Praxisbericht: Produktivität umfassend schützen mit Plant Security

VDMA Industrial Security 2016
Praxisbericht: Produktivität umfassend schützen mit
Plant Security Services
Frei verwendbar © Siemens AG 2016. Alle Rechte vorbehalten.
siemens.com/industrialsecurity
Industrial Security
Plant Security Services
•
Entwicklungen im industriellen Umfeld
•
Herausforderungen auf dem Weg zu Industrie 4.0
•
Beispiel: Siemens Cloud for Industry
•
IT-Sicherheitsgesetz
•
Aufbau eines Security Programms
•
Siemens Herangehensweise und Lösungen
•
Cyber Security Operating Center
Frei verwendbar © Siemens AG 2016. Alle Rechte vorbehalten.
Seite 2
17.02.2016
Industrial Security
Aktuelle Bedrohungslage
Bedrohungen können Industrieanlagen an vielen Stellen treffen
Sicherheitsbedrohungen schaffen
Handlungsbedarf
• Verlust von geistigem Eigentum, Rezepturen, …
• Sabotage an der Produktionsanlage
• Anlagenstillstand z. B. durch Viren oder Malware
• Manipulation von Daten oder
Anwendungssoftware
• Unbefugter Einsatz von Systemfunktionen
• Vorschriften und Normen bezüglich Industrial
Security müssen eingehalten werden
Frei verwendbar © Siemens AG 2016. Alle Rechte vorbehalten.
Seite 3
17.02.2016
Industrial Security
IT in Industrieanlagen
Von isolierten Kommunikationsinseln…
Frei verwendbar © Siemens AG 2016. Alle Rechte vorbehalten.
Seite 4
17.02.2016
Industrial Security
IT in Industrieanlagen
… zu komplexen Landschaften
Office Network
ERP- and MESSystems
Internet and Mobile
Network
UMTS, GPRS,
etc.
Control Network
WLAN
Ethernet
WLAN
Frei verwendbar © Siemens AG 2016. Alle Rechte vorbehalten.
Seite 5
17.02.2016
Industrial Security
Industrial Security vs. IT Security
Schutzziele in einer Industrieanlage
Unterschiedliche Hauptschutzziele im Büro-IT und Anlagen-IT
Verfügbarkeit
Vertraulichkeit
Hauptziel
Integrität
Vertraulichkeit
Industrial Security
Integrität
Raue Umgebungen
Einsatzort
Klimatisierte Büros
Anlagen-IBS-Personal
Installation
Netzwerk-Fachpersonal
Anlagenspezifisch
Topologie
Sternförmig
Netzausfallzeiten < 300 ms
Verfügbarkeit
Sekunden- bis
Minutenbereich akzeptabel
Niedrig, Switches mit
weniger Ports
Gerätedichte
Hoch, Switches mit
hoher Portanzahl
Mind. 5 – 15 Jahre
Investitionszyklen
Alle 2 – 3 Jahre
Verfügbarkeit
IT-Security
Frei verwendbar © Siemens AG 2016. Alle Rechte vorbehalten.
Seite 6
17.02.2016
Industrial Security
MindSphere - Eine offene Cloud-Plattform für Industriekunden
Basierend auf der SAP HANA Cloud Plattform
Optimierung von Maschinen und Anlagen
sowie Energie und Ressourcen
• Offene Standards (OPC) für die Konnektivität
zu Siemens und Fremdprodukten
• Plug-and-play Verbindung von Siemens
Produkten (Engineering im TIA Portal)
• Wählbare Cloud Infrastruktur – Öffentliche
Cloud, private Cloud oder On-Premise
• Offene Applikationsschnittstelle für
individuelle Kundenapplikationen
• Transparentes nutzungsabhängiges
Preismodell
• Ermöglicht komplett neue Geschäftsmodelle
(z.B. Verkauf von Maschinenstunden)
Frei verwendbar © Siemens AG 2016. Alle Rechte vorbehalten.
Seite 7
17.02.2016
Industrial Security
Aktuelle Gesetzeslage
IT-Sicherheit in kritischen Infrastrukturen
Bedrohung
Gesetz
Betroffene
Gesetz im
Bundestag
beschlossen
Quelle: Bericht zur Lage der IT-Sicherheit in Deutschland 2014
Quelle: Bundesministerium des Innern: Nationale Strategie zum Schutz Kritischer
Infrastrukturen (KRITIS-Strategie)
http://www.bmi.bund.de/SharedDocs/Downloads/DE/Broschueren/2009/kritis.html
(17.06.2009)
Frei verwendbar © Siemens AG 2016. Alle Rechte vorbehalten.
Seite 8
17.02.2016
Industrial Security
Aktuelle Gesetzeslage
Herausforderungen und Ziele
Herausforderungen
Ziele des Gesetzes
•
• Einhaltung eines Mindestniveau an IT-Sicherheit
• Verfügbarkeit
• Integrität
• Vertraulichkeit
• Authentizität
Das IT-Sicherheitsniveau bei kritischen Infrastrukturen
und Infrastrukturbetreibern ist heute sehr
unterschiedlich
•
•
•
•
•
•
Vorgaben
Risikomanagement
Übergreifende Sicherheitskonzepte
Audits
Informationsaustausch
Defizite im Bereich IT-Sicherheit sind abzubauen, um
ein gefordertes Mindest-Niveau / Grundschutz zu
erreichen
• Meldung von IT-Sicherheitsvorfälle an BSI
•
Den Nachweis der Erfüllung durch
Sicherheitsaudits
•
Die Einrichtung und Aufrechterhaltung von
Verfahren für die Meldung erheblicher ITSicherheitsvorfälle an das BSI
•
Das Betreiben einer Kontaktstelle
* Zeit zum Umsetzung nach Inkrafttreten der gesetzlichen Vorgaben
Frei verwendbar © Siemens AG 2016. Alle Rechte vorbehalten.
Seite 9
17.02.2016
Industrial Security
Das Defense-in-Depth-Konzept
Aufbau eines Security Programms gemäß IEC 62443
Anlagensicherheit
• Physischer Zugangsschutz
• Prozesse und Richtlinien
• Security Services zum Schutz von
Produktionsanlagen
Netzwerksicherheit
Sicherheitsrisiken
zwingen zum Handeln
• Zellenschutz und Perimeternetzwerk
• Firewalls und VPN
Systemintegrität
•
•
•
•
•
Systemhärtung
Authentifizierung und Benutzerverwaltung
Patch Management
Erkennung von Angriffen
Integrierter Zugangsschutz in der Automatisierung
Security-Lösungen im Industriekontext müssen alle Schutzebenen berücksichtigen
Frei verwendbar © Siemens AG 2016. Alle Rechte vorbehalten.
Seite 10
17.02.2016
Industrial Security
Industrial Security
Plant Security Services
IST-Aufnahme des Sicherheitsstatus
Assess
Assess
•
•
•
•
•
Bedrohungs- , Schwachstellen- und Gap-Analyse
Identifizierung, Klassifizierung und Bewertung von Risiken
Bewertung der Kritikalität: Sichtverlust, Kontrollverlust
Ausführung aus Prozessengineering- und Automatisierungssicht
Basis für die Etablierung eines Security-Fahrplans
Risikoreduzierung durch die Implementierung von Sicherheitsmaßnahmen
Implement
Implement
•
•
•
•
Validierung des Sicherheitsstatus der Systeme
Planung und Realisierung technischer Sicherheitsmaßnahmen für reaktiven Schutz
Entwicklung und Etablierung von sicherheitsrelevanten Prozeduren und Richtlinien in der Anlage
Industrial Security Schulungen
Durchgängige Sicherheit durch Überwachung und proaktiven Schutz
Manage
Manage
•
•
•
•
•
Kontinuierlicher Betrieb der implementierten Maßnahmen mit Updates und Backups
Schutz Ihrer Sicherheitsinvestition
Überwachung der Netzwerk-Sicherheit mit Threat Intelligence
Erkennung und Beseitigung von Sicherheitsvorfällen
Frühzeitige Anpassung an sich ändernde Bedrohungen
Frei verwendbar © Siemens AG 2016. Alle Rechte vorbehalten.
Seite 11
17.02.2016
Industrial Security
Plant Security Services
Implementierung der identifizierten Maßnahmen zur Risikominderung
Kundenanlage
Implementierungselemente
Schulungen & Prozesse
Sicherheitszellen und DMZ
Firewalls und VPN
Systemhärtung
Benutzerverwaltung
Patch Management
Malware-Erkennung und
-Vermeidung
Frei verwendbar © Siemens AG 2016. Alle Rechte vorbehalten.
Seite 12
17.02.2016
Industrial Security
Siemens Cyber Security Operations Center
Kontinuierlicher und proaktiver Schutz von Industrieanlagen
•
Die Managed Plant Security Services von Siemens,
geliefert vom Siemens Cyber Security Operations
Center, bieten ein umfassendes Security
Management
•
Security Analysten überwachen weltweit
mögliche Schwachstellen und Bedrohungen, um
proaktive Warnungen und Alarmen in Echtzeit
geben zu können
•
Wenn die globale Threat Intelligence ein erhöhtes
Risiko zeigt, definiert und liefert das Siemens Cyber
Security Operations Center passende pro-aktive
Gegenmaßnahmenahmen
Anlagenperimeter Firewall Management
und Firewall Regelüberprüfung
•
Bei einem Sicherheitsvorfall in Ihrer Anlage
koordiniert das Cyber Security Operations Center
die Reaktionen: forensische Analyse und
Empfehlungen zu geeigneten Gegenmaßnahmen
Virenschutz und Whitelisting Management
•
Unterstützung durch einen Sicherheitsexperten
entsprechend der Kritikalität des gemeldeten
Vorfalls, den Auswirkungen auf Ihrer Anlage sowie
Ihren Geschäftsbedürfnissen
CSOC Security Management
Angeschlossener Kunde
Kontinuierliches Plant Security Monitoring
Gesicherte
Verbindung
Angeschlossener Kunde
Incident Handling
Angeschlossener Kunde
Frei verwendbar © Siemens AG 2016. Alle Rechte vorbehalten.
Seite 13
17.02.2016
Industrial Security
Plant Security Monitoring
Notwendigkeit einer industriellen SIEM* Lösung
???
SIEM!
LOG
LOG
LOG
LOG
LOG
LOG
LOG
LOG
LOG
Security
Officer
LOG
LOG
LOG
LOG
LOG
ALERT
Sicherheitsvorfall!
LOG
LOG
LOG
LOG
LOG
LOG
LOG
LOG
LOG
LOG
Anlagenbetreiber
LOG
Frei verwendbar © Siemens AG 2016. Alle Rechte vorbehalten.
Seite 14
17.02.2016
*Security Information and Event Management
Industrial Security
Plant Security Monitoring
Verwaltet und betrieben durch das Siemens Cyber Security Operation Center
Kundenanlage
CSOC*
Berichte
Secure
Connection
Log Sammlung
Log Management
Log
Analyse
System
Mgmt.
Log Sammlung
Log Sammlung
Log Sammlung
Security Expertise
Security Management
Ereignis Korrelation
Log Sammlung
Frei verwendbar © Siemens AG 2016. Alle Rechte vorbehalten.
Seite 15
17.02.2016
Log Management
• 24/7 Verfügbarkeit
• Hochstrukturierter
Ansatz bei Reaktion auf
Sicherheitsvorfälle
• Unterstützung von
Siemens Industrial
Security Experten
• Festlegung und Lieferung
maßgeschneiderter
Sicherheitsmaßnahmen
für einen pro-aktiven
Schutz
• Keine Ressourcenbeschränkungen
• Mitnutzung von Threat
Intelligence
Datenbanken
• Schutz verschiedener
Branchen sowie Siemens
eigene Infrastruktur
*Cyber Security Operation Center
Industrial Security
Plant Security Referenz
Linde Gas – Industrial Security Program
Profil
• Linde ist ein weltweit Anbieter von technischen
Gasen.
SOx and
NOx emissions
reduced by more
thanin90%
• Linde
Produkte
und Dienstleistungen
können
nahezu allen Branchen gefunden werden, in mehr
als 100 Ländern.
Herausforderung
• Unterschiedliche Reifegrade zu Industrial Security bei
Linde Gas
• Bedarf nach einem holistischem
Implementierungskonzept
Lösung
• Entwicklung eines übergreifenden Programms zu
Industrial Security für 600+ Produktionsanlagen und
alle Remote Operation Center
• Unterstützung bei der Pilotierung in den Regionen
Deutschland und Asia Pacific
Mehrwert
• Vereinheitlichter Ansatz für eine globale Einführung, um
einen höheren Reifegrad bei Industrial Security zu
erreichen
• Wirtschaflich umsetzbare Strategie zur globalen
Einführung auf allen Plattformen (herstellerunabhängig)
Frei verwendbar © Siemens AG 2016. Alle Rechte vorbehalten.
Seite 16
17.02.2016
Industrial Security
Vielen Dank für Ihre Aufmerksamkeit!
Christian Telgen
RC-DE DF CS DS
Service Promotion – Plant Security Services
Franz-Geuer-Str. 10
50823 Köln, Deutschland
Mobile: +49 (162) 2030474
[email protected]
Frei verwendbar © Siemens AG 2016. Alle Rechte vorbehalten.
Seite 17
17.02.2016
Industrial Security
Industrial Security
Ausschlussklausel (Disclaimer)
Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren Betrieb von Anlagen,
Lösungen, Maschinen, Geräten und/oder Netzwerken unterstützen. Sie sind wichtige Komponenten in einem
ganzheitlichen Industrial Security-Konzept. Die Produkte und Lösungen von Siemens werden unter diesem
Gesichtspunkt ständig weiterentwickelt. Siemens empfiehlt, sich unbedingt regelmäßig über Produkt-Updates zu
informieren.
Für den sicheren Betrieb von Produkten und Lösungen von Siemens ist es erforderlich, geeignete Schutzmaßnahmen (z.
B. Zellenschutzkonzept) zu ergreifen und jede Komponente in ein ganzheitliches Industrial Security-Konzept zu
integrieren, das dem aktuellen Stand der Technik entspricht. Dabei sind auch eingesetzte Produkte von anderen
Herstellern zu berücksichtigen. Weitergehende Informationen über Industrial Security finden Sie unter:
http://www.siemens.com/industrialsecurity
Um stets über Produkt-Updates informiert zu sein, melden Sie sich für unseren produktspezifischen Newsletter an.
Weitere Informationen hierzu finden Sie unter: http://support.automation.siemens.com
Frei verwendbar © Siemens AG 2016. Alle Rechte vorbehalten.
Seite 18
17.02.2016
Industrial Security

Download Report