WIXLIB

27. Windenergietage in LinstowSecurity in der industriellen Vernetzung – Gefahren und MaßnahmenThorsten Vogel, PHOENIX CONTACT Cyber Security AG6. November 2018

Security in der industriellen Vernetzung – Gefahren und MaßnahmenAgenda Einführung Bedrohungen, Vorfälle und Schwachstellen Standards, Rahmenwerke und Richtlinien Wirksame Maßnahmen Zusammenfassung2Thorsten Vogel, PHOENIX CONTACT Cyber Security AG6. November 2018

Security in der industriellen Vernetzung – Gefahren und MaßnahmenAussagen von berufenen Stellen BSI, Lagebericht 2016 und 2017:„Insbesondere im Zuge der Industrie 4.0 schreitet die Vernetzung industriellerSteuerungssysteme (ICS) stetig voran.“„Hier Sicherheit zu gewährleisten und gleichzeitig den Anforderungen an einemoderne und flexible Smart Factory gerecht zu werden, ist eine nur schwer zumeisternde Herausforderung.“„Wird ein Unternehmen so zum Ziel eines Cyber-Angriffs, können durch Betriebsbzw. Produktionsausfälle oder den Diebstahl von Daten relevante Schädenentstehen.“„Im Speziellen sind Betreiber von Bestandsanlagen gefordert, organisatorische undtechnische Maßnahmen zu ergreifen, um diese zu schützen.“3Thorsten Vogel, PHOENIX CONTACT Cyber Security AG6. November 2018

Security in der industriellen Vernetzung – Gefahren und MaßnahmenGetrennte Welten wachsen zusammen IT gehört bei produzierenden Unternehmen nicht zum Kerngeschäft, sondernhat typischerweise eine unterstützende, jedoch geschäftskritische Funktion Produktionsnahe EDV (Operational Technology, OT) ist regelmäßig inanderer Verantwortung als die klassische EDV (Information Technology, IT) Zunehmende Vernetzung beider Bereiche, Durchdringung von typischen ITTechnologien und Protokollen im OT Bereich, und eine damit einhergehendeAufweichung der klassischen Automatisierungspyramide erzwingen einZusammenwachsen beider Bereiche Dies erfordert vor allem auch eine gemeinsame Sicherheitsstrategie4Thorsten Vogel, PHOENIX CONTACT Cyber Security AG6. November 2018

Security in der industriellen Vernetzung – Gefahren und MaßnahmenWie sieht das in der OT aus In der OT gibt es neben den Zielen von Safety zwei wichtige Ziele, die in derRegel allerhöchste Priorität haben:Zuverlässigkeit (Reliability) und Verfügbarkeit (Availability) Diese Ziele dürfen durch Security Maßnahmen nicht negativ beeinflusstwerden, was in der Realität zu Konfliktsituationen führen kann, bzw. in derVergangenheit oftmals auch schon geführt hat Deshalb ist die Beteiligung sowohl von IT als auch von OT an einergemeinsamen Sicherheitsstrategie von immens hoher Bedeutung5Thorsten Vogel, PHOENIX CONTACT Cyber Security AG6. November 2018

Security in der industriellen Vernetzung – Gefahren und MaßnahmenAgenda Einführung Bedrohungen, Vorfälle und Schwachstellen Standards, Rahmenwerke und Richtlinien Wirksame Maßnahmen Zusammenfassung6Thorsten Vogel, PHOENIX CONTACT Cyber Security AG6. November 2018

Security in der industriellen Vernetzung – Gefahren und MaßnahmenDer generelle Ablauf von Angriffen Die „Cyber Kill Chain “ Modell eines 7-stufigen Ablaufs Basiert auf einem im Militärverbreiteten Ansatz („F2T2EA“) Wurde 2011 initial vonLockheed-Martin auf ITAngriffe angewandt In der IT Security verbreitetesund anerkanntes ModellQuelle: Wikipedia7Thorsten Vogel, PHOENIX CONTACT Cyber Security AG6. November 2018

Security in der industriellen Vernetzung – Gefahren und MaßnahmenBekannte Malware mit Fokus auf IACS Umgebungen Nur die Spitze eines unbekannt großen EisbergsDuquStuxnetSandwormHavex (Oldrea) / DragonflyShamoonBlack oyer / Crashoverride?Aber auch „klassische IT Malware“ wie z.B. Wannacry oder Confickerverursachen immer wieder signifikante Schäden in IACS UmgebungenBild: Fotolia8Thorsten Vogel, PHOENIX CONTACT Cyber Security AG6. November 2018

Security in der industriellen Vernetzung – Gefahren und MaßnahmenForschungsarbeiten im Bereich IACS SecuritySPS-Code einer Anlage zur Wasseraufbereitung somanipuliert, dass Chlorkonzentration auf gefährlichhohe Werte gesetzt wurde. Weitere Forschungsarbeiten auf verschiedenen Security Konferenzenvorgestellt und veröffentlicht, z.B. auf den Black Hat und Defcon Konferenzen Vielzahl von nicht veröffentlichten Projekten und Arbeiten, z.B. Studien-,Bachelor- und Masterarbeiten, mit Fokus auf Schwachstellen und Angriffenvon bzw. auf typische IACS Komponenten wie SPS, HMI, EWS Applikationen9Thorsten Vogel, PHOENIX CONTACT Cyber Security AG6. November 2018Quelle: www.rh.gatech.edu Simulierte Ransomware Attacke auf SPS, (RSA Security Conference 2017)

Security in der industriellen Vernetzung – Gefahren und MaßnahmenVeröffentliche Schwachstellen im Bereich IACS Meldungen des ICS-CERThttps://ics-cert.us-cert.gov/advisories 1010 MeldungenQuelle: ICS-CERT Common Vulnerability Scoring System (CVSS ment10Thorsten Vogel, PHOENIX CONTACT Cyber Security AG6. November 2018

Security in der industriellen Vernetzung – Gefahren und MaßnahmenWeitere Quellen zu Schwachstellen Common Vulnerabilities and Exposures (CVE) https://www.cve.mitre.org/ National Vulnerability Database (NVD) https://nvd.nist.gov Common Weakness Enumeration (CWE) https://cwe.mitre.org CERT@VDE https://cert.vde.com11Thorsten Vogel, PHOENIX CONTACT Cyber Security AG6. November 2018

Security in der industriellen Vernetzung – Gefahren und MaßnahmenIACS Komponenten im Internet Suchmaschine shodan macht es sehr einfach12 by PHOENIX CONTACT Cyber Security AG6. November 2018

Security in der industriellen Vernetzung – Gefahren und MaßnahmenAgenda Einführung Bedrohungen, Vorfälle und Schwachstellen Standards, Rahmenwerke und Richtlinien Wirksame Maßnahmen Zusammenfassung13Thorsten Vogel, PHOENIX CONTACT Cyber Security AG6. November 2018

Security in der industriellen Vernetzung – Gefahren und MaßnahmenInternationale Standardreihe ISA/IEC 62443 Adressiert primär 3 Gruppen von Akteuren Komponenten-Hersteller (Product Supplier) System-Integratoren (System Integrator) Betreiber (Asset Owner) Verweise auf andere internationaleStandards wie z.B. ISO 2700X, ANSI 95.00.01,ISO 15408-1, und weitere Wird als „Der Standard“ für Cyber Security im Bereich IACS angesehen Für die Zukunft sind verschiedene Audits und Zertifizierungen nach ISA/IEC 62443zu erwarten14Thorsten Vogel, PHOENIX CONTACT Cyber Security AG6. November 2018

Security in der industriellen Vernetzung – Gefahren und MaßnahmenWeitere Standards, Rahmenwerke und Richtlinien VDI/VDE 2182 Kompendium des BSI, IT-Grundschutz BDEW Whitepaper „Anforderungen an sichere Steuerungs- undTelekommunikationssysteme“, branchenbezogen NAMUR NA-115 „IT-Sicherheit für Systeme der Automatisierungstechnik“ undNE-153 „Automation Security Agenda 2020“, branchenbezogen NIST Special Publication 800-82 Revision 2 „Guide to Industrial ControlSystems (ICS) Security”, international bzw. US amerikanisch ISO 27000, internationale Standardreihe zur Informationssicherheit15Thorsten Vogel, PHOENIX CONTACT Cyber Security AG6. November 2018

Security in der industriellen Vernetzung – Gefahren und MaßnahmenAgenda Einführung Bedrohungen, Vorfälle und Schwachstellen Standards, Rahmenwerke und Richtlinien Wirksame Maßnahmen Zusammenfassung16Thorsten Vogel, PHOENIX CONTACT Cyber Security AG6. November 2018

Security in der industriellen Vernetzung – Gefahren und MaßnahmenDefense in DepthRichtlinien, Eine Defense in Depth Strategie, abgestimmtauf die jeweilige IACS Umgebung, vereintMaßnahmen auf verschiedenen EbenenAnlagen/Umgebung (Physical Security)Prozesse,Netzwerk (Network Security)Komponenten (Device Security)Menschen17Thorsten Vogel, PHOENIX CONTACT Cyber Security AG Wichtig dabei sind auch diese Strategieunterstützende Richtlinien und Prozesse, undvor allem Menschen und deren Handlungen6. November 2018

Security in der industriellen Vernetzung – Gefahren und MaßnahmenNetzwerksegmentierung und Zonierung Beispiel einer realenUmsetzung eines Zonenund Zellenkonzepts Verkehrskontrolle überFirewalls Einsatz von VPN fürdie Kommunikationüber unsichere Netze18Thorsten Vogel, PHOENIX CONTACT Cyber Security AG6. November 2018

Security in der industriellen Vernetzung – Gefahren und MaßnahmenSichere Fernwartung im Eigenbetrieb Beispiel einer realenUmsetzung der sicherenFernwartung über einezentrale VPN Zone Optionale Erhöhung desSicherheitsniveaus durchzusätzliche Komponentenin der zentralen VPN Zone Erhöht aber auch dieKomplexität19Thorsten Vogel, PHOENIX CONTACT Cyber Security AG6. November 2018

Security in der industriellen Vernetzung – Gefahren und MaßnahmenAsset Management und Transparenz In IACS Umgebungen zum Einsatz kommende IT und OT Komponentenmüssen transparent gemacht werden Neben den Komponenten selbst sind die Kommunikationsbeziehungenuntereinander von hoher Bedeutung Lösungen, die über passive Sensoren Netzwerkverkehr mithören, sind hierfürideal, da diese rückwirkungsfrei arbeiten und keine negativen Auswirkungenauf die Netzwerke und Komponenten haben Idealerweise unterstützen solche Lösungen auch die aktive Abfrage vonKomponenten über Protokolle wie z.B. SNMP oder Profinet20Thorsten Vogel, PHOENIX CONTACT Cyber Security AG6. November 2018

Security in der industriellen Vernetzung – Gefahren und MaßnahmenAsset Management und TransparenzQuelle: Langner Communications GmbH21Thorsten Vogel, PHOENIX CONTACT Cyber Security AG6. November 2018

Security in der industriellen Vernetzung – Gefahren und MaßnahmenAnomaly Detection und Network Monitoring Anomaly Detection Systeme sind in der LageKommunikationsverkehr quasi in Echtzeit zu analysieren undbei relevanten Abweichungen zu reagieren In der Regel wird der Verkehr über dezentrale Sensoren imNetz rein passiv „abgehört“ und in einem zentralen Systementsprechend analysiert Wichtig hierbei ist, dass solche Lösungen eine breiteUnterstützung von IT und vor allem auch OT Protokollenbieten, Deep Packet Inspection (DPI) ist für eine sinnvolleAnalyse Pflicht Die Daten solcher Lösungen eignen sich hervorragend zumAnpassen von Firewall-Regelwerken bzw. ebenfalls zurHerstellung von Transparenz22Thorsten Vogel, PHOENIX CONTACT Cyber Security AG6. November 2018

Security in der industriellen Vernetzung – Gefahren und MaßnahmenAnomaly Detection und Network MonitoringQuelle: Security Matters B.V.23Thorsten Vogel, PHOENIX CONTACT Cyber Security AG6. November 2018

Security in der industriellen Vernetzung – Gefahren und MaßnahmenBeispiele von Anomalien Aus dem TSO-Bereich (Übertragungsnetz) wurden Zugriffsversuche mitSchreibbefehlen entdeckt, um DSO-Prozesse (Verteilnetz) zu verändern Fehlkonfiguration von NTP-Servern, somit erhalten einige Systeme keineAktualisierung der Systemzeit Erkennung, dass nachts zwei Programmierstationen eine vollständigeSicherung von SPS-Programmen und Speicher ausführen Entdeckung eines MA, der manuell Werte von SPS-Speicheradressenüberschreibt, die normalerweise von den I/O-Geräten vorgegeben werde Veraltete (schwache) Protokolle (Telnet, FTP, SNMPv1) identifiziert24Thorsten Vogel, PHOENIX CONTACT Cyber Security AG6. November 2018

Security in der industriellen Vernetzung – Gefahren und MaßnahmenAgenda Einführung Bedrohungen, Vorfälle und Schwachstellen Standards, Rahmenwerke und Richtlinien Wirksame Maßnahmen Zusammenfassung25Thorsten Vogel, PHOENIX CONTACT Cyber Security AG6. November 2018