1

IT-Risikomanagement in der Hafentelematik

22

Cyberattacken vs. Physische Attacken

Cyberattacken – anonym, von irgendwoher

Viel Schaden, geringes Risiko für Angreifer• Datenverlust

• Verzögerungen von Transporten

• Wirtschaftliche Schäden

Mögliche Angriffe: • Sabotage durch Fälschen/Löschen von Daten

• Ausspähen vertraulicher Daten, um Kriminalität zu unterstützen (Diebstahl, Schmuggel, Terrorismus)

Dr. Nils Meyer-Larsen • ISL • 01.03.2018

33

Maersk 17 June NotPetya RansomwareAttacke

Maersk's Computernetzwerk fast vollständiglahmgelegt

17 von 76 Terminals weltweit betroffen

45,000 PCs und 4,000 Server mussten ausgetauschtwerden, Neuinstallation der kompletten Infrastuktur

Reparatur in einem “heroic effort” in nur 10 Tagen

Schaden zwischen 250 und 300 Millionen US$

Hacker hatten den Update-Server der ukrainischenSoftware-Firma MeDoc gehackt, so dass NotPetya in die Systeme der Opfer übertragen wurde

Dr. Nils Meyer-Larsen • ISL • 01.03.2018

44

Beispielfälle

Dr. Nils Meyer-Larsen • ISL • 01.03.2018

Port of Antwerp (2011–2013)• Drogenschmuggel in Containern, Hacker spähten

Standorte der Container aus (Malware, Keylogger), Kriminelle schickten eigene Trucks, um Container abzuholen

Australian Customs and Border Protection (2012)

• Drogenschmuggel in Containern, Kriminelle hattenZugriff auf Zoll-IT-System und konntenSicherheitsstatus abfragen, “verdächtige” Container wurden aufgegeben

Christchurch Port, Neuseeland (May 2017)• WannaCry Ransomware, IT-Systeme offline,

Operations mussten unterbrochen werden

55

Literaturanalyse: PCSs & Cyber Security

Studie der Brookings Institution (2013)• In US-Häfen nur wenig Bewusstsein für Cyber

Security• Nur ein Hafen hatte Cyber-Risiken analysiert

• Kein Hafen hatte Notfallplan für Cyber-Attacken

Häfen betrachten eher die physischeSicherheit

Cyber Security wurde eher marginal betrachtet

Dr. Nils Meyer-Larsen • ISL • 01.03.2018

66

PortSec

IT-Risikomanagement in der Hafentelematik

Entwicklung neuer automatisierterMethoden, um Cybersicherheit weiter zuverbessern

Projektlaufzeit 09/2016 - 08/2018

Gefördert vom Bundesministerium fürBildung und Forschung

Dr. Nils Meyer-Larsen • ISL • 01.03.2018

77

Port Community Systeme (PCS)

Informations-drehscheibe für Häfen

Kommunikation mitvielen Partnern, vieleSchnittstellen

Komplexe Prozesseund Abläufe

Dr. Nils Meyer-Larsen • ISL • 01.03.2018

88

Bedrohungsanalyse

Aufnahme

• Erhebung der Beteiligten

• Modellierung der Geschäftsprozesse

Bedrohungs-szenarien

• Typisierung der Angreifer

• Definition von Angriffsszenarien

• Abschätzung der Auswirkungen

Analyse

• Aufnahme der IT-Infrastruktur

• Aufnahme der Software

• Identifikation potentieller kritischer Punkte

Umfassendes Verständnis der Cyber-Risiken für PCS

Dr. Nils Meyer-Larsen • ISL • 01.03.2018

99

Typisierung der Angreifer

Kriminelle• Unterstützung von Diebstahl, Schmuggel,

Terrorismus• Ausspähen von Ladungsinformation, Transportroute,

Containerstatus

• Verschlüsselung von Daten, Erpressung von Lösegeld (Ransomware)

Hactivists• Hacker, Nerds, Script-Kiddies• “sportliche” Motivation, können trotzdem großen

Schaden anrichten

Regierungen, Firmen• Industriespionage, Sabotage

Dr. Nils Meyer-Larsen • ISL • 01.03.2018

1010

Schadensszenarien

Szenarien bzgl. Cyber-Risiken für PCSs• Literatur-Analyse von früheren Attacken auf PCSs • Brainstorming-Sessions über Risiken

Struktur des Katalogs• Schadensszenario: Wie?• Ziel des Angriffs: Was?• Typisierung des Angreifers: Wer?• Motivation: Warum?

Definition von 24 Schadens-Szenarien

Berechnung des Risikofaktors und der Eintrittswahrscheinlichkeit, um Szenarien mit hohem Risiko zu identifizieren

Dr. Nils Meyer-Larsen • ISL • 01.03.2018

1111

Analyse ökonomischer Risiken

Szenario 1: Distributed Denial-of-Service (DDoS) Attacke auf Bremer Hafentelematik (BHT), BHT 6 Stunden offline

Szenario 2: Ransomware-Attacke auf BHT, Verschlüsselung zentraler Daten, BHT 2 Wochen offline

Abschätzung wirtschaftlicher Schäden:

PCS-Betreiber: Schadensbehebung, entgangene Einnahmen

Hafenwirtschaft: entgangene Einnahmen (Hafengeld, Lotsen, Schlepper, Festmacher, Ver- und Entsorgung, …), Reputationsverlust, Verlust von Kunden

Hinterland-Transporteure: entgangene Einnahmen, Verlust von Kunden

Dr. Nils Meyer-Larsen • ISL • 01.03.2018

1212

Branchenspezifischer Sicherheitsstandard (B3S)

KRITIS-Betreiber müssen Einhaltung eines Sicherheitsstandards nachweisen

BSI-KritisV: Leitsysteme für Seeschifffahrt Güterverkehrsdichte > 17 Mio Tonnen/Jahr

Entwicklung eines B3S für Seehäfen auf Basis von PortSec

Basiert auf ISO 27001:2015

Abstimmung mit:

• Bundesamt für Sicherheit in der Informationstechnik (BSI)

• Branchenverbände (z.B. IPCSA)

Dr. Nils Meyer-Larsen • ISL • 01.03.2018

13

1. Betrachtung von Prozessen, die in einem Port Community

System (PCS) umgesetzt sind, z.B. Export, Import, NSW

2. Zugriffskontrolle für die einzelnen Prozessschritte: Admin-

Editor, Überprüfung der Zugriffskontrolle

3. Betrachtung der Übertragungssicherheit zwischen PCS und

externen Anwendungen (Schnittstellen)

4. Betrachtung der Implementierung des PCS:

Wiedergewinnung der implementierten Sicherheitsarchitektur

und Prüfung der Implementierung

Software-zentrierte Risikobetrachtung

Dr. Karsten Sohr • Universität Bremen • 01.03.2018

14

Erhebung der Sicherheitspolicy auf Prozessebene

Dr. Karsten Sohr • Universität Bremen • 01.03.2018

15

Ausschnitt Prozessdiagramme

Dr. Karsten Sohr • Universität Bremen • 01.03.2018

16

Admin Editor für Sicherheitspolicy

Zollfreigabe

Dr. Karsten Sohr • Universität Bremen • 01.03.2018

17

Validierung der Zugriffskontrolle

Dr. Karsten Sohr • Universität Bremen • 01.03.2018

18

Zugriffskontrolle: Validierung

Dr. Karsten Sohr • Universität Bremen • 01.03.2018

19

Prüfung mit einem Tool

Reeder (Ada) versucht die Operation „Zoll Freistellung prüfen“ durchzuführen

Dr. Karsten Sohr • Universität Bremen • 01.03.2018

20

Validierung der Übertragungssicherheit

Dr. Karsten Sohr • Universität Bremen • 01.03.2018

21

Ausschnitt Prozessdiagramme

Dr. Karsten Sohr • Universität Bremen • 01.03.2018

22

Ausgang abgeschlossen

versenden

Ausgang abgeschlossen

verarbeiten

Ausgang abgeschlossen

verarbeitet

Ausgang abgeschlossen

weiterleiten

Ausgang abgeschlossen

verarbeiten

Zollfreigabe versenden

EXT_STA

EXT_STA

EXT_STA

EXT_STA

OSIS #13

Prozessdiagramm als Datenflussdiagram

Dr. Karsten Sohr • Universität Bremen • 01.03.2018

23

Wissensdatenbank zur Prüfung

Dr. Karsten Sohr • Universität Bremen • 01.03.2018

24

Prüfung der Übertragungssicherheit

EXT_STA

Zolldbh Reeder

Dr. Karsten Sohr • Universität Bremen • 01.03.2018

25

Prüfung der Implementierung

Dr. Karsten Sohr • Universität Bremen • 01.03.2018

26

Statische Softwareanalyse

Statische Analyse des Java Bytecode des PCS

ZielRekonstruktion der Softwarearchitektur

Aufgaben• Prinzipielles Verständnis des PCS

• Identifikation von SW-Framework-

aufrufen

• Identifikation sicherheitsrelevanter

Teile

• Extraktion geeigneter Informationen

in Form von Datenflussdiagrammen

(„rekonstruierte

Sicherheitsarchitektur des PCS“)

...

Dr. Karsten Sohr • Universität Bremen • 01.03.2018

27Dr. Karsten Sohr • Universität Bremen • 01.03.2018

Zusammenfassung und Ausblick

• Sicherheitsbetrachtung der PCS-Software, ergänzend zum IT-Sicherheitsmanagement z.B. gemäß ISO 27001

• Prozesse, Zugriffskontrolle, Übertragungssicherheit und Betrachtung der PCS-Software selbst

• Weiterführende Arbeiten:• Umfassendere Betrachtung des PCS

• Sicherheitsbetrachtung des „Hafenkommunikationsverbundes“ (Reeder, Logistik, Spediteure, Bahn, Terminal, Zoll und PCS-Betreiber)

• Definition einer IT-Sicherheitsarchitektur für den Gesamtverbund und Herunterbrechen der Sicherheitsarchitektur auf die Software/Systeme einzelner Akteure

• Branchenspezifischer Sicherheitsstandard für Hafen-IT

2828

www.portsec.de

Vielen Dank!