Fachforum 6: Erweiterung der Technologieplattform...Quelle: VDMA Studie Industrial Security 2017; N = 60 bis 62 2,1 2,26 2,31 2,33 2,68 2,73 3,13 3,29 3,34 3,39 Kompromittierung von

www.its-owl.de

Fachforum 6: Erweiterung der Technologieplattformit's OWL Strategietagung – 06. Dezember 2017

© it‘s OWL Clustermanagement GmbH | 12.12.2017 2

Cyber-Physische Systeme

Interaktive sozio-technische Systeme

Autonome Systeme

ITS2022

CPS

Dynamisch vernetzte Systeme

Produkt-Service-Systeme

BILDQUELLE: : BÄR AUTOMATION GMBH, FOTOLIA, HARTING


Ausbau der TechnologieführerschaftLeistungsbereiche und Inhalte der Innovationsplattform

Hochschulforschung, Mehrfachnutzung, Praktiken

stärken die Innovationsplattform

Entwicklungsmethoden und -werkzeuge, Software-Bibliotheken,

Praktiken/Muster, Standards betreut und kontinuierlich

weiterentwickelt durch Institute und Dienstleister im Cluster

Advanced Systems Engineering (inkl. System of Systems Engineering, Service Engineering)

Security & Safety in CPS/CPPS-Umgebungen

Wertschöpfungsnetze (Reifegradmodelle, Geschäftsmodelle, Praktiken/Muster)

Gestaltung sozio-technischer Systeme (MMI, vernetztes Arbeiten, Migration)

Digitale Infrastruktur (Stabile Netze, Cloud-Nutzung, Ind. Dataspace, Plattformtechnologien)

Intelligente Systeme (Kognition, Self-X-Eigenschaften, Autonomie)


Cluster-Programme für Wertschöpfung und Beschäftigung Programmstruktur

Innovation

durch Spitzen-

forschung

Technologie-

transfer für den

Mittelstand

KMU meistern die

digitale

Transformation

Erschließung des

Geschäfts- und

Beschäftigungs-

potenzials

Lösungen für die

Arbeitswelt von

morgen

Zukunft der

Arbeit

Vorrangige Zielsetzungen

Potente

Kernunternehmen

streben zum

Markterfolg

Innovations-

plattform

Unternehmer-

tum für die

digitale Industrie

Cluster-Programme

Maßnahmen:

• Innovationsprojekte

• Leitprojekte

Maßnahmen:

• Transferprojekte

• Erfa-Gruppen

• Wirtschaftlichkeits-

betrachtung

• Digitalisierung-

Benchmark

Maßnahmen:

• Technologiefond

• Technologie-

Scouting

• Infrastruktur-Sharing

• Digital-Leadership-

Programm

Maßnahmen:

• Arbeit4.OWL

• Praxisprojekte

• Bildungsinitiative

• Intelligente Systeme

• Sozio-technische

Systeme

• Digitale Infrastruktur

• Security & Safety

• Wertschöpfungsnetze

• Advanced Systems

Engineering

www.its-owl.de

Security & Safety von Intelligenten Technischen SystemenFachforum 6: Erweiterung der Technologieplattform

it's OWL Strategietagung – 06. Dezember 2017


Rufen Sie

https://app.sli.do/

auf Ihrem Smartphone auf,

geben sie den Code

L954

ein, stellen Sie Ihre Frage und

stimmen Sie mit ab!

Welche Fragen zu Security & Safety haben Sie?

L954

https://app.sli.do/


Cyber-Physische Systeme

Interaktive sozio-technische Systeme

Autonome Systeme

ITS2022

CPS

Dynamisch vernetzte Systeme

Produkt-Service-Systeme

BILDQUELLE: : BÄR AUTOMATION GMBH, FOTOLIA, HARTING


Sicherheitslücke in Herzschrittmachern

▪ Sicherheitslücke ermöglicht Manipulation über Funkverbindung zwischen Schrittmacher und Programmiergerät

▪ Geräte die Authentifizierungs-Mechanismen nicht einhalten

▪ Konfiguration kann über Funk (ohne Authentifizierung) geändert werden

▪ Batterielaufzeit kann durch „Wake-Up-Calls“ verkürzt werden

Quelle: https://www.heise.de/newsticker/meldung/Herzschrittmacher-von-St-Jude-Medical-Firmware-Patches-gegen-Sicherheitsluecken-3817954.html, 31.08.2017


▪ Paketzustellung während Sie nicht zu Hause sind

▪ Überwachungs-kamera im lokalen WLAN, verbunden mit der Cloud

▪ Kamera kann im lokalen WLAN gestört werden und zeigt dann das letzte auf-genommene Bild

Sicherheitslücke in Amazon Key

Quelle: https://www.technologyreview.com/the-download/609508/amazon-key-lets-delivery-people-into-your-house-and-it-just-got-hacked/, 17.11.2017


Quelle: http://www.heise.de/security/meldung/BSI-Sicherheitsbericht-Erfolgreiche-

Cyber-Attacke-auf-deutsches-Stahlwerk-2498990.html

▪ Angreifer infiltrieren durch Spear-Phishing

gezielt das Büronetz des Werks

▪ Von dort erlangten sie Zugriff zum

Produktionsnetz und konnten

Steuerungskomponenten manipulieren

▪ Ein Hochofen konnte nicht geregelt

heruntergefahren werden

➢ Massive Beschädigungen der Anlage

Sicherheitsvorfälle bei Industrial Control Systems


Sicherheitsvorfälle bei Industrial Control Systems

Quelle: http://www.heise.de/security/meldung/BSI-Sicherheitsbericht-Erfolgreiche-

Cyber-Attacke-auf-deutsches-Stahlwerk-2498990.html

▪ Angreifer infiltrieren durch Spear-Phishing

gezielt das Büronetz des Werks

▪ Von dort erlangten sie Zugriff zum

Produktionsnetz und konnten

Steuerungskomponenten manipulieren

▪ Ein Hochofen konnte nicht geregelt

heruntergefahren werden

➢ Massive Beschädigungen der Anlage

Quelle: http://www.heise.de/security/meldung/Schwachstellen-in-Fernsteuerungs-

App-fuer-Industrieanlagen-von-Siemens-geschlossen-2517783.html

▪ Schwachstelle in iOS-Apps zur

Fernsteuerung von Industrieanlagen, die mit

dem SCADA-System WinCC von Siemens

betrieben werden

▪ Bei Zugriff auf das iOS-Gerät war es möglich,

das App-Passwort und die Zugangsdaten

zum Fernbedienungsserver zu erlangen.


Kein Einzelfall…


Kein Einzelfall…

Wird sich die Anzahl der IT-Sicherheitsvorfälle

in Ihrem Unternehmen verändern?


Herausforderungen am Beispiel Industrial Control

Systems

Eng.

Tool



Systems

Eng.

Tool



Systems

Eng.

Tool



Systems

Eng.

Tool

Schwachstellen und unzureichende Sicherheitsmechanismen in Teilsystemen sind eine Gefahr für das Gesamtsystem


Office IT vs. Industrial IT

Office IT Industrial IT

Lebensdauer 3-5 Jahre 5-20 Jahre

Patches Ggf. täglich Selten, benötigt Freigaben

Zeitabhängigkeit Verzögerungen akzeptiert Kritisch

Verfügbarkeit Kurze Ausfalle toleriert 24/7

Quelle: Orientierungsleitfaden für Hersteller zur IEC 62443, ZVEI


Office IT vs. Industrial IT

Office IT Industrial IT

Lebensdauer 3-5 Jahre 5-20 Jahre

Patches Ggf. täglich Selten, benötigt Freigaben

Zeitabhängigkeit Verzögerungen akzeptiert Kritisch

Verfügbarkeit Kurze Ausfalle toleriert 24/7


Welche IT-Sicherheitsstandards für Office IT

und/oder Industrial IT sind Ihnen bekannt?


Entsprechende Normen kommen!

IEC 62443 legt folgende Security Levels fest:

Level Schutz gegen…

SL-1 Zufällige Fehlanwendung

SL-2 Absichtliche Versuche mit einfachen Mitteln

SL-3 Absichtliche Versuche mit erweiterten

Kenntnissen und erweiterten Mitteln

SL-4 Absichtliche Versuche mit spezifischen

Kenntnissen und erheblichen Mitteln

Edition 2 der Safety-Norm IEC 61508-1 bezieht sich direkt auf IEC 62443 Keine Safety (mehr) ohne Security!



IEC 62443 legt folgende Security Levels im Lebenszyklus fest:


SL-T Target-Level aus Bedrohungsanalyse;

muss erreicht werden

SL-C Capability-Level einer Komponente;

abhängig von deren Konfiguration

SL-A Achieved-Level: der im Gesamtsystem erreichte

und messbare Security Level




IEC 62443 legt folgende Security Levels im Lebenszyklus fest:


SL-T Target-Level aus Bedrohungsanalyse;

muss erreicht werden

SL-C Capability-Level einer Komponente;

abhängig von deren Konfiguration

SL-A Achieved-Level: der im Gesamtsystem erreichte

und messbare Security Level


Von wem erwarten Sie zukünftig Anforderungen

zur IT-Sicherheit in der Industrial IT?


Demonstration: Cyberangriff vs. Sichere VernetzungDigitalisierung braucht IT-Sicherheitskompetenz im Mittelstand


Demonstration: Cyberangriff vs. Sichere VernetzungSichere Industrie 4.0 Kommunikation für Mehrwertdienste

Q3 2016

Q42016

Q1 2017

Q22017

Q3 2017

Q4 2017

Q1 2018

Q22018

Q32018

Q4 2018

Q1 2019

Q22019 tMaintenance

Maintenance

Maintenance

failure

Maintenance

Maintenance

threshold

Maintenance

Maintenance

today Maintenance

predictiveMaintenance

Q32019

preventiveMaintenance

correctiveMaintenanceIdentified

usingintelligent data

analysis

score

Ziel: “Predictive Maintenance” in der Produktionsanlage

Voraussetzung: Auslesen der Maschinendaten zur Laufzeit


Demonstration: Cyberangriff vs. Sichere Vernetzung

DEMONSTRATION


Rufen Sie

https://app.sli.do/

auf Ihrem Smartphone auf,

geben sie den Code

L954

ein, stellen Sie Ihre Frage und

stimmen Sie mit ab!

Welche Fragen zu Security & Safety haben Sie?

L954

https://app.sli.do/


Security by Design

• Bedrohungen identifizieren und

analysieren

• Schutzziele definieren

Sicherheitskonzepte zur Erreichung der Schutzziele aufstellen

Implementierungen auf Sicherheitsschwachstellen prüfen (Analysetools)

• Sichere Konfiguration und Betrieb

• Schulungen (Security-Awareness)

Sichere Updates und Etablierung von Langzeitsicherheit


IT-Sicherheitskompetenzen in OWL

Prof. Dr.-Ing. Jasperneite

▪ Cybersicherheit in der

Produktion

▪ Lernlabor Cyber-

sicherheit

Prof. Dr. Bodden

• Security by Design

• Statische Code-Analyse

Prof. Dr. Heiss

• Fachgebiet

IT-Sicherheit und

Kryptographie

Prof. Dr.-Ing. Jasperneite

• Fachgebiet

Netzwerktechnik

Prof. Dr. Blömer

• Fachgebiet Codes

und Kryptographie

Prof. Dr.-Ing. Jager

• Fachgebiet

IT-Sicherheit

Prof. Dr. Bodden

• Fachgebiet

Softwaretechnik


Cluster-Programme für Wertschöpfung und Beschäftigung Programmstruktur

Innovation

durch Spitzen-

forschung

Technologie-

transfer für den

Mittelstand

KMU meistern die

digitale

Transformation

Erschließung des

Geschäfts- und

Beschäftigungs-

potenzials

Lösungen für die

Arbeitswelt von

morgen

Zukunft der

Arbeit

Vorrangige Zielsetzungen

Potente

Kernunternehmen

streben zum

Markterfolg

Innovations-

plattform

Unternehmer-

tum für die

digitale Industrie

Cluster-Programme

Maßnahmen:

• Innovationsprojekte

• Leitprojekte

Maßnahmen:

• Transferprojekte

• Erfa-Gruppen

• Wirtschaftlichkeits-

betrachtung

• Digitalisierung-

Benchmark

Maßnahmen:

• Technologiefond

• Technologie-

Scouting

• Infrastruktur-Sharing

• Digital-Leadership-

Programm

Maßnahmen:

• Arbeit4.OWL

• Praxisprojekte

• Bildungsinitiative

• Intelligente Systeme

• Sozio-technische

Systeme

• Digitale Infrastruktur

• Security & Safety

• Wertschöpfungsnetze

• Advanced Systems

Engineering


▪ kompakte, hochsichere Serverlösung

▪ Stellt sichere Verbindung zur Unternehmens-IT her

▪ Hard- und Softwaremechanismen erkennen

Diebstahl-, Hacking- und Manipulationsversuche

Beispielprojekt 1: Fraunhofer IEM

Secure Appliance OSIRIS

Quelle: JanzTec AG

Analyse des IT-Sicherheitskonzepts

• Architekturbewertung

• Audit nach BSI-Richtlinien

• Erarbeitung von Handlungsempfehlungen

Konzipierung einer Secure Appliance

• Geschäftsmodellentwicklung

• Produktkonzipierung, IT-Sicherheitskonzept

• Prototypentwicklung


Sichere Industrie 4.0 Kommunikation

▪ Automatische Konfiguration verteilter Druckluftsysteme

▪ Anbindung an Mehrwertdienste (z.B. Condition Monitoring)

Beispielprojekt 2: Fraunhofer IOSB-INA

www.smartfactory-owl.de

Realisierung

• OPC UA Retrofit-Lösung

• Sichere Konfiguration für cyber-

physische Produktionssysteme

• Integration in die SmartFactoryOWL

Konzipierung

• Geschäftsmodellentwicklung

• IT-Sicherheitskonzept

• Prototypentwicklung


Ihre Fragen und Antworten


Wird sich die Anzahl der Security-Vorfälle in Ihrem Unternehmen verändern?

Ergebnisse der VDMA Studie Industrial Security

sinken8%

bleiben gleich33%

wachsen59%

Quelle: VDMA Studie Industrial Security 2017; N = 54


Wie haben sich die IT-Sicherheitsvorfälle ausgewirkt? (Vergleich 2013/2017)


Quelle: VDMA Studie Industrial Security 2017; N = 32 (51); Mehrfachnennungen möglich; * = neue Kategorie in 2017

29

61

4

14

12

2

50

31

28

19

13

13

9

0

Kapitalschaden*

Produktionsausfall

keine Auswirkungen

Qualitätseinbußen

Gefährdung der Maschinen/Anlagen

Reputation / Imageschaden*

Kritischer Know-How-Verlust

Gefährdung der Safety (Mensch, Umwelt)

2013 2017


Wie schätzen Sie die Eintrittswahrscheinlichkeit für folgende Top 10

Bedrohungen in Ihrem Unternehmen ein?


Quelle: VDMA Studie Industrial Security 2017; N = 60 bis 62

2,1

2,26

2,31

2,33

2,68

2,73

3,13

3,29

3,34

3,39

Kompromittierung von Smartphones imProduktionsumfeld

Internet-verbundene Steuerungskomponenten

Einbruch über Fernwartungszugänge

Kompromittierung von Extranet und Cloud-Komponenten

(D)DoS-Angriffe

Technisches Fehlverhalten und höhere Gewalt

Infektion mit Schadsoftware überInternet/Intranet

Social Engineering und Phishing

Eisnchleusen von Schadsoftware

Menschliches Fehlverhalten und Sabotage

VDMA Rang 2013

(1)

(2)

(Neu)

(4, 9)

(3)

(10)

(Neu)

(7)

(Neu)

(Neu)


Welche IT-Sicherheitsstandards sind Ihnen bekannt?



10

12

45

48

57

44

54

74

82

83

VDI 2182

IEC 62443

ISO/IEC 27001 … 27019

BSI Grundschutz

Mindestens ein IT-Sicherheitsstandard istbekannt

2013 2017


Welche IT-Sicherheitsstandards sind Ihnen bekannt?

Unterschiede nach Unternehmensgröße



6

0

6

6

11

22

28

39

50

50

VDI 2182

IEC 62443

ISO/IEC 27001 … 27019

BSI Grundschutz

Mindestens ein IT-Sicherheitsstandard ist

bekannt

bekannt wird angewandt

50

0

13

35

35

50

59

91

96

96


7

25

65

50

78

60

75

88

100

100


Unternehmen bis 250 Mitarbeiter Unternehmen mit 251 bis 1.000 Mitarbeiter Unternehmen mit über 1.000 Mitarbeiter


Von wem erwarten Sie zukünftig Anforderungen zur Industrial Security?



66%

64%

54%

47%

41%

33%

27%

26%

25%

23%

19%

18%

Gesetzgeber (EU, national)

Kunden

Standardisierungsorganisationen (DIN, ISO, …)

Regierungsbehörden / Minsiterien

BSI / ENISA

Lieferanten

Industriekonsortien (IIC, Plattform Industrie 4.0, …)

Branchenverbande (VDMA, ZVEI, NAMUR, …)

Wissenschaft/Forschung

Verfassungsschutz

Polizei/Kriminalämter

Gerichte


Kontaktdaten

Dr. Matthias Meyer

Abteilungsleiter Softwaretechnik

Telefon: +49 5251 5465-122

[email protected]

Jens Otto, M.Sc.

Gruppenleiter Cybersicherheit

Telefon: +49 5261 94290-44

[email protected]

Documents

Fachforum 6: Erweiterung der Technologieplattform...Quelle: VDMA Studie Industrial Security 2017; N = 60 bis 62 2,1 2,26 2,31 2,33 2,68 2,73 3,13 3,29 3,34 3,39 Kompromittierung von