Embed Size (px)
Citation preview
CERT@VDE
VDE – CERT – Was ist ein Response Team?
Partner:
Andreas Harner, VDE Kompetenzzentrum Informationssicherheit
DKE Innovation Campus 2017
2
Cybersicherheit: … haben wir ein Problem?
... es gibt doch Standardlösungen?
12.05.2017
Problemumfeld – I
… Lücken werden spät / gar nicht erkannt
und zu spät geschlossen!
2799 Sicherheitslücken wurden 2013 alleine in den Top 50 der meist
verwendeten Softwareprodukte verifiziert – nahezu alle namhaften Anbieter
haben ihren festen Platz in dieser Liste.
2 bis 4 Wochen dauert es, bis Hacker 50% der Sicherheitslücken in Software-
Updates geknackt haben.
40 bis 120 Tage brauchen Hacker, um 90% der Sicherheitslücken
auszunutzen.
120 Tage benötigen Unternehmen im Schnitt, um die Sicherheitslücken
mit den Hersteller-Patches zu schließen!
Professionelles Patch-Management ist essentiell für den Datenschutz und
die IT-Sicherheit von Unternehmen.
12.05.2017
Problemumfeld – II
… Schwachstellen bringen Geld!
November 2014: BND will Zero-Day-Exploits kaufen, um SSL-Verschlüsselungen abzuhören
Bisher unbekannte und voll funktionsfähige Zero-Day-Exploits von Schwachstellen in weit verbreiteter
Software kosten bis zu 100.000 $
BND soll 2015 bis zu 4,5 Mio. € für den Ankauf bereitgestellt haben (Codename „Swop“)
BND beginnt SIT (Strategische Initiative Technik), um „auf Augenhöhe mit führenden westlichen
Nachrichtendiensten kooperieren zu können
Vorbereitung von SIT : 6,22 Millionen € (2017), 28 Millionen € (2018)
Insgesamt bis 2020: 300 Millionen € für technische Aufrüstung…für diese Summe sollen unter
anderem Softwareschwachstellen eingekauft werden…
Ausgangslage im Bereich der Prozess-IT (PIT)
PIT-Security: heutige
Situation
Bedrohungen nehmen zu
Abfluss von technischem Know-How in unbekanntem
Maße
Know-How zu IT-Security nur
singulär vorhanden
„Single Box Solution“ nicht real
Zunehmender Software-Einsatz
erhöht Anzahl von Sicherheits-
lücken
Unbefugte Zugriffe
(„Safety“)
Anzahl der Vorfälle steigen
Heutiges Vorgehen
bei Incidents
Überforder-ung bei KMUs
Wenig Ressourcen für eigenes
Incident Management
Wenig Hilfe für KMUs
Unge-ordnetes Vorgehen
Reaktionen erfolgen „geheim“ und ohne
Austausch mit anderen
Keine vertrauens-volle,
übergeordnete Instanz
FOLGEN
Level der Security sinkt mit zunehmender Vernetzung („Industrie 4.0“)
Ressourcenverschwendung und Innovationsverlust
IT-Sicherheitslage nicht einschätzbar: „Was bringt eine Maßnahme?“
Es gibt ein klares Informationsdefizit bezüglich PIT-Security!
Notwendigkeit eines CERT@VDE!
12.05.2017 6
Initiatoren für ein CERT@VDE: Computer Emergency Response Team
for Automation Industry
Die Idee für ein CERT@VDE wurde in Gremien der DKE|VDE initiiert und
in einem ersten Workshop am Anfang 2016 konkretisiert.
Alexander Bolshev begann 2013 mit “security research” im Bereich FDT/DTM
„Some hat“ Entwickler der russischen Digital Security Research Group
Es wurden XML injection errors in verschiedenen DTMs entdeckt
Durchführung von Fuzz Tests für HART Telegramme an DTMs in 2014
Dabei wurde eine fehlerhafte Eingabeüberprüfung in einer weit verbreiteten HART Device
Type Manager (DTM) Bibliothek entdeckt
HART DTM Schwachstelle
HART DTM Schwachstelle - Behebung der Schwachstelle
Koordination mit ICS-CERT (DHS)
• Absprache über die Verfügbarkeit eines Software Patches und Veröffentlichung der
Informationen
Fehlerbehebung und Freigabe der Software
Freigabe der Informationen für die Öffentlichkeit
12.05.2017 10
Warum VDE?
Idee einer vertrauenswürdigen Ingenieurs-Kontaktstelle bei einer
neutralen Instanz mit hoher Reputation:
VDE Verband der Elektrotechnik Elektronik Informationstechnik e.V.
steht für Innovation und Sicherheit in der Elektro- und Informationstechnik
ist ein gemeinnütziger technisch-wissenschaftlicher Verband
12.05.2017 11
Beschreibung der Aufgaben und Dienstleistungen eines CERT@VDE
(Abgrenzungen gegenüber anderen Ausprägungen)
Vorgehensweise
Anforderung:
Umsetzung eines CERT@VDE
Beschreibung der spezifischen Handlungsoptionen, die sich
für den CERT-Aufbau für den VDE ergeben
Beschreibung der Maßnahmen zur Risikominimierung
12.05.2017 12
Zielgruppenrelevante Rollen für ein CERT@VDE
Hersteller *
(HW und SW)
Maschinen*-/Anlagenbauer*
bzw. Integrator * Betreiber
CERTs/PSIRTs (außerhalb der formellen Gruppe)
Liefert Komponenten Liefert Komponenten
Betreibt Fertigung
ist selbst auch Betreiber!
Liefert (Sub-)Systeme/Anlagen
* Ggf. mit eigenem CERTs/PSIRTs (innerhalb der VDE Zielgruppe = natürliche Ansprechpartner)
CERT@VDE kooperiert
WESENTLICHE Kooperationspartner ist selbst
auch Betreiber!
Zentrale Anlaufstelle für Betreiber, Integratoren und Hersteller
Bereitstellen und betreiben der Kontaktinfrastruktur
Zentrale Know-How Stelle zum Umgang mit Schwachstellen
Zeitgerechte Bearbeitung von Schwachstellen
Responsible disclosure policy
Vertrauensvolle Datenbasis über Schwachstellen
Mehrwerte durch CERT@VDE für die Mitglieder:
Firmenübergreifender Austausch zu Sicherheitsproblemen in geschützten
Interaktionsräumen
Firmenübergreifendes voneinander Lernen
Schnellere Einschätzungen bei Vorfällen und effektive Schadensbegrenzung
Marktdifferenzierung durch Wissensvorsprung
Wettbewerbsvorteil durch Verhinderung von: - Know-how Abfluss
- IT-Security-Vorfälle
- Produktionsausfällen
KMUs im Wettbewerb mit den Großen der Branche … und die haben eigene Produkt-
CERTs (PSIRTs)
Mitgestaltungsmöglichkeiten durch frühe Beteiligung beim Aufbau des CERT@VDE
… machen Sie mit bei CERT@VDE!
Mehrwerte durch CERT@VDE für die Mitglieder:
…..CERT@VDE…..
Vertrauensvolle Behandlung –
auf kurzem Weg zwischen Anbietern und
Anwendern
CERT@VDE- Kontakte
https://cert.vde.com
Vielen Dank für Ihre Aufmerksamkeit
Ihr Ansprechpartner:
Dipl.-Ing. Andreas Harner
DKE Deutsche Kommission Elektrotechnik
Elektronik Informationstechnik im DIN und VDE
Phone: +49 69 6308 392
