Security in industriellen Anwendungen - ASQF · 2020-03-20 · Eine DMZ kann am gelben Port mithilfe eines SCALANCE S623 eingerichtet werden. In dieser DMZ können die Server platziert

Frei verwendbar / © Siemens AG 2014. Alle Rechte vorbehalten.

Security in industriellen Anwendungen

Dr. Anton FriedlDr. René GrafSiemens AG, Nürnberg


Ausblick

Leitsystem-Security

Endgeräte-Security

Netzwerk-Security

Defense-in-Depth

Einführung

Industrial Security

Frei verwendbar / © Siemens AG 2014. Alle Rechte vorbehalten.Industry SectorSeite 3 16.07.2014 Industrial Security

Trends im Security-BereichStändige Zunahme der weltweiten Vernetzung

Trends mit Auswirkungen auf die Security

Zunehmender Einsatz von MobilgerätenDrahtlostechnikWeltumspannender Fernzugriff auf Anlagen und MaschinenDas “Internet der Dinge”Cloud-Computing-AnsätzeSmart Grid

Horizontale und vertikale Integration aller NetzwerkebenenAnbindung von Automatisierungsnetzwerken an IT-Netzwerke und an das Internet zu FernwartungszweckenVermehrter Einsatz offener Standards und PC-basierter Systeme

Die physische Welt wird zu einem Informationssystem.


Industrial SecurityCyber-Bedrohungen können Anlagen an vielen Stellen treffen

Cyber-Security-Bedrohungen für Anlagen

Verlust von geistigem Eigentum, Rezepturen, …Manipulation von Daten oder AnwendungssoftwareUnbefugter Einsatz von SystemfunktionenAnlagenstillstand z. B. durch Viren oder MalwareSabotage an der Produktionsanlage

Vorschriften und Normen bezüglich Industrial Security müssen eingehalten werden

Vorschriften: FDA, NERC CIP, WIB M-2784Standards: ISA 99, IEC 62443


Top-10-Bedrohungen im Überblick

1. Unberechtigte Nutzung von Fernwartungszugängen2. Online-Angriffe über Office-/Enterprise-Netze3. Angriffe auf eingesetzte Standardkomponenten im ICS-Netz4. (D)DoS-Angriffe5. Menschliches Fehlverhalten und Sabotage6. Einschleusen von Schadcode über Wechseldatenträger und externe Hardware7. Lesen und Schreiben von Nachrichten im ICS-Netz8. Unberechtigter Zugriff auf Ressourcen9. Angriffe auf Netzwerkkomponenten10. Technisches Fehlverhalten und höhere Gewalt

Industrial SecurityBSI: Top-10-Bedrohungen bei ICS-Systemen

Quelle: BSI Analyse zur Cyber-Sicherheit 2012

Bundesamt für Sicherheit in der Informationstechnik


IT-Security: Standards, Richtlinien und Gremien

VDI/VDE

BSI-Grundschutz

NIST

Roadmap to Secure Control Systems in the Energy Sector

IEC 62351

IEC TC 57 WG15

US-CERT Control Systems Security Center

SACTC 124

DKE

DHS ChemSecRoadmap

NERC-CIP

ISO/IEC15408

WIB M-2784

ISO/IEC 2700x

IEC 62443/ ISA-99

Gremien,Verbände,Regierungs-behörden

Standards

Richtlinien

Fokus für Siemens


Wichtige Security-Standards für industrielle Anwendungen

IEC 62443 / ISA 99: Industrial Communication Networks Network and System Security

Type Standard

Geographic relevance International

Addressed Industry All

Addressed Audience Asset owner, Integrator, vendor

Integration zusätzlicherAnforderungen

ISA-99 ist die Basis für den internationalen Standard IEC 62443. Zusätzliche Anforderungen aus WIB und NERC-CIP werden in ISA-99 / IEC 62443 integriert

WIB M2784: Process Control Domain Security Requirements for Vendors

Type Standard

Geographic relevance NL, International

Addressed Industry Oil & Gas

Addressed Audience Vendor

NERC-CIP v3: Cyber Security Standards

Type Standard

Geographic relevance USA

Addressed Industry Energy

Addressed Audience Asset owner, Integrator, vendor

IEC 62443/ISA-99ist der führende Standard – auch für Siemens Industry Automation


Zyklische bzw. ereignisgetriebene Strukturanalyse:

VDI-Richtlinie 2182 – Grundlegender Zyklus

Quelle: VDI-Richtlinie 2182

Dokumentation

StartAssets identifizieren Relevante

Schutzziele ermitteln

Gesamtlösung auswählenEinzelmaßnahmen

aufzeigen und Wirksamkeit bewerten

Audit durchführen

Gesamtlösung implementieren und betreiben

Bedrohungen analysieren

Risiken analysieren und bewerten


VDI-Richtlinie 2182

Dokumentation

Anforderungen im Zielmarkt Quelle: VDI-Richtlinie 2182

HerstellerIntegrator,

Maschinenhersteller Anwender

Dokumentation Dokumentation

SpezifikationAnforderungen im Zielmarkt


Zusammenhang zwischen Safety, Security und Verfügbarkeit

Technisches System

MenschMensch/Umwelt technischer Defekt

Safety Security Verfügbarkeit

Maximale Reduzierung der Gefährdung für Menschen, Umwelt und Investitionen

in der Fertigung auf ein akzeptables Minimum.

Schutz von technischen Systemen vor Sabotage, Spionage und menschlichem

Fehlverhalten.

Wahrscheinlichkeit, dass eine Anlage zu einem

vorgegebenen Zeitpunkt in einem funktionsfähigen Zustand angetroffen

wird.

Schutz des Menschen vor der Maschine

Schutz der Maschine vor dem Menschen Schutz der Maschine vor Ausfall


Schutzziele in industriellen Anwendungen

Kommunikationspartner werden sicher identifiziert.

Kommunikationspartner dürfen nur die Aktionen durchführen, zu denen sie eine Berechtigung haben.

Daten eines authentisierten Partners können auf dem Weg zum Empfänger nicht unbemerkt geändert werden.

Vertrauliche Daten und Informationen sind nur für authentisierte und autorisierte Benutzer zugänglich.

Aktionen werden authentifiziert und protokolliert.Sie können jederzeit nachvollzogen werden.

Daten und Funktionen des Systems können zum definierten Zeitpunkt genutzt werden.

Authentizität

Zugriffsberechtigung(Autorisierung)

Integrität(Datensicherung)

Vertraulichkeit(Verschlüsselung)

Verbindlichkeit(Nicht-Abstreitbarkeit)

Verfügbarkeit


Ausblick

Leitsystem-Security

Endgeräte-Security

Netzwerk-Security

Defense-in-Depth

Einführung

Industrial Security


Industrial SecurityDas Defense-in-Depth-Konzept im Detail

AnlagensicherheitPhysische Sicherheit

Physischer Zutritt zu Gebäuden und AnlagenPolicies und Vorschriften

Security-Management-ProzesseOperative GuidelinesBusiness Continuity-Management & Disaster Recovery

NetzwerksicherheitSicherheitszellen und DMZ

Sicherheitsarchitektur auf der Basis der NetzwerksegmentierungFirewalls und VPN

Einrichtung von Firewalls als einzigem Zugriffspunkt auf eine Sicherheitszelle

DCS/SCADA*

*DCS: dezentrales LeitsystemSCADA: Supervisory Control and Data Acquisition

Potenzieller Angriff

SystemintegritätSystemhärtung

Standardmäßige Systemanpassung an Security-AnforderungenBenutzerkontenverwaltung

Zugriffskontrolle auf Basis abgestufter BenutzerberechtigungenPatch-Management

Regelmäßiges Einspielen von Patches und UpdatesSchadsoftware-Erkennung und -Abwehr

Antivirus-Software und Whitelisting


Industrial SecuritySecurity Integrated als Baustein des Defense-in-Depth-Konzepts von Siemens

AnlagensicherheitZugangsschutz gegen unautorisierte PersonenPhysikalischer Schutz zu kritischen Komponenten

NetzwerksicherheitNetzwerksegmentierung (DMZ und Sicherheitszellen)Kontrollierte Schnittstellen mit SCALANCE Firewalls

SystemintegritätKnow-how-SchutzKopierschutzZugriffsschutzManipulationsschutz

Mit Security Integrated bietet Siemens Produkte mit Sicherheitsfunktionen, wie z. B. integrierte Firewall-Funktionalität, VPN-Kommunikation, Zugriffschutz oder Manipulationsschutz.


Ausblick

Leitsystem-Security

Endgeräte-Security

Netzwerk-Security

Defense-in-Depth

Einführung

Industrial Security


Industrial SecurityÜberblick: Applikationsbeispiele zu Netzwerk-Security

– Produkte mit Firewall- oder VPN-Funktionen

Angepasste Maßnahmen für die ProduktionNetzwerkzugangsschutz

Verbindung zu IT-Netzen: Sichere Architektur mit DMZ (SCALANCE S623)Sicherer Remote Access: Fernzugriff via InternetLokaler Netzzugang (Port Security): Mittels Geräte-oder User-Authentifizierung (SCALANCE S)

ZellenschutzRisikoreduzierung mittels NetzsegmentierungErweiterung des Zellenschutzkonzeptes: mit Security PC- und S7-CPs (CP1628, CP343-1 Adv., CP443-1 Adv., CP1543-1)Sichere Kommunikationsprotokolle:verhindern Spionage und Manipulation


Eine DMZ kann am gelben Port mithilfe eines SCALANCE S623 eingerichtet werden. In dieser DMZ können die Server platziert werden.

Netzwerkteilnehmer oder Server (z. B. MES-Server) sollen sowohl aus dem gesicherten wie aus dem ungesicherten Netz erreichbar sein, ohne dass eine direkte Verbindung zwischen den Netzwerken besteht.

Beispiel zu technischen Maßnahmen Einrichtung einer Demilitarisierten Zone (DMZ) mit einer Firewall

Aufgabenstellung

Lösung

IT-Network


Schutz und Segmentierung durch Firewalls mit SCALANCE S

SCALANCE S wird vor einer Automatisierungszelle platziert. Hierdurch wird das Netzwerk segmentiert und die Kommuni-kation wird mithilfe von Firewall-regeln auf die erlaubten Verbindungen eingeschränkt.

Teile des Systems, die eine logische Einheit darstellen und manchmal sogar von verschiedenen Herstellern stammen, sollten nur so viele Verbindungen untereinander haben wie unbedingt notwendig.

Aufgabenstellung

Lösung


Sicherer Fernzugriff ohne direkte Verbindung zum Automatisierungs-Netzwerk mit SCALANCE S623

Ausgangspunkt (z. B. Systemintegrator) mit VPN-Client (SSC, CP1628, SCALANCE M) Endpunkt (Automatisierungsanlage): SCALANCE S623 als VPN-Server

Roter Port: Verbindung mit AnlagennetzwerkGelber Port: Anschluss von Modem/RouterGrüner Port: Anschluss an gesicherter Zelle

Systemzugriff über das Internet mittels verschlüsseltem VPN-Tunnel

Aufgabenstellung

Lösung


Ausblick

Leitsystem-Security

Endgeräte-Security

Netzwerk-Security

Defense-in-Depth

Einführung

Industrial Security


Security-Integrated-Funktionalität im TIA Portal und SIMATIC S7-1500

Schutz getätigter Investitionen und geistigen Eigentums+

Schutz vor Manipulation der Daten-kommunikation zwischen HMI und SPS +

Schutz vor unerlaubter Vervielfältigung ausführbarer Programme+Erhöhter Schutz vor unauthorisierten Änderungen des Engineering-Projekts +


Industrial SecuritySIMATIC S7-1200, S7-300, S7-400 und WinAC im TIA Portal

S7-Controller

Program block

STEP7

UploadDownload

Program block

Für die SIMATIC S7-1200, S7-300, S7-400 und WinAC bietet das TIA Portal folgende Security Features zum Schutz der Investitionen gegen unberechtigtesLesen und Kopieren:

Höherer Know-how-Schutz für ProgrammeVerhindert Auslesen, Kopieren von Inhalten und unbemerktes Ändern von ProgrammbausteinenGeschützte Ablage von Programmbausteinen im Engineering-Projekt und im ControllerBausteinschutz im Projekt und in Bibliotheken

Höherer KopierschutzProjektierbarer Kopierschutz verhindert unerlaubte Vervielfältigung von ProgrammbausteinenBausteine können an Hardware-Seriennummer gebunden werden (Memory Card/CPU)

Die Ausführung eines Programmbausteins wird nur erlaubt, wenn die korrekteHardware-Seriennummer verfügbar ist.

Security HighlightsProducts & Systems

Security Management

Industrial IT Security Services


Industrial SecuritySIMATIC S7-1500 im TIA Portal

Die SIMATIC S7-1500 im TIA Portal bietet zahlreiche verschiedeneSecurity Features:

Höherer Know-how-Schutz in STEP 7Schutz des geistigen Eigentums und getätigten Invests:

Passwortschutz gegen unberechtigtes Öffnen der Programmbausteine mit STEP 7 und somit Schutz vor unberechtigtem Kopieren von z. B. entwickelten AlgorithmenPasswortschutz gegen unberechtigtes Auswerten der Programmbausteine mit externen Programmen

aus dem STEP-7-Projektvon Daten der Speicherkarteaus Programmbibliotheken

Höherer KopierschutzSchutz vor unautorisierter Vervielfältigung ablauffähiger Programme:

Binden von einzelnen Bausteinen an die Seriennummer der Speicherkarte oder CPUSchutz vor unberechtigtem Kopieren von Programmbausteinen mit STEP 7Schutz vor unberechtigtem Duplizieren der Projektierung auf der Speicherkarte


Security Management



Industrial SecuritySIMATIC S7-1500 im TIA Portal

* Nur im Zusammenspiel mit den SIMATIC HMI Panels möglich

Die SIMATIC S7-1500 im TIA Portal bietet zahlreiche verschiedeneSecurity Features:

Höherer Zugriffsschutz (Authentifizierung)Umfassender Schutz gegen unberechtigte Projektierungsänderungen:

Neue Schutzstufe 4 für CPU-Komplettverriegelung (auch HMI-Verbindungen benötigen ein Passwort) *Granulare Vergabe von Berechtigungsstufen (1-3 mit eigenem Passwort)Für Zugriffe über CPU und CM-SchnittstelleGenerelle Projektierungssperre über CPU-Display

Erweiterter ZugriffsschutzUmfassender Schutz gegen unberechtigte Projektierungsänderungen:

Über Security CP 1543-1 durch integrierte Firewall und VPN (SP1)

Höherer ManipulationsschutzSchutz der Kommunikation vor unberechtigten Manipulationen für höchste Anlagenverfügbarkeit:

Verbesserter Schutz gegen Manipulation der Kommunikation bei Zugriff auf Controller durch digitale PrüfsummenSchutz vor Netzwerkangriffen wie Einschleusen gefälschter/aufgezeichneter Netzwerkkommunikation (Replay-Angriffe)Geschützte Übertragung von Passwörtern bei AuthentifizierungErkennung manipulierter Firmware-Updates durch digitale Signaturen


Security Management



Industrial SecurityErster Anbieter mit Zertifizierung Achilles Level 2

04/2013

S7-300 PN/DP

S7-400 PN und PN/DP

Achilles Level 2 zertifizierte SPS

ET200S CPUs

Achilles Level 2 zertifizierte DP

+ Schutz gegen DoS-Attacken

+ Definiertes Verhalten bei Attacken

Verbesserte Verfügbarkeit

Schutz geistigen Eigentums

Internationaler Standard

CP343-1 Advanced

CP443-1 Advanced

Achilles Level 2 zertifizierte CP


Ausblick

Leitsystem-Security

Endgeräte-Security

Netzwerk-Security

Defense-in-Depth

Einführung

Industrial Security


Industrial SecurityAnwendungsbeispiel SIMATIC PCS 7

SIMATIC PCS 7Security You TrustDefense-in-Depth-Lösung

Benutzer-AuthentifizierungNetzwerksegmentierungDemilitarisierte ZonenFirewallsVPN-TunnelVirusprüfungenPatch-ManagementAnwendungs-Whitelisting


Industrial SecuritySIMATIC Logon

Unsere LösungKundenanforderung

Zentrale, systemweiteBenutzerverwaltungErfüllt die Anforderungender Food and Drug Administration (FDA)Projektierung zurLaufzeit (Hinzufügen/ Sperren/Löschen vonBenutzerkonten)Hohe Sicherheit durch MS Windows als Basis Unterstützt Domänen-konzept und Windows-Arbeitsgruppen

Gesicherte Zugriffskontrolle… mit SIMATIC LogonBenutzerverwaltung von WinCC auf der Basis von SIMATIC Logon mit …

Zentraler Verwaltung (inkl. Passwortalterung, automatischer Abmeldung nach Inaktivitätszeit oder mehreren falschen Passworteingaben, Bildschirmsperre)Projektierung zur Laufzeit (Benutzerkonten hinzufügen/löschen/sperren)Alle WinCC-Konfigurationen inkl. Web-Konfiguration werden unterstütztUnterstützt Domänenkonzept und Windows-Arbeitsgruppen

Benutzerverwaltung und -authentifizierung für die Sicherheit Ihrer Anlage

Products & Systems

Security Management



Industrial SecurityAntiVirus und Whitelisting

Produkte & Systeme

Security-Management


Unsere LösungKundenanforderung

Erkennen und Verhindern von Viren, Würmern und Trojanern

Schutz gegen:Bösartige oder unerwünschte SoftwareManipulation

Die Lösungen AntiVirus und Whitelisting bieten unterschiedliche Sicherheitsfunktionen:

Schutz gegen Viren, Würmer und TrojanerBlockade unbefugter Anwendungen und von Schadsoftware


Ausblick

Leitsystem-Security

Endgeräte-Security

Netzwerk-Security

Defense-in-Depth

Einführung

Industrial Security


Industrial SIEM (Security Information and Event Management System)

Systemweites Logging von Security EventsPC-Stationen, Netzwerkkomponenten, Steuerungen, ...

Systemweite KorrelationAlarme/Meldungen an das BS Aktionen (Scripts, Programme, Mails)

Schnittstelle zum Unternehmens-SIEMkonsolidierte Ereignisse

Leitebene/SteuerungsebeneUnternehmensebene

EnterpriseSIEM

DefinierteSchnittstelle

IndustrialSIEM

Unternehmensweites Logging von Security EventsUnternehmensweite Korrelation

Aktionen, Alarme


Industrial SecuritySecurity Disclaimer

Siemens bietet Automatisierungs- und Antriebsprodukte mit Industrial-Security-Funktionen an, die den sicheren Betrieb der Anlage oder Maschine unterstützen. Sie sind ein wichtiger Baustein für ein ganzheitliches Industrial-Security-Konzept.

Unsere Produkte werden unter diesem Gesichtspunkt ständig weiterentwickelt. Wir empfehlen Ihnen daher, dass Sie sich regelmäßig über Aktualisierungen und Updates unserer Produkte informieren und nur die jeweils aktuellen Versionen einsetzen. Informationen hierzu finden Sie unter: http://support.automation.siemens.com. Dort können Sie sich auch für einen produktspezifischen Newsletter anmelden.

Für den sicheren Betrieb einer Anlage oder Maschine ist es darüber hinaus notwendig, geeignete Schutzmaßnahmen(z. B. Zellenschutzkonzept) zu ergreifen und die Automatisierungs- und Antriebskomponenten in ein ganzheitliches Industrial- Security-Konzept der gesamten Anlage oder Maschine zu integrieren, das dem aktuellen Stand der Technik entspricht. Dabei sind auch eingesetzte Produkte von anderen Herstellern zu berücksichtigen.

Weitergehende Informationen finden Sie unter:http://www.siemens.com/industrialsecurity


Dr. Anton FriedlDr. René GrafSystem Architecture and PlatformsIndustry Sector

Gleiwitzer Str. 55590475 Nürnberg, Germany

Telefon: +49-911-895-{4336|3179}

E-Mail: [email protected], [email protected]

Vielen Dank für Ihre Aufmerksamkeit!

Documents

Security in industriellen Anwendungen - ASQF · 2020-03-20 · Eine DMZ kann am gelben Port mithilfe eines SCALANCE S623 eingerichtet werden. In dieser DMZ können die Server platziert