ICS Security Wie unterstützt der Staat? Holger Junker Bundesamt für Sicherheit in der Informationstechnik Hannover Messe Industrie (HMI) 2013 Agenda ➢ Das BSI ➢ Cyber-Sicherheit im ICS-Kontext ➢ Aktivitäten des BSI Agenda ➢ Das BSI ➢ Cyber-Sicherheit im ICS-Kontext ➢ Aktivitäten des BSI Das BSI ... ist eine unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit in der Informationsgesellschaft. ➢ Gründung 1991 per Gesetz als nationale Behörde für IT-Sicherheit. ➢ Jahresbudget: € 50 Mio. Mitarbeiter: ca. 600 (Stand: 2012) ➢ Standort: Bonn Das BSI Agenda ➢ Das BSI ➢ Cyber-Sicherheit im ICS-Kontext ➢ Aktivitäten des BSI Industrial Control Systems ??? ICS-Security STUXNET Aber man hat doch aus Stuxnet gelernt, oder?! Lagebild – Stuxnet, Duqu und Flame? ➢ Kollateralschäden ➢ (Spear-)Phishing ➢ Angriffe auf Office-IT (Vorbereitung?) Aktuelle Schwachstellen ➢ Backdoors / hard-coded credentials ➢ ftp, telnet, … ➢ Webschnittstelle ➢ Unsichere Industrie-spezifische Protokolle ➢ „Medienbruch“ auf der Ebene der Integratoren ➢ Unzureichendes Sicherheitsniveau auf Betreiberseite The Air Gap ➢ ➢ Wozu Sicherheit in der Produktion? Unsere Systeme sind nicht an das Internet angeschlossen! Air Gap ist mehr als nur das Fehlen von offenen Ports! ➢ Web- oder Mailzugriff nach außen ➢ USB-Sticks zwischen Enterprise- und Produktionsbereich ➢ Externe Mitarbeiter mit eigenen Notebooks & Wechseldatenträgern ➢ Fernzugriff für Dienstleister ➢ Anbindungen an ERP-Systeme ➢ (Zentrale) Netzwerkdrucker Freier Zugriff über das Internet ➢ ➢ ➢ ➢ Spontane Stichprobe über Google: ~20 Systeme in 10 Minuten (TK-Anbieter, Hochwasserrückhaltebecken, Kläranlage, …) shodanHQ.com, eripp.com Eine gezielte Suche ist noch sehr viel effektiver!!! 2012: Anzahl der durch BSI benachrichtigten Betreiber im dreistelligen Bereich Quelle: http://www.cl.cam.ac.uk/~fms27/papers/ 2011-Leverett-industrial.pdf Freier Zugriff über das Internet SunOS 5.9 \x00 \ x00######################################################################### ## # # # This system is for authorized use only. No other usage is allowed. All # # access to information is logged and the logs are scanned by authorized # # personnel on a daily basis. Any unauthorized access to this system is # # considered to be violation of Public Law 93-106 which prescribes # # penalties of up to $200,000.00 or up to 20 years in prison, or both, # # for each security infraction. # # # # All information on this system is the property of icc-hofmann corp. and # # is the sole property of the company in all respects. No private use of # # corporate information for personal or 3rd party gain is allowed without # # expressed, written permission from corporate management. # # # ########################################################################### login: Zukünftige Entwicklung ➢ Trend zu COTS ➢ “There's an App for that” ➢ Cloud Computing (z.B. für Fernwartung) Agenda ➢ Das BSI ➢ Cyber-Sicherheit im ICS-Kontext ➢ Aktivitäten des BSI Agenda ➢ Das BSI ➢ Cyber-Sicherheit im ICS-Kontext ➢ Aktivitäten des BSI 1. Motivation und Zielsetzung ➢ ICS Security Kompendium ➢ ➢ ➢ 2. ICS-Grundlagen Zusammenführung von IT-/Cyber-Security und Industrie 3. Grundlagen der ICS-Sicherheit Grundlage für Aktivitäten im Bereich Awareness u.a. 6. Methodik für Audits von ICS-Installationen Erweiterung etablierter Standards auf ICS ➢ IT-Grundschutz ➢ IS-Revision 4. Organisationen, Standards & Normen 5. Best Practice Guide für Betreiber 7. F&E-Bedarf und Trends 8. Resümee und Ausblick 9. Anhang  ICS Security Kompendium – Parallele Fortschreibung       Grundlegende Empfehlungen für industrielle Anlagen Kopplung von Netzen Handhabung von Schwachstellen Empfehlungen für Hersteller industrieller Komponenten … Anschließende Fortschreibung in der Community ➢ SPS Produktanalyse ➢ ➢ ➢ Sicherheitsanalyse industrieller Steuerungskomponenten Ziel: Hilfsmittel für sämtliche Hersteller industrieller Steuerungen Sukzessive Erweiterung, z.B. auf ➢ Human Machine Interfaces (HMI) ➢ Industrial Ethernet, Industrial WLAN ➢ ICS-spezifische Sicherheitskomponenten ➢ Awareness ➢ Top 10 ICS Bedrohungen 1. Unberechtigte Nutzung von Fernwartungszugängen 2. Online-Angriffe über Office- / Enterprise-Netze 3. Online-Angriffe auf eingesetzte Standardkomponenten 4. (D)DoS Angriffe 5. Menschliches Fehlverhalten & Sabotage 6. Einschleusen von Schadcode über Wechseldatenträger und externe Hardware 7. Lesen und Schreiben von Nachrichten im Produktionsnetz 8. Unberechtigter Zugriff auf Dienste und Komponenten 9. Angriffe auf Netzwerkkomponenten 10. Technisches Fehlverhalten & höhere Gewalt https://www.bsi.bund.de/DE/Themen/ProdukteTools/OpenVAS/OpenVAS_node.html Quelle: openvas.org ➢ ICS Security Light & Right ➢ Fernwartung im industriellen Umfeld ➢ ➢ Empfehlungen für Komponentenhersteller (Security Design Patterns) Awareness Toolbox ➢ Sammeln von Informationen ➢ CERTs ➢ Andere Partner ➢ Hacker ➢ Hersteller ➢ etc. ➢ ➢ Freiwillige Meldestelle Kooperation bei Vorfällen und gefundenen Schwachstellen ➢ Hersteller ➢ Betreiber ➢ internationale Partner ➢ ➢ Koordinierung & Bündelung ➢ Fortführung des UP KRITIS ➢ Schnittstelle zwischen Wirtschaft und staatlichen Stellen ➢ CERT Bund ➢ NCAZ ➢ Kooperationen (national, EU, international) Entwicklung ➢ ➢ Prototypische Entwicklungen Round Table zu ICS-Security Allianz für Cyber-Sicherheit ➢ https://www.allianz-fuer-cybersicherheit.de/ Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) SSta HHaallle Holger Junker tannd le88 dDD2 Godesberger Allee 185-189 266/3/ 3 53175 Bonn Tel: +49 (0)22899-9582-5599 Fax: +49 (0)22899-9582-905599 [email protected] www.bsi.bund.de