Daten-Security in der Lebensmittelbranche

Daten-Security in der Lebensmittelbranche

FOTEC Forschungs- und Technologietransfer GmbHDI Markus Hohlagschwandtner, MSc

ecoplus. Lebensmittel Cluster NiederösterreichDI Katharina Wörndl, MSc

Wir starten pünktlich um 15:00 Uhr.

Agenda

• IT Security Systeme• Cloud Sicherheit• DSGVO und Office 365• Datensicherung

E/A Sensor Aktor

SPS

MES

ERP

E/A Sensor Aktor

SPS

SCADA

QMSystem

Firewall

Firewall

ERP

MES / SCADA / DB

E-CommerceWWWE-MailHomeworking

Produktion

VerwaltungPCs

Bedrohungsarten

Ausspionieren von Daten

Viren, Würmer, Trojanische

Pferde• Wahrscheinlichkeit: hoch• Auswirkung: mittel• Maßnahmen zur Behebung: einfach und billig• Betroffene Systeme: alle Systeme auf die ein Benutzer Zugriff hat

Verschlüsseln von Daten und dann Lösegeldforderung

Ransomware

• Wahrscheinlichkeit: gering• Schaden: extrem hoch• Maßnahmen zur Behebung: einfach und billig• Betroffene Systeme: Alle Computersysteme!

Lahmlegen von IT Systemen

Distributed Denial of Service (DDoS)-Angriffe

• Wahrscheinlichkeit: hoch• Schaden: gering• Maßnahmen: schwierig• Betroffene Systeme: Firewalls, Web Services

Phishing, Dumpster Diving, USB Drop„Verführen“ von Mitarbeitern

SocialEngineering (Sicherheit)

•Wahrscheinlichkeit: gering•Schaden: hoch•Maßnahmen: einfach•Betroffene Systeme: in erster Linie Arbeitsplatzcomputer

WWW E-Commerce

Generelle Maßnahmen

Mensch Maschine

Erkennen und abtöten SchutzimpfungImmunsystem

AntivirusFirewall

Verbreitung verhindern Rezeptoren schließenNase-Mund Masken

SicherheitskonzeptAbschaltung von SystemenAwareness Maßnahmen

Bedrohungswege

Viren, Würmer, Trojanische Pferde

•Ursprung:E-MailWWW DownloadsUSBNeue HardwarePrivate Hardware

•Bedrohung:Arbeitsplatz PCs, Fileserver

•Maßnahme:Virenschutz

Ransomware

•Ursprung:E-MailWWW DownloadsUSBNeue HardwarePrivate Hardware

•Bedrohung:Alle Systeme

•Maßnahme:Guter Virenschutz

Distributed Denial ofService ((DDoS) –

Angriffe

•Ursprung: Internet

•Bedrohung:Webservices

•Maßnahme:Gute FirewallCloud Services

Social Engineering

•Ursprung:Mitarbeiter, Fehlerhafte Prozesse bei der Entsorgung

•Bedrohung:Alle Systeme

•Maßnahme:SchulungenProzesse

SensorE/A

SPS

SCADA

MES

ERP

Produktion

VerwaltungPCs

Beispiel TELEKOM• Virus als Benutzer• Virus als lokaler

Administrator• Virus als Domänen

Administrator

Klassische Schwachstellen

- Keine Updates gemacht- Benutzer sind lokale Administratoren am PC- PC Benutzer ist gleichzeitig Domänen Administrator- Privaten Geräte im Netzwerk (BYOD)- Passworte werden nicht regelmäßig geändert- Smartphones, mobile Geräte- USB Ports offen- Ein Benutzer für Alle - Webserver im eigenen Unternehmen- Mailsystem im eigenen UnternehmenSensorE/A

SPS

SCADA

MES

ERP

Produktion

VerwaltungPCs

Sicherheitssyteme

SensorE/A

SPS

SCADA

MES

ERP

Produktion

VerwaltungPCs

System € Hardware Schutz

E-Mail, Spam

Viren, Würmer, Trojanische Pferde

Ransomware DDoS SocialEngineering

Windows Defender

keine

Norton Ca. €50,- pro PC / Jahr

Kaspersky Security 2020

Ca. €50,- pro User / Jahr

SOPHOS EndpointSecurity / Intercept X

Ca. €100,-pro User / Jahr

SOPHOS Firewall

€1000,- / Jahr

BEST Practise Beispiel FOTECca. €2000,- / Jahr für 40 Mitarbeiter

- Permanente Information und Schulung der Mitarbeiter- Keine privaten Geräte im Netzwerk (BYOD)

Network Access Protection (MAC Filter auf Switch)- Produktions-System von den Arbeitsplätzen trennen

VLAN, Firewall oder offline- Sophos Endpointprotection auf Arbeitsplatz PCs- Sophos Endpointprotection auf Fileserver- Sophos UTM 9 oder XG Firewall

Einschränkung von DownloadsWLAN EinschränkungSSL VPN Verbindungen

Schulung der Mitarbeiter

Sophos Phish Threat Systemhttps://www.sophos.com/de-de/products/phish-threat.aspx

© SOPHOS © SOPHOS © SOPHOS

https://www.sophos.com/de-de/products/phish-threat.aspx

Schulung der Mitarbeiter

Sophos Phish Threat System

© SOPHOS

Keine privaten Geräte im Netzwerk

Network Access Protection- Managed Switch notwendig- MAC Filter © CISCO

Keine privaten Geräte im Netzwerk

WLAN einschränken- Funktionsbasierte WLAN- Firewall Regeln

- Integrierte WLAN Lösung- Voucher System schränkt den Zugriff ein

Zeitraum, Menge, Ziel, Services

Trennung Produktions-System von Arbeitsplätzen

Variante 1: Firewall

ERP Arbeitsplätze: VLAN1FirewallProduktion: VLAN2

Vorteil: Service basierte AbschottungNachteil: IT Know-How SensorE/A

SPS

SCADA

MES

ERP

Produktion

VerwaltungPCs

Trennung Produktions-System von Arbeitsplätzen

Variante 1: VLAN

ERP Arbeitsplätze: VLAN1Produktion: VLAN2Server: VLAN1+2

Vorteil: Sehr plakativ und wartungsfreiNachteil: Sehr

SensorE/A

SPS

SCADA

MES

ERP

Produktion

VerwaltungPCs

Sophos Endpointprotectionfür Server und Arbeitsplätze

- Simple Bedienung- Einfach zu installieren- Eigentlich wartungsfrei- E-Mail Notifizierung im Fehlerfall- USB Blockierung- EDR System kapselt PC im Virusfall

automatisch

BEST Practise Beispiel FOTECca. €2000,- / Jahr für 40 Mitarbeiter

- Permanente Information und Schulung der Mitarbeiter- Keine privaten Geräte im Netzwerk (BYOD)

Network Access Protection (MAC Filter auf Switch)- Produktions-System von den Arbeitsplätzen trennen

VLAN, Firewall oder offline- Sophos Endpointprotection auf Arbeitsplatz PCs- Sophos Endpointprotection auf Fileserver- Sophos UTM 9 oder XG Firewall

Einschränkung von DownloadsWLAN EinschränkungSSL VPN Verbindungen

Agenda

• IT Security Systeme• Cloud Sicherheit• DSGVO und Office 365

E/A Sensor Aktor

SPS

MES

ERP

E/A Sensor Aktor

SPS

SCADA

QMSystem

Firewall

Firewall

ERP

MES / SCADA / DB


Produktion

VerwaltungPCs

Cloud Sicherheit am Beispiel Microsoft 365

• Zero Trust Ansatz – Murphys Law• ISO-Standards und Zertifikate für die Microsoft Cloud: ISO 27001, ISO 27018, FedRAM,

FERPA, HIPAA/HITECH, SOC 1 und SOC 2 Typ 2-Berichtehttps://www.microsoft.com/de-de/cloud/iso-standards-und-zertifikate.aspx

• Rechtskonforme Umsetzung der entsprechenden Richtlinien• Cloud Trust Compliancy

https://aka.ms/cloud-trust-compliance• IT-Grundschutz Konformität

https://azure.microsoft.com/de-de/resources/azureit-grundschutzworkbook/de-de

https://www.microsoft.com/de-de/cloud/iso-standards-und-zertifikate.aspx

https://aka.ms/cloud-trust-compliance

https://azure.microsoft.com/de-de/resources/azureit-grundschutzworkbook/de-de

Microsoft 365 im Umfeld von Compliance ISO27001

Microsoft 365• Identity & access management• Threat protection• Azure - Information protection

Discover, Classify, Protect, Monitor (DSGVO)Devices, Apps, Cloud services, On-premise

• APP Security managementCloud APP security – welche Applikationen werden eingesetzt

• Compliance managerData Loss Prevention, Information Governance, Information ProtectionInformation Protection – Automatisch oder nicht, Definition von LabelsDiscovery and Response – Audits Bereich bei Klassifizierung sagt „Benutzer ich will nicht“eDiscovery – Sucht bestimmte Dokumente im Unternehmen

BEST Practise Beispiel FOTECMicrosoft 365 – DSGVO für Lebensläufe

Microsoft 365 admin center• Anlage GruppenpostfachExchange admin center• Konfiguration Retention Tag• Konfiguration Retention policyMicrosoft 365 admin center• Zuweisung der Retention policy

zum GruppenpostfachMicrosoft Flow• Autom. Benachrichtigung

BEST Practise Beispiel FOTECMicrosoft 365 – Flow

Microsoft Flow• Autom. Benachrichtigung wenn

sich eine Datei änderthttps://emea.flow.microsoft.com/en-us/templates

https://emea.flow.microsoft.com/en-us/templates

Agenda

• IT Security Systeme• Cloud Sicherheit• DSGVO und Office 365• Datensicherung

E/A Sensor Aktor

SPS

MES

ERP

E/A Sensor Aktor

SPS

SCADA

QMSystem

Firewall

Firewall

ERP

MES / SCADA / DB


Produktion

VerwaltungPCs

Sichern von Daten vs. DatensicherungSichern von Daten (Systemen)• Ausfallsicheres Verteilen von Informationen auf mehrere

physische Systeme• „Stirbt“ ein System, so übernimmt ein anderes• Virtualisieren von File- oder DB Servern

VM-Ware, Microsoft Hyper-V, Xenon• Distributed Filesystem (Microsoft DFS)

Datensicherung • Abtrennung von Daten zum Schutz vor Ransomware• Möglichkeit zum Rollback – Versionsverwaltung• Maximaler Schutz vor Ransomware

Physisch Physisch

virtuellvirtuell virtuellvirtuell

Datensicherung

• Datenmengen, Durchlaufzeiten• Wechselnde Medien mit unterschiedlichen Zeitabständen• Medienbruch• Verschlüsselung von Backups oder doch eher Tresor?• Aufbewahrung von Backups• voll, inkrementell (nur Neues), differentiell (Zusammenführung)

Backupstrategien• <5h – Full Backup täglich• <48h – Full Backup am Wochenende und täglich inkrementelle Sicherung• >48h – mehrere parallele Sicherungen

Versionierung – Volume Shadow Copy

Vorteile• Integrierter Bestandteil von Windows

Server 2019• Einfache Aktivierung• Vom Benutzer durchführbar

Nachteile• Braucht Speicherplatz• Kein fixer Rollbackzeitraum• Nur ganze Laufwerke / Partitionen

Versionierung – Microsoft 365

Vorteile• Integrierter Bestandteil von OneDrive

Sharepoint und Teams• Standardmäßig aktivert• Vom Benutzer durchführbar

Versionierung – Microsoft 365

Vorteile• Anzahl der Versionen einstellbar• Versionssprünge einstellbar• Abfragen des Versionssprungs beim

Speichern

https://support.microsoft.com/de-de/office/aktivieren-und-konfigurieren-der-versionsverwaltung-f%c3%bcr-eine-liste-oder-bibliothek-1555d642-23ee-446a-990a-bcab618c7a37?ui=de-de&rs=de-de&ad=de

https://support.microsoft.com/de-de/office/aktivieren-und-konfigurieren-der-versionsverwaltung-f%c3%bcr-eine-liste-oder-bibliothek-1555d642-23ee-446a-990a-bcab618c7a37?ui=de-de&rs=de-de&ad=de

Microsoft SQL Server Backup

Wenn eine DB crashed, dann zuerst eine Sicherung der LOG Datei ziehen!

Kleine Datenbanken (<1TB)• Vollsicherung

Große Datenbanken (>=1TB)• Inkrementell: DB Backup + Backup der Log

Dateien

1. SHRINK DATABASE

USE [FMSDB]GODBCC SHRINKDATABASE(N'FMSDB‘ )GO

2. SHRINK FILES

USE [FMSDB]GODBCC SHRINKFILE (N'FMSDB' , 0, TRUNCATEONLY)GO

3. Delete old Backup (PowerShell)

cd c:del "\\server1\share\FMSDB2"ren "\\server1\share\FMSDB" "\\server1\share\FMSDB2"

4. BACKUP

BACKUP DATABASE [FMSDB] TO DISK = N'\\server1\share\FMSDB' WITH EXPIREDATE = N'09/02/2012 00:00:00', RETAINDAYS = 5, NOFORMAT, NOINIT, NAME = N'Full Database Backup', SKIP, NOREWIND, NOUNLOAD, STATS = 10

GO

BEST Practise Beispiel FOTECca. 7TB DatenVolume Shadowcopy täglich 05:00 und 12:00Hyper-V virtualisierte Server • Spiegelung auf einen Server • in einem anderen Brandabschnitt • nicht der Fileserver

DFS• Spiegelung der Fileserverdaten auf

zweiten physikalischen Server • in einem anderen Brandabschnitt

Syncredible Datensicherung auf externe HDD• Quasi Vollsicherung auf 2 wöchentlich

rotierenden HDDs (Mi, Sa)mit Löschweitergabe

• Quartalssicherung und quartalsweiser Tausch der HDDs (So)ohne Löschweitergabe, was auf der Backup HDD war, bleibt auch

SQL Server Agent Datensicherung auf Fileserver• Tägliche Sicherung• Explizite Aufbewahrung von 3 Backups

SQL Server autom. Indizes

Problem• Programmierer haben meistens keine

Ahnung von Datenbanken• Datenbankfunktionen ändern sich mit

Softwareversionen

Lösung• Nutzen der SQL Statistiken• Halbautom. Erstellung notwendiger

Indizes

SELECT CAST(SERVERPROPERTY('ServerName') AS [nvarchar](256)) AS [SQLServer] ,db.[database_id] AS [DatabaseID] ,db.[name] AS [DatabaseName] ,id.[object_id] AS [ObjectID] ,id.[statement] AS [FullyQualifiedObjectName] ,id.[equality_columns] AS [EqualityColumns] ,id.[inequality_columns] AS [InEqualityColumns] ,id.[included_columns] AS [IncludedColumns] ,gs.[unique_compiles] AS [UniqueCompiles] ,gs.[user_seeks] AS [UserSeeks] ,gs.[user_scans] AS [UserScans] ,gs.[last_user_seek] AS [LastUserSeekTime] ,gs.[last_user_scan] AS [LastUserScanTime] ,gs.[avg_total_user_cost] AS [AvgTotalUserCost] ,gs.[avg_user_impact] AS [AvgUserImpact] ,gs.[system_seeks] AS [SystemSeeks] ,gs.[system_scans] AS [SystemScans] ,gs.[last_system_seek] AS [LastSystemSeekTime] ,gs.[last_system_scan] AS [LastSystemScanTime] ,gs.[avg_total_system_cost] AS [AvgTotalSystemCost] ,gs.[avg_system_impact] AS [AvgSystemImpact] ,gs.[user_seeks] * gs.[avg_total_user_cost] * (gs.[avg_user_impact] * 0.01) AS [IndexAdvantage] ,'CREATE INDEX [Missing_IXNC_' + OBJECT_NAME(id.[object_id], db.[database_id]) + '_' + REPLACE(REPLACE(REPLACE(ISNULL(id.[equality_columns], ''), ', ', '_'), '[', ''), ']', '') + CASE WHEN id.[equality_columns] IS NOT NULL AND id.[inequality_columns] IS NOT NULL THEN '_' ELSE '' END + REPLACE(REPLACE(REPLACE(ISNULL(id.[inequality_columns], ''), ', ', '_'), '[', ''), ']', '') + '_' + LEFT(CAST(NEWID() AS [nvarchar](64)), 5) + ']' + ' ON ' + id.[statement] + ' (' + ISNULL(id.[equality_columns], '') + CASE WHEN id.[equality_columns] IS NOT NULL AND id.[inequality_columns] IS NOT NULL THEN ',' ELSE '' END + ISNULL(id.[inequality_columns], '') + ')' + ISNULL(' INCLUDE (' + id.[included_columns] + ')', '') AS [ProposedIndex] ,CAST(CURRENT_TIMESTAMP AS [smalldatetime]) AS [CollectionDate] FROM [sys].[dm_db_missing_index_group_stats] gs WITH (NOLOCK) INNER JOIN [sys].[dm_db_missing_index_groups] ig WITH (NOLOCK) ON gs.[group_handle] = ig.[index_group_handle] INNER JOIN [sys].[dm_db_missing_index_details] id WITH (NOLOCK) ON ig.[index_handle] = id.[index_handle] INNER JOIN [sys].[databases] db WITH (NOLOCK) ON db.[database_id] = id.[database_id] WHERE id.[database_id] > 4 -- Remove this to see for entire instance ORDER BY [IndexAdvantage] DESC OPTION (RECOMPILE);

Nächster Termin

18. Juni 2020 15:00-17:30

• Einführung von ERP Systemen (MHo)• Sicherheit im Web (MFa)

An Microsoft Teams-Besprechung teilnehmen

Unterlagen erhalten Sie per E-Mail. Markus [email protected]+43 2622 90333 130

Katharina Wörndl+43 2742 [email protected]

https://teams.microsoft.com/l/meetup-join/19%3ameeting_ZTMxYjk3YjAtMmVkMC00NDZmLTliYjEtZjc1ZjM3MzIzZDgx%40thread.v2/0?context=%7b%22Tid%22%3a%229b1a72bc-f960-4d17-b8aa-5dba35b7939f%22%2c%22Oid%22%3a%2269c3e227-70d2-4a66-aba3-fcc3bcf99640%22%7d

mailto:[email protected]

mailto:[email protected]

Daten-Security in der Lebensmittelbranche

Documents

Transcript of Daten-Security in der Lebensmittelbranche