Industrie 4.0 – aber sicher? Industrie 4.0 - IuK
Transcrição
Industrie 4.0 – aber sicher? Industrie 4.0 - IuK
21.11.2013 Industrie 4.0 – aber sicher? Ralf Benzmüller Leiter G Data SecurityLabs Industrie 4.0 Quelle: Abschlussbericht Arbeitskreis Industrie 4.0 1 21.11.2013 Industrie 4.0 Smart Factory Komplexe Prozesse horizontal und vertikal Dezentrale Steuerung und Datenhaltung Komplexe Strukturen und Kettenreaktionen Cyber-physische (Produktions-)Systeme • Vernetzte Eingebettete Systeme • Sensorik und Aktorik • Heterogene Architektur (Intel, ARM, Linux, Java, C) • Eingeschränkte Rechenleistung Umfeld und Hintergrund Safety vs. Security Hier geht es um IT-Security 2 21.11.2013 Gezielte Angriffe: Stuxnet • Manipulation der Uranaufbereitung im iranischen Atomkraftwerk Buschehr • Spezialentwicklung für industrielle Steueranlagen (Simatic S7 von Siemens) • Sechs Mannjahre Entwicklungszeit • 4 bis dato unbekannte Sicherheitslücken • Gezielte Manipulation einzelner Rechner und Systeme Spionage Motivation • • • • • • Nationale Interessen (NSA & Co., Mandiant) Militärische Interessen (Stuxnet) Politische Interessen (Syrian Electronic Army) Wirtschaftliche Interessen (Konkurrenz) Hacktivism (Anonymous) Innentäter 3 21.11.2013 Sabotage Worst cases • Industriesteuerung von Saia-Burgess (Beckum, JVA, Brauerei) • Vaillant eco-Power 1.0 Potential • Erpressung • CyberWar Standards und Angriffe CAN (Controller Area Network; Sender ist anonym) HTML (XSS, CSRF, Sicherheitslücken) RFID, QR-Code (SQL Injection) 4 21.11.2013 SmartSecurity für Industrie 4.0 Security By Design • Ist unüblich • Der Markt funktioniert meist anders • Beispiel: SmartGrid/SmartMeter/SmartGateway SmartGrid Energiewirtschaftsgesetz Einführung ab 2014 • SmartMeter werden Pflicht bei Neubauten und Verbraucher, mit mehr als 6000 KWh/Jahr • 80% bis 2020, total 2029 Hohe Sicherheitsanforderungen 5 21.11.2013 Externe Teilnehmer Internet Gateway Admin SmartMeter Gateway SmartMeter PKI SmartGrid Sicherheitsmodul Zählernetzwerk Heimnetzwerk Verbraucher Kontrolleinheiten SmartSecurity für Industrie 4.0 Kommunikation absichern • Router-Konfiguration • Verschlüsselung gegen Data Leakage • Authentifizierung (Signieren) 6 21.11.2013 SmartSecurity für Industrie 4.0 Sichere Prozesse • Password Recovery • DNS Hijacking (Avira, Whatsapp, Alexa …) SmartSecurity für Industrie 4.0 Big Data und maschinelles Lernen auch für Sicherheit einsetzen Intelligenter Selbstschutz des Netzwerks CPS absichern (TPM, OS härten) Beispiel: BMBF-Projekt ANSII: Anomalieerkennung und eingebettete Sicherheit in industriellen Informationssystemen www.ansii-projekt.de 7 21.11.2013 SmartSecurity für Industrie 4.0 Schutz gegen Angriffe von Außen • Fernwartungskanäle • Nutzereingaben prüfen (Injection) Sicherheit überprüfen • Pentests • Notfallübungen SmartSecurity für Industrie 4.0 Schutz gegen Angriffe von Innen • Innentäter • Fehlkonfiguration 8 21.11.2013 Rahmenbedingungen Sicherheit muss sich lohnen • Geringere Schäden • Wettbewerbsvorteil Standards schaffen Gesetzliche Vorgaben? Forschung – aber wie? Vielen Dank! 9 21.11.2013 BSI Top 10 Bedrohungen 10