If you can't read please download the document
Upload
hakien
View
215
Download
0
Embed Size (px)
Citation preview
Cyber Security in der Automation
Andreas Langer
28.04.2016
ControlTech Engineering AG
Inhalt
Intro The Day After
Denkanstsse und Beispiele
Begriffserklrung & Abgrenzung
Anforderungen der Automation
Netzwerkstrukturen
Insel oder Vernetzung
Risiken & Schwachstellen
Angriffe und deren Schadensausmass
Strategien & Massnahmen
Organisatorisch & Technisch
Organisationen
Staatlich & Privatunternehmen
Fazit
Seite 2 ControlTech Engineering AG
Intro - The Day After Was wre wenn?
Denkanstsse und Beispiele
ControlTech Engineering AG Seite 3
The Day After | Was wre wenn?
Seite 4 ControlTech Engineering AG
Was passiert eigentlich bei einer Cyber Attacke in der Produktionsanlage?
Was tun wenn der Tag X kommt?
Wie lange dauert die Wiederherstellung des
Normalzustandes?
Wie gross knnte das Schadensausmass sein?
Sind SIE sich dessen bewusst?
verschafften sie sich per Social Engineering Zugriff auf das Bronetz des Werks, von wo aus sie sich ins Produktionsnetz vortasteten.
fhrten dazu, dass ein Hochofen nicht geregelt heruntergefahren werden konnte. Die Folge waren massive Beschdigungen der Anlage.
Als besonders gefhrdet werden in dem Bericht ungepatchte und alte Windows-Versionen sowie Smartphones mit veralteten Android-Systemen bezeichnet.
ControlTech Engineering AG Seite 5
The Day After | Ofen aus!
Quelle: Spiegel Online http://www.spiegel.de/netzwelt/web/bsi-bericht-hacker-legten-deutschen-hochofen-lahm-a-1009191.html
Der eigentlich bereits seit 2014 bekannte BlackEnergy Trojaner legt Stromversorger lahm
auch Funktionen zum Sabotieren von Industriesystemen.
Social Engineering mittels geflschter Email
ControlTech Engineering AG Seite 6
The Day After | totaler Blackout
Quelle: Zeit Online http://www.zeit.de/digital/internet/2016-01/stromausfall-hacker-ukraine-blackenergy
Mehr als der Verlust einer Tagesproduktion sei durch eine bsartige Manipulation nicht zu erwarten, dachten die Ingenieure.
Tatschlich stand die Fabrik komplett still.
Die Produktion brach zusammen, vorproduzierter Teig trocknete in den Transportrohren ein.
ControlTech Engineering AG Seite 7
The Day After | Nur versalzenen Keksteig?
Quelle: Spiegel Online http://www.spiegel.de/netzwelt/web/erpressung-durch-cyberattacken-angriffsziel-industrieanlage-a-1048034.html
Begriffserklrung & Abgrenzung Was bedeutet eigentlich Cyber Security?
Wo beginnt Automation IT?
ControlTech Engineering AG Seite 8
Das Wort Cyber ist abgeleitet vom englischen Cybernetics, der Kybernetik, der Lehre von Regel- und Steuervorgngen
Der Cyber-Raum umfasst alle durch das Internet ber territoriale Grenzen hinweg weltweit erreichbaren Informationsinfrastrukturen http://www.itwissen.info/definition/lexikon/Cyber-cyber.html
ControlTech Engineering AG Seite 9
Begriffserklrung | Cyber
Cyber
Im Sinne von Informationssicherheit, nicht Funktionssicherheit (Safety)
Nicht direkt oder einfach Messbar, daher Fokus auf Schutzziele: Authentizitt
Integritt
Vertraulichkeit
Verfgbarkeit
Verbindlichkeit
ControlTech Engineering AG Seite 10
Begriffserklrung | Security
Security
Im Allgemeinen Nach der Automationspyramide der gesamte
Bereich von der Feld- bis in die Unternehmensleitebene
Im Speziellen und Fokus der Prsentation
Systeme des Bereich der Steuer-, Mess- und Regeltechnik
Strukturen verfahrenstechnischer Anlagen
Branchen: Biotech, Pharma und Feinchemie
ICS Industrial Control System
Weitverbreiteter bergeordneter Begriff fr verschiedene Arten von Steuerungssystemen in industriellen Anlagen
Begriffserklrung | Automation
Seite 11 ControlTech Engineering AG
Automation
Abgrenzung | In der Automationspyramide
Seite 12 ControlTech Engineering AG
Klare Office-IT (Standard-IT)
Klare Automation-IT (Shop-Floor-IT)
Grabenkampf
Bildquelle: Wikipedia
Besondere Anforderungen der Automation-IT
Erhhte Anforderungen an das Echtzeitverhalten der IT, sowie an die funktionale und technische Robustheit
(BSI, 2013, S. 27f.)
Echtzeitfhigkeit der Steuer- und Regelkreise
Ausfhrung als Embedded Device
fehlende Testmglichkeiten
lange Betriebs- und Innovationszyklen (> 7 Jahre)
Sicherstellung von Gefahrlosigkeit fr Mensch und Technik
ControlTech Engineering AG Seite 13
Abgrenzung | Anforderungen der Automation
Netzwerkstrukturen Insel oder Vernetzung wer hat heute noch die Wahl
Verbindung zur Aussenwelt bewusst oder unbewusst
ControlTech Engineering AG Seite 14
T
Netzwerkstrukturen | Einfache Inseln - Gute alte Zeit!?
Seite 15 ControlTech Engineering AG
ERP Server + Arbeitsstation
HMI an Master-SPS
Bus-Verbindung zwischen SPSen und diskrete Verdrahtung
T
Netzwerkstrukturen | Vertikale Erweiterungen
Seite 16 ControlTech Engineering AG
Firmennetz- / Internetverbindung
Bro- Arbeitsstationen
MES-System / Produktionsfeinplanung
SPSen via Ethernet
Remote IOs und Intelligente Feldgerte
HMI SCADA
T
Netzwerkstrukturen | Horizontale Erweiterungen
Seite 17 ControlTech Engineering AG
WiFi und mobile Gerte
Historian ber mehrere SCADAs
T
Netzwerkstrukturen | Totale Vernetzung
Seite 18 ControlTech Engineering AG
Verbindung mehrere Produktionssttten
Fernzugang fr Support
Zunahme mobiler Gerte
Verlust des AIR-GAPs
Wireless in Feldebene
T
Netzwerkstrukturen | SPS Verbindung ins Internet
Seite 19 ControlTech Engineering AG
Angriffe von Aussen werden oftmals gut blockiert, aber Verbindungen nach Aussen sind in der Regel einfacher aufzubauen. Die Gefahr geht daher hufig von Innen aus!
INSEL
+ Keine Zugriff von aussen
+ Weniger Kompatibilittsprobleme
+ Bekannter/begrenzter Einflussbereich
- Kein Prozessdaten-Austausch
- Kein Remote-Support mglich
- meist veraltetes oder kein Antivirussystem
VERNETZUNG
+ Flexibler Informationsaustausch
+ Zentrale Verwaltung mglich z.B. Benutzerkonten / Berechtigungen
+ Aktualisierung Antivirus & Patches
-- Schadsoftware kann sich verbreiten
-- Unbemerktes Eindringen/ Einflussnahme von Aussen mglich
-- Schadensausmass kann sehr gross sein
ControlTech Engineering AG Seite 20
Netzwerkstrukturen | Insel vs. Vernetzung
RICHTIG
Es gibt nicht die eine, einzig richtige Struktur
Vor- und Nachteile mssen abgewogen werden
Gefahren mssen bewusst sein
FALSCH
Nichts tun!
Unabhngige Netzwerke direkt koppeln
Jeder darf das Netzwerk verwenden wie er mchte
Netzwerkstrukturen | Best Practise!?
Seite 21 ControlTech Engineering AG
Risiken & Schwachstellen Wie funktionieren Angriffe Wie ist die Risikoeinschtzung und das absehbare Schadensausmass
Seite 22 ControlTech Engineering AG
Beurteilung von Risiken
Office-IT
Vertraulichkeit und Integritt von Daten stehen im Vordergrund
Wesentliche Risiken betreffen die nachhaltige Strung von Geschftsprozessen
Automation-IT
Schutz von Mensch und Umwelt stehen im Vordergrund
Wesentliche Risiken betreffen den unzureichenden Schutz von Menschen und die Zerstrung von Produktionskapazitten. Auswirkungen auf die Umwelt sind mglich
Risiken | Unterscheidung Office und Automation
Seite 23 ControlTech Engineering AG
Festgestellte Auditergebnisse zur aktuellen Gefhrdungslage
Netz Anbindung unbekannter Systeme zur
Datensicherung
Firewall/ Router Regeln nicht ausreichend restriktiv
undokumentierte Regeleintrge
offenbar nicht mehr bentigte Datenflsse
Bypass im Routing
Modems ungeschtzter Zugang
Anschluss nicht dokumentiert
stndige Verbindung (always-on)
Auszug aus BSI (Bundesamt fr Sicherheit in der Informationstechnik)
ICS-Security-Kompendium
Fernwartung Anschluss direkt in Feldebene
Funkverbindungen fehlende Verschlsselung
veraltete Netzelemente
Industrie-Switche fehlende Robustheit gegen unerwartete
bzw. nicht-standardkonforme Kommunikation
Backdoors (z. B. hardcodierte Passwrter)
Risiken | aktuelle Gefhrdungslage
Seite 24 ControlTech Engineering AG
Organisatorische Gefhrdungen
Mangelndes Bewusstsein (Awareness)
Unzureichende Regelungen zur IT-Security
Unzureichende Dokumentation
Unvollstndige Absicherung der Fernwartungszugnge
Einsatz von Standard-IT-Komponenten mit bereits identifizierten Schwachstellen
Fehlende berwachung der untersttzenden Infrastruktur
Abhngigkeiten des ICS-Netzes von IT-Netzen
Risiken | Gefhrdungen der IT-Security
Seite 25 ControlTech Engineering AG
Menschliche Fehlhandlungen
Unzureichende Absicherung oder zu weitreichende Vernetzung
Mangelhafte Konfigurationen von Komponenten
Fehlende Backups
Mobile Datentrger und Laptops
Unzureichende Validierung von Eingaben und Ausgaben
Aktuellster ICS-CERT Report (2014):
Nur 2% via mobile Datentrger wie USB-Sticks
17% mittels Phishing / geflschter Emails
Risiken | Gefhrdungen der IT-Security
Seite 26 ControlTech Engineering AG
Vorstzliche Handlungen
Kommunikation von Mess- und Steuerwerten
Ermitteln von Zugangsdaten mittels Wrterbuch- und Brute-Force-Angriffen
Systematische Schwachstellensuche ber das Netzwerk
Denial-of-Service-Angriffe (DoS)
Man-in-the-Middle-Angriff
Phishing
(einfache Toolkits hierfr im Internet)
Risiken | Gefhrdungen der IT-Security
Seite 27 ControlTech Engineering AG
Injection-Angriffe
Cross-Site-Scripting
Drive-By-Downloads
Schadsoftware auf Engineering Workstation
Schadprogramme
Replay-Angriff
Physischer Angriff zur Provokation administrativer Eingriffe
Strategien & Massnahmen Welche Mglichkeiten bieten sich technischer und organisatorischer Natur
Seite 28 ControlTech Engineering AG
Strategien industrielle Kontrollsysteme zu verteidigen Die TOP 3
Application Whitelisting Ausschliesslich erwnschten Programmen die
Ausfhrung erlauben Allg. restriktiver Anstze whlen:
Alles verbieten, nur notwendiges erlauben
Ordnungsgemsse Konfiguration / Patch Management
Unntige Programme/Features deinstallieren/deaktivieren
Keine Standard-User/Logins Aktuelle System-Patches und Virendefinitionen
Angriffsflche verkleinern Portmanagement physisch alles abschalten was nicht
verwendet wird. Keine Netzwerkbergreifende Verbindungen wenn
nicht notwendig. Wenn mglich Einweg-Kommunikationen
Strategien | Top 3
Seite 29 ControlTech Engineering AG
Percentage of ICS-CERT FY 2014 and FY 2015 Incidents Potentially Mitigated by Each Strategy Quelle: ICS-CERT - Seven Steps to Effectively Defend Industrial Control Systems
Best Practice Guide fr Betreiber
Bei der Umsetzung der beschriebenen Manahmen ist zu beachten, dass insbesondere folgende Manahmen als erstes umgesetzt werden sollten:
1. Aufbau einer Security-Organisation
2. Erstellen und Pflegen der Dokumentation
3. Etablieren eines Security Managements
4. Netzplan
5. Liste der IT-Systeme und installierten Anwendungen
6. Administrations- und Benutzerhandbcher
BSI - ICS-Security-Kompendium
Strategien | Best Practice !?
Seite 30 ControlTech Engineering AG
Netzsegmentierung
Zonen/Brandabschnitte schaffen
Statische Netz-Konfiguration (IPs usw.)
Gleiche Sicherheitsmassnahmen fr ICS in einem Netzsegment
Unabhngiger Betrieb der Netzsegmente
Absichern der Funktechnologien
Defense in Depth
Mehrstufiges Sicherheitskonzept
Mglichst viele verschiedenartige Hrden
Strategien | Zonen schaffen !!!
Seite 31 ControlTech Engineering AG
Klassische Firewalls
Host-based Firewalls
Paketfilter (Filterung nach IP-Adresse und Port),
Stateful Inspection Firewall (Filterung nach IP-Adresse, Port und Verbindungsstatus),
Application Level Gateway (Zustzliche Filterung bis auf Anwendungsebene).
Datendiode (One-Way-Gateway)
Lichtwellenleiter ohne Rckkanal
Die Informationen knnen rein physisch nur in eine Richtung!
Massnahmen | technischer Natur
Seite 32 ControlTech Engineering AG
Quelle: http://www.elektroniknet.de/automation/m2m/artikel/129079/
Intrusion-Detection-Systeme (IDS)
Verbindungen berwachen
Angriffsversuche frh erkennen und Administratoren rechtzeitig alarmiert
Ports an (Core) Switch auf IDS spiegeln oder in-line als Ethernet Bridge
Als ungeschtztes System ausgeben und Angriffe provozieren (Honeypot)
Intrusion-Prevention
automatisierte Reaktion auf den Angriff einleiteten
Massnahmen | technischer Natur
Seite 33 ControlTech Engineering AG
Quelle: VIDEC Data Engineering GmbH
Mgliche resultierende Netzwerkstruktur
Teilnehmer lediglich in einem Netzsegment
Firewall zwischen Feld, SCADA und Historian
Kommunikation via OPC UA und definierte Ports
Daten-Diode in Richtung Office-IT
Massnahmen | Mgliches Resultat
Seite 34 ControlTech Engineering AG
T
Organisationen Staatlich und aus der Privatwirtschaft
Seite 35 ControlTech Engineering AG
Standards (Regulieren)
ISO/ IEC
DIN
VDI, VDE und DKE
NAMUR
BDEW
VGB
NERC
NIST
DHS
CPNI Grobritannien
Einrichtungen (Untersttzen)
Organisationen | Staatlich
Seite 36 ControlTech Engineering AG
BSI:
ICS-CERT:
Organisationen | Siemens - Cyber Security
Seite 37 ControlTech Engineering AG
Siemens erffnet
Cyber Security Operation Center zum Schutz von Industrieanlagen
Siemens und Audi sind nur zwei der Unternehmen, die im Rahmen des laufenden
Hacker-Wettbewerbes hnderingend nach neuen Mitarbeitern suchen.
Fazit In wenigen Worten
Seite 38 ControlTech Engineering AG
Die Gefahren lauern berall, wir mssen kritisch genug hin schauen!
Nur weil bisher vielleicht nichts passiert ist sollten wir nicht blind vertrauen!
Risiken mssen erkannt, bewertet und minimiert werden bevor es zu spt ist!
Fazit | Truthahn-Illusion
Seite 39 ControlTech Engineering AG
Wohlergehen durch menschliche Frsorge im Zeitverlauf Quelle: Nassim Nicholas Taleb
Truthahn-Illusion
Security waits for no one, so dont wait for security