Industrie 4.0 – aber sicher? Industrie 4.0 - IuK

21.11.2013
Industrie 4.0 – aber sicher?
Ralf Benzmüller
Leiter G Data SecurityLabs
Industrie 4.0
Quelle: Abschlussbericht Arbeitskreis Industrie 4.0
1
21.11.2013
Industrie 4.0
 Smart Factory
 Komplexe Prozesse horizontal und vertikal
 Dezentrale Steuerung und Datenhaltung
 Komplexe Strukturen und Kettenreaktionen
 Cyber-physische (Produktions-)Systeme
• Vernetzte Eingebettete Systeme
• Sensorik und Aktorik
• Heterogene Architektur (Intel, ARM, Linux, Java, C)
• Eingeschränkte Rechenleistung
Umfeld und Hintergrund
 Safety vs. Security
 Hier geht es um IT-Security
2
21.11.2013
Gezielte Angriffe: Stuxnet
• Manipulation der Uranaufbereitung im
iranischen Atomkraftwerk Buschehr
• Spezialentwicklung für industrielle
Steueranlagen (Simatic S7 von Siemens)
• Sechs Mannjahre Entwicklungszeit
• 4 bis dato unbekannte Sicherheitslücken
• Gezielte Manipulation einzelner Rechner und
Systeme
Spionage
 Motivation
•
•
•
•
•
•
Nationale Interessen (NSA & Co., Mandiant)
Militärische Interessen (Stuxnet)
Politische Interessen (Syrian Electronic Army)
Wirtschaftliche Interessen (Konkurrenz)
Hacktivism (Anonymous)
Innentäter
3
21.11.2013
Sabotage
 Worst cases
• Industriesteuerung von
Saia-Burgess
(Beckum, JVA, Brauerei)
• Vaillant eco-Power 1.0
 Potential
• Erpressung
• CyberWar
Standards und Angriffe
 CAN (Controller Area Network; Sender ist
anonym)
 HTML (XSS, CSRF, Sicherheitslücken)
 RFID, QR-Code (SQL Injection)
4
21.11.2013
SmartSecurity für Industrie 4.0
 Security By Design
• Ist unüblich
• Der Markt funktioniert meist anders
• Beispiel:
SmartGrid/SmartMeter/SmartGateway
SmartGrid
 Energiewirtschaftsgesetz
 Einführung ab 2014
• SmartMeter werden Pflicht bei
Neubauten und Verbraucher, mit mehr
als 6000 KWh/Jahr
• 80% bis 2020, total 2029
 Hohe Sicherheitsanforderungen
5
21.11.2013
Externe
Teilnehmer
Internet
Gateway
Admin
SmartMeter
Gateway
SmartMeter PKI
SmartGrid
Sicherheitsmodul
Zählernetzwerk
Heimnetzwerk
Verbraucher
Kontrolleinheiten
SmartSecurity für Industrie 4.0
 Kommunikation absichern
• Router-Konfiguration
• Verschlüsselung gegen Data Leakage
• Authentifizierung (Signieren)
6
21.11.2013
SmartSecurity für Industrie 4.0
 Sichere Prozesse
• Password Recovery
• DNS Hijacking (Avira, Whatsapp, Alexa …)
SmartSecurity für Industrie 4.0
 Big Data und maschinelles Lernen
auch für Sicherheit einsetzen
 Intelligenter Selbstschutz des
Netzwerks
 CPS absichern (TPM, OS härten)
 Beispiel: BMBF-Projekt ANSII:
Anomalieerkennung und eingebettete Sicherheit
in industriellen Informationssystemen
www.ansii-projekt.de
7
21.11.2013
SmartSecurity für Industrie 4.0
 Schutz gegen Angriffe von Außen
• Fernwartungskanäle
• Nutzereingaben prüfen (Injection)
 Sicherheit überprüfen
• Pentests
• Notfallübungen
SmartSecurity für Industrie 4.0
 Schutz gegen Angriffe von Innen
• Innentäter
• Fehlkonfiguration
8
21.11.2013
Rahmenbedingungen
 Sicherheit muss sich lohnen
• Geringere Schäden
• Wettbewerbsvorteil
 Standards schaffen
 Gesetzliche Vorgaben?
 Forschung – aber wie?
Vielen Dank!
9
21.11.2013
BSI Top 10 Bedrohungen
10