Fachworkshop 2: „Industrie 4.0 – Wie sichert man Produktionsketten gegen Wirtschaftsspionage ab?“ Dr. Detlef Houdeau (Infineon Technologies AG) Prof. Dr. Oliver Rose (UniBwM) Industrie 4.0 technologisch • Projekt in der Hightech-Strategie der deutschen Bundesregierung zur Steigerung der Informatisierung der Fertigungstechnik • Ziel: die intelligente Fabrik (Smart Factory) • Technologische Grundlagen: • Cyber-physische Systeme • Internet der Dinge • Fertigungscharakteristika • Starke Individualisierung der Produkte • Hohe Flexibilität der Produktion • Automatisierung mit Selbstkognition, Selbstkonfiguration und Selbstdiagnose OR Industrie 4.0 wirtschaftlich • PWC-Studie zur dt. Industrie: • Investitionen in Industrie 4.0 von 40 Mrd. € pro Jahr bis 2020 • Mehrumsätze durch Industrie 4.0 von 30 Mrd. € pro Jahr • 85% der Unternehmen haben bis 2020 Industrie 4.0 in kritischen Bereichen • Kritik • Fehlende Standards • Viele Aspekte für Großunternehmen nicht neu, aber für KMU Realisierbarkeit unklar • Erhöhte Verwundbarkeit der IT-Systeme der Firmen durch starke Vernetzung OR VDMA Report – TOP 10 Bedrohungen im Maschinen- und Anlagenbau DH VDMA Report, publiziert am 26.11.2013 Abschätzung von Mirko Panev, Steffen Zimmermann, Dr. Detlef Houdeau Bedrohung Erwartete Tendenz bei der Migration zu Industrie 4.0 Bewertung (1 bis 5) TOP-Position Menschliches Fehlverhalten und Sabotage 3,03 10 Einschleusen von Schadcode auf Maschinen und Anlagen 2,94 9 Technisches Fehlverhalten und höhere Gewalt 2,9 8 Online-Angriffe über Office-/ Enterprise-Netze 2,49 7 Unberechtigter Zugriff auf Ressourcen 2,4 6 Angriffe auf Netzwerkkomponenten 2,31 5 Unberechtigte Nutzung von Fernwartungszugängen 2,22 4 Lesen und Schreiben von Nachrichten im ICS-Netz 2,14 3 Angriffe auf eingesetzte Standardkomponenten im ICS-Netz 2,08 2 (D)DoS Angriffe 2,03 1 Schaden durch Industriespionage über das Internet • Schätzung der dt. Wirtschaft: jährlicher Schaden von 50 bis 100 Mrd. € • Fallbeispiele: • Der frustrierte Mitarbeiter: Ausnutzung wirtschaftlicher Notlagen, Eitelkeit, Prahlerei, etc., z.B. Edward Snowden • Die Konkurrenz: gemäß NRW-Landtagsbericht Spionage von Unternehmen aus Italien, Frankreich, China und Japan • Der Staat: ca. 200.000 Mitarbeiter des chinesischen Auslandsgeheimdienstes betreiben Industriespionage über das Internet OR Angreifer-Typen der Wirtschaftsspionage DH Anwender Mitarbeiter Böswillige Angestellte Kleinkriminelle Hacktivist Wirtschaftsspionage Konkurrenz organisiertes Verbrechen Staat z.B. Geheimdienst Menschliches Fehlverhalten und Sabotage DH Fallunterscheidung Intern zufällig • z.B. unbewusst Schad-SW einbringen Extern gezielt zufällig • z.B. STUXNET • z.B. Bedienfehler gezielt • z.B. DOS, DDOS Angreifer-Typ, Fähigkeiten, Motivation Fähigkeiten OR Typ Beschreibung Anwender Manipulation zur Arbeitserleichterung Böswillige Angestellte Schädigung des Arbeitgebers Niedrig/Mittel • Erpressung • Rache • Karriere Kleinkriminelle nicht organisierte Angriffe; keine umfassende Strategie Niedrig/Mittel • Persönliche Bereicherung Hacktivisten wirtschaftl./politisch motivierte Angriffe Mittel Konkurrenz Angriffe mit krimineller Energie Mittel/Hoch Geheimdienst Angriffe zu Aufklärungszwecken Hoch Niedrig Motivation • Umgehung von Workflows • Komfortablere Nutzung • Öffentliche Aufmerksamkeit • Erfolgshonorar • Industriespionage • Industriesabotage • Auskundschaftung • Angriff auf kritische Infrastrukturen • „Kriegsführung“ Mögliche Gegenmaßnahmen bei Wirtschaftsspionage Operation Security Analyse • Identifizierung der sensiblen Information • Schwachstellenanalyse • Risikobewertung • Implementierung der Gegenmaßnahmen *ERM = Enterprise Rights Management Gegenmaßnahmen Organisatorische Maßnahmen • z.B. Klassifizierung von Unterlagen Personelle Maßnahmen • z.B. Zugangsberechtigung zu Datenbanken definieren (ERM)* Materielle Maßnahmen • z.B. Tresor für klassifizierte Unterlagen DH Mögliche Gegenmaßnahmen bei Wirtschaftsspionage Beispiel: Anlagen- und Maschinenbauer Kennzahlen • • • • • Knapp 1 Mio. Beschäftigte in Deutschland* etwa 6.400 Unternehmen Ø MA-Zahl: <200 >200 Mrd. Umsatz (Branche)* >70% Export* Besonderheit • • • • Überwiegend KMU Benötigt über 6 Monate um Cyberangriff zu erkennen IT-Abteilung in einem KMU? Security Awareness in einem KMU? *Quelle: VDMA DH Abgrenzung zwischen W.-spionage und W.-sabotage Wirtschaftsspionage Wirtschaftssabotage Hauptziel: Erlangung von sensitiven Informationen (z.B. technische Zeichnungen) Hauptziel: Produktion lahmlegen z.B. Plagiatbau z.B. STUXNET OR Zusammenfassung Technologisch: • Hersteller/Ausrüster vs. Anwender; daneben gibt es noch die Anbieter-Industrie von Sicherheitstechnologien • Funktionalität/Performance vs. Security • Nur gehärtete Systeme anbieten? Wie vertraglich garantieren? • Optimistischer Ausblick: Industrie hilft Industrie (groß -> klein, Ausrüster -> Anwender etc.) LKA: • Wenig offizielle Deliktmeldungen, aber steigende Fallzahlen bei KMU und DAX-Konzernen • Häufiges Problem: viele externe Mitarbeiter, oft nur 50% Stammpersonal bei KMUs (Beispiel Auto-Zulieferant) • Wenig verlässliche Daten bzw. Statistiken • Mehr und mehr organisierte Kriminelle Schaden: • Lebensbedrohend für KMU: gesamtes Knowhow kann abfließen, da Produkt auch sein virtuelles Abbild dabei hat (zugänglich für Cyberkriminelle) • Oft unklar, was genau schützenswert ist; wer hat überhaupt Zugriff? Behörden: • EU-Agentur für Cyber Defence / EURO-CERT (Computer Emergency Response Team) ? • Regulierungsbehörde für IT-Komponenten? • Mehr Zusammenarbeit zwischen Behörden und Industrie nötig Probleme: • Maschinenbauer vs. Informatiker, unterschiedliche Weltsichten und Ausbildungsprofile • Safety vs. Security, Safety ist wesentliches Merkmal deutscher Produkte, Security wird nicht vermarktet, Messbarkeit der Security? • Zertifizierung ist teuer! Wert? Nur für das Marketing? • Warum I4.0? Security allein verkauft sich nicht, muss integriert sein und funktionieren; soll aber über Lebenszeit von 20 Jahren funktionieren -> Widerspruch • Keine Versicherung gegen Cyber Crime: kein Risikomodell vorhanden, da keine verlässlichen Statistiken vorliegen; Lösungen: • Krisenmanagement / Plan B, Verantwortlichkeiten regeln • Mehr Lösungen zur Angriffserkennung • Security by Design, Security as a Service, wer realisiert das? Maschinenbauer oder Informatiker? • Gesetzlicher Grundschutz, ggfs. ergänzt mit steuerlichen Investitionserleichterungen • Erkenntnis, dass offene Systeme immer Security-Probleme haben werden, aber einen sicheren Umgang erlauben müssen Diese Auflistung spiegelt Kernaussagen aus dem Workshop wieder, mit etwa 50 Teilnehmern; die Aussagen wurden in Cluster zusammengefasst; Eine Anspruch auf Vollständigkeit der sehr intensiv geführten Diskussion besteht nicht. Auf eine Aufzeichnung des Workshops wurde verzichtet; Quellen • Industrie 4.0 • PwC: http://www.pwc.de/de/digitale-transformation/pwc-studie-industrie-4-0-steht-vordem-durchbruch.jhtml • FhG: http://www.produktionsarbeit.de/content/dam/produktionsarbeit/de/documents/Fraunhofe r-IAO-Studie_Produktionsarbeit_der_Zukunft-Industrie_4_0.pdf • BITKOM: http://www.bitkom.org/de/markt_statistik/64086_81829.aspx • Wirtschaftsspionagefälle • Der frustrierte Mitarbeiter: http://www.zeit.de/karriere/beruf/2014-07/risiko-frustriertemitarbeiter • Die Konkurrenz: http://www.rnz.de/politik/suedwest_artikel,-Wirtschaftsspionage-DieKonkurrenz-hoert-mit-_arid,1703.html • Der Staat: http://www.landtag.nrw.de/portal/WWW/dokumentenarchiv/Dokument/MMST16-1349.pdf
© Copyright 2024 ExpyDoc
