Mittelstand 4.0 Jetzt mit kombinierter Security- & Safety ... · Druckgeräte-Richtlinie +...
Transcript of Mittelstand 4.0 Jetzt mit kombinierter Security- & Safety ... · Druckgeräte-Richtlinie +...
SECURITY-4-SAFETY (S4S)
Smarter Mittelstand
Hannover, 27. November 2017
Mittelstand 4.0
Jetzt mit kombinierter Security- & Safety-Bewertung starten
INDUSTRIE 4.0
NEUE PRODUKTANFORDERUNGSPROFILE
Die Vernetzung von klassischen Produkten und Komponenten ist heute schon Stand der Technik.
Smarter Mittelstand │Security4Safety │
Sicherer
Datentransfer
Gestern Heute
WiFi
Bluetooth
Externe
Datenbanken
Sichere
Software
Steigende Notwendigkeit von Security und Safety
Prozess-Innovation
Big Data
Kontroll-Center
Grad der Digitalisierung – Vernetzung
Betreiben
Big Data (BD)
Kontroll-Center
Produkt-Innovation
Traditionelle
TÜV NORD-Dienstleistungen
Produkt- und Prüf-Innovationen -
Änderungen von Prüfungen
und Equipment
Erhöhter Bedarf an Security und Safety in
Produkten/Anlagen/Systemen
heute morgen
Einsatz von Sensorik
erhöht zunehmend das
Datenaufkommen
SECURITY4SAFETY
Digitalisierung/ Vernetzung
<< Internet of Things (IoT) >>
Änderung der Anforderungen an Industrie und Prüforganisation – steigender Grad der Vernetzung
Smarter Mittelstand │Security4Safety │
INDUSTRIE 4.0
NEUE GESCHÄFTSMODELLE ERFORDERN ERWEITERTE BETRACHTUNGEN
Die klassischen (Safety-) Prüfgrundlagen zum Nachweis des Stands der Technik werden um weitere Anforderungen ergänzt.
Heutige Prüfungen Zukünftige Prüfungen
+ IT-Sicherheit
„Security“
WiFi
Bluetooth
Sicherer
Datentransfer
Externe
Datenbanken
Explosionsschutz++ Funktionale Sicherheit +Druckgeräte-Richtlinie
Sensoren Sichere
Software
Smarter Mittelstand │Security4Safety │
HANDLUNGSBEDARF 4.0
Die zunehmende Cyber-Bedrohung hält überall und branchenunabhängig Einzug.
Es erfordert neue Konzepte für praktikable IT-Sicherheit und vernetzte Sicherheitssysteme.
Smarter Mittelstand │Security4Safety │
2015: Hacker blockieren aus der Ferne das Gaspedal eines
Jeeps
2014: Cyber-Attacke auf das europäische Smart Grid-
Stromnetz
2016: Hackerangriff über Virus als Emailanhang lähmt
Krankenhaus in Neuss2016: Johnson&Johnson bestätigt, dass vertriebene
Insulinpumpen gehackt und so Einfluss auf die Medikation
genommen werden kann
2014: Hacking der Produktionsanlage einer deutschen
Stahlhütte führt zu massiven Schäden an den Maschinen
2010: STUXNET als erste Cyber-Attacke auf eine
Produktionsanlage (Urananreicherung im Iran)
Aufgrund der Verschmelzung von funktionaler und IT-Sicherheit können die bisher getrennt
voneinander betrachteten Arbeitsfelder nicht mehr singulär bearbeitet werden.
Alle gesellschaftlichen und wirtschaftlichen Bereiche sind von der vierten industriellen Revolution betroffen – diese birgt
Chancen aber auch Risiken.
SECURITY4SAFETY
Smarter Mittelstand │Security4Safety │
Risiken
> Neue Gefährdungsquellen
> Höhere Haftungsrisiken
> Komplexität steigt
Chancen
> Neue Geschäftsmodelle
> Bedienung neuer Kundenfelder
> Remote Monitoring/Predictive Maintenance
> Kostenersparnisse
> Text
> Text
Gesellschaftliche Risiken
> Kritische Infrastruktur
(u.a. Energie; Medizinprodukte; Transport und Verkehr)
> Ausfall/Beschädigung Industriegüter
(Anlagen, Sensoren, Roboter)
> Sicherheitslücken durch private Nutzung (Apps;
Schadhafte Software)
Risiken für Verbraucher
> Personenschaden
> Produktionsausfall
> Datenverlust
> Datenmanipulation
Eine separierte Prüfung führt nicht mehr zur Sicherheit.
Die Topologie, in die die Produkte/Systeme eingebunden sind, muss ganzheitlich mitbewertet werden.
SECURITY4SAFETY
Die Digitalisierung erfordert eine „ganzheitliche Prüfung“, da eine Integration interner und externer Wertschöpfungsketten erfolgt.
Bisherige Dienstleistungserbringung
> Trennung der Bewertung von:
• System und Anlagenschutz
• Managementsysteme
• Fertigungsprozessen
• Komponentenprüfungen
Zukünftige Dienstleistungserbringung
> Die vernetzten Systeme wachsen untrennbar zusammen und können nur
noch gesamtheitlich betrachtet werden.
> Notwendigkeit einer individuellen
ganzheitlichen Betrachtung
Prozesse Anlage Komponenten
Prozesse Anlage Komponenten
Integrierte vernetzte Systeme
Unternehmen Prozesse Produkte
LieferantenUnternehmen Prozesse Produkte
Kunden
+ +
interne externe
interne externe
Smarter Mittelstand │Security4Safety │
Aufgrund der Verschmelzung von funktionaler und IT-Sicherheit können die bisher
getrennt voneinander betrachteten Arbeitsfelder nicht mehr singulär bearbeitet werden.
Die analoge und die digitale Welt verschmelzen, sodass neben der funktionalen Sicherheit (Safety) stets auch die IT-Sicherheit
(Security) zu prüfen ist.
SafetySecurity
Funktional
Elektrisch
Konstruktiv
Identität
Vertraulichkeit
Integrität
Mensch und UmweltDaten
SECURITY4SAFETY
Smarter Mittelstand │Security4Safety │
*ISMS = Informationssicherheits-Managementsystem
GANZHEITLICHE BETRACHTUNG ZUM NACHWEIS DES STANDS DER TECHNIK:
Informationssicherheits-Managementsystem
> Betrachtung und Bewertung von Organisation und Prozessen
> ISO 27001 als Grundvoraussetzung für I4.0 („die ISO 9001 der digitalen Transformation“)
> ISO 2700x als Nachweis zum Stand der Technik
> Information Security Readiness (ISO 2700x in drei Stufen)
System- und Komponentenbetrachtung
> Ganzheitliche Security- und Safety Risikobetrachtung (S4S-Analyse)
> Umsetzung von Best Practices
> Umsetzung von normativen Anforderungen gem. Industrial Security (IEC 62443)
Keine Prüfung ohne IT-Security
> Rechtssicheres und dem Stand der Technik entsprechendes Inverkehrbringen und Betreiben von smarten
Systemen/Produkten ist ohne Bewertung der IT-Security
in Zukunft nicht möglich
Eine reine Produkt- oder Systemprüfung ist nicht mehr sicher. Die IT-Netze, Zonen und Organisations-Strukturen, in denen die Produkte
oder Systeme eingebunden sind, müssen notwendigerweise mitgeprüft werden.
Prozesse
Produktion
Produkte
+
+
Security Prozess-, System-, und Komponentenbewertungen als integraler Bestandteil von Industrie 4.0
SECURITY4SAFETY
Smarter Mittelstand │Security4Safety │
Inhärenter Ansatz: Security by Default
Prinzip der kompletten Abschottung
Schließung aller Ports und Interfaces zur Umwelt
In sich geschlossenes System mit hoher
Sicherheit aber wenig Flexibilität
Schutz zu Lasten der Usability des Systems
Security by Default-Systeme eignen sich nur
bedingt zur Teilnahme an Industrie 4.0
Security by Default:
Inhärent Gefährdungen vermeiden.
SECURITY4SAFETY
Smarter Mittelstand │Security4Safety │
Ganzheitlicher methodischer Ansatz: Security by Design
Prinzip von mehrstufigen Schutz-Barrieren (die „Ritterburg“)
Schutz von Innen nach Außen auf allen Ebenen
Von der Betriebs- bis zur Feldebene, von der
Zutrittskontrolle bis zum Kopierschutz
Ganzheitlicher Schutz durch Maßnahmen
auf Prozess-, System- und
Komponentenebene
Sicheres und Industrie 4.0-fähiges System
Security by Design:
Systematisch und strukturiert Gefährdungen beherrschen.
SECURITY4SAFETY
Smarter Mittelstand │Security4Safety │
SECURITY4SAFETY
Herausforderungen Industrie 4.0 –
Einbezug und Betrachtung aller relevanten Ebenen
Awareness
Qualifikation
Mensch Technik Organisation
Komplexität
Vernetzung
S4S-Prozesse
Verantwortlichkeiten
Smarter Mittelstand │Security4Safety │
Bedrohungsszenarien
identifizieren
Risikoanalyse
durchführen
Maßnahmen
definieren
Maßnahmen
umsetzen
Verifikation und
Validierung
Assets identifizieren
Schutzziele definieren
Dokumentation
SECURITY4SAFETY
IT-Sicherheitskonzept unter Berücksichtigung der IT-Sicherheitsorganisation.
Dokumentierter Regelkreis zum fortlaufenden Konformitätsnachweis:
Smarter Mittelstand │Security4Safety │
Assets
identifizierenBedrohungen
analysieren
relevante
Schutzziele
ermitteln
Risiken
analysieren und
bewerten
Schutzmaß-
nahmen prüfen
Schutzmaß-
nahmen
auswählen
Schutzmaß-
nahmen
umsetzen
Prozessaudit
durchführen
Integrator
Start Assets
identifizierenBedrohungen
analysieren
relevante
Schutzziele
ermitteln
Risiken
analysieren und
bewerten
Schutzmaß-
nahmen prüfen
Schutzmaß-
nahmen
auswählen
Schutzmaß-
nahmen
umsetzen
Prozessaudit
durchführen
Betreiber
Start Assets
identifizierenBedrohungen
analysieren
relevante
Schutzziele
ermitteln
Risiken
analysieren und
bewerten
Schutzmaß-
nahmen prüfen
Schutzmaß-
nahmen
auswählen
Schutzmaß-
nahmen
umsetzen
Prozessaudit
durchführen
Hersteller
Start
Anforderungen Anforderungen
Externe technische Dokumentation
Externe technische Dokumentation
Externe technische Dokumentation Externe technische Dokumentation
SECURITY4SAFETY
Einbezug aller beteiligten Ebenen der Wertschöpfungskette. Bedarf einer vollständigen, rückwirkungsfreien Dokumentation für Hersteller,
Integratoren und Betreiber.
Smarter Mittelstand │Security4Safety │
SECURITY4SAFETY
Industrie 4.0 eröffnet potentielle Angriffspunkte in allen Segmenten.
Eine einzelne zentrale Absicherung ist auf Grund der diversen Angriffsszenarien nicht mehr zielführend.
Leitwarte
Control LAN
Leittechnik
Raum
Weitverkehrsnetz
Büros
InformationssystemERP
BPCS SIS
Eng.
Workstation
Backup
Internet
Feld
Enterprize LAN
Business LAN
Process Control Network (PCN)
Alle Zonen eines Unternehmens sind auf unterschiedlichste Weise
mit der Außenwelt verbunden und diversen Gefährdungen ausgesetzt..
Wartung/
Reparatur
Smarter Mittelstand │Security4Safety │
OT –
Operational Technology IT –
Information Technology
SECURITY4SAFETY
Best-Practice-Maßnahmen – Vorher und Nachher
Derzeitiger Status Quo
IT und OT sind miteinander verbunden
Zeitlich unbegrenzte Nutzung der
Programmierschnittstelle
Eine zentrale Firewall zur Sicherung
des Gateway nach Außen
Maßnahmen
Einrichtung von dezentralen Zonen-
Firewalls
Zeitlich begrenzte Nutzung von
Programmierschnittstellen
Separierung und Trennung
von Netzwerken
Wartung/
Reparatur
Smarter Mittelstand │Security4Safety │
Ganzheitliche S4S-
Dienstleistungen
Prozesse
>Organisation
>Management-
systeme
Produkte
> Sensoren
> Software
> Datenbanken
> Konnektivität
Produktion
> Anlage
>Maschinen
> AufzügeFunktionalität
Interoperabilität
Stand der Technik
> Sicherstellung des prozessualen Frameworks
> Sicherstellung der Eignung von Security und Safety
für Anlage und Komponenten
> Sicherstellung der Funktionalität und
Interoperabilität der vernetzen Strukturen
Ganzheitliches TÜV NORD
Dienstleistungsangebot mit Fokus auf
Prozessen, Produktion und Produkten
SECURITY4SAFETY
Der „Stand der Technik“ ist zum Zeitpunkt des Inverkehrbringens von Produkten und Systemen stets einzuhalten.
Technische Umsetzungen, die normativ nicht erfasst sind, müssen individuell bewertet werden.
Smarter Mittelstand │Security4Safety │
SECURITY4SAFETY
Organisatorische Maßnahmen
Sensibilisierung der Entwickler und Produktverantwortlichen
Bewusstsein schaffen, Weiterbildung zur Informationssicherheit
Mögliche Angriffe, Techniken und Methoden (Top 10 Bedrohungen)
Verfahrensanweisungen und Arbeitsanweisungen für „Security-Basisverhalten“
Definition von Rollen und Verantwortlichkeiten für Safety und Security
Einbindung sowohl von IT und OT bei Topologie und Architektur
Vier-Augen-Prinzip bei sicherheitsgerichteten Entscheidungen
Minimalitäts-Prinzip hinsichtlich Berechtigungen/Konfigurationsmanagement
Schwachstellen-Management – Risiko-Radar
Patch-Management
Best-Practice-Maßnahmen
Verantwortlichkeiten, Awareness und grundlegendes
Security Management als Basis für eine sichere Struktur
Smarter Mittelstand │Security4Safety │
SECURITY4SAFETY
Technische Maßnahmen
Security by Default
Keine unnötig offenen Ports (z.B. Telnet)
Keine Default-Passwörter verwenden
Remote-Zugriff nur „On-Demand“
Bildschirmschoner auf < 2 Minuten
Vergabe von kleinstmöglichen Systemrechten
Security by Design
Grundlegende Netzwerktrennung von sicherheitsgerichteten Bereichen
Separierte, durch Firewalls getrennte Zonen
Veraltete Komponenten austauschen (Vista, XP)
Funkverbindung notwendig?
Whitelisting anstatt Blacklisting
Best-Practice-Maßnahmen
Technische Quick-Wins zur Sicherstellung eines grundlegenden Basisrahmen der industriellen Security.
Smarter Mittelstand │Security4Safety │
SECURITY4SAFETY
S4S-Ansatz zur
ganzheitlichen Betrachtung
Gewährleistung eines einheitlichen Sicherungsniveaus
Hat Auswirkung auf alle logischen Ebenen der IT- und
Ingenieurs-Welt
Notwendigkeit der Erweiterung der Kommunikation
zwischen Hersteller, Integratoren und Betreiber
Ganzheitliche Risikobetrachtung für Prozesse, Systeme
und Komponenten
Erfüllung der Sorgfaltspflicht und
Einhaltung des Stands der Technik
Smarter Mittelstand │Security4Safety │
Ganzheitliche S4S-
Dienstleistungen
Prozesse
>Organisation
>Management-
systeme
Produkte
> Sensoren
> Software
> Datenbanken
> Konnektivität
Produktion
> Anlage
>Maschinen
> AufzügeFunktionalität
Interoperabilität
SECURITY4SAFETY
Kontakt
M.Sc. Sys. Eng. Matthias Springer
Projektleiter Security4Safety
TÜV NORD CERT GmbH
Langemarckstr. 20
45141 Essen
Telefon: +49 201 825-3299
E-Mail: [email protected]
Vielen Dank für Ihre Aufmerksamkeit!
Smarter Mittelstand │Security4Safety │