In der Industrie - kein Widerspruch! - Digitalisierung und Security Die IEC 62443 in der Anwendung - ikt.saarland

Die Seite wird erstellt Albert Rudolph
 
WEITER LESEN
In der Industrie - kein Widerspruch! - Digitalisierung und Security Die IEC 62443 in der Anwendung - ikt.saarland
Digitalisierung und Security
in der Industrie – kein Widerspruch!

  Die IEC 62443 in der Anwendung.

             Tag der IT-Sicherheit 2019

          Daniel Kastner, Stahl-Holding-Saar
            Saarbrücken, den 06.06.2019
In der Industrie - kein Widerspruch! - Digitalisierung und Security Die IEC 62443 in der Anwendung - ikt.saarland
Agenda

• SHS – Stahl-Holding-Saar
• Entwicklung der Cyber-Kriminalität aus Sicht eines Stahlkonzerns
• Innovation und Sicherheit schließen sich nicht aus!
• IT-Security im Automatisierungsumfeld
• IEC 62443 – Aufbau und Kernelemente
• Praxisbeispiel - ICS Security Konzept ‚neue Stranggießanlage 1‘ („S1“)
• Positionspapier des Arbeitskreises Industrial IT-Security

                                        2
In der Industrie - kein Widerspruch! - Digitalisierung und Security Die IEC 62443 in der Anwendung - ikt.saarland
SHS – Stahl-Holding-Saar / Kennzahlen 2018

                                          DH      SAG     SHS

Produktion (kt)
 Rohstahlproduktion                      2.334   2.782   5.116

Personal
 Belegschaft (ohne Auszubildende)        7.310   6.384   13.694
 Auszubildende                             257     287      544

Finanzkennzahlen (Mio. €)
  Umsatzerlöse (konsolidiert)            2.202   2.528    4.730
  Investitionen (inkl. ROGESA/ZKS)          55      68      123
  Investitionen (2014 bis 2018)                             885

                                     3
In der Industrie - kein Widerspruch! - Digitalisierung und Security Die IEC 62443 in der Anwendung - ikt.saarland
Kennzahlen IT (ohne Automatisierungstechnik)

                                                SHS

Infrastruktur
  Computer                                      9.200
  Server                                        1.900
  LAN Ports                                    25.000
  aktive Netzwerkgeräte (Switche / Router)      1.400
  LWL Kabel (km)                               >1.000

Personal
 Informatik Dillinger                            100
 Informatik Saarstahl                            100
 Informatik SHS Infrastruktur                     60

                                         4
In der Industrie - kein Widerspruch! - Digitalisierung und Security Die IEC 62443 in der Anwendung - ikt.saarland
Entwicklung der Cyber-Kriminalität

                                     Quelle: Studie Industriespionage 2014, Corporate Trust

                                 5
In der Industrie - kein Widerspruch! - Digitalisierung und Security Die IEC 62443 in der Anwendung - ikt.saarland
Entwicklung der Cyber-Kriminalität

                                     Quelle: Studie Industriespionage 2014, Corporate Trust

                                 6
In der Industrie - kein Widerspruch! - Digitalisierung und Security Die IEC 62443 in der Anwendung - ikt.saarland
Ganzheitlicher IT-Security Ansatz – „Bekannt und doch vermasselt!“

                                                          Security Richtlinien
  technische IT-Security
                                                           Security Prozesse
   physische Sicherheit
                                                           Risiko Management

                               oft unterschätzt
                           Security Awareness
                      Sensibilisierung von Mitarbeitern
                           und Führungskräften

          Zu viel und gleichzeitig zu wenig getan?

                                       7
In der Industrie - kein Widerspruch! - Digitalisierung und Security Die IEC 62443 in der Anwendung - ikt.saarland
IEC 62443 – Industrial IT-Security

Anzahl erreichbarer IP-
Adressen (in 1.000)
je 1 Mrd $ Umsatz
                             30
                                         22
                                                          5
                          Nordamerika   Europa         Ostasien

Schwachstellen je 1.000                          25%
IP-Adressen
                                         52              44
                              39

                          Nordamerika   Europa         Ostasien   Quelle: ix Spezial 2019, S. 108

        Innovation und Sicherheit schließen sich nicht aus!

                                         8
In der Industrie - kein Widerspruch! - Digitalisierung und Security Die IEC 62443 in der Anwendung - ikt.saarland
Prämissen im Automatisierungsumfeld

                        Unterschiede in den Anforderungen zwischen
                                              Office IT        Industrial IT (OT)

                        Lebensdauer              3-5 Jahre                       5-20 Jahre

                        Patchmanagement          oft (täglich)                   selten, Hersteller-
                                                                                 freigabe notwendig

                        Zeitabhängigkeiten       Verzögerungen                   kritisch
                                                 akzeptiert

                        Verfügbarkeit            kurze Ausfälle                  24 x 7
                                                 toleriert

                                             Quelle: Industrial Control Systems Vulnerabilities Statistics, Kaspersky

 IT-Konzepte sind nur bedingt im OT-Bereich zu nutzen!

                                 9
In der Industrie - kein Widerspruch! - Digitalisierung und Security Die IEC 62443 in der Anwendung - ikt.saarland
IEC 62443 – Industrial IT-Security

• Warum nicht ISO/IEC 27000?
• IEC 62443 adressiert die spezifischen Belange der IT-Sicherheit industrieller
 Anlagen

• Grundlegend für das Verständnis:
   – Schutz gegen gewollten oder auch ungewollten Missbrauch durch
     Cyberangriffe kann nicht singulär erzeugt werden.
   – Rollen      Hersteller
                 Integrator
                 Betreiber / Asset Owner
   – übergeordnete Grundkonzepte             Risikobewertung, Security-Level
                                             Defense-in-Depth Strategie
                                             Zones & Conduits

  IEC 62443 = ganzheitlicher Ansatz für den OT-Bereich

                                        10
IEC 62443 – Struktur der Norm

                                       Quelle: ZVEl., Orientierungsleitfaden für Hersteller zur IEC 62443, S. 9

Die Norm besteht aus 4 Abschnitten bzw. insgesamt 13 Teilen.

                                  11
IEC 62443 – Industrial IT-Security

                                          Quelle: ZVEl., Orientierungsleitfaden für Hersteller zur IEC 62443, S. 10

                                     12
IEC 62443 – vier Security-Level

• Security-Level
  Schutz gegen …

   (1) … ungewollten, zufälligen Missbrauch

   … gewollten Missbrauch

   (2)   einfache Mittel, niedriger Aufwand, allgem. Kompetenz, niedr. Motivation

   (3)   moderate Mittel, mod. Aufwand, spezif. Kompetenz, mod. Motivation

   (4)   aufwend. Mittel, erhebl. Aufwand, spezif. Kompetenz, hohe Motivation

                                       13
Bewertung von funktionalen und organisatorischen Maßnahmen

             3    4
         2
     1

                                           Quelle: P. Korbes, S. Leitfaden Industrial Security, S. 38

                 62443: ganzheitlicher Ansatz!

                               14
IEC 62443 – grundlegende Anforderungen

funktionale Anforderungen an eine Automatisierungslösung

FR 1 – Identifizierung und Authentifizierung
FR 2 – Nutzungskontrolle
FR 3 – Systemintegrität
FR 4 – Vertraulichkeit der Daten
FR 5 – eingeschränkter Datenfluss
FR 6 – rechtzeitige Reaktion auf Ereignisse
FR 7 – Ressourcenverfügbarkeit

• physischer Zugang
• Organisation

                                      15
IEC 62443 – A.3 FR 5 – Eingeschränkter Datenfluss

                                16
Defense in Depth – das Modell der Zwiebelschalen

                                              Quelle: P. Korbes, S. Leitfaden Industrial Security, S. 16

       Grundkonzept „Defense in Depth Strategie“.
          Schutz rundum wie auch in der Tiefe.
                                17
Vorgehensweise zum Aufbau eines Schutzkonzeptes

• Anlagensicherheit (i W durch den Betreiber)
   – sicher stellen, dass technische Maßnahmen nicht umgangen werden können
       • physischer Schutz und
       • organisatorische Maßnahmen (Security-Management-Prozess)

• Netzwerksicherheit (i W durch den Integrator)
   – Zentrales Element des industriellen Schutzkonzepts ist die Netzwerksicherheit.
       • Sicherung der Schnittstellen zw. Unternehmens- und Anlagennetz (DMZ)
       • Netzsegmentierung und Zellschutz
       • sichere Fernzugriffe (VPN)

• Systemintegrität (i W durch den Hersteller)
• Rollen- und Rechtekonzept

                                          18
Besondere Rolle der Netzwerksicherheit

                                                 unsicher

                                                    sicher
                                         Quelle: BSI., ICS-Security-Kompendium, S. 18

          Bedrohungen nehmen nach außen zu!

                                19
Netzwerkkonzepte: Campusweite Trennung der Kommunikation IT/OT

                                              Quelle: BSI., ICS-Security-Kompendium, S. 25

         Physikalische / Logische Entkopplung

                              20
Vorteile der (physikalischen) Trennung IT & OT Kommunikationsnetze

• Erhöhung der Sicherheit durch Reduzierung der Angriffsvektoren
• Lasttrennung der IT/OT Kommunikationsinfrastruktur, keine Beeinflussung
 zeitkritischer OT Kommunikation durch IT Netzwerkwerklast

• Einfache Kontrolle durch einen zentralen (redundanten) Übergang
• Unabhängige Release-, Patch- und Wartungszyklen für IT/OT möglich
• Unabhängige Betriebsteams und SLAs für IT/OT möglich

         Ziel: Nahezu autarker Betrieb der OT-Netze

                                      21
Automatisierungszelle – Siemens Design

                           • Steuerungen befinden sich in einem
                             geschlossenen Netzwerk (Anlagennetz, AS).

                           • Die Bediener Clients (Terminals) befinden sich
                             ebenfalls in einem geschlossenen Netzwerk
                             (Terminalnetz, OS).

                           • Bediener greifen über OS Server / Engineering
                             Station auf die Steuerungen zu.

                           • OS und AS (optional) Netze können via Firewall,
                             von außen kontrolliert, erreicht werden.

Sicherheit durch Segmentierung und Kapselung der Zellen!

                                 22
Design Ziel: Entkopplung IT/OT – DMZ als „Schleuse“

                                                            Office
                                                            Netze

                                                         Transfernetze
 DMZ                                                         DMZ

                                                       Automatisierungs
                                                              -
                                                            Netze

Keine direkte Kommunikation Office Netz / Automatisierung!

                                 23
Mögliche Anwendungen in der DMZ

• Applikation Layer Gateways zur Abschottung, z. B. Beispiel Remote Zugänge,
  Datenaustausch, … (FR 5)

• Authentifizierungssysteme (FR1)
• Systeme zur Logdatenerfassung und Auswertung (FR2, FR6)
• Patch-Management, WSUS (FR3)
• Security Management (FR7)

Sicherheitsinfrastruktur gemäß „Foundational Requirements“ 62443

                                      24
DMZ - Designansätze

• Je Anlage eine DMZ?
• Aufbau einer gemeinsamen DMZ
   – für mehrere Anlagen
   – für ein Werk
   – für einen Standort
   – für das ganze Unternehmen

• Gemischte zentrale / dezentrale DMZ Strukturen
   – Maximierung der Verfügbarkeit
   – Optimierung der Standardisierung, zentrale Verwaltbarkeit

                Zentralisierung vs. Verfügbarkeit

                                       25
DMZ – Designansätze - Beispiele

• Gemeinsame Nutzung von:
   – Zeitserver
   – WSUS Server
   – Wartungszugängen
   – Zentralen Authentifizierungsservern (mit dezentralen Repliken)
   – Zentrale SIEM und Netzwerküberwachung (dezentrale Sensoren)

Ziel: Best Practice für zentrale / dezentrale DMZ Ansätze!

                                      26
Praxisbeispiel - ICS Security Konzept ‚neue S1‘

• Erarbeitung eines logischen Netzwerk-Referenzdesigns unter Berücksichtigung der
 Anforderungen der S1 und unter Einbeziehung der IEC 62443 („Zones and
 Conduits“)

• Strikte Entkopplung von Office-Netz und den Automatisierungsnetzen!
• Wichtige (zeitkritische) Dienste sind unabhängig von der Office-Infrastruktur
 (klassische IT) und möglichst „nah“ an den Automatisierungsnetzen zu betreiben.
 Erste Störungsbeseitigung muss durch die Automatisierungstechnik in Eigenregie
 möglich sein.

• Industrie 4.0 tauglich - Berücksichtigung der gestiegenen Anforderungen
 (Prozesserfassung und -führung, Netzwerk, IT-Security, Sensorik, …)

   Digitalisierung und OT-Security – kein Widerspruch!

                                         27
Positionspapier des AK Industrial IT-Security

           Präsentation          28
Zusammenfassung

Quick-Wins erzielen ok - ABER ►ganzheitlichen Blick bewahren!
 Was sind meine kritischen Geschäftsprozesse (Kronjuwelen)?
   technische IT-Security                        Security Richtlinien,
   physische Sicherheit                           Security Prozesse
                                                  Risiko Management
   Defense in Depth
                                                   Top-Down starten

                                                 Security Awareness
                                         Sensibilisierung von Mitarbeitern und
                                                    Führungskräften
                                              in den jeweiligen Rollen

  Digitalisierung und IT/OT-Security – kein Widerspruch!

                                 29
Noch Fragen?

               30
Danke für Ihre Aufmerksamkeit

                                31
Sie können auch lesen