Daten-Security in der Lebensmittelbranche
Transcript of Daten-Security in der Lebensmittelbranche
Daten-Security in der Lebensmittelbranche
FOTEC Forschungs- und Technologietransfer GmbHDI Markus Hohlagschwandtner, MSc
ecoplus. Lebensmittel Cluster NiederösterreichDI Katharina Wörndl, MSc
Wir starten pünktlich um 15:00 Uhr.
Agenda
• IT Security Systeme• Cloud Sicherheit• DSGVO und Office 365• Datensicherung
E/A Sensor Aktor
SPS
MES
ERP
E/A Sensor Aktor
SPS
SCADA
QMSystem
Firewall
Firewall
ERP
MES / SCADA / DB
E-CommerceWWWE-MailHomeworking
Produktion
VerwaltungPCs
Bedrohungsarten
Ausspionieren von Daten
Viren, Würmer, Trojanische
Pferde• Wahrscheinlichkeit: hoch• Auswirkung: mittel• Maßnahmen zur Behebung: einfach und billig• Betroffene Systeme: alle Systeme auf die ein Benutzer Zugriff hat
Verschlüsseln von Daten und dann Lösegeldforderung
Ransomware
• Wahrscheinlichkeit: gering• Schaden: extrem hoch• Maßnahmen zur Behebung: einfach und billig• Betroffene Systeme: Alle Computersysteme!
Lahmlegen von IT Systemen
Distributed Denial of Service (DDoS)-Angriffe
• Wahrscheinlichkeit: hoch• Schaden: gering• Maßnahmen: schwierig• Betroffene Systeme: Firewalls, Web Services
Phishing, Dumpster Diving, USB Drop„Verführen“ von Mitarbeitern
SocialEngineering (Sicherheit)
•Wahrscheinlichkeit: gering•Schaden: hoch•Maßnahmen: einfach•Betroffene Systeme: in erster Linie Arbeitsplatzcomputer
WWW E-Commerce
Generelle Maßnahmen
Mensch Maschine
Erkennen und abtöten SchutzimpfungImmunsystem
AntivirusFirewall
Verbreitung verhindern Rezeptoren schließenNase-Mund Masken
SicherheitskonzeptAbschaltung von SystemenAwareness Maßnahmen
Bedrohungswege
Viren, Würmer, Trojanische Pferde
•Ursprung:E-MailWWW DownloadsUSBNeue HardwarePrivate Hardware
•Bedrohung:Arbeitsplatz PCs, Fileserver
•Maßnahme:Virenschutz
Ransomware
•Ursprung:E-MailWWW DownloadsUSBNeue HardwarePrivate Hardware
•Bedrohung:Alle Systeme
•Maßnahme:Guter Virenschutz
Distributed Denial ofService ((DDoS) –
Angriffe
•Ursprung: Internet
•Bedrohung:Webservices
•Maßnahme:Gute FirewallCloud Services
Social Engineering
•Ursprung:Mitarbeiter, Fehlerhafte Prozesse bei der Entsorgung
•Bedrohung:Alle Systeme
•Maßnahme:SchulungenProzesse
SensorE/A
SPS
SCADA
MES
ERP
Produktion
VerwaltungPCs
Beispiel TELEKOM• Virus als Benutzer• Virus als lokaler
Administrator• Virus als Domänen
Administrator
Klassische Schwachstellen
- Keine Updates gemacht- Benutzer sind lokale Administratoren am PC- PC Benutzer ist gleichzeitig Domänen Administrator- Privaten Geräte im Netzwerk (BYOD)- Passworte werden nicht regelmäßig geändert- Smartphones, mobile Geräte- USB Ports offen- Ein Benutzer für Alle - Webserver im eigenen Unternehmen- Mailsystem im eigenen UnternehmenSensorE/A
SPS
SCADA
MES
ERP
Produktion
VerwaltungPCs
Sicherheitssyteme
SensorE/A
SPS
SCADA
MES
ERP
Produktion
VerwaltungPCs
System € Hardware Schutz
E-Mail, Spam
Viren, Würmer, Trojanische Pferde
Ransomware DDoS SocialEngineering
Windows Defender
keine
Norton Ca. €50,- pro PC / Jahr
Kaspersky Security 2020
Ca. €50,- pro User / Jahr
SOPHOS EndpointSecurity / Intercept X
Ca. €100,-pro User / Jahr
SOPHOS Firewall
€1000,- / Jahr
BEST Practise Beispiel FOTECca. €2000,- / Jahr für 40 Mitarbeiter
- Permanente Information und Schulung der Mitarbeiter- Keine privaten Geräte im Netzwerk (BYOD)
Network Access Protection (MAC Filter auf Switch)- Produktions-System von den Arbeitsplätzen trennen
VLAN, Firewall oder offline- Sophos Endpointprotection auf Arbeitsplatz PCs- Sophos Endpointprotection auf Fileserver- Sophos UTM 9 oder XG Firewall
Einschränkung von DownloadsWLAN EinschränkungSSL VPN Verbindungen
Schulung der Mitarbeiter
Sophos Phish Threat Systemhttps://www.sophos.com/de-de/products/phish-threat.aspx
© SOPHOS © SOPHOS © SOPHOS
Keine privaten Geräte im Netzwerk
Network Access Protection- Managed Switch notwendig- MAC Filter © CISCO
Keine privaten Geräte im Netzwerk
WLAN einschränken- Funktionsbasierte WLAN- Firewall Regeln
- Integrierte WLAN Lösung- Voucher System schränkt den Zugriff ein
Zeitraum, Menge, Ziel, Services
Trennung Produktions-System von Arbeitsplätzen
Variante 1: Firewall
ERP Arbeitsplätze: VLAN1FirewallProduktion: VLAN2
Vorteil: Service basierte AbschottungNachteil: IT Know-How SensorE/A
SPS
SCADA
MES
ERP
Produktion
VerwaltungPCs
Trennung Produktions-System von Arbeitsplätzen
Variante 1: VLAN
ERP Arbeitsplätze: VLAN1Produktion: VLAN2Server: VLAN1+2
Vorteil: Sehr plakativ und wartungsfreiNachteil: Sehr
SensorE/A
SPS
SCADA
MES
ERP
Produktion
VerwaltungPCs
Sophos Endpointprotectionfür Server und Arbeitsplätze
- Simple Bedienung- Einfach zu installieren- Eigentlich wartungsfrei- E-Mail Notifizierung im Fehlerfall- USB Blockierung- EDR System kapselt PC im Virusfall
automatisch
BEST Practise Beispiel FOTECca. €2000,- / Jahr für 40 Mitarbeiter
- Permanente Information und Schulung der Mitarbeiter- Keine privaten Geräte im Netzwerk (BYOD)
Network Access Protection (MAC Filter auf Switch)- Produktions-System von den Arbeitsplätzen trennen
VLAN, Firewall oder offline- Sophos Endpointprotection auf Arbeitsplatz PCs- Sophos Endpointprotection auf Fileserver- Sophos UTM 9 oder XG Firewall
Einschränkung von DownloadsWLAN EinschränkungSSL VPN Verbindungen
Agenda
• IT Security Systeme• Cloud Sicherheit• DSGVO und Office 365
E/A Sensor Aktor
SPS
MES
ERP
E/A Sensor Aktor
SPS
SCADA
QMSystem
Firewall
Firewall
ERP
MES / SCADA / DB
E-CommerceWWWE-MailHomeworking
Produktion
VerwaltungPCs
Cloud Sicherheit am Beispiel Microsoft 365
• Zero Trust Ansatz – Murphys Law• ISO-Standards und Zertifikate für die Microsoft Cloud: ISO 27001, ISO 27018, FedRAM,
FERPA, HIPAA/HITECH, SOC 1 und SOC 2 Typ 2-Berichtehttps://www.microsoft.com/de-de/cloud/iso-standards-und-zertifikate.aspx
• Rechtskonforme Umsetzung der entsprechenden Richtlinien• Cloud Trust Compliancy
https://aka.ms/cloud-trust-compliance• IT-Grundschutz Konformität
https://azure.microsoft.com/de-de/resources/azureit-grundschutzworkbook/de-de
Microsoft 365 im Umfeld von Compliance ISO27001
Microsoft 365• Identity & access management• Threat protection• Azure - Information protection
Discover, Classify, Protect, Monitor (DSGVO)Devices, Apps, Cloud services, On-premise
• APP Security managementCloud APP security – welche Applikationen werden eingesetzt
• Compliance managerData Loss Prevention, Information Governance, Information ProtectionInformation Protection – Automatisch oder nicht, Definition von LabelsDiscovery and Response – Audits Bereich bei Klassifizierung sagt „Benutzer ich will nicht“eDiscovery – Sucht bestimmte Dokumente im Unternehmen
BEST Practise Beispiel FOTECMicrosoft 365 – DSGVO für Lebensläufe
Microsoft 365 admin center• Anlage GruppenpostfachExchange admin center• Konfiguration Retention Tag• Konfiguration Retention policyMicrosoft 365 admin center• Zuweisung der Retention policy
zum GruppenpostfachMicrosoft Flow• Autom. Benachrichtigung
BEST Practise Beispiel FOTECMicrosoft 365 – DSGVO für Lebensläufe
Microsoft 365 admin center• Anlage GruppenpostfachExchange admin center• Konfiguration Retention Tag• Konfiguration Retention policyMicrosoft 365 admin center• Zuweisung der Retention policy
zum GruppenpostfachMicrosoft Flow• Autom. Benachrichtigung
BEST Practise Beispiel FOTECMicrosoft 365 – DSGVO für Lebensläufe
Microsoft 365 admin center• Anlage GruppenpostfachExchange admin center• Konfiguration Retention Tag• Konfiguration Retention policyMicrosoft 365 admin center• Zuweisung der Retention policy
zum GruppenpostfachMicrosoft Flow• Autom. Benachrichtigung
BEST Practise Beispiel FOTECMicrosoft 365 – DSGVO für Lebensläufe
Microsoft 365 admin center• Anlage GruppenpostfachExchange admin center• Konfiguration Retention Tag• Konfiguration Retention policyMicrosoft 365 admin center• Zuweisung der Retention policy
zum GruppenpostfachMicrosoft Flow• Autom. Benachrichtigung
BEST Practise Beispiel FOTECMicrosoft 365 – Flow
Microsoft Flow• Autom. Benachrichtigung wenn
sich eine Datei änderthttps://emea.flow.microsoft.com/en-us/templates
Agenda
• IT Security Systeme• Cloud Sicherheit• DSGVO und Office 365• Datensicherung
E/A Sensor Aktor
SPS
MES
ERP
E/A Sensor Aktor
SPS
SCADA
QMSystem
Firewall
Firewall
ERP
MES / SCADA / DB
E-CommerceWWWE-MailHomeworking
Produktion
VerwaltungPCs
Sichern von Daten vs. DatensicherungSichern von Daten (Systemen)• Ausfallsicheres Verteilen von Informationen auf mehrere
physische Systeme• „Stirbt“ ein System, so übernimmt ein anderes• Virtualisieren von File- oder DB Servern
VM-Ware, Microsoft Hyper-V, Xenon• Distributed Filesystem (Microsoft DFS)
Datensicherung • Abtrennung von Daten zum Schutz vor Ransomware• Möglichkeit zum Rollback – Versionsverwaltung• Maximaler Schutz vor Ransomware
Physisch Physisch
virtuellvirtuell virtuellvirtuell
Datensicherung
• Datenmengen, Durchlaufzeiten• Wechselnde Medien mit unterschiedlichen Zeitabständen• Medienbruch• Verschlüsselung von Backups oder doch eher Tresor?• Aufbewahrung von Backups• voll, inkrementell (nur Neues), differentiell (Zusammenführung)
Backupstrategien• <5h – Full Backup täglich• <48h – Full Backup am Wochenende und täglich inkrementelle Sicherung• >48h – mehrere parallele Sicherungen
Versionierung – Volume Shadow Copy
Vorteile• Integrierter Bestandteil von Windows
Server 2019• Einfache Aktivierung• Vom Benutzer durchführbar
Nachteile• Braucht Speicherplatz• Kein fixer Rollbackzeitraum• Nur ganze Laufwerke / Partitionen
Versionierung – Microsoft 365
Vorteile• Integrierter Bestandteil von OneDrive
Sharepoint und Teams• Standardmäßig aktivert• Vom Benutzer durchführbar
Versionierung – Microsoft 365
Vorteile• Anzahl der Versionen einstellbar• Versionssprünge einstellbar• Abfragen des Versionssprungs beim
Speichern
https://support.microsoft.com/de-de/office/aktivieren-und-konfigurieren-der-versionsverwaltung-f%c3%bcr-eine-liste-oder-bibliothek-1555d642-23ee-446a-990a-bcab618c7a37?ui=de-de&rs=de-de&ad=de
Microsoft SQL Server Backup
Wenn eine DB crashed, dann zuerst eine Sicherung der LOG Datei ziehen!
Kleine Datenbanken (<1TB)• Vollsicherung
Große Datenbanken (>=1TB)• Inkrementell: DB Backup + Backup der Log
Dateien
1. SHRINK DATABASE
USE [FMSDB]GODBCC SHRINKDATABASE(N'FMSDB‘ )GO
2. SHRINK FILES
USE [FMSDB]GODBCC SHRINKFILE (N'FMSDB' , 0, TRUNCATEONLY)GO
3. Delete old Backup (PowerShell)
cd c:del "\\server1\share\FMSDB2"ren "\\server1\share\FMSDB" "\\server1\share\FMSDB2"
4. BACKUP
BACKUP DATABASE [FMSDB] TO DISK = N'\\server1\share\FMSDB' WITH EXPIREDATE = N'09/02/2012 00:00:00', RETAINDAYS = 5, NOFORMAT, NOINIT, NAME = N'Full Database Backup', SKIP, NOREWIND, NOUNLOAD, STATS = 10
GO
BEST Practise Beispiel FOTECca. 7TB DatenVolume Shadowcopy täglich 05:00 und 12:00Hyper-V virtualisierte Server • Spiegelung auf einen Server • in einem anderen Brandabschnitt • nicht der Fileserver
DFS• Spiegelung der Fileserverdaten auf
zweiten physikalischen Server • in einem anderen Brandabschnitt
Syncredible Datensicherung auf externe HDD• Quasi Vollsicherung auf 2 wöchentlich
rotierenden HDDs (Mi, Sa)mit Löschweitergabe
• Quartalssicherung und quartalsweiser Tausch der HDDs (So)ohne Löschweitergabe, was auf der Backup HDD war, bleibt auch
SQL Server Agent Datensicherung auf Fileserver• Tägliche Sicherung• Explizite Aufbewahrung von 3 Backups
SQL Server autom. Indizes
Problem• Programmierer haben meistens keine
Ahnung von Datenbanken• Datenbankfunktionen ändern sich mit
Softwareversionen
Lösung• Nutzen der SQL Statistiken• Halbautom. Erstellung notwendiger
Indizes
SELECT CAST(SERVERPROPERTY('ServerName') AS [nvarchar](256)) AS [SQLServer] ,db.[database_id] AS [DatabaseID] ,db.[name] AS [DatabaseName] ,id.[object_id] AS [ObjectID] ,id.[statement] AS [FullyQualifiedObjectName] ,id.[equality_columns] AS [EqualityColumns] ,id.[inequality_columns] AS [InEqualityColumns] ,id.[included_columns] AS [IncludedColumns] ,gs.[unique_compiles] AS [UniqueCompiles] ,gs.[user_seeks] AS [UserSeeks] ,gs.[user_scans] AS [UserScans] ,gs.[last_user_seek] AS [LastUserSeekTime] ,gs.[last_user_scan] AS [LastUserScanTime] ,gs.[avg_total_user_cost] AS [AvgTotalUserCost] ,gs.[avg_user_impact] AS [AvgUserImpact] ,gs.[system_seeks] AS [SystemSeeks] ,gs.[system_scans] AS [SystemScans] ,gs.[last_system_seek] AS [LastSystemSeekTime] ,gs.[last_system_scan] AS [LastSystemScanTime] ,gs.[avg_total_system_cost] AS [AvgTotalSystemCost] ,gs.[avg_system_impact] AS [AvgSystemImpact] ,gs.[user_seeks] * gs.[avg_total_user_cost] * (gs.[avg_user_impact] * 0.01) AS [IndexAdvantage] ,'CREATE INDEX [Missing_IXNC_' + OBJECT_NAME(id.[object_id], db.[database_id]) + '_' + REPLACE(REPLACE(REPLACE(ISNULL(id.[equality_columns], ''), ', ', '_'), '[', ''), ']', '') + CASE WHEN id.[equality_columns] IS NOT NULL AND id.[inequality_columns] IS NOT NULL THEN '_' ELSE '' END + REPLACE(REPLACE(REPLACE(ISNULL(id.[inequality_columns], ''), ', ', '_'), '[', ''), ']', '') + '_' + LEFT(CAST(NEWID() AS [nvarchar](64)), 5) + ']' + ' ON ' + id.[statement] + ' (' + ISNULL(id.[equality_columns], '') + CASE WHEN id.[equality_columns] IS NOT NULL AND id.[inequality_columns] IS NOT NULL THEN ',' ELSE '' END + ISNULL(id.[inequality_columns], '') + ')' + ISNULL(' INCLUDE (' + id.[included_columns] + ')', '') AS [ProposedIndex] ,CAST(CURRENT_TIMESTAMP AS [smalldatetime]) AS [CollectionDate] FROM [sys].[dm_db_missing_index_group_stats] gs WITH (NOLOCK) INNER JOIN [sys].[dm_db_missing_index_groups] ig WITH (NOLOCK) ON gs.[group_handle] = ig.[index_group_handle] INNER JOIN [sys].[dm_db_missing_index_details] id WITH (NOLOCK) ON ig.[index_handle] = id.[index_handle] INNER JOIN [sys].[databases] db WITH (NOLOCK) ON db.[database_id] = id.[database_id] WHERE id.[database_id] > 4 -- Remove this to see for entire instance ORDER BY [IndexAdvantage] DESC OPTION (RECOMPILE);
Nächster Termin
18. Juni 2020 15:00-17:30
• Einführung von ERP Systemen (MHo)• Sicherheit im Web (MFa)
An Microsoft Teams-Besprechung teilnehmen
Unterlagen erhalten Sie per E-Mail. Markus [email protected]+43 2622 90333 130
Katharina Wörndl+43 2742 [email protected]