Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
© Fraunhofer IOSB
Vorstellung des Lernlabors Cybersicherheit für KRITIS
Prof. Dr. –Ing. Jörg Lässig
Prodekan der Fakultät Elektrotechnik und Informatik
Leiter der Fraunhofer-Gruppe KRITIS am Standort Görlitz
Leiter der Forschungsgruppe Enterprise Application Development
Dortmund, den 18.05.2017
KRITIS – ENERGIE- UND
WASSERINFRASTRUKTUREN
© Fraunhofer IOSB
Agenda
IT-Sicherheit im Lernlabor Cybersicherheit
IT-Sicherheit – Wozu?
Angriffsbeispiele
Warum sind KRITIS so bedroht
Häufige Schwachstellen
IT-Sicherheit als Prozess
Nächste Kursdurchführung
© Fraunhofer IOSB
IT-Sicherheit im Lernlabor Cybersicherheit
Projekteckdaten
Zusammenarbeit zwischen Fraunhofer und Fachhochschulen
Für Fach- und Führungskräfte aus Industrie und öffentlicher Verwaltung
modular aufgebautes Curriculum, praktische Fragestellungen
hochwertige Labore mit aktueller IT-Infrastruktur
Themenfelder:
»Embedded Systems, Mobile Security und Internet of Things«
»Hochsicherheit und Emergency Response«
»Industrielle Produktion / Industrie 4.0«
»Internetsicherheit und IT-Forensik«
»Kritische Infrastrukturen / Anwendungsfall Energie- und
Wasserinfrastrukturen«
»Softwarequalität und Zertifizierung«
© Fraunhofer IOSB
IT-Sicherheit im Lernlabor Cybersicherheit
Konsortium KRITIS
Themenfelder
IT Sicherheitsmanagement, Risikomanagement
Aktuelle Gesetzeslage
Gefährdungs-, Risiko- und Schwachstellenanalyse aus IKT-Sicht
Bedrohungsszenarien und entsprechende Gegenmaßnahmen
Abwehr von Angriffsszenarien
Projektpartner
Fraunhofer IOSB-AST Ilmenau – fachlicher Koordinator des Konsortiums
Fraunhofer IOSB Karlsruhe – Unterstützung im Bereich Cybersicherheit
Fraunhofer IDMT – technische und methodologische Unterstützung bei dem Einsatz von Bildungstechnologien
Hochschule Zittau/Görlitz – IKT-Systeme, -Infrastruktur, -Schnittstellen im Energiekontext
© Fraunhofer IOSB
IT-Sicherheit im Lernlabor Cybersicherheit
IT Sicherheit im Unternehmen
Bündeln der Kompetenzen verschiedener Konsortien
Zusammenarbeit der verschiedenen Fraunhofer Institute, Hochschulen und der Fraunhofer Academy
Intention: hochwertige Kurse für lokale Unternehmen anbieten, unabhängig der Spezialisierung des
durchführenden Konsortiums
© Fraunhofer IOSB
IT-Sicherheit im Lernlabor Cybersicherheit
Top-Down Model
Management
• Erzeugung des Bewusstseins für Cybersicherheit
• Information über aktuelle Standards, Normen, Gefahren
IT-Beauftragte der
Unternehmen
• Best-Practices und State-of-the-Art von Kommunikationsarchitekturen in
KRITIS
• Informationen zur aktuellen Gesetzes- und Richtlinienlage
Planer/Entwickler
• State-of-the-Art und Best-Practices im Bereich Security & Safety
• Schwachstellen von Kommunikationsschnittstellen und Protokollen
Anwender
• IT-Bedrohungslage und Umgang mit Daten und Systemen der kritischen
Infrastruktur
© Fraunhofer IOSB
IT-Sicherheit im Lernlabor Cybersicherheit
Schulungsangebote
Zielgruppen: Fach- und Führungskräfte
Kurslevel
Stufe Basic
Stufe Advanced
Stufe Expert
Starke Modularisierung der Kursangebote
Klar definierte Qualifizierungsmodule und Inhalte
Anpassung an kundenspezifische Anforderung in der Qualifizierung
Praxisteil im Lernlabor Cybersicherheit
Dauer: 1 bis 3 Tage
Orte: Görlitz, Berlin, Ilmenau, In-House-Schulungen
© Fraunhofer IOSB
IT-Sicherheit im Lernlabor Cybersicherheit
Testumgebung um reale Szenarien nachzustellen
Cyber-Attacken mit Bedrohungs- und Angriffsszenarien
Penetrationstests
Echtzeitsimulator für Nachbildung unmittelbaren
Auswirkungen
Einbindung von realer Hardware in die Simulation
Netzüberwachung und -Steuerung
© Fraunhofer IOSB
IT-Sicherheit – Wozu?
Durchschnittliche Kosten eines Cyberangriffs
Quelle: IT-Security Risks Survey 2014, Kaspersky Lab/B2B International
Schadsoftware
Unabsichtliche Datenleaks
Störungen durch Dritte
Betrug durch Mitarbeiter
Datendiebstahl
Software-Schwachstellen
DDoS
Neztwerk-Eingriffe
Spionage
Gezielte Attacken
KMU
DDoS
Schadsoftware
Software-Schwachstellen
Unabsichtliche Datenleaks
Spionage
Datendiebstahl
Betrug durch Mitarbeiter
Neztwerk-Eingriffe
Störungen durch Dritte
Gezielte Attacken
Großunternehmen/Konzerne
62 000 €
58 000 €
48 000 €
38 000 €
38 000 €
38 000 €
37 000 €
37 000 €
29 000 €
24 000 €
1 880 000 €
1 460 000 €
1 070 000 €
780 000 €
780 000 €
720 000 €
370 000 €
650 000 €
360 000 €
330 000 €
Durchschnitt: 36.000 EUR Durchschnitt: 530.000 EUR
© Fraunhofer IOSB
IT-Sicherheit – Wozu?
Durchschnittliche Kosten eines Cyberangriffs
Kosten eines Cyberangriffs
für KMU: 36.000 EUR
45.700 Euro*
* Durchschnittlicher Jahresgewinn KMU
© Fraunhofer IOSB
IT-Sicherheit – Wozu?
Sächsische Kriminalstatistik 2016
Quelle: Sächsisches Innenministerium 2016
0
2000
4000
6000
8000
10000
12000
Kfz-Diebstahl politisch motivierte
Straftaten
Wohnungseinbrüche Gewaltdelikte Rauschgiftdelikte Cyber-Kriminalität
An
zahl
vo
n S
traf
tate
n
© Fraunhofer IOSB
0 Mio
100 Mio
200 Mio
300 Mio
400 Mio
500 Mio
600 Mio
700 Mio
2008 2009 2010 2011 2012 2013 2014 2015 2016
IT-Sicherheit – Wozu?
Malware gesamt
Quelle: AV-TEST GmbH 2016
© Fraunhofer IOSB
IT-Sicherheit – Wozu?
Welche Treiber führen nach zu Veränderungen in der IT-Sicherheit?
Quelle: Statista 2016
0%
10%
20%
30%
40%
50%
60%
Internet of Things Kritische Infrastrukturen Cloud Computing Datenschutz Mobile Big Data Geheimdienste
© Fraunhofer IOSB
Angriffsbeispiele
Quelle: E-ISAC Analysis of the Cyber Attack on the Ukrainian Power Grid, März 2016
2015 – Angriffe auf ein Wasserwerk-Honeypot
2015 – Angriff auf ukrainische kritische Infrastruktur
2015 – Angriff auf ein Wasserwerk in den USA
2015 – Angriff auf polnische Airline LOT in Warschau
2014 – Angriff auf ein deutsches Stahlwerk
2012 – Computerwurm für Spionagezwecken im Energiesektor in Saudi Arabien
2010 – Angriff auf iranische Urananreicherungsanlage in Natanz (Stuxnet)
2008 – Angriff auf BTC Pipeline in der Türkei
2007 – Aurora Generator Test
© Fraunhofer IOSB
Quelle: SANS ICS Media report of the Baku-Tbilisi-Ceyhan (BTC) pipeline Cyber Attack, Dezember 2014
Foto: https://www.bloomberg.com
Angriffsbeispiele
Pipeline Türkei
Datum: 6. August 2008
Verlauf
Einbruch in das interne Netz der
Pipeline über Überwachungskameras
Installation einer Backdoor auf einem
Steuerungsrechner
„Einfrierung“ des Überwachungssystems
Druckmanipulation in der Pipeline
Explosion der Pipeline
Folgen
Schaden von 5 Mio. $ pro Tag
Pipeline 20 Tage außer Betrieb
© Fraunhofer IOSB
Angriffsbeispiele
Cyberangriff auf ukrainische kritische Infrastruktur
Quelle: E-ISAC Analysis of the Cyber Attack on the Ukrainian Power Grid, März 2016
Datum: 23. Dezember 2015
Verlauf
Phishing E-Mails mit BlackEnergy Malware um
(Übersicht IT-Struktur + Zugangsdaten)
Angriff im SCADA System und Öffnung
von Hochspannungsleistungsschaltern
Upload von Schadfirmware auf die
Fernsteuerungssysteme im ICS-Netzwerk
Upload von Malware zur Datenzerstörung
Folgen
7 x 110kV und 23 x 35kV Umspannwerke für 3 Stunden abgeschaltet
(225.000 Kunden)
Foto: dapd(c) AP
© Fraunhofer IOSB
Angriffsbeispiele
Kosten eines Stromausfalls
Rang Kreis/Kreisfreie Stadt Tagesmittel 06:00 Uhr 12:00 Uhr 18:00 Uhr
1 Berlin 14,99 10,05 22,74 18,40
2 Hamburg 12,52 8,39 19,10 15,13
3 München (Stadt) 10,5 7,02 16,00 12,78
4 Frankfurt/Main 6,85 4,54 10,55 8,24
5 Köln 6,58 4,43 9,96 8,05
Rang Kreis/Kreisfreie Stadt Tagesmittel 06:00 Uhr 12:00 Uhr 18:00 Uhr
1 München (Kreis) 10,52 7,01 16,15 12,63
2 Frankfurt/Main 10,13 6,71 15,60 12,18
3 Schweinfurt (Stadt) 9,74 7,25 13,71 11,76
4 Coburg (Stadt) 8,88 6,10 13,32 10,73
5 Düsseldorf 8,85 5,89 13,60 10,65
Kosten eines einstündigen Stromausfalls (in Mio. Euro)
Kosten eines einstündigen Stromausfalls (in Euro pro Kopf)
Quelle: Hamburgisches WeltWirtschaftsInstitut (HWWI), Research Paper 142, 2013
© Fraunhofer IOSB
Angriffsbeispiele
Cyberangriff auf ein Wasserwerk in den USA (KWC)
Quelle: Data breach digest, Verizon Februar 2012
Datum: 2015 / 2016
Verlauf
Angriff auf Internet-Zahlungssystem
Web-Server mit SCADA-System (AS400) verbunden
AS400 System mit öffentlichem Internetzugang
Zugangsdaten auf dem Zahlungsserver vorhanden
Manipulation von SPS-Geräten, die zuständig sind
für chemische Wasseraufbereitung und –durchfluss
Folgen
Wasserversorgungsausfälle
Potentiell weitreichendere Schäden möglich
Foto: https://0xicf.wordpress.com
© Fraunhofer IOSB
Angriffsbeispiele
Cyberangriffe auf virtuelles Wasserkraftwerk
Quelle: http://www.tuev-sued.de/management-systeme/newsletter/2015/4/das-honeynet-experiment-hackerangriffe-auf-virtuelles-wasserkraftwerk-belegen-gefahren-fuer-industrie-4.0
Datum: 2015
Grafik: TÜV Süd
Eckdaten
Honeynet-Projekt
Experiment des TÜV SÜD
Insgesamt acht Monate im Netz
Reale Hardware und Software, ein
kleines Wasserwerk zu simulieren
Folgen
60.000 Zugriffe aus mehr als 150 Ländern
Ausnutzung der Schwachstellen von
Standardprotokollen der Büro-IT (HTTP, VNC) aber
auch von Industrieprotokollen: Modbus TCP, S7comm
Allgemeine DoS-Angriffe sowie gezielte Angriffsversuche über Modbus und S7comm
© Fraunhofer IOSB
Quelle: http://www.tagesschau.de/ausland/cyberangriff-107.html
Angriffsbeispiele
Weltweite Cyberattacke
Datum: 12. Mai 2017
Aktueller Stand
Angriff mit Ransomware auf Unternehmen, Behörden und Verbraucher
Nutzung einer Sicherheitslücke, beschrieben in illegal verbreiteten NSA-Dokumenten
mind. 200.000 Angriffe in mehr als 150 Ländern (laut Europol)
213.000 Angriffe in 112 Ländern (laut Avast)
Opfer
Gesundheitsdienst NHS (16 britische Krankenhäuser), russisches Innenministerium
große Unternehmen wie Telefonica, FedEx und die DB Netz AG (z.B. Ausfall des Leitsystems BZ Hannover sowie von Computern für
Anzeigetafeln und Videoüberwachungen)
© Fraunhofer IOSB
Warum sind KRITIS so bedroht?
Herausforderungen im Bereich KRITIS
Organisation und Management
Intransparenz bezüglich Sicherheit
Fehlende Kompetenzen
Unklare Verantwortlichkeiten
Sicherheitskultur im gesamten Unternehmen
Technisch
Zunehmende Komplexität und Heterogenität der Systeme
(Schnelle) Erkennung von Vorfällen
Sicherheitswartung
Regulatorisch
Gesetzliche Regelungen / Richtlinien
Entwicklung branchenspezifischer Standards
Zeit und Kosten für Umsetzung
© Fraunhofer IOSB
Warum sind KRITIS so bedroht?
Systeme und Software
ICT (Information and Communication Technologies) ICS (Industrial Control Systems)
1. Sicherheit / Vertraulichkeit
2. Integrität
3. Verfügbarkeit
1. Verfügbarkeit
2. Integrität
3. Sicherheit / Vertraulichkeit
Ursprünglich: Aufbau und Nutzung der ICS-Systeme in isolierten Umgebungen („air gapped“) – dafür wurden die Technologien entworfen
Durch die Evolution von ICT werden die ICS-Komponenten in öffentliche Netze eingebunden (z.B. Fernsteuerung über Internet)
Sicherheitslücken und Schwachstellen in ICS-Systemen werden damit zufällig aufgedeckt
Updatevorgänge sind kompliziert, bei manchen ICS-Szenarien fast unmöglich und / oder sehr teuer
Quelle: Specialized Honeypots for SCADA Systems, P. Simões, 2015
© Fraunhofer IOSB
Warum sind KRITIS so bedroht?
Top 20 der Länder nach ICS-Verfügbarkeit
0
10000
20000
30000
40000
50000
60000
70000
Quelle: Industrial Control Systems and Their Online Availability, Kaspersky Lab 2015
© Fraunhofer IOSB
Warum sind KRITIS so bedroht?
Software für das Auffinden von SCADA-Geräten
Quelle: Industrial Control Systems and Their Online Availability, Kaspersky Lab 2015
Suchmaschinen: Shodan, Censys, RiskViz
Aufspüren von (unsicheren) SCADA-Geräten
https://www.shodan.io/search?query=plc
https://www.shodan.io/search?query=rtu
https://www.shodan.io/search?query=schneider
https://www.shodan.io/search?query=port:xxx
502 – Modbus
19999 – dnp
20000 – dnp3
SHODAN: ~33T SPS und ~23T SCADA-Geräte gelistet (alle Industrien)
Kleine Industrieanlagen sowie Kern- und Wasserkraftwerke
© Fraunhofer IOSB
Warum sind KRITIS so bedroht?
Beispiel: ICS Entdecken mit Shodan
Quelle: Shodan.io
© Fraunhofer IOSB
Warum sind KRITIS so bedroht?
Beispiel: ICS Entdecken mit Shodan
© Fraunhofer IOSB
Warum sind KRITIS so bedroht?
Beispiel: ICS Entdecken mit Shodan
Quelle: http://www.wago.de
© Fraunhofer IOSB
Warum sind KRITIS so bedroht?
Beispiel: ICS Angriffsszenarien
Direkter Zugriff auf das Fernwirkgerät
Manipulation von Geräteeinstellungen und -Parameter
Einstiegspunkt zur Ausbreitung im System-Netzwerk
Brute-Force-Angriffe
Anzahl von Login-Versuchen wird oft nicht eingeschränkt
Allgemeine Spoofing und DoS-Angriffe
Punktuelle Ausnutzung von Schwachstellen der
aufgelisteten Protokolle
Quelle: Shodan.io
© Fraunhofer IOSB
Offenes Design – ungeschützte SCADA Protokolle sind häufig Angriffen ausgesetzt
Konversion von Standardprotokollen wird oft durch Verkapselung von seriell-basierten Protokollen in ein TCP-Paket durchgeführt
Leicht erkennbar, abfangbar, analysierbar und reproduzierbar
Werden nicht von einer Firewall blockiert (DP-Inspektion notwendig)
Auch Angriffe auf ein Unternehmensnetzwerk können
ins SCADA System getunnelt werden und
kontrollierte Prozesse gefährden
Ethernet
Header Ethernet Data Array
IP Header IP Data Array
TCP
Header
TCP Data
Array
ICS
Protokoll
FCS
(Checksum) Netzzugangsschicht
Internetschicht
Transportschicht
Anwendungsschicht
Warum sind KRITIS so bedroht?
Industrielle Protokolle
© Fraunhofer IOSB
Angriffe auf Protokolle
Modbus
Kommunikationsprotokoll aus dem Jahr 1979
Betriebsarten
Serial (Modbus RTU, ASCII)
Ethernet (Modbus TCP, Port 502)
Design ohne Berücksichtigung
sicherheitskritischer Aspekte
Quelle: http://controldirect.blogspot.de/2015/01/idec-modbus-plc.html
© Fraunhofer IOSB
Angriffe auf Protokolle
Modbus
Problem: fehlende Sicherheitsmechanismen
Kein Passwortschutz
Keine Autorisierungsmöglichkeit (Master und Slave)
Kein Zertifikatmechanismus
Keine Nachrichtenverschlüsselung
Kein Modifizierungsschutz für Nachrichten
Keine Erkennung von angeschlossenen Geräten bzw. deren Echtheit
© Fraunhofer IOSB
Angriffe auf Protokolle
Modbus
Programme für Zugriff Modbus Funktionscodes +
© Fraunhofer IOSB
Angriffe auf Protokolle
Modbus
Angriffsmöglichkeiten
unerlaubte Ausführung von Befehlen
DoS-Attacke (SYN-Flood)
Man-in-the-Middle-Angriff
Replay-Attacke
Quelle: FORTINET Whitepaper „Securing SCADA Infrastructure“
© Fraunhofer IOSB
Angriffe auf Protokolle
Modbus
Angriffsmöglichkeiten
unerlaubte Ausführung von Befehlen
DoS-Attacke (SYN-Flood)
Man-in-the-Middle-Angriff
Replay-Attacke
1. Angriff auf Master
2. Verzögerung beim Senden und Empfangen von Nachrichten
© Fraunhofer IOSB
Angriffe auf Protokolle
Modbus
Angriffsmöglichkeiten
unerlaubte Ausführung von Befehlen
DoS-Attacke (SYN-Flood)
Man-in-the-Middle-Angriff
Replay-Attacke 1. ARP-Cache-Poisoning von Master und Slave
2. „Einklinken“ in Kommunikation zwischen Master und Slave
(hidden router)
3. Anfrage (Master) und Antwort (Slave) sichtbar für Angreifer
4. IP-Adressen von Master und Slave sichtbar
5. Ansprechen der Slave-Geräte möglich
© Fraunhofer IOSB
Klassifikation von Angriffsarten in KRITIS
Quelle: Critical Infrastructure Protection: Threats, Attacks and Countermeasures, R. Baldoni, 2014
Protokoll-
Angriffe
Routing-
Angriffe
Intrusion
Malware
Denial of
Service (DoS)
Insider-
Bedrohungen
© Fraunhofer IOSB
Quelle: http://www.vg.no/nyheter/innenriks/terrortrusselen-mot-norge/kunne-stoppet-vanntilfoerselen-med-mobilen/a/10098352/
Häufige Schwachstellen
Passwortsicherheit
Einführung der Bluetooth-Technologie als
Sicherheitsmaßnahme der Wasserbehörde
in Oslo
Zugriff auf Wasser- und Abwassersysteme
Zugang zu wichtigen Gebäuden
BT-Code: 0-0-0-0
Mögliche Folgen
Manipulation von Pumpen, Ventilen, Sensoren, Druck- und Füllstandmessgeräten
Wasserversorgungsausfälle
© Fraunhofer IOSB
20%
18%
13%
7%
7%
6%
5%
4%
3%
24%
Familien- oder Spitzname
Wichtige Daten
Haustiername
Zufällig
Buchstaben und Nummern
Telefonnummer
Adresse
Orte
Sozialversicherungsnummer
Sonstiges
Quelle: Statista 2016
Häufige Schwachstellen
Passwortsicherheit – Was benutzen Sie als Online-Passwort?
© Fraunhofer IOSB
Häufige Schwachstellen
Passwortsicherheit – Brute-Force-Attacke
https://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/2/
Grafik aus dem Jahr 2013:
Diagramm muss nach rechts
verschoben werden!
© Fraunhofer IOSB
Häufige Schwachstellen
Passwortrichtlinie
Sicheres Passwort
Keine Wiederver-
wendung
Mindestlänge 10
Zeichen
Nicht notieren Viele verschiedene
Zeichen
Keine Namen,
Wörter, Daten
Regelmäßige
Änderung
© Fraunhofer IOSB
Häufige Schwachstellen
USB-Geräte
Unkontrollierbarer Einsatz von USB-Sticks und
Engineering Workstations
Risiken
Keylogger
Einspielung von Schadsoftware
Passwort-Cracker
Remote-Access-Tools
Bad DNS-Stick
Ein Angriffsvektor ist das absichtliche „Vergessen“
von Datenträgern
Quelle: YouTube-Video „How To Change Your Normal Pendrive to USB Keylogger“
Quelle: http://www.keyllama.com
© Fraunhofer IOSB
IT-Sicherheit als Prozess
Rechtliche Grundlagen
Gesetzeslage
aktuelle Gesetze
zukünftige Gesetze
ITSG BDSG
EU-DSGV
KonTraG
für den Angreifer
StGB
© Fraunhofer IOSB
IT-Sicherheit als Prozess
IT-Sicherheitsmanagementsysteme
IT-Sicherheits-
management
ISO 27001 ISO 27005
ISIS12
IEC 62443
Forensik
Zertifizierungen
IT-Grundschutz ISO 27019
ISO 15408
© Fraunhofer IOSB
IT-Sicherheit als Prozess
Sensibilisierung von Mitarbeiter
Security Awareness
Phishing
Detection Spotting Risks
Scam Inspection
Passwortsicherheit
Mobile Devices
Physische Sicherheit
Ransomware Social Engineering
NoTech Hacking
© Fraunhofer IOSB
Nächste Kursdurchführung
IT-Sicherheit im Unternehmen
Veranstaltungsort: Schlesisches Museum zu Görlitz
Termin: 15.06.2017
Umfang: 1 Tag
Zielgruppe: Management, Geschäftsführung, Verantwortliche
Besichtigung der aktuellen Ausstellungen des Museums
während der Pausen möglich!
© Fraunhofer IOSB
Nächste Kursdurchführung
Grundlagen IT-Sicherheit für Kritische Infrastrukturen
Veranstaltungsort: Fraunhofer-Forum Berlin
Termin: 11.07.2017
Umfang: 1 Tag
Zielgruppe: Management, Geschäftsführung, Verantwortliche
© Fraunhofer IOSB
Vielen Dank für die Aufmerksamkeit!
www.iosb-ast.fraunhofer.de
www.hszg.de
Fragen
© Fraunhofer IOSB
Der Kurs „IT-Sicherheit im Unternehmen“
Beispiel Scam/Phishing
https://www.аррӏе.com
https://www.apple.com
VS.
1
2
Sind die Webadressen identisch?
© Fraunhofer IOSB
1 2
Der Kurs „IT-Sicherheit im Unternehmen“
Beispiel Scam/Phishing
© Fraunhofer IOSB
Der Kurs „IT-Sicherheit im Unternehmen“
Beispiel Scam/Phishing