SECURITY-4-SAFETY (S4S)

Smarter Mittelstand

Hannover, 27. November 2017

Mittelstand 4.0

Jetzt mit kombinierter Security- & Safety-Bewertung starten

INDUSTRIE 4.0

NEUE PRODUKTANFORDERUNGSPROFILE

Die Vernetzung von klassischen Produkten und Komponenten ist heute schon Stand der Technik.

Smarter Mittelstand │Security4Safety │

Sicherer

Datentransfer

Gestern Heute

WiFi

Bluetooth

Externe

Datenbanken

Sichere

Software

Steigende Notwendigkeit von Security und Safety

Prozess-Innovation

Big Data

Kontroll-Center

Grad der Digitalisierung – Vernetzung

Betreiben

Big Data (BD)

Kontroll-Center

Produkt-Innovation

Traditionelle

TÜV NORD-Dienstleistungen

Produkt- und Prüf-Innovationen -

Änderungen von Prüfungen

und Equipment

Erhöhter Bedarf an Security und Safety in

Produkten/Anlagen/Systemen

heute morgen

Einsatz von Sensorik

erhöht zunehmend das

Datenaufkommen

SECURITY4SAFETY

Digitalisierung/ Vernetzung

<< Internet of Things (IoT) >>

Änderung der Anforderungen an Industrie und Prüforganisation – steigender Grad der Vernetzung

Smarter Mittelstand │Security4Safety │

INDUSTRIE 4.0

NEUE GESCHÄFTSMODELLE ERFORDERN ERWEITERTE BETRACHTUNGEN

Die klassischen (Safety-) Prüfgrundlagen zum Nachweis des Stands der Technik werden um weitere Anforderungen ergänzt.

Heutige Prüfungen Zukünftige Prüfungen

+ IT-Sicherheit

„Security“

WiFi

Bluetooth

Sicherer

Datentransfer

Externe

Datenbanken

Explosionsschutz++ Funktionale Sicherheit +Druckgeräte-Richtlinie

Sensoren Sichere

Software

Smarter Mittelstand │Security4Safety │

HANDLUNGSBEDARF 4.0

Die zunehmende Cyber-Bedrohung hält überall und branchenunabhängig Einzug.

Es erfordert neue Konzepte für praktikable IT-Sicherheit und vernetzte Sicherheitssysteme.

Smarter Mittelstand │Security4Safety │

2015: Hacker blockieren aus der Ferne das Gaspedal eines

Jeeps

2014: Cyber-Attacke auf das europäische Smart Grid-

Stromnetz

2016: Hackerangriff über Virus als Emailanhang lähmt

Krankenhaus in Neuss2016: Johnson&Johnson bestätigt, dass vertriebene

Insulinpumpen gehackt und so Einfluss auf die Medikation

genommen werden kann

2014: Hacking der Produktionsanlage einer deutschen

Stahlhütte führt zu massiven Schäden an den Maschinen

2010: STUXNET als erste Cyber-Attacke auf eine

Produktionsanlage (Urananreicherung im Iran)

Aufgrund der Verschmelzung von funktionaler und IT-Sicherheit können die bisher getrennt

voneinander betrachteten Arbeitsfelder nicht mehr singulär bearbeitet werden.

Alle gesellschaftlichen und wirtschaftlichen Bereiche sind von der vierten industriellen Revolution betroffen – diese birgt

Chancen aber auch Risiken.

SECURITY4SAFETY

Smarter Mittelstand │Security4Safety │

Risiken

> Neue Gefährdungsquellen

> Höhere Haftungsrisiken

> Komplexität steigt

Chancen

> Neue Geschäftsmodelle

> Bedienung neuer Kundenfelder

> Remote Monitoring/Predictive Maintenance

> Kostenersparnisse

> Text

> Text

Gesellschaftliche Risiken

> Kritische Infrastruktur

(u.a. Energie; Medizinprodukte; Transport und Verkehr)

> Ausfall/Beschädigung Industriegüter

(Anlagen, Sensoren, Roboter)

> Sicherheitslücken durch private Nutzung (Apps;

Schadhafte Software)

Risiken für Verbraucher

> Personenschaden

> Produktionsausfall

> Datenverlust

> Datenmanipulation

Eine separierte Prüfung führt nicht mehr zur Sicherheit.

Die Topologie, in die die Produkte/Systeme eingebunden sind, muss ganzheitlich mitbewertet werden.

SECURITY4SAFETY

Die Digitalisierung erfordert eine „ganzheitliche Prüfung“, da eine Integration interner und externer Wertschöpfungsketten erfolgt.

Bisherige Dienstleistungserbringung

> Trennung der Bewertung von:

• System und Anlagenschutz

• Managementsysteme

• Fertigungsprozessen

• Komponentenprüfungen

Zukünftige Dienstleistungserbringung

> Die vernetzten Systeme wachsen untrennbar zusammen und können nur

noch gesamtheitlich betrachtet werden.

> Notwendigkeit einer individuellen

ganzheitlichen Betrachtung

Prozesse Anlage Komponenten

Prozesse Anlage Komponenten

Integrierte vernetzte Systeme

Unternehmen Prozesse Produkte

LieferantenUnternehmen Prozesse Produkte

Kunden

+ +

interne externe

interne externe

Smarter Mittelstand │Security4Safety │

Aufgrund der Verschmelzung von funktionaler und IT-Sicherheit können die bisher

getrennt voneinander betrachteten Arbeitsfelder nicht mehr singulär bearbeitet werden.

Die analoge und die digitale Welt verschmelzen, sodass neben der funktionalen Sicherheit (Safety) stets auch die IT-Sicherheit

(Security) zu prüfen ist.

SafetySecurity

Funktional

Elektrisch

Konstruktiv

Identität

Vertraulichkeit

Integrität

Mensch und UmweltDaten

SECURITY4SAFETY

Smarter Mittelstand │Security4Safety │

*ISMS = Informationssicherheits-Managementsystem

GANZHEITLICHE BETRACHTUNG ZUM NACHWEIS DES STANDS DER TECHNIK:

Informationssicherheits-Managementsystem

> Betrachtung und Bewertung von Organisation und Prozessen

> ISO 27001 als Grundvoraussetzung für I4.0 („die ISO 9001 der digitalen Transformation“)

> ISO 2700x als Nachweis zum Stand der Technik

> Information Security Readiness (ISO 2700x in drei Stufen)

System- und Komponentenbetrachtung

> Ganzheitliche Security- und Safety Risikobetrachtung (S4S-Analyse)

> Umsetzung von Best Practices

> Umsetzung von normativen Anforderungen gem. Industrial Security (IEC 62443)

Keine Prüfung ohne IT-Security

> Rechtssicheres und dem Stand der Technik entsprechendes Inverkehrbringen und Betreiben von smarten

Systemen/Produkten ist ohne Bewertung der IT-Security

in Zukunft nicht möglich

Eine reine Produkt- oder Systemprüfung ist nicht mehr sicher. Die IT-Netze, Zonen und Organisations-Strukturen, in denen die Produkte

oder Systeme eingebunden sind, müssen notwendigerweise mitgeprüft werden.

Prozesse

Produktion

Produkte

+

+

Security Prozess-, System-, und Komponentenbewertungen als integraler Bestandteil von Industrie 4.0

SECURITY4SAFETY

Smarter Mittelstand │Security4Safety │

Inhärenter Ansatz: Security by Default

Prinzip der kompletten Abschottung

Schließung aller Ports und Interfaces zur Umwelt

In sich geschlossenes System mit hoher

Sicherheit aber wenig Flexibilität

Schutz zu Lasten der Usability des Systems

Security by Default-Systeme eignen sich nur

bedingt zur Teilnahme an Industrie 4.0

Security by Default:

Inhärent Gefährdungen vermeiden.

SECURITY4SAFETY

Smarter Mittelstand │Security4Safety │

Ganzheitlicher methodischer Ansatz: Security by Design

Prinzip von mehrstufigen Schutz-Barrieren (die „Ritterburg“)

Schutz von Innen nach Außen auf allen Ebenen

Von der Betriebs- bis zur Feldebene, von der

Zutrittskontrolle bis zum Kopierschutz

Ganzheitlicher Schutz durch Maßnahmen

auf Prozess-, System- und

Komponentenebene

Sicheres und Industrie 4.0-fähiges System

Security by Design:

Systematisch und strukturiert Gefährdungen beherrschen.

SECURITY4SAFETY

Smarter Mittelstand │Security4Safety │

SECURITY4SAFETY

Herausforderungen Industrie 4.0 –

Einbezug und Betrachtung aller relevanten Ebenen

Awareness

Qualifikation

Mensch Technik Organisation

Komplexität

Vernetzung

S4S-Prozesse

Verantwortlichkeiten

Smarter Mittelstand │Security4Safety │

Bedrohungsszenarien

identifizieren

Risikoanalyse

durchführen

Maßnahmen

definieren

Maßnahmen

umsetzen

Verifikation und

Validierung

Assets identifizieren

Schutzziele definieren

Dokumentation

SECURITY4SAFETY

IT-Sicherheitskonzept unter Berücksichtigung der IT-Sicherheitsorganisation.

Dokumentierter Regelkreis zum fortlaufenden Konformitätsnachweis:

Smarter Mittelstand │Security4Safety │

Assets

identifizierenBedrohungen

analysieren

relevante

Schutzziele

ermitteln

Risiken

analysieren und

bewerten

Schutzmaß-

nahmen prüfen

Schutzmaß-

nahmen

auswählen

Schutzmaß-

nahmen

umsetzen

Prozessaudit

durchführen

Integrator

Start Assets

identifizierenBedrohungen

analysieren

relevante

Schutzziele

ermitteln

Risiken

analysieren und

bewerten

Schutzmaß-

nahmen prüfen

Schutzmaß-

nahmen

auswählen

Schutzmaß-

nahmen

umsetzen

Prozessaudit

durchführen

Betreiber

Start Assets

identifizierenBedrohungen

analysieren

relevante

Schutzziele

ermitteln

Risiken

analysieren und

bewerten

Schutzmaß-

nahmen prüfen

Schutzmaß-

nahmen

auswählen

Schutzmaß-

nahmen

umsetzen

Prozessaudit

durchführen

Hersteller

Start

Anforderungen Anforderungen

Externe technische Dokumentation

Externe technische Dokumentation

Externe technische Dokumentation Externe technische Dokumentation

SECURITY4SAFETY

Einbezug aller beteiligten Ebenen der Wertschöpfungskette. Bedarf einer vollständigen, rückwirkungsfreien Dokumentation für Hersteller,

Integratoren und Betreiber.

Smarter Mittelstand │Security4Safety │

SECURITY4SAFETY

Industrie 4.0 eröffnet potentielle Angriffspunkte in allen Segmenten.

Eine einzelne zentrale Absicherung ist auf Grund der diversen Angriffsszenarien nicht mehr zielführend.

Leitwarte

Control LAN

Leittechnik

Raum

Weitverkehrsnetz

Büros

InformationssystemERP

BPCS SIS

Eng.

Workstation

Backup

Internet

Feld

Enterprize LAN

Business LAN

Process Control Network (PCN)

Alle Zonen eines Unternehmens sind auf unterschiedlichste Weise

mit der Außenwelt verbunden und diversen Gefährdungen ausgesetzt..

Wartung/

Reparatur

Smarter Mittelstand │Security4Safety │

OT –

Operational Technology IT –

Information Technology

SECURITY4SAFETY

Best-Practice-Maßnahmen – Vorher und Nachher

Derzeitiger Status Quo

IT und OT sind miteinander verbunden

Zeitlich unbegrenzte Nutzung der

Programmierschnittstelle

Eine zentrale Firewall zur Sicherung

des Gateway nach Außen

Maßnahmen

Einrichtung von dezentralen Zonen-

Firewalls

Zeitlich begrenzte Nutzung von

Programmierschnittstellen

Separierung und Trennung

von Netzwerken

Wartung/

Reparatur

Smarter Mittelstand │Security4Safety │

Ganzheitliche S4S-

Dienstleistungen

Prozesse

>Organisation

>Management-

systeme

Produkte

> Sensoren

> Software

> Datenbanken

> Konnektivität

Produktion

> Anlage

>Maschinen

> AufzügeFunktionalität

Interoperabilität

Stand der Technik

> Sicherstellung des prozessualen Frameworks

> Sicherstellung der Eignung von Security und Safety

für Anlage und Komponenten

> Sicherstellung der Funktionalität und

Interoperabilität der vernetzen Strukturen

Ganzheitliches TÜV NORD

Dienstleistungsangebot mit Fokus auf

Prozessen, Produktion und Produkten

SECURITY4SAFETY

Der „Stand der Technik“ ist zum Zeitpunkt des Inverkehrbringens von Produkten und Systemen stets einzuhalten.

Technische Umsetzungen, die normativ nicht erfasst sind, müssen individuell bewertet werden.

Smarter Mittelstand │Security4Safety │

SECURITY4SAFETY

Organisatorische Maßnahmen

Sensibilisierung der Entwickler und Produktverantwortlichen

Bewusstsein schaffen, Weiterbildung zur Informationssicherheit

Mögliche Angriffe, Techniken und Methoden (Top 10 Bedrohungen)

Verfahrensanweisungen und Arbeitsanweisungen für „Security-Basisverhalten“

Definition von Rollen und Verantwortlichkeiten für Safety und Security

Einbindung sowohl von IT und OT bei Topologie und Architektur

Vier-Augen-Prinzip bei sicherheitsgerichteten Entscheidungen

Minimalitäts-Prinzip hinsichtlich Berechtigungen/Konfigurationsmanagement

Schwachstellen-Management – Risiko-Radar

Patch-Management

Best-Practice-Maßnahmen

Verantwortlichkeiten, Awareness und grundlegendes

Security Management als Basis für eine sichere Struktur

Smarter Mittelstand │Security4Safety │

SECURITY4SAFETY

Technische Maßnahmen

Security by Default

Keine unnötig offenen Ports (z.B. Telnet)

Keine Default-Passwörter verwenden

Remote-Zugriff nur „On-Demand“

Bildschirmschoner auf < 2 Minuten

Vergabe von kleinstmöglichen Systemrechten

Security by Design

Grundlegende Netzwerktrennung von sicherheitsgerichteten Bereichen

Separierte, durch Firewalls getrennte Zonen

Veraltete Komponenten austauschen (Vista, XP)

Funkverbindung notwendig?

Whitelisting anstatt Blacklisting

Best-Practice-Maßnahmen

Technische Quick-Wins zur Sicherstellung eines grundlegenden Basisrahmen der industriellen Security.

Smarter Mittelstand │Security4Safety │

SECURITY4SAFETY

S4S-Ansatz zur

ganzheitlichen Betrachtung

Gewährleistung eines einheitlichen Sicherungsniveaus

Hat Auswirkung auf alle logischen Ebenen der IT- und

Ingenieurs-Welt

Notwendigkeit der Erweiterung der Kommunikation

zwischen Hersteller, Integratoren und Betreiber

Ganzheitliche Risikobetrachtung für Prozesse, Systeme

und Komponenten

Erfüllung der Sorgfaltspflicht und

Einhaltung des Stands der Technik

Smarter Mittelstand │Security4Safety │

Ganzheitliche S4S-

Dienstleistungen

Prozesse

>Organisation

>Management-

systeme

Produkte

> Sensoren

> Software

> Datenbanken

> Konnektivität

Produktion

> Anlage

>Maschinen

> AufzügeFunktionalität

Interoperabilität

SECURITY4SAFETY

Kontakt

M.Sc. Sys. Eng. Matthias Springer

Projektleiter Security4Safety

TÜV NORD CERT GmbH

Langemarckstr. 20

45141 Essen

Telefon: +49 201 825-3299

E-Mail: mspringer@tuev-nord.de

Vielen Dank für Ihre Aufmerksamkeit!

Smarter Mittelstand │Security4Safety │