Embed Size (px)
Citation preview
12.10.2017
1
Sicherheit in der FernwirktechnikInformationstag Trinkwasser 2017
Patrick Erni
3 Jahre Leiter IT-Services bei Rittmeyer HSLU Information Security HSLU IT-Driven Business Innovation ISO 27001 Officer
12 Jahre Leiter Informatik bei Rittmeyer HSLU IT-Management ITIL Foundation
10 Jahre ICT-Projektleiter Banken, Versicherung und KMU Umfeld MCSE Microsoft zertifiziert NCSE Novell zertifiziert
10 Jahre Hardware System Engineer IBM HW Zertifiziert
Das Unternehmen Rittmeyer
Gründungsjahr:1904 Unternehmensform: Aktiengesellschaft Hauptsitz: Baar (Schweiz)Anzahl der Mitarbeitenden: 300 Weltweit installierte Systeme: über 20’000
12.10.2017
2
Inhalt
Was ist Sicherheit
Bedrohungen
Schwachstellen
Gefahren
Wie schützen wir uns
© Patrick Erni – Rittmeyer AG
Simulation eines Wasserkraftwerkes (mit Steuerungsebene über das Internet)
Quelle: MELANI Halbjahresbericht 2015
12.10.2017
3
Bedrohung - Live Angriffe
http://threatmap.fortiguard.com/
https://threatmap.bitdefender.com/
https://threatmap.checkpoint.com/ThreatPortal/livemap.html
https://intel.malwaretech.com/pewpew.html
aus der Presse….
12.10.2017
4
Es gibt zwei Arten von Unternehmen: solche
die schon gehackt wurden, und solche, die
es noch werden.
Die Frage ist heute nicht mehr, ob ein
Unternehmen angegriffen wird, sondern
wann!
Definition von Informations-Sicherheit
Informationen sind wichtige Unternehmenswerte und werden heute überwiegend mit IT-Systemen übertragen, verarbeitet, gespeichert.
12.10.2017
5
Gesetze und Vorlagen
• Das EU-Parlament beschliesst am 14.4.2016 eine Datenschutz-Grundverordnung (DSGVO)
• Die Bestimmungen der DSGVO und des österreichischen Datenschutzgesetzes (DSG) ist in der Fassung des Datenschutz-Anpassungsgesetzes 2018 und gelten ab 25.5.2018.
Die Regeln für die Verarbeitung personenbezogener Daten, die Rechte der Betroffenen und die Pflichten der Verantwortlichen werden EU-weit vereinheitlicht. Jedes Unternehmen, das in irgendeiner Weise personenbezogene Daten verarbeitet, ist betroffen. (z.B. eine Kundendatei führt, Rechnungen ausstellt, Lieferantendaten speichert)
Ab diesem Zeitpunkt drohen bei Verstössen hohe Geldbussen von bis zu 10 Mio €oder im Fall eines Unternehmens von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.
Zukünftige Gesetze und Vorlagen
In Österreich ist das BMI und das BKA für den Schutz kritischer Infrastrukturen beauftragt. Sie werden vom APCIP in der Umsetzung unterstützt.
Das IT-Sicherheitsgesetz (ITSiG) verlangt von Betreibern kritischer Infrastrukturen, kurz KRITIS, dass sie ihre Netze besser schützen und Angriffe melden.
Die ÖVGW hat einen Branchenstandard für IT-Sicherheit Wasser/Abwasser
12.10.2017
6
Bedrohung + Schwachstelle = Gefahr
Erpressung
Manipulation
Ausfall
Diebstahl
Spionage
Zerstörung
USB-Speicher
Internet
Netzwerk
Mitarbeiter
An der Bedrohung können wir nichts ändern - Schwachstellen können jedoch vermeiden werden
Bedrohungen
Menschen– Cyber-Angreifer
– Terroristen
– Aktivisten
– Mitarbeiter
Malware (Virus)
Hardware / Technik– externe– Interne
Software– externe– Interne
höhere Gewalt– Feuer– Wasser– Blitz– Erdbeben
12.10.2017
7
Angreifer-Typologie
Die häufigsten erfolgreichen Tätergruppen
Quelle: IBM X-Force Cyber Security Intelligence Index 2016
12.10.2017
8
Top Schwachstellen (BSI 2017)
Social Engineering
Einschleusen von Schadsoftware über Wechseldatenträger
Infektion und Angriffe über Internet und Intranet
Einbruch über Fernwartungszugänge
Menschliches Fehlverhalten und Sabotage
Technisches Fehlverhalten
Höhere Gewalt
(D)DoS - Angriffe
Was ist Social Engineering?
Social Engineering ist ein Verfahren, um sicherheitstechnisch relevante Daten Computer- oder Human Based durch Ausnutzung menschlicher Komponenten in Erfahrung zu bringen. Menschen sind manipulierbar und generell das schwächste Glied in einer Kette.
Die Informationen werden gesammelt aus: Gesprächen
Telefongesprächen
Homepage
Internet
Darknet
Social Medien (Facebook, Xing, LinkedIn, Search, usw.)
Prospekte
Firmenorganigramm
Firmentelefonbuch
12.10.2017
9
Schwachstelle USB-Speicher
Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware wie USB-Sticks.
Mitarbeiter verwenden diese häufig Privat, im Office- als auch in ICS-Netzen
Schwachstelle Mitarbeiter (Klicker)LinkedIn
DHL
UPS
Zalando
eBay
Amazon
PayPal
iTunes
Microsoft
Banken
Mastercard
Visa
Behörden
12.10.2017
10
Top Malware-Quellen
#1 Drive by DownloadMalware installiert sich im Hintergrund beim Download einer Webseite Bis zu 200‘000 neu infizierte Webseiten pro Monat
#2 Spam MailÖffnen einer infizierten E-Mail oder deren Anhang führt zur Infektion 89% aller E-Mails sind Spam
#3 Direkte DownloadsInfektion durch den direkten Download von Malware (getarnt als gutartiges Programm) Eines von 14 heruntergeladenen Programmen ist böse
Schwachstelle Netzwerk / Internet
Digitalisierung Internet of Things Cloud Computing Industrie 4.o
12.10.2017
11
Schwachstelle IP-Adresse (Shodan Suchmaschine)
Schwachstelle Fernwartungszugang
In ICS-Installationen sind externe Zugänge für Wartungszwecke weit verbreitet. Häufig existieren dabei Zugänge mit Standardpasswörtern oder fest kodierte Passwörter. Mit gestohlenem Equipment oder Zugangsdaten wird ein eindringen für Cyber-Kriminelle sehr einfach.
• Grundregel 1: Die Initiative zum Aufbau einer Support- oder Fernwartungssession muss
immer vom Anwender ausgehen.
• Grundregel 2: Die Fernwartungsverbindung muss verschlüsselt sein.
• Grundregel 3: Der Fernwartende muss sich sicher authentifizieren, bevor er Zugriff auf das
System erhält.
• Grundregel 4: Die Durchführung einer Fernwartung muss protokolliert werden.
• Grundregel 5: Verhängen einer Zeitsperre bei fehlerhaften Zugangsversuchen.
ein VPN-Zugang ist ein Schlüssel in die Firma….
12.10.2017
12
Gefahren
Verfügbarkeit– instabile Systeme
– instabile Kommunikation
– Blockierte / Defekte Systeme
– Zerstörung der Systeme
Fernsteuerung– Software
– Hardware
Erpressung
Diebstahl– Daten
– Informationen
– Finanzen
– Hardware
Datenmanipulation– Sensoren (Überlauf)
– Sensoren (Durchfluss)
– Aufzeichnungen
– Abrechnungen
Gefahren Map
12.10.2017
13
Wie Schützen wir uns?
Nur Technische Massnahmen
PASSWORD
Mythen, Missverständnisse und Fehleinschätzungen
12.10.2017
14
Unterschied zwischen Office- und Industriewelt
Wie müssen wir uns Schützen?
IT-Sicherheit wird beeinflusst durch Menschen, Prozesse und Technologie
Dabei besteht es aus 75% Mensch (Organisatorisch) und 25% Technologie
den gesunden Menschenverstand einsetzen
12.10.2017
15
Burgarchitektur als Vorbild
10 Punkte Sicherheitsplan
12.10.2017
16
Update Service
Schluss mit „never change a running system!“
Um höchste Versorgungssicherheit zu gewährleisten und zu erhalten, müssen auftretende Sicherheitslücken in der Softwareinstallation umgehend behoben werden. Dafür ist es notwendig, dass verfügbare Aktualisierungen regelmässig durchgeführt werden.
Backup Service
Die Komplette Datensicherung in der Cloud
Die Notwendigkeit für Backups ist vorhanden. Es wird jedoch unterschätzt, oft vernachlässigt und nicht seriös gehandhabt. Mit der vollautomatischen Daten-Backup Lösung übernimmt der Anbieter die Verantwortung für die regelmässige und effiziente Sicherung der wertvollen Anlagendaten.
12.10.2017
17
Cloud Service
Die Leittechnik Anwendung in einem Cloud Service.
Sie ist rund um die Uhr, 365 Tage im Jahr verfügbar. Ein Anwender greift über das Internet (verschlüsselt) auf die gewünschte Anwendung zu. Alle Investitionen in eigene Hardware und Massnahmen zu deren sicheren und störungsfreien Betrieb entfallen.
ICT-Sicherheitsberatung
Zertifizierten ISO-27001-Experten unterstützen Sie dabei, potenzielle Schwachstellen und Bedrohungen frühzeitig zu erkennen.
Wir erstellen Ihnen eine IST-Analyse und können danach mit gezielten Schutzmassnahmen ein individuelles und strukturiertes IT-Sicherheitskonzept für einen IT-Grundschutz erstellen.
IT-Grundschutz
IT-Sicherheitskonzept
ISMS nach ISO 27001
Zertifizierung ISO 27001
12.10.2017
18
Die Welt der Hacker
Ablaufphasen eines Hackerangriffs
Aufklärung
Scan
Eindringen
Nachbearbeiten
Erhalten des Zugriffs
Penetration Testing
Informationsbasis
Aggressivität
Umfang
Vorgehensweise
Ausgangspunkt
Technik
12.10.2017
19
Penetration Testing
mit einem Penetration-Tool (über 300 Werkzeuge) werden Angriffe durchgeführt
Was darf Sicherheit Kosten?
Eine Schutzmassnahme sollte nicht mehr kosten als das, was ich schützen will, Wert hat (es können auch subjektive Werte sein)
12.10.2017
20
