Vorstellung des Lernlabors Cybersicherheit für KRITIS+file++...Software-Schwachstellen DDoS Neztwerk-Eingriffe Spionage Gezielte Attacken KMU DDoS Schadsoftware Software-Schwachstellen

© Fraunhofer IOSB

Vorstellung des Lernlabors Cybersicherheit für KRITIS

Prof. Dr. –Ing. Jörg Lässig

Prodekan der Fakultät Elektrotechnik und Informatik

Leiter der Fraunhofer-Gruppe KRITIS am Standort Görlitz

Leiter der Forschungsgruppe Enterprise Application Development

Dortmund, den 18.05.2017

KRITIS – ENERGIE- UND

WASSERINFRASTRUKTUREN

© Fraunhofer IOSB

Agenda

IT-Sicherheit im Lernlabor Cybersicherheit

IT-Sicherheit – Wozu?

Angriffsbeispiele

Warum sind KRITIS so bedroht

Häufige Schwachstellen

IT-Sicherheit als Prozess

Nächste Kursdurchführung

© Fraunhofer IOSB


Projekteckdaten

Zusammenarbeit zwischen Fraunhofer und Fachhochschulen

Für Fach- und Führungskräfte aus Industrie und öffentlicher Verwaltung

modular aufgebautes Curriculum, praktische Fragestellungen

hochwertige Labore mit aktueller IT-Infrastruktur

Themenfelder:

»Embedded Systems, Mobile Security und Internet of Things«

»Hochsicherheit und Emergency Response«

»Industrielle Produktion / Industrie 4.0«

»Internetsicherheit und IT-Forensik«

»Kritische Infrastrukturen / Anwendungsfall Energie- und

Wasserinfrastrukturen«

»Softwarequalität und Zertifizierung«

© Fraunhofer IOSB


Konsortium KRITIS

Themenfelder

IT Sicherheitsmanagement, Risikomanagement

Aktuelle Gesetzeslage

Gefährdungs-, Risiko- und Schwachstellenanalyse aus IKT-Sicht

Bedrohungsszenarien und entsprechende Gegenmaßnahmen

Abwehr von Angriffsszenarien

Projektpartner

Fraunhofer IOSB-AST Ilmenau – fachlicher Koordinator des Konsortiums

Fraunhofer IOSB Karlsruhe – Unterstützung im Bereich Cybersicherheit

Fraunhofer IDMT – technische und methodologische Unterstützung bei dem Einsatz von Bildungstechnologien

Hochschule Zittau/Görlitz – IKT-Systeme, -Infrastruktur, -Schnittstellen im Energiekontext

© Fraunhofer IOSB


IT Sicherheit im Unternehmen

Bündeln der Kompetenzen verschiedener Konsortien

Zusammenarbeit der verschiedenen Fraunhofer Institute, Hochschulen und der Fraunhofer Academy

Intention: hochwertige Kurse für lokale Unternehmen anbieten, unabhängig der Spezialisierung des

durchführenden Konsortiums

© Fraunhofer IOSB


Top-Down Model

Management

• Erzeugung des Bewusstseins für Cybersicherheit

• Information über aktuelle Standards, Normen, Gefahren

IT-Beauftragte der

Unternehmen

• Best-Practices und State-of-the-Art von Kommunikationsarchitekturen in

KRITIS

• Informationen zur aktuellen Gesetzes- und Richtlinienlage

Planer/Entwickler

• State-of-the-Art und Best-Practices im Bereich Security & Safety

• Schwachstellen von Kommunikationsschnittstellen und Protokollen

Anwender

• IT-Bedrohungslage und Umgang mit Daten und Systemen der kritischen

Infrastruktur

© Fraunhofer IOSB


Schulungsangebote

Zielgruppen: Fach- und Führungskräfte

Kurslevel

Stufe Basic

Stufe Advanced

Stufe Expert

Starke Modularisierung der Kursangebote

Klar definierte Qualifizierungsmodule und Inhalte

Anpassung an kundenspezifische Anforderung in der Qualifizierung

Praxisteil im Lernlabor Cybersicherheit

Dauer: 1 bis 3 Tage

Orte: Görlitz, Berlin, Ilmenau, In-House-Schulungen

© Fraunhofer IOSB


Testumgebung um reale Szenarien nachzustellen

Cyber-Attacken mit Bedrohungs- und Angriffsszenarien

Penetrationstests

Echtzeitsimulator für Nachbildung unmittelbaren

Auswirkungen

Einbindung von realer Hardware in die Simulation

Netzüberwachung und -Steuerung

© Fraunhofer IOSB


Durchschnittliche Kosten eines Cyberangriffs

Quelle: IT-Security Risks Survey 2014, Kaspersky Lab/B2B International

Schadsoftware

Unabsichtliche Datenleaks

Störungen durch Dritte

Betrug durch Mitarbeiter

Datendiebstahl

Software-Schwachstellen

DDoS

Neztwerk-Eingriffe

Spionage

Gezielte Attacken

KMU

DDoS

Schadsoftware

Software-Schwachstellen

Unabsichtliche Datenleaks

Spionage

Datendiebstahl

Betrug durch Mitarbeiter

Neztwerk-Eingriffe

Störungen durch Dritte

Gezielte Attacken

Großunternehmen/Konzerne

62 000 €

58 000 €

48 000 €

38 000 €

38 000 €

38 000 €

37 000 €

37 000 €

29 000 €

24 000 €

1 880 000 €

1 460 000 €

1 070 000 €

780 000 €

780 000 €

720 000 €

370 000 €

650 000 €

360 000 €

330 000 €

Durchschnitt: 36.000 EUR Durchschnitt: 530.000 EUR

© Fraunhofer IOSB


Durchschnittliche Kosten eines Cyberangriffs

Kosten eines Cyberangriffs

für KMU: 36.000 EUR

45.700 Euro*

* Durchschnittlicher Jahresgewinn KMU

© Fraunhofer IOSB


Sächsische Kriminalstatistik 2016

Quelle: Sächsisches Innenministerium 2016

0

2000

4000

6000

8000

10000

12000

Kfz-Diebstahl politisch motivierte

Straftaten

Wohnungseinbrüche Gewaltdelikte Rauschgiftdelikte Cyber-Kriminalität

An

zahl

vo

n S

traf

tate

n

© Fraunhofer IOSB

0 Mio

100 Mio

200 Mio

300 Mio

400 Mio

500 Mio

600 Mio

700 Mio

2008 2009 2010 2011 2012 2013 2014 2015 2016


Malware gesamt

Quelle: AV-TEST GmbH 2016

© Fraunhofer IOSB


Welche Treiber führen nach zu Veränderungen in der IT-Sicherheit?

Quelle: Statista 2016

0%

10%

20%

30%

40%

50%

60%

Internet of Things Kritische Infrastrukturen Cloud Computing Datenschutz Mobile Big Data Geheimdienste

© Fraunhofer IOSB

Angriffsbeispiele

Quelle: E-ISAC Analysis of the Cyber Attack on the Ukrainian Power Grid, März 2016

2015 – Angriffe auf ein Wasserwerk-Honeypot

2015 – Angriff auf ukrainische kritische Infrastruktur

2015 – Angriff auf ein Wasserwerk in den USA

2015 – Angriff auf polnische Airline LOT in Warschau

2014 – Angriff auf ein deutsches Stahlwerk

2012 – Computerwurm für Spionagezwecken im Energiesektor in Saudi Arabien

2010 – Angriff auf iranische Urananreicherungsanlage in Natanz (Stuxnet)

2008 – Angriff auf BTC Pipeline in der Türkei

2007 – Aurora Generator Test

© Fraunhofer IOSB

Quelle: SANS ICS Media report of the Baku-Tbilisi-Ceyhan (BTC) pipeline Cyber Attack, Dezember 2014

Foto: https://www.bloomberg.com

Angriffsbeispiele

Pipeline Türkei

Datum: 6. August 2008

Verlauf

Einbruch in das interne Netz der

Pipeline über Überwachungskameras

Installation einer Backdoor auf einem

Steuerungsrechner

„Einfrierung“ des Überwachungssystems

Druckmanipulation in der Pipeline

Explosion der Pipeline

Folgen

Schaden von 5 Mio. $ pro Tag

Pipeline 20 Tage außer Betrieb

© Fraunhofer IOSB

Angriffsbeispiele

Cyberangriff auf ukrainische kritische Infrastruktur

Quelle: E-ISAC Analysis of the Cyber Attack on the Ukrainian Power Grid, März 2016

Datum: 23. Dezember 2015

Verlauf

Phishing E-Mails mit BlackEnergy Malware um

(Übersicht IT-Struktur + Zugangsdaten)

Angriff im SCADA System und Öffnung

von Hochspannungsleistungsschaltern

Upload von Schadfirmware auf die

Fernsteuerungssysteme im ICS-Netzwerk

Upload von Malware zur Datenzerstörung

Folgen

7 x 110kV und 23 x 35kV Umspannwerke für 3 Stunden abgeschaltet

(225.000 Kunden)

Foto: dapd(c) AP

© Fraunhofer IOSB

Angriffsbeispiele

Kosten eines Stromausfalls

Rang Kreis/Kreisfreie Stadt Tagesmittel 06:00 Uhr 12:00 Uhr 18:00 Uhr

1 Berlin 14,99 10,05 22,74 18,40

2 Hamburg 12,52 8,39 19,10 15,13

3 München (Stadt) 10,5 7,02 16,00 12,78

4 Frankfurt/Main 6,85 4,54 10,55 8,24

5 Köln 6,58 4,43 9,96 8,05

Rang Kreis/Kreisfreie Stadt Tagesmittel 06:00 Uhr 12:00 Uhr 18:00 Uhr

1 München (Kreis) 10,52 7,01 16,15 12,63

2 Frankfurt/Main 10,13 6,71 15,60 12,18

3 Schweinfurt (Stadt) 9,74 7,25 13,71 11,76

4 Coburg (Stadt) 8,88 6,10 13,32 10,73

5 Düsseldorf 8,85 5,89 13,60 10,65

Kosten eines einstündigen Stromausfalls (in Mio. Euro)

Kosten eines einstündigen Stromausfalls (in Euro pro Kopf)

Quelle: Hamburgisches WeltWirtschaftsInstitut (HWWI), Research Paper 142, 2013

© Fraunhofer IOSB

Angriffsbeispiele

Cyberangriff auf ein Wasserwerk in den USA (KWC)

Quelle: Data breach digest, Verizon Februar 2012

Datum: 2015 / 2016

Verlauf

Angriff auf Internet-Zahlungssystem

Web-Server mit SCADA-System (AS400) verbunden

AS400 System mit öffentlichem Internetzugang

Zugangsdaten auf dem Zahlungsserver vorhanden

Manipulation von SPS-Geräten, die zuständig sind

für chemische Wasseraufbereitung und –durchfluss

Folgen

Wasserversorgungsausfälle

Potentiell weitreichendere Schäden möglich

Foto: https://0xicf.wordpress.com

© Fraunhofer IOSB

Angriffsbeispiele

Cyberangriffe auf virtuelles Wasserkraftwerk

Quelle: http://www.tuev-sued.de/management-systeme/newsletter/2015/4/das-honeynet-experiment-hackerangriffe-auf-virtuelles-wasserkraftwerk-belegen-gefahren-fuer-industrie-4.0

Datum: 2015

Grafik: TÜV Süd

Eckdaten

Honeynet-Projekt

Experiment des TÜV SÜD

Insgesamt acht Monate im Netz

Reale Hardware und Software, ein

kleines Wasserwerk zu simulieren

Folgen

60.000 Zugriffe aus mehr als 150 Ländern

Ausnutzung der Schwachstellen von

Standardprotokollen der Büro-IT (HTTP, VNC) aber

auch von Industrieprotokollen: Modbus TCP, S7comm

Allgemeine DoS-Angriffe sowie gezielte Angriffsversuche über Modbus und S7comm

© Fraunhofer IOSB

Quelle: http://www.tagesschau.de/ausland/cyberangriff-107.html

Angriffsbeispiele

Weltweite Cyberattacke

Datum: 12. Mai 2017

Aktueller Stand

Angriff mit Ransomware auf Unternehmen, Behörden und Verbraucher

Nutzung einer Sicherheitslücke, beschrieben in illegal verbreiteten NSA-Dokumenten

mind. 200.000 Angriffe in mehr als 150 Ländern (laut Europol)

213.000 Angriffe in 112 Ländern (laut Avast)

Opfer

Gesundheitsdienst NHS (16 britische Krankenhäuser), russisches Innenministerium

große Unternehmen wie Telefonica, FedEx und die DB Netz AG (z.B. Ausfall des Leitsystems BZ Hannover sowie von Computern für

Anzeigetafeln und Videoüberwachungen)

© Fraunhofer IOSB

Warum sind KRITIS so bedroht?

Herausforderungen im Bereich KRITIS

Organisation und Management

Intransparenz bezüglich Sicherheit

Fehlende Kompetenzen

Unklare Verantwortlichkeiten

Sicherheitskultur im gesamten Unternehmen

Technisch

Zunehmende Komplexität und Heterogenität der Systeme

(Schnelle) Erkennung von Vorfällen

Sicherheitswartung

Regulatorisch

Gesetzliche Regelungen / Richtlinien

Entwicklung branchenspezifischer Standards

Zeit und Kosten für Umsetzung

© Fraunhofer IOSB


Systeme und Software

ICT (Information and Communication Technologies) ICS (Industrial Control Systems)

1. Sicherheit / Vertraulichkeit

2. Integrität

3. Verfügbarkeit

1. Verfügbarkeit

2. Integrität

3. Sicherheit / Vertraulichkeit

Ursprünglich: Aufbau und Nutzung der ICS-Systeme in isolierten Umgebungen („air gapped“) – dafür wurden die Technologien entworfen

Durch die Evolution von ICT werden die ICS-Komponenten in öffentliche Netze eingebunden (z.B. Fernsteuerung über Internet)

Sicherheitslücken und Schwachstellen in ICS-Systemen werden damit zufällig aufgedeckt

Updatevorgänge sind kompliziert, bei manchen ICS-Szenarien fast unmöglich und / oder sehr teuer

Quelle: Specialized Honeypots for SCADA Systems, P. Simões, 2015

© Fraunhofer IOSB


Top 20 der Länder nach ICS-Verfügbarkeit

0

10000

20000

30000

40000

50000

60000

70000

Quelle: Industrial Control Systems and Their Online Availability, Kaspersky Lab 2015

© Fraunhofer IOSB


Software für das Auffinden von SCADA-Geräten

Quelle: Industrial Control Systems and Their Online Availability, Kaspersky Lab 2015

Suchmaschinen: Shodan, Censys, RiskViz

Aufspüren von (unsicheren) SCADA-Geräten

https://www.shodan.io/search?query=plc

https://www.shodan.io/search?query=rtu

https://www.shodan.io/search?query=schneider

https://www.shodan.io/search?query=port:xxx

502 – Modbus

19999 – dnp

20000 – dnp3

SHODAN: ~33T SPS und ~23T SCADA-Geräte gelistet (alle Industrien)

Kleine Industrieanlagen sowie Kern- und Wasserkraftwerke

© Fraunhofer IOSB


Beispiel: ICS Entdecken mit Shodan

Quelle: Shodan.io

© Fraunhofer IOSB



© Fraunhofer IOSB



Quelle: http://www.wago.de

© Fraunhofer IOSB


Beispiel: ICS Angriffsszenarien

Direkter Zugriff auf das Fernwirkgerät

Manipulation von Geräteeinstellungen und -Parameter

Einstiegspunkt zur Ausbreitung im System-Netzwerk

Brute-Force-Angriffe

Anzahl von Login-Versuchen wird oft nicht eingeschränkt

Allgemeine Spoofing und DoS-Angriffe

Punktuelle Ausnutzung von Schwachstellen der

aufgelisteten Protokolle

Quelle: Shodan.io

© Fraunhofer IOSB

Offenes Design – ungeschützte SCADA Protokolle sind häufig Angriffen ausgesetzt

Konversion von Standardprotokollen wird oft durch Verkapselung von seriell-basierten Protokollen in ein TCP-Paket durchgeführt

Leicht erkennbar, abfangbar, analysierbar und reproduzierbar

Werden nicht von einer Firewall blockiert (DP-Inspektion notwendig)

Auch Angriffe auf ein Unternehmensnetzwerk können

ins SCADA System getunnelt werden und

kontrollierte Prozesse gefährden

Ethernet

Header Ethernet Data Array

IP Header IP Data Array

TCP

Header

TCP Data

Array

ICS

Protokoll

FCS

(Checksum) Netzzugangsschicht

Internetschicht

Transportschicht

Anwendungsschicht


Industrielle Protokolle

© Fraunhofer IOSB

Angriffe auf Protokolle

Modbus

Kommunikationsprotokoll aus dem Jahr 1979

Betriebsarten

Serial (Modbus RTU, ASCII)

Ethernet (Modbus TCP, Port 502)

Design ohne Berücksichtigung

sicherheitskritischer Aspekte

Quelle: http://controldirect.blogspot.de/2015/01/idec-modbus-plc.html

© Fraunhofer IOSB


Modbus

Problem: fehlende Sicherheitsmechanismen

Kein Passwortschutz

Keine Autorisierungsmöglichkeit (Master und Slave)

Kein Zertifikatmechanismus

Keine Nachrichtenverschlüsselung

Kein Modifizierungsschutz für Nachrichten

Keine Erkennung von angeschlossenen Geräten bzw. deren Echtheit

© Fraunhofer IOSB


Modbus

Programme für Zugriff Modbus Funktionscodes +

© Fraunhofer IOSB


Modbus

Angriffsmöglichkeiten

unerlaubte Ausführung von Befehlen

DoS-Attacke (SYN-Flood)

Man-in-the-Middle-Angriff

Replay-Attacke

Quelle: FORTINET Whitepaper „Securing SCADA Infrastructure“

© Fraunhofer IOSB


Modbus





Replay-Attacke

1. Angriff auf Master

2. Verzögerung beim Senden und Empfangen von Nachrichten

© Fraunhofer IOSB


Modbus





Replay-Attacke 1. ARP-Cache-Poisoning von Master und Slave

2. „Einklinken“ in Kommunikation zwischen Master und Slave

(hidden router)

3. Anfrage (Master) und Antwort (Slave) sichtbar für Angreifer

4. IP-Adressen von Master und Slave sichtbar

5. Ansprechen der Slave-Geräte möglich

© Fraunhofer IOSB

Klassifikation von Angriffsarten in KRITIS

Quelle: Critical Infrastructure Protection: Threats, Attacks and Countermeasures, R. Baldoni, 2014

Protokoll-

Angriffe

Routing-

Angriffe

Intrusion

Malware

Denial of

Service (DoS)

Insider-

Bedrohungen

© Fraunhofer IOSB

Quelle: http://www.vg.no/nyheter/innenriks/terrortrusselen-mot-norge/kunne-stoppet-vanntilfoerselen-med-mobilen/a/10098352/


Passwortsicherheit

Einführung der Bluetooth-Technologie als

Sicherheitsmaßnahme der Wasserbehörde

in Oslo

Zugriff auf Wasser- und Abwassersysteme

Zugang zu wichtigen Gebäuden

BT-Code: 0-0-0-0

Mögliche Folgen

Manipulation von Pumpen, Ventilen, Sensoren, Druck- und Füllstandmessgeräten

Wasserversorgungsausfälle

© Fraunhofer IOSB

20%

18%

13%

7%

7%

6%

5%

4%

3%

24%

Familien- oder Spitzname

Wichtige Daten

Haustiername

Zufällig

Buchstaben und Nummern

Telefonnummer

Adresse

Orte

Sozialversicherungsnummer

Sonstiges

Quelle: Statista 2016


Passwortsicherheit – Was benutzen Sie als Online-Passwort?

© Fraunhofer IOSB


Passwortsicherheit – Brute-Force-Attacke

https://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/2/

Grafik aus dem Jahr 2013:

Diagramm muss nach rechts

verschoben werden!

© Fraunhofer IOSB


Passwortrichtlinie

Sicheres Passwort

Keine Wiederver-

wendung

Mindestlänge 10

Zeichen

Nicht notieren Viele verschiedene

Zeichen

Keine Namen,

Wörter, Daten

Regelmäßige

Änderung

© Fraunhofer IOSB


USB-Geräte

Unkontrollierbarer Einsatz von USB-Sticks und

Engineering Workstations

Risiken

Keylogger

Einspielung von Schadsoftware

Passwort-Cracker

Remote-Access-Tools

Bad DNS-Stick

Ein Angriffsvektor ist das absichtliche „Vergessen“

von Datenträgern

Quelle: YouTube-Video „How To Change Your Normal Pendrive to USB Keylogger“

Quelle: http://www.keyllama.com

© Fraunhofer IOSB


Rechtliche Grundlagen

Gesetzeslage

aktuelle Gesetze

zukünftige Gesetze

ITSG BDSG

EU-DSGV

KonTraG

für den Angreifer

StGB

© Fraunhofer IOSB


IT-Sicherheitsmanagementsysteme

IT-Sicherheits-

management

ISO 27001 ISO 27005

ISIS12

IEC 62443

Forensik

Zertifizierungen

IT-Grundschutz ISO 27019

ISO 15408

© Fraunhofer IOSB


Sensibilisierung von Mitarbeiter

Security Awareness

Phishing

Detection Spotting Risks

Scam Inspection

Passwortsicherheit

Mobile Devices

Physische Sicherheit

Ransomware Social Engineering

NoTech Hacking

© Fraunhofer IOSB


IT-Sicherheit im Unternehmen

Veranstaltungsort: Schlesisches Museum zu Görlitz

Termin: 15.06.2017

Umfang: 1 Tag

Zielgruppe: Management, Geschäftsführung, Verantwortliche

Besichtigung der aktuellen Ausstellungen des Museums

während der Pausen möglich!

© Fraunhofer IOSB


Grundlagen IT-Sicherheit für Kritische Infrastrukturen

Veranstaltungsort: Fraunhofer-Forum Berlin

Termin: 11.07.2017

Umfang: 1 Tag

Zielgruppe: Management, Geschäftsführung, Verantwortliche

© Fraunhofer IOSB

Vielen Dank für die Aufmerksamkeit!

www.iosb-ast.fraunhofer.de

www.hszg.de

[email protected]

Fragen

© Fraunhofer IOSB

Der Kurs „IT-Sicherheit im Unternehmen“

Beispiel Scam/Phishing

https://www.аррӏе.com

https://www.apple.com

VS.

1

2

Sind die Webadressen identisch?

https://www.аррӏе.com/



https://www.apple.com/

https://www.apple.com/

© Fraunhofer IOSB

1 2



© Fraunhofer IOSB



Documents

Vorstellung des Lernlabors Cybersicherheit für KRITIS+file++...Software-Schwachstellen DDoS Neztwerk-Eingriffe Spionage Gezielte Attacken KMU DDoS Schadsoftware Software-Schwachstellen