digitalisierung und security in der industrie kein ... · digitalisierung und security in der...
TRANSCRIPT
![Page 1: Digitalisierung und Security in der Industrie kein ... · Digitalisierung und Security in der Industrie – kein Widerspruch! Die IEC 62443 in der Anwendung. Tag der IT-Sicherheit](https://reader035.vdokument.com/reader035/viewer/2022063016/5fd734fadd15e169af089fee/html5/thumbnails/1.jpg)
Digitalisierung und Security
in der Industrie – kein Widerspruch!
Die IEC 62443 in der Anwendung.
Tag der IT-Sicherheit 2019
Daniel Kastner, Stahl-Holding-Saar
Saarbrücken, den 06.06.2019
![Page 2: Digitalisierung und Security in der Industrie kein ... · Digitalisierung und Security in der Industrie – kein Widerspruch! Die IEC 62443 in der Anwendung. Tag der IT-Sicherheit](https://reader035.vdokument.com/reader035/viewer/2022063016/5fd734fadd15e169af089fee/html5/thumbnails/2.jpg)
2
Agenda
• SHS – Stahl-Holding-Saar
• Entwicklung der Cyber-Kriminalität aus Sicht eines Stahlkonzerns
• Innovation und Sicherheit schließen sich nicht aus!
• IT-Security im Automatisierungsumfeld
• IEC 62443 – Aufbau und Kernelemente
• Praxisbeispiel - ICS Security Konzept ‚neue Stranggießanlage 1‘ („S1“)
• Positionspapier des Arbeitskreises Industrial IT-Security
![Page 3: Digitalisierung und Security in der Industrie kein ... · Digitalisierung und Security in der Industrie – kein Widerspruch! Die IEC 62443 in der Anwendung. Tag der IT-Sicherheit](https://reader035.vdokument.com/reader035/viewer/2022063016/5fd734fadd15e169af089fee/html5/thumbnails/3.jpg)
3
SHS – Stahl-Holding-Saar / Kennzahlen 2018
DH SAG SHS
Produktion (kt)
Rohstahlproduktion 2.334 2.782 5.116
Personal
Belegschaft (ohne Auszubildende) 7.310 6.384 13.694
Auszubildende 257 287 544
Finanzkennzahlen (Mio. €)
Umsatzerlöse (konsolidiert) 2.202 2.528 4.730
Investitionen (inkl. ROGESA/ZKS) 55 68 123
Investitionen (2014 bis 2018) 885
![Page 4: Digitalisierung und Security in der Industrie kein ... · Digitalisierung und Security in der Industrie – kein Widerspruch! Die IEC 62443 in der Anwendung. Tag der IT-Sicherheit](https://reader035.vdokument.com/reader035/viewer/2022063016/5fd734fadd15e169af089fee/html5/thumbnails/4.jpg)
4
Kennzahlen IT (ohne Automatisierungstechnik)
SHS
Infrastruktur
Computer 9.200
Server 1.900
LAN Ports 25.000
aktive Netzwerkgeräte (Switche / Router) 1.400
LWL Kabel (km) >1.000
Personal
Informatik Dillinger 100
Informatik Saarstahl 100
Informatik SHS Infrastruktur 60
![Page 5: Digitalisierung und Security in der Industrie kein ... · Digitalisierung und Security in der Industrie – kein Widerspruch! Die IEC 62443 in der Anwendung. Tag der IT-Sicherheit](https://reader035.vdokument.com/reader035/viewer/2022063016/5fd734fadd15e169af089fee/html5/thumbnails/5.jpg)
5
Entwicklung der Cyber-Kriminalität
Quelle: Studie Industriespionage 2014, Corporate Trust
![Page 6: Digitalisierung und Security in der Industrie kein ... · Digitalisierung und Security in der Industrie – kein Widerspruch! Die IEC 62443 in der Anwendung. Tag der IT-Sicherheit](https://reader035.vdokument.com/reader035/viewer/2022063016/5fd734fadd15e169af089fee/html5/thumbnails/6.jpg)
6
Entwicklung der Cyber-Kriminalität
Quelle: Studie Industriespionage 2014, Corporate Trust
![Page 7: Digitalisierung und Security in der Industrie kein ... · Digitalisierung und Security in der Industrie – kein Widerspruch! Die IEC 62443 in der Anwendung. Tag der IT-Sicherheit](https://reader035.vdokument.com/reader035/viewer/2022063016/5fd734fadd15e169af089fee/html5/thumbnails/7.jpg)
7
Ganzheitlicher IT-Security Ansatz – „Bekannt und doch vermasselt!“
Security Awareness
Sensibilisierung von Mitarbeitern
und Führungskräften
Security Richtlinien
Security Prozesse
Risiko Management
technische IT-Security
physische Sicherheit
oft unterschätzt
Zu viel und gleichzeitig zu wenig getan?
![Page 8: Digitalisierung und Security in der Industrie kein ... · Digitalisierung und Security in der Industrie – kein Widerspruch! Die IEC 62443 in der Anwendung. Tag der IT-Sicherheit](https://reader035.vdokument.com/reader035/viewer/2022063016/5fd734fadd15e169af089fee/html5/thumbnails/8.jpg)
8
IEC 62443 – Industrial IT-Security
Innovation und Sicherheit schließen sich nicht aus!
Anzahl erreichbarer IP-
Adressen (in 1.000)
je 1 Mrd $ Umsatz
Schwachstellen je 1.000
IP-Adressen
30 22
5
Nordamerika Europa Ostasien
39 52
44
Nordamerika Europa OstasienQuelle: ix Spezial 2019, S. 108
25%
![Page 9: Digitalisierung und Security in der Industrie kein ... · Digitalisierung und Security in der Industrie – kein Widerspruch! Die IEC 62443 in der Anwendung. Tag der IT-Sicherheit](https://reader035.vdokument.com/reader035/viewer/2022063016/5fd734fadd15e169af089fee/html5/thumbnails/9.jpg)
9
Prämissen im Automatisierungsumfeld
IT-Konzepte sind nur bedingt im OT-Bereich zu nutzen!
Unterschiede in den Anforderungen zwischen
Lebensdauer
Patchmanagement
Zeitabhängigkeiten
Verfügbarkeit
3-5 Jahre
oft (täglich)
Verzögerungen
akzeptiert
kurze Ausfälle
toleriert
5-20 Jahre
selten, Hersteller-
freigabe notwendig
kritisch
24 x 7
Office IT Industrial IT (OT)
Quelle: Industrial Control Systems Vulnerabilities Statistics, Kaspersky
![Page 10: Digitalisierung und Security in der Industrie kein ... · Digitalisierung und Security in der Industrie – kein Widerspruch! Die IEC 62443 in der Anwendung. Tag der IT-Sicherheit](https://reader035.vdokument.com/reader035/viewer/2022063016/5fd734fadd15e169af089fee/html5/thumbnails/10.jpg)
10
IEC 62443 – Industrial IT-Security
• Warum nicht ISO/IEC 27000?
• IEC 62443 adressiert die spezifischen Belange der IT-Sicherheit industrieller
Anlagen
• Grundlegend für das Verständnis:
– Schutz gegen gewollten oder auch ungewollten Missbrauch durch
Cyberangriffe kann nicht singulär erzeugt werden.
– Rollen Hersteller
Integrator
Betreiber / Asset Owner
– übergeordnete Grundkonzepte Risikobewertung, Security-Level
Defense-in-Depth Strategie
Zones & Conduits
IEC 62443 = ganzheitlicher Ansatz für den OT-Bereich
![Page 11: Digitalisierung und Security in der Industrie kein ... · Digitalisierung und Security in der Industrie – kein Widerspruch! Die IEC 62443 in der Anwendung. Tag der IT-Sicherheit](https://reader035.vdokument.com/reader035/viewer/2022063016/5fd734fadd15e169af089fee/html5/thumbnails/11.jpg)
11
IEC 62443 – Struktur der Norm
Die Norm besteht aus 4 Abschnitten bzw. insgesamt 13 Teilen.
Quelle: ZVEl., Orientierungsleitfaden für Hersteller zur IEC 62443, S. 9
![Page 12: Digitalisierung und Security in der Industrie kein ... · Digitalisierung und Security in der Industrie – kein Widerspruch! Die IEC 62443 in der Anwendung. Tag der IT-Sicherheit](https://reader035.vdokument.com/reader035/viewer/2022063016/5fd734fadd15e169af089fee/html5/thumbnails/12.jpg)
12
IEC 62443 – Industrial IT-Security
Quelle: ZVEl., Orientierungsleitfaden für Hersteller zur IEC 62443, S. 10
![Page 13: Digitalisierung und Security in der Industrie kein ... · Digitalisierung und Security in der Industrie – kein Widerspruch! Die IEC 62443 in der Anwendung. Tag der IT-Sicherheit](https://reader035.vdokument.com/reader035/viewer/2022063016/5fd734fadd15e169af089fee/html5/thumbnails/13.jpg)
13
IEC 62443 – vier Security-Level
• Security-Level
Schutz gegen …
(1) … ungewollten, zufälligen Missbrauch
… gewollten Missbrauch
(2) einfache Mittel, niedriger Aufwand, allgem. Kompetenz, niedr. Motivation
(3) moderate Mittel, mod. Aufwand, spezif. Kompetenz, mod. Motivation
(4) aufwend. Mittel, erhebl. Aufwand, spezif. Kompetenz, hohe Motivation
![Page 14: Digitalisierung und Security in der Industrie kein ... · Digitalisierung und Security in der Industrie – kein Widerspruch! Die IEC 62443 in der Anwendung. Tag der IT-Sicherheit](https://reader035.vdokument.com/reader035/viewer/2022063016/5fd734fadd15e169af089fee/html5/thumbnails/14.jpg)
14
Bewertung von funktionalen und organisatorischen Maßnahmen
Quelle: P. Korbes, S. Leitfaden Industrial Security, S. 38
62443: ganzheitlicher Ansatz!
1 2
3 4
![Page 15: Digitalisierung und Security in der Industrie kein ... · Digitalisierung und Security in der Industrie – kein Widerspruch! Die IEC 62443 in der Anwendung. Tag der IT-Sicherheit](https://reader035.vdokument.com/reader035/viewer/2022063016/5fd734fadd15e169af089fee/html5/thumbnails/15.jpg)
15
IEC 62443 – grundlegende Anforderungen
funktionale Anforderungen an eine Automatisierungslösung
FR 1 – Identifizierung und Authentifizierung
FR 2 – Nutzungskontrolle
FR 3 – Systemintegrität
FR 4 – Vertraulichkeit der Daten
FR 5 – eingeschränkter Datenfluss
FR 6 – rechtzeitige Reaktion auf Ereignisse
FR 7 – Ressourcenverfügbarkeit
• physischer Zugang
• Organisation
![Page 16: Digitalisierung und Security in der Industrie kein ... · Digitalisierung und Security in der Industrie – kein Widerspruch! Die IEC 62443 in der Anwendung. Tag der IT-Sicherheit](https://reader035.vdokument.com/reader035/viewer/2022063016/5fd734fadd15e169af089fee/html5/thumbnails/16.jpg)
16
IEC 62443 – A.3 FR 5 – Eingeschränkter Datenfluss
![Page 17: Digitalisierung und Security in der Industrie kein ... · Digitalisierung und Security in der Industrie – kein Widerspruch! Die IEC 62443 in der Anwendung. Tag der IT-Sicherheit](https://reader035.vdokument.com/reader035/viewer/2022063016/5fd734fadd15e169af089fee/html5/thumbnails/17.jpg)
17
Defense in Depth – das Modell der Zwiebelschalen
Grundkonzept „Defense in Depth Strategie“.
Schutz rundum wie auch in der Tiefe.
Quelle: P. Korbes, S. Leitfaden Industrial Security, S. 16
![Page 18: Digitalisierung und Security in der Industrie kein ... · Digitalisierung und Security in der Industrie – kein Widerspruch! Die IEC 62443 in der Anwendung. Tag der IT-Sicherheit](https://reader035.vdokument.com/reader035/viewer/2022063016/5fd734fadd15e169af089fee/html5/thumbnails/18.jpg)
18
Vorgehensweise zum Aufbau eines Schutzkonzeptes
• Anlagensicherheit (i W durch den Betreiber)
– sicher stellen, dass technische Maßnahmen nicht umgangen werden können
• physischer Schutz und
• organisatorische Maßnahmen (Security-Management-Prozess)
• Netzwerksicherheit (i W durch den Integrator)
– Zentrales Element des industriellen Schutzkonzepts ist die Netzwerksicherheit.
• Sicherung der Schnittstellen zw. Unternehmens- und Anlagennetz (DMZ)
• Netzsegmentierung und Zellschutz
• sichere Fernzugriffe (VPN)
• Systemintegrität (i W durch den Hersteller)
• Rollen- und Rechtekonzept
![Page 19: Digitalisierung und Security in der Industrie kein ... · Digitalisierung und Security in der Industrie – kein Widerspruch! Die IEC 62443 in der Anwendung. Tag der IT-Sicherheit](https://reader035.vdokument.com/reader035/viewer/2022063016/5fd734fadd15e169af089fee/html5/thumbnails/19.jpg)
19
Quelle: BSI., ICS-Security-Kompendium, S. 18
Besondere Rolle der Netzwerksicherheit
unsicher
sicher
Bedrohungen nehmen nach außen zu!
![Page 20: Digitalisierung und Security in der Industrie kein ... · Digitalisierung und Security in der Industrie – kein Widerspruch! Die IEC 62443 in der Anwendung. Tag der IT-Sicherheit](https://reader035.vdokument.com/reader035/viewer/2022063016/5fd734fadd15e169af089fee/html5/thumbnails/20.jpg)
20
Netzwerkkonzepte: Campusweite Trennung der Kommunikation IT/OT
Physikalische / Logische Entkopplung
Quelle: BSI., ICS-Security-Kompendium, S. 25
![Page 21: Digitalisierung und Security in der Industrie kein ... · Digitalisierung und Security in der Industrie – kein Widerspruch! Die IEC 62443 in der Anwendung. Tag der IT-Sicherheit](https://reader035.vdokument.com/reader035/viewer/2022063016/5fd734fadd15e169af089fee/html5/thumbnails/21.jpg)
21
Vorteile der (physikalischen) Trennung IT & OT Kommunikationsnetze
• Erhöhung der Sicherheit durch Reduzierung der Angriffsvektoren
• Lasttrennung der IT/OT Kommunikationsinfrastruktur, keine Beeinflussung
zeitkritischer OT Kommunikation durch IT Netzwerkwerklast
• Einfache Kontrolle durch einen zentralen (redundanten) Übergang
• Unabhängige Release-, Patch- und Wartungszyklen für IT/OT möglich
• Unabhängige Betriebsteams und SLAs für IT/OT möglich
Ziel: Nahezu autarker Betrieb der OT-Netze
![Page 22: Digitalisierung und Security in der Industrie kein ... · Digitalisierung und Security in der Industrie – kein Widerspruch! Die IEC 62443 in der Anwendung. Tag der IT-Sicherheit](https://reader035.vdokument.com/reader035/viewer/2022063016/5fd734fadd15e169af089fee/html5/thumbnails/22.jpg)
22
Automatisierungszelle – Siemens Design
• Steuerungen befinden sich in einem
geschlossenen Netzwerk (Anlagennetz, AS).
• Die Bediener Clients (Terminals) befinden sich
ebenfalls in einem geschlossenen Netzwerk
(Terminalnetz, OS).
• Bediener greifen über OS Server / Engineering
Station auf die Steuerungen zu.
• OS und AS (optional) Netze können via Firewall,
von außen kontrolliert, erreicht werden.
Sicherheit durch Segmentierung und Kapselung der Zellen!
![Page 23: Digitalisierung und Security in der Industrie kein ... · Digitalisierung und Security in der Industrie – kein Widerspruch! Die IEC 62443 in der Anwendung. Tag der IT-Sicherheit](https://reader035.vdokument.com/reader035/viewer/2022063016/5fd734fadd15e169af089fee/html5/thumbnails/23.jpg)
23
Design Ziel: Entkopplung IT/OT – DMZ als „Schleuse“
Automatisierungs
-
Netze
Office
Netze
Transfernetze
DMZ DMZ
Keine direkte Kommunikation Office Netz / Automatisierung!
![Page 24: Digitalisierung und Security in der Industrie kein ... · Digitalisierung und Security in der Industrie – kein Widerspruch! Die IEC 62443 in der Anwendung. Tag der IT-Sicherheit](https://reader035.vdokument.com/reader035/viewer/2022063016/5fd734fadd15e169af089fee/html5/thumbnails/24.jpg)
24
Mögliche Anwendungen in der DMZ
• Applikation Layer Gateways zur Abschottung, z. B. Beispiel Remote Zugänge,
Datenaustausch, … (FR 5)
• Authentifizierungssysteme (FR1)
• Systeme zur Logdatenerfassung und Auswertung (FR2, FR6)
• Patch-Management, WSUS (FR3)
• Security Management (FR7)
Sicherheitsinfrastruktur gemäß „Foundational Requirements“ 62443
![Page 25: Digitalisierung und Security in der Industrie kein ... · Digitalisierung und Security in der Industrie – kein Widerspruch! Die IEC 62443 in der Anwendung. Tag der IT-Sicherheit](https://reader035.vdokument.com/reader035/viewer/2022063016/5fd734fadd15e169af089fee/html5/thumbnails/25.jpg)
25
DMZ - Designansätze
• Je Anlage eine DMZ?
• Aufbau einer gemeinsamen DMZ
– für mehrere Anlagen
– für ein Werk
– für einen Standort
– für das ganze Unternehmen
• Gemischte zentrale / dezentrale DMZ Strukturen
– Maximierung der Verfügbarkeit
– Optimierung der Standardisierung, zentrale Verwaltbarkeit
Zentralisierung vs. Verfügbarkeit
![Page 26: Digitalisierung und Security in der Industrie kein ... · Digitalisierung und Security in der Industrie – kein Widerspruch! Die IEC 62443 in der Anwendung. Tag der IT-Sicherheit](https://reader035.vdokument.com/reader035/viewer/2022063016/5fd734fadd15e169af089fee/html5/thumbnails/26.jpg)
26
DMZ – Designansätze - Beispiele
• Gemeinsame Nutzung von:
– Zeitserver
– WSUS Server
– Wartungszugängen
– Zentralen Authentifizierungsservern (mit dezentralen Repliken)
– Zentrale SIEM und Netzwerküberwachung (dezentrale Sensoren)
Ziel: Best Practice für zentrale / dezentrale DMZ Ansätze!
![Page 27: Digitalisierung und Security in der Industrie kein ... · Digitalisierung und Security in der Industrie – kein Widerspruch! Die IEC 62443 in der Anwendung. Tag der IT-Sicherheit](https://reader035.vdokument.com/reader035/viewer/2022063016/5fd734fadd15e169af089fee/html5/thumbnails/27.jpg)
27
Praxisbeispiel - ICS Security Konzept ‚neue S1‘
• Erarbeitung eines logischen Netzwerk-Referenzdesigns unter Berücksichtigung der
Anforderungen der S1 und unter Einbeziehung der IEC 62443 („Zones and
Conduits“)
• Strikte Entkopplung von Office-Netz und den Automatisierungsnetzen!
• Wichtige (zeitkritische) Dienste sind unabhängig von der Office-Infrastruktur
(klassische IT) und möglichst „nah“ an den Automatisierungsnetzen zu betreiben.
Erste Störungsbeseitigung muss durch die Automatisierungstechnik in Eigenregie
möglich sein.
• Industrie 4.0 tauglich - Berücksichtigung der gestiegenen Anforderungen
(Prozesserfassung und -führung, Netzwerk, IT-Security, Sensorik, …)
Digitalisierung und OT-Security – kein Widerspruch!
![Page 28: Digitalisierung und Security in der Industrie kein ... · Digitalisierung und Security in der Industrie – kein Widerspruch! Die IEC 62443 in der Anwendung. Tag der IT-Sicherheit](https://reader035.vdokument.com/reader035/viewer/2022063016/5fd734fadd15e169af089fee/html5/thumbnails/28.jpg)
28
Positionspapier des AK Industrial IT-Security
Präsentation
![Page 29: Digitalisierung und Security in der Industrie kein ... · Digitalisierung und Security in der Industrie – kein Widerspruch! Die IEC 62443 in der Anwendung. Tag der IT-Sicherheit](https://reader035.vdokument.com/reader035/viewer/2022063016/5fd734fadd15e169af089fee/html5/thumbnails/29.jpg)
29
Zusammenfassung
Security Awareness
Sensibilisierung von Mitarbeitern und
Führungskräften
in den jeweiligen Rollen
Security Richtlinien,
Security Prozesse
Risiko Management
Top-Down starten
technische IT-Security
physische Sicherheit
Defense in Depth
Quick-Wins erzielen ok - ABER ►ganzheitlichen Blick bewahren!
Was sind meine kritischen Geschäftsprozesse (Kronjuwelen)?
Digitalisierung und IT/OT-Security – kein Widerspruch!
![Page 30: Digitalisierung und Security in der Industrie kein ... · Digitalisierung und Security in der Industrie – kein Widerspruch! Die IEC 62443 in der Anwendung. Tag der IT-Sicherheit](https://reader035.vdokument.com/reader035/viewer/2022063016/5fd734fadd15e169af089fee/html5/thumbnails/30.jpg)
30
Noch Fragen?
![Page 31: Digitalisierung und Security in der Industrie kein ... · Digitalisierung und Security in der Industrie – kein Widerspruch! Die IEC 62443 in der Anwendung. Tag der IT-Sicherheit](https://reader035.vdokument.com/reader035/viewer/2022063016/5fd734fadd15e169af089fee/html5/thumbnails/31.jpg)
31
Danke für Ihre Aufmerksamkeit