Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
www.its-owl.de
Fachforum 6: Erweiterung der Technologieplattformit's OWL Strategietagung – 06. Dezember 2017
© it‘s OWL Clustermanagement GmbH | 12.12.2017 2
Cyber-Physische Systeme
Interaktive sozio-technische Systeme
Autonome Systeme
ITS2022
CPS
Dynamisch vernetzte Systeme
Produkt-Service-Systeme
BILDQUELLE: : BÄR AUTOMATION GMBH, FOTOLIA, HARTING
© it‘s OWL Clustermanagement GmbH | 12.12.2017 3
Ausbau der TechnologieführerschaftLeistungsbereiche und Inhalte der Innovationsplattform
Hochschulforschung, Mehrfachnutzung, Praktiken
stärken die Innovationsplattform
Entwicklungsmethoden und -werkzeuge, Software-Bibliotheken,
Praktiken/Muster, Standards betreut und kontinuierlich
weiterentwickelt durch Institute und Dienstleister im Cluster
Advanced Systems Engineering (inkl. System of Systems Engineering, Service Engineering)
Security & Safety in CPS/CPPS-Umgebungen
Wertschöpfungsnetze (Reifegradmodelle, Geschäftsmodelle, Praktiken/Muster)
Gestaltung sozio-technischer Systeme (MMI, vernetztes Arbeiten, Migration)
Digitale Infrastruktur (Stabile Netze, Cloud-Nutzung, Ind. Dataspace, Plattformtechnologien)
Intelligente Systeme (Kognition, Self-X-Eigenschaften, Autonomie)
© it‘s OWL Clustermanagement GmbH | 12.12.2017 4
Cluster-Programme für Wertschöpfung und Beschäftigung Programmstruktur
Innovation
durch Spitzen-
forschung
Technologie-
transfer für den
Mittelstand
KMU meistern die
digitale
Transformation
Erschließung des
Geschäfts- und
Beschäftigungs-
potenzials
Lösungen für die
Arbeitswelt von
morgen
Zukunft der
Arbeit
Vorrangige Zielsetzungen
Potente
Kernunternehmen
streben zum
Markterfolg
Innovations-
plattform
Unternehmer-
tum für die
digitale Industrie
Cluster-Programme
Maßnahmen:
• Innovationsprojekte
• Leitprojekte
Maßnahmen:
• Transferprojekte
• Erfa-Gruppen
• Wirtschaftlichkeits-
betrachtung
• Digitalisierung-
Benchmark
Maßnahmen:
• Technologiefond
• Technologie-
Scouting
• Infrastruktur-Sharing
• Digital-Leadership-
Programm
Maßnahmen:
• Arbeit4.OWL
• Praxisprojekte
• Bildungsinitiative
• Intelligente Systeme
• Sozio-technische
Systeme
• Digitale Infrastruktur
• Security & Safety
• Wertschöpfungsnetze
• Advanced Systems
Engineering
www.its-owl.de
Security & Safety von Intelligenten Technischen SystemenFachforum 6: Erweiterung der Technologieplattform
it's OWL Strategietagung – 06. Dezember 2017
© it‘s OWL Clustermanagement GmbH | 12.12.2017 6
Rufen Sie
https://app.sli.do/
auf Ihrem Smartphone auf,
geben sie den Code
L954
ein, stellen Sie Ihre Frage und
stimmen Sie mit ab!
Welche Fragen zu Security & Safety haben Sie?
L954
© it‘s OWL Clustermanagement GmbH | 12.12.2017 7
Cyber-Physische Systeme
Interaktive sozio-technische Systeme
Autonome Systeme
ITS2022
CPS
Dynamisch vernetzte Systeme
Produkt-Service-Systeme
BILDQUELLE: : BÄR AUTOMATION GMBH, FOTOLIA, HARTING
© it‘s OWL Clustermanagement GmbH | 12.12.2017 8
Sicherheitslücke in Herzschrittmachern
▪ Sicherheitslücke ermöglicht Manipulation über Funkverbindung zwischen Schrittmacher und Programmiergerät
▪ Geräte die Authentifizierungs-Mechanismen nicht einhalten
▪ Konfiguration kann über Funk (ohne Authentifizierung) geändert werden
▪ Batterielaufzeit kann durch „Wake-Up-Calls“ verkürzt werden
Quelle: https://www.heise.de/newsticker/meldung/Herzschrittmacher-von-St-Jude-Medical-Firmware-Patches-gegen-Sicherheitsluecken-3817954.html, 31.08.2017
© it‘s OWL Clustermanagement GmbH | 12.12.2017 9
▪ Paketzustellung während Sie nicht zu Hause sind
▪ Überwachungs-kamera im lokalen WLAN, verbunden mit der Cloud
▪ Kamera kann im lokalen WLAN gestört werden und zeigt dann das letzte auf-genommene Bild
Sicherheitslücke in Amazon Key
Quelle: https://www.technologyreview.com/the-download/609508/amazon-key-lets-delivery-people-into-your-house-and-it-just-got-hacked/, 17.11.2017
© it‘s OWL Clustermanagement GmbH | 12.12.2017 10
Quelle: http://www.heise.de/security/meldung/BSI-Sicherheitsbericht-Erfolgreiche-
Cyber-Attacke-auf-deutsches-Stahlwerk-2498990.html
▪ Angreifer infiltrieren durch Spear-Phishing
gezielt das Büronetz des Werks
▪ Von dort erlangten sie Zugriff zum
Produktionsnetz und konnten
Steuerungskomponenten manipulieren
▪ Ein Hochofen konnte nicht geregelt
heruntergefahren werden
➢ Massive Beschädigungen der Anlage
Sicherheitsvorfälle bei Industrial Control Systems
© it‘s OWL Clustermanagement GmbH | 12.12.2017 11
Sicherheitsvorfälle bei Industrial Control Systems
Quelle: http://www.heise.de/security/meldung/BSI-Sicherheitsbericht-Erfolgreiche-
Cyber-Attacke-auf-deutsches-Stahlwerk-2498990.html
▪ Angreifer infiltrieren durch Spear-Phishing
gezielt das Büronetz des Werks
▪ Von dort erlangten sie Zugriff zum
Produktionsnetz und konnten
Steuerungskomponenten manipulieren
▪ Ein Hochofen konnte nicht geregelt
heruntergefahren werden
➢ Massive Beschädigungen der Anlage
Quelle: http://www.heise.de/security/meldung/Schwachstellen-in-Fernsteuerungs-
App-fuer-Industrieanlagen-von-Siemens-geschlossen-2517783.html
▪ Schwachstelle in iOS-Apps zur
Fernsteuerung von Industrieanlagen, die mit
dem SCADA-System WinCC von Siemens
betrieben werden
▪ Bei Zugriff auf das iOS-Gerät war es möglich,
das App-Passwort und die Zugangsdaten
zum Fernbedienungsserver zu erlangen.
© it‘s OWL Clustermanagement GmbH | 12.12.2017 12
Kein Einzelfall…
© it‘s OWL Clustermanagement GmbH | 12.12.2017 13
Kein Einzelfall…
Wird sich die Anzahl der IT-Sicherheitsvorfälle
in Ihrem Unternehmen verändern?
© it‘s OWL Clustermanagement GmbH | 12.12.2017 14
Herausforderungen am Beispiel Industrial Control
Systems
Eng.
Tool
© it‘s OWL Clustermanagement GmbH | 12.12.2017 15
Herausforderungen am Beispiel Industrial Control
Systems
Eng.
Tool
© it‘s OWL Clustermanagement GmbH | 12.12.2017 16
Herausforderungen am Beispiel Industrial Control
Systems
Eng.
Tool
© it‘s OWL Clustermanagement GmbH | 12.12.2017 17
Herausforderungen am Beispiel Industrial Control
Systems
Eng.
Tool
Schwachstellen und unzureichende Sicherheitsmechanismen in Teilsystemen sind eine Gefahr für das Gesamtsystem
© it‘s OWL Clustermanagement GmbH | 12.12.2017 18
Office IT vs. Industrial IT
Office IT Industrial IT
Lebensdauer 3-5 Jahre 5-20 Jahre
Patches Ggf. täglich Selten, benötigt Freigaben
Zeitabhängigkeit Verzögerungen akzeptiert Kritisch
Verfügbarkeit Kurze Ausfalle toleriert 24/7
Quelle: Orientierungsleitfaden für Hersteller zur IEC 62443, ZVEI
© it‘s OWL Clustermanagement GmbH | 12.12.2017 19
Office IT vs. Industrial IT
Office IT Industrial IT
Lebensdauer 3-5 Jahre 5-20 Jahre
Patches Ggf. täglich Selten, benötigt Freigaben
Zeitabhängigkeit Verzögerungen akzeptiert Kritisch
Verfügbarkeit Kurze Ausfalle toleriert 24/7
Quelle: Orientierungsleitfaden für Hersteller zur IEC 62443, ZVEI
Welche IT-Sicherheitsstandards für Office IT
und/oder Industrial IT sind Ihnen bekannt?
© it‘s OWL Clustermanagement GmbH | 12.12.2017 20
Entsprechende Normen kommen!
IEC 62443 legt folgende Security Levels fest:
Level Schutz gegen…
SL-1 Zufällige Fehlanwendung
SL-2 Absichtliche Versuche mit einfachen Mitteln
SL-3 Absichtliche Versuche mit erweiterten
Kenntnissen und erweiterten Mitteln
SL-4 Absichtliche Versuche mit spezifischen
Kenntnissen und erheblichen Mitteln
Edition 2 der Safety-Norm IEC 61508-1 bezieht sich direkt auf IEC 62443 Keine Safety (mehr) ohne Security!
© it‘s OWL Clustermanagement GmbH | 12.12.2017 21
Entsprechende Normen kommen!
IEC 62443 legt folgende Security Levels im Lebenszyklus fest:
Level Schutz gegen…
SL-T Target-Level aus Bedrohungsanalyse;
muss erreicht werden
SL-C Capability-Level einer Komponente;
abhängig von deren Konfiguration
SL-A Achieved-Level: der im Gesamtsystem erreichte
und messbare Security Level
Quelle: Orientierungsleitfaden für Hersteller zur IEC 62443, ZVEI
© it‘s OWL Clustermanagement GmbH | 12.12.2017 22
Entsprechende Normen kommen!
IEC 62443 legt folgende Security Levels im Lebenszyklus fest:
Level Schutz gegen…
SL-T Target-Level aus Bedrohungsanalyse;
muss erreicht werden
SL-C Capability-Level einer Komponente;
abhängig von deren Konfiguration
SL-A Achieved-Level: der im Gesamtsystem erreichte
und messbare Security Level
Quelle: Orientierungsleitfaden für Hersteller zur IEC 62443, ZVEI
Von wem erwarten Sie zukünftig Anforderungen
zur IT-Sicherheit in der Industrial IT?
© it‘s OWL Clustermanagement GmbH | 12.12.2017 23
Demonstration: Cyberangriff vs. Sichere VernetzungDigitalisierung braucht IT-Sicherheitskompetenz im Mittelstand
© it‘s OWL Clustermanagement GmbH | 12.12.2017 24
Demonstration: Cyberangriff vs. Sichere VernetzungSichere Industrie 4.0 Kommunikation für Mehrwertdienste
Q3 2016
Q42016
Q1 2017
Q22017
Q3 2017
Q4 2017
Q1 2018
Q22018
Q32018
Q4 2018
Q1 2019
Q22019 tMaintenance
Maintenance
Maintenance
failure
Maintenance
Maintenance
threshold
Maintenance
Maintenance
today Maintenance
predictiveMaintenance
Q32019
preventiveMaintenance
correctiveMaintenanceIdentified
usingintelligent data
analysis
score
Ziel: “Predictive Maintenance” in der Produktionsanlage
Voraussetzung: Auslesen der Maschinendaten zur Laufzeit
© it‘s OWL Clustermanagement GmbH | 12.12.2017 25
Demonstration: Cyberangriff vs. Sichere Vernetzung
DEMONSTRATION
© it‘s OWL Clustermanagement GmbH | 12.12.2017 26
Rufen Sie
https://app.sli.do/
auf Ihrem Smartphone auf,
geben sie den Code
L954
ein, stellen Sie Ihre Frage und
stimmen Sie mit ab!
Welche Fragen zu Security & Safety haben Sie?
L954
© it‘s OWL Clustermanagement GmbH | 12.12.2017 27
Security by Design
• Bedrohungen identifizieren und
analysieren
• Schutzziele definieren
Sicherheitskonzepte zur Erreichung der Schutzziele aufstellen
Implementierungen auf Sicherheitsschwachstellen prüfen (Analysetools)
• Sichere Konfiguration und Betrieb
• Schulungen (Security-Awareness)
Sichere Updates und Etablierung von Langzeitsicherheit
© it‘s OWL Clustermanagement GmbH | 12.12.2017 28
IT-Sicherheitskompetenzen in OWL
Prof. Dr.-Ing. Jasperneite
▪ Cybersicherheit in der
Produktion
▪ Lernlabor Cyber-
sicherheit
Prof. Dr. Bodden
• Security by Design
• Statische Code-Analyse
Prof. Dr. Heiss
• Fachgebiet
IT-Sicherheit und
Kryptographie
Prof. Dr.-Ing. Jasperneite
• Fachgebiet
Netzwerktechnik
Prof. Dr. Blömer
• Fachgebiet Codes
und Kryptographie
Prof. Dr.-Ing. Jager
• Fachgebiet
IT-Sicherheit
Prof. Dr. Bodden
• Fachgebiet
Softwaretechnik
© it‘s OWL Clustermanagement GmbH | 12.12.2017 29
Cluster-Programme für Wertschöpfung und Beschäftigung Programmstruktur
Innovation
durch Spitzen-
forschung
Technologie-
transfer für den
Mittelstand
KMU meistern die
digitale
Transformation
Erschließung des
Geschäfts- und
Beschäftigungs-
potenzials
Lösungen für die
Arbeitswelt von
morgen
Zukunft der
Arbeit
Vorrangige Zielsetzungen
Potente
Kernunternehmen
streben zum
Markterfolg
Innovations-
plattform
Unternehmer-
tum für die
digitale Industrie
Cluster-Programme
Maßnahmen:
• Innovationsprojekte
• Leitprojekte
Maßnahmen:
• Transferprojekte
• Erfa-Gruppen
• Wirtschaftlichkeits-
betrachtung
• Digitalisierung-
Benchmark
Maßnahmen:
• Technologiefond
• Technologie-
Scouting
• Infrastruktur-Sharing
• Digital-Leadership-
Programm
Maßnahmen:
• Arbeit4.OWL
• Praxisprojekte
• Bildungsinitiative
• Intelligente Systeme
• Sozio-technische
Systeme
• Digitale Infrastruktur
• Security & Safety
• Wertschöpfungsnetze
• Advanced Systems
Engineering
© it‘s OWL Clustermanagement GmbH | 12.12.2017 30
▪ kompakte, hochsichere Serverlösung
▪ Stellt sichere Verbindung zur Unternehmens-IT her
▪ Hard- und Softwaremechanismen erkennen
Diebstahl-, Hacking- und Manipulationsversuche
Beispielprojekt 1: Fraunhofer IEM
Secure Appliance OSIRIS
Quelle: JanzTec AG
Analyse des IT-Sicherheitskonzepts
• Architekturbewertung
• Audit nach BSI-Richtlinien
• Erarbeitung von Handlungsempfehlungen
Konzipierung einer Secure Appliance
• Geschäftsmodellentwicklung
• Produktkonzipierung, IT-Sicherheitskonzept
• Prototypentwicklung
© it‘s OWL Clustermanagement GmbH | 12.12.2017 31
Sichere Industrie 4.0 Kommunikation
▪ Automatische Konfiguration verteilter Druckluftsysteme
▪ Anbindung an Mehrwertdienste (z.B. Condition Monitoring)
Beispielprojekt 2: Fraunhofer IOSB-INA
www.smartfactory-owl.de
Realisierung
• OPC UA Retrofit-Lösung
• Sichere Konfiguration für cyber-
physische Produktionssysteme
• Integration in die SmartFactoryOWL
Konzipierung
• Geschäftsmodellentwicklung
• IT-Sicherheitskonzept
• Prototypentwicklung
© it‘s OWL Clustermanagement GmbH | 12.12.2017 32
Ihre Fragen und Antworten
© it‘s OWL Clustermanagement GmbH | 12.12.2017 33
Wird sich die Anzahl der Security-Vorfälle in Ihrem Unternehmen verändern?
Ergebnisse der VDMA Studie Industrial Security
sinken8%
bleiben gleich33%
wachsen59%
Quelle: VDMA Studie Industrial Security 2017; N = 54
© it‘s OWL Clustermanagement GmbH | 12.12.2017 34
Wie haben sich die IT-Sicherheitsvorfälle ausgewirkt? (Vergleich 2013/2017)
Ergebnisse der VDMA Studie Industrial Security
Quelle: VDMA Studie Industrial Security 2017; N = 32 (51); Mehrfachnennungen möglich; * = neue Kategorie in 2017
29
61
4
14
12
2
50
31
28
19
13
13
9
0
Kapitalschaden*
Produktionsausfall
keine Auswirkungen
Qualitätseinbußen
Gefährdung der Maschinen/Anlagen
Reputation / Imageschaden*
Kritischer Know-How-Verlust
Gefährdung der Safety (Mensch, Umwelt)
2013 2017
© it‘s OWL Clustermanagement GmbH | 12.12.2017 35
Wie schätzen Sie die Eintrittswahrscheinlichkeit für folgende Top 10
Bedrohungen in Ihrem Unternehmen ein?
Ergebnisse der VDMA Studie Industrial Security
Quelle: VDMA Studie Industrial Security 2017; N = 60 bis 62
2,1
2,26
2,31
2,33
2,68
2,73
3,13
3,29
3,34
3,39
Kompromittierung von Smartphones imProduktionsumfeld
Internet-verbundene Steuerungskomponenten
Einbruch über Fernwartungszugänge
Kompromittierung von Extranet und Cloud-Komponenten
(D)DoS-Angriffe
Technisches Fehlverhalten und höhere Gewalt
Infektion mit Schadsoftware überInternet/Intranet
Social Engineering und Phishing
Eisnchleusen von Schadsoftware
Menschliches Fehlverhalten und Sabotage
VDMA Rang 2013
(1)
(2)
(Neu)
(4, 9)
(3)
(10)
(Neu)
(7)
(Neu)
(Neu)
© it‘s OWL Clustermanagement GmbH | 12.12.2017 36
Welche IT-Sicherheitsstandards sind Ihnen bekannt?
Ergebnisse der VDMA Studie Industrial Security
Quelle: VDMA Studie Industrial Security 2017; N = 55 bis 59
10
12
45
48
57
44
54
74
82
83
VDI 2182
IEC 62443
ISO/IEC 27001 … 27019
BSI Grundschutz
Mindestens ein IT-Sicherheitsstandard istbekannt
2013 2017
© it‘s OWL Clustermanagement GmbH | 12.12.2017 37
Welche IT-Sicherheitsstandards sind Ihnen bekannt?
Unterschiede nach Unternehmensgröße
Ergebnisse der VDMA Studie Industrial Security
Quelle: VDMA Studie Industrial Security 2017; N = 55 bis 59
6
0
6
6
11
22
28
39
50
50
VDI 2182
IEC 62443
ISO/IEC 27001 … 27019
BSI Grundschutz
Mindestens ein IT-Sicherheitsstandard ist
bekannt
bekannt wird angewandt
50
0
13
35
35
50
59
91
96
96
bekannt wird angewandt
7
25
65
50
78
60
75
88
100
100
bekannt wird angewandt
Unternehmen bis 250 Mitarbeiter Unternehmen mit 251 bis 1.000 Mitarbeiter Unternehmen mit über 1.000 Mitarbeiter
© it‘s OWL Clustermanagement GmbH | 12.12.2017 38
Von wem erwarten Sie zukünftig Anforderungen zur Industrial Security?
Ergebnisse der VDMA Studie Industrial Security
Quelle: VDMA Studie Industrial Security 2017; N = 56 bis 61
66%
64%
54%
47%
41%
33%
27%
26%
25%
23%
19%
18%
Gesetzgeber (EU, national)
Kunden
Standardisierungsorganisationen (DIN, ISO, …)
Regierungsbehörden / Minsiterien
BSI / ENISA
Lieferanten
Industriekonsortien (IIC, Plattform Industrie 4.0, …)
Branchenverbande (VDMA, ZVEI, NAMUR, …)
Wissenschaft/Forschung
Verfassungsschutz
Polizei/Kriminalämter
Gerichte
© it‘s OWL Clustermanagement GmbH | 12.12.2017 39
Kontaktdaten
Dr. Matthias Meyer
Abteilungsleiter Softwaretechnik
Telefon: +49 5251 5465-122
Jens Otto, M.Sc.
Gruppenleiter Cybersicherheit
Telefon: +49 5261 94290-44