IT-Security Anforderungen für Industrie...

IT-Security Anforderungen fürIndustrie x.0

Hannover Messe, Forum Industrial IT

8. April 2014Dr. Lutz Jänicke

CTO

- -Hannovermesse 2014: Forum Industrial IT 2014-04-08

Übersicht

Industrie 1.0 – 4.0 Industrie 3.0

– Security heute

– Office-IT und Industrial IT

– Hintergründe

Industrie 4.0– Wohin soll die Reise gehen?

Ein Gesamtkonzept wird gebraucht!


Industrielle Revolution(en)

Als Industrielle Revolution wird die tiefgreifende und dauerhafte Umgestaltung der wirtschaftlichen und sozialen Verhältnisse, der Arbeitsbedingungen und Lebensumstände bezeichnet, die in der zweiten Hälfte des 18. Jahrhunderts begann und verstärkt im 19. Jahrhundert, zunächst in England, dann in ganz Westeuropa und den USA, seit dem späten 19. Jahrhundert auch in Japan und weiteren Teilen Europas und Asiens zum Übergang von der Agrar- zur Industriegesellschaft geführt hat.(Quelle: Wikipedia)


Industrie 1.0 – 4.0


Industrie 3.0 – Security heute

VDMA Studie “Status Quo der Security in Produktion und Automation” vorgestellt im November 2013 zur SPS/IPS/Drives-Messe

“... Security-Vorfälle … in 29 Prozent der Unternehmen haben diese bereits zu Produktionsausfällen geführt“

„Zu denken gibt uns, dass nur 57 Prozent der Unternehmen einen der gängigen Security-Standards kennen und weniger als ein Drittel diese Standards anwenden.“

(Quelle: S. Zimmermann, VDMA, Presseerklärung)


Industrie 3.0 – Office vs. Industrial IT

Office IT– Entwickelt über viele Jahre und dominiert von wenigen

Playern

– Security ist nur teilweise eindesigned; Nachrüstung ist ein eigenes Geschäftsmodell

Industrial IT– Entstanden aus Eigenentwicklungen

– Weitestgehender Einzug von preisgünstigen Komponenten (Hard- und Software) aus Office IT

– Keine isolierten Inselsysteme mehr, sondern vernetzt


Sicherheitskonzepte aus der Office IT

Software Updates, Patchen: Nicht umsetzbarAutomatisierungs-Komponenten

basieren auf Standard-Produkten (Hardware, Betriebssysteme, Protokolle), um kosteneffizient zu sein.

sind aber nur untergeordnete Bausteine einer Automatisierungsanlage, bei denen jede Änderung die Hauptfunktion gefährdet


Sicherheitskonzepte aus der Office IT

Software Updates, Patchen: Nicht umsetzbarBesondere Anforderungen von Industrien

Prozeßindustrie:● Wartungsfenster z.T. nur alle paar Jahre

Pharmaindustrie:● Strikte Prozesse für Change Management durch

Compliance Anforderungen


Automatisierungspyramide

Beschreibt Ebenen in der Automatisierungsbezogenen ITQuerverbindungen (die für dieses Schema nicht gebraucht

werden) werden nicht dargestellt.– Entwicklung, Engineering, Fernwartung

(Quelle: Wikipedia (UlrichAAB))


Know-how Domänen in der AutomatisierungAutomatisierungskomponenten vereinigen Know-how aus

verschiedenen DomänenKnow-how des Steuerungsherstellers: die

PLC-ImplementierungKnow-how des Automatisierers (das Programm, welches

von der PLC ausgeführt wird) Informationen des Betreibers (Prozessdaten)

Jede dieser Informationsklassen bedarf des Schutzes (z.B. gegen Produktpiraterie) auch gegen die jeweils anderen oben genannten Stakeholder


Die typische AutomatisierungskomponenteFeldgeräte mit technischem Einsatzzweck (nicht Security!)Wettbewerbsfähigkeit wichtig (Time to Market,

Entwicklungskosten)Begrenzte Ressourcen (Speicher, Geschwindigkeit, MMU?)

(Quelle: https://de.wikipedia.org/w/index.php?title=Datei:Dibujo_Ultraschall5.PNG&filetimestamp=20080919130732&)


Der typische Anwender

Entwickler/Designer von AutomatisierungskomponentenAutomatisiererBetreiber (“Fertigungs IT”) InstandhaltungstechnikerBedienerWissensniveaus sind weltweit unterschiedlich

(Quelle: Wikimedia/Public Domain)


IT-Sicherheit – Angriffsvektoren

“Stuxnet hat Steuerungen manipuliert, um Zentrifugen zu beschädigen”, aberStuxnet hat keine Steuerung direkt angegriffenStuxnet griff ein (Windows-)Betriebssystem an, um eine

Programmiersoftware zu infiltrieren, welche der Steuerung ein verfälschtes Programm lieferte

Härtungsmaßnahmen an der Steuerung alleine hätten nichts genutzt...

Tendenz zu Angriffen mit Primärzielen im Officebereich


IT-Sicherheit – Verantwortlichkeiten

In vielen Unternehmen ist heute die IT auch organisatorisch und personell zweigeteilt in eine “Office” und eine “Shopfloor”-Welt

Wer verantwortet die IT-Sicherheit in der Fertigung?Betritt der IT-Sicherheitsbeauftragte mit der Fertigung

“Neuland”?Hat sich Ihre Shopfloor-IT auch schon mit eigenen Firewalls

gegen die Office-IT verteidigt?Hat Ihre Shopfloor-IT auch schon getobt, als nach einem

zentralen Firewall-Update alle (ungenehmigten) Fernwartungsverbindungen fehlschlugen?


Industrie 4.0

Der Begriff Industrie 4.0 steht für die vierte industrielle Revolution, einer neuen Stufe der Organisation und Steuerung der gesamten Wertschöpfungskette über den Lebenszyklus von Produkten. Dieser Zyklus orientiert sich an den zunehmend individualisierten Kundenwünschen und erstreckt sich von der Idee, dem Auftrag über die Entwicklung und Fertigung, die Auslieferung eines Produkts an den Endkunden bis hin zum Recycling, einschließlich der damit verbundenen Dienstleistungen.(Quelle: Plattform Industrie 4.0)


Industrie 4.0

Basis ist die Verfügbarkeit aller relevanten Informationen in Echtzeit durch Vernetzung aller an der Wertschöpfung beteiligten Instanzen sowie die Fähigkeit aus den Daten den zu jedem Zeitpunkt optimalen Wertschöpfungsfluss abzuleiten. Durch die Verbindung von Menschen, Objekten und Systemen entstehen dynamische, echtzeitoptimierte und selbst organisierende, unternehmensübergreifende Wertschöpfungsnetzwerke, die sich nach unterschiedlichen Kriterien wie bspw. Kosten, Verfügbarkeit und Ressourcenverbrauch optimieren lassen.(Quelle: Plattform Industrie 4.0)


Industrie 4.0 – Sicherheit

Mit der zunehmenden Vernetzung und dem Austausch großer Datenmengen in der Industrie 4.0 steigen auch die Sicherheitsanforderungen. Neben der Betriebssicherheit (Safety), die gewährleistet, dass Produktionssysteme und Produkte keine Gefahr für Menschen und Umwelt darstellen, gewinnt ein zweiter Sicherheitsaspekt enorm an Bedeutung: die Angriffssicherheit (Security). Anlagen und Produkte, aber auch Daten und Know-how müssen verlässlich vor unbefugtem Zugriff und Missbrauch geschützt werden.(Quelle: Plattform Industrie 4.0)


Industrie 4.0 – Sicherheit

Um Sicherheit in der Industrie 4.0 zu gewährleisten, ist ein proaktiveres Vorgehen als bisher nötig. Es genügt nicht, nachträglich Security-Funktionen zu ergänzen, wenn es schon Sicherheitsvorfälle gab. Das Thema muss von Anfang an mitgedacht werden – als Security by Design. Zudem ist mit der zunehmenden Vernetzung und Zusammenarbeit verschiedener Partner ein starkes Vertrauen in den jeweils anderen erforderlich. (Quelle: Plattform Industrie 4.0)


IT-Sicherheit – Gesamtkonzept

Industrie 4.0 wird die horizontale und vertikale Vernetzung bringenÜber Abteilungsgrenzen hinwegÜber Organisations- und Firmengrenzen hinwegÜber Know-how Domänen hinweg (unterschiedliche

Abstraktsionsebenen)Bei vollständiger Vernetzung über Organisationsgrenzen

hinweg muss ein ganzheitliches Securitykonzept bestehen!Fokussierung auf spezielle technische Lösungen nicht

ausreichend

- -OMNICARD 2014 – Sicherheit vernetzter Systeme 2014-01-2220

Vielen Dank – Interesse an weiteren Informationen?Wir freuen uns auf Ihre Kontaktaufnahme!

Innominate Security Technologies AGRudower Chaussee 1312489 Berlin

www.innominate.com

+49 (30) 921028-0

Dr. Lutz JänickeCTO

[email protected]

- -

IT-Security Anforderungen für Industrie...

Documents

Transcript of IT-Security Anforderungen für Industrie...