitsfunktionalität und sind
folglich zahlreichen Bedrohungen ausgesetzt
An zahlreichen Stellen werden derzeit
Sicherheitsfunktionen für Industrie 4.0 erforscht
und entwickelt
Viele Bereiche von Industrie 4.0 befinden sich noch
in der Standardisierung
Plattformen unterstützen einen Austausch
zwischen den Stakeholdern
© Wolfgang Fritsche
28
© Wolfgang Fritsche
29
Wolfgang Fritsche
Leiter Competence Center
Bereich Digital Assurance
Telefon: +49 89 6088-2897
Email: [email protected]
© Wolfgang Fritsche
30
Zugehörige Unterlagen
DB-Modellierung mit ER
DB-Modellierung mit ER
der komplette Vortrag (inkl. Fritsche)
der komplette Vortrag (inkl. Fritsche)
Testfragen Mittwochgruppe
Testfragen Mittwochgruppe
pressemitteilung
pressemitteilung
Prädiktoren für einen Rückfall des Mißbrauchs von Schmerz
Prädiktoren für einen Rückfall des Mißbrauchs von Schmerz
Eine neue App zeigt, wo man fleischlos essen kann
Eine neue App zeigt, wo man fleischlos essen kann
Fundstück: Die Kirche auf dem „Drachenfels“
Fundstück: Die Kirche auf dem „Drachenfels“
Lieber Wurzeln als Blattmasse
Lieber Wurzeln als Blattmasse
01. Juni 2015 - AASSET Security GmbH
01. Juni 2015 - AASSET Security GmbH
Die Medical Humanities im Kontext des medizinischen Fortschritts
Die Medical Humanities im Kontext des medizinischen Fortschritts
Pressemitteilung Infotecs veröffentlicht ViPNet
Pressemitteilung Infotecs veröffentlicht ViPNet
Unterlagen zum Versuch 2
Unterlagen zum Versuch 2
Herunterladen
Werbung