Michael Gröne - LARS - BSI

© 2015 ı Classification: CONFIDENTIAL
LARS - Leichtgew ichtiges Werkzeug zum Einstieg
in IT-Sicherheit für Betreiber von
Industriesteuerungs-Anlagen
Michael Gröne (Sirrix AG)
Andre Wichmann (BSI)
19. Mai 2015 ı Bad-Godesberg, Bonn
14. Deutscher IT-Sicherheitskongress
© 2015 ı Classification: CONFIDENTIAL
Agenda
 Unternehmen
 Herausforderungen
 BSI-Tool LARS
 Zielsetzung
 Methodik
 Szenarien
 Bedienoberfläche
 Reporting
 Status und Ausblick
Zeit zur Diskussion nach dem Vortrag.
2
© 2015 ı Classification: CONFIDENTIAL
Ursprünge in der Spitzenforschung
 Gegründet 2005 als Spin-Off des Instituts für Kryptographie
und Sicherheit am DFKI in Saarbrücken
 Heute High-Tech Produkthaus im IT-Sicherheitsbereich
Fokussierung auf Kernziele:
 Commercial-of-the-Shelf (COTS)-Systeme mit minimalem
Aufwand für den behördlichen und den
unternehmensweiten Einsatz sicher machen.
 Standardsysteme nachweisbar vertrauenswürdig machen
Sirrix AG heute
 Internationaler Technologieführer im Bereich
„Trusted Infrastructures“
2013
3
© 2015 ı Classification: CONFIDENTIAL
Produktlinien
 Sprachverschlüsselungssysteme
•
•
•
ISDN/VoIP/GSM
T ET RA/BO S-D/SNS VS-NfD
NAT O -SC IP VS-NfD
 Fax Encryption Systeme
 Radio Encryption Systeme
•
•
Module für
VHF/UHF Radios
Handsets für HF-Radios
VS-NfD
 T URAYA T M
TrustedInfrastructure
•
•
•
TrustedVPN
TrustedDesktop
TrustedServer
 Mo bile Device Security
• T URAYA Embedded
• T URAYA Mobile
TM
TM
 BitBox Secure Brow sing
 TrustedDisk Vo lume und
USB-Encryption VS-NfD
 PanBox
• TrustedMobile iO S
• BizzTrust™
TrustedO bjects Manager
Freigegeben für VS-NfD
Management für
Appliances, Policies, Benutzer, Trusted Domains, …
4
© 2015 ı Classification: CONFIDENTIAL
Herausforderungen
 Standards nur teilweise vorhanden
 z.B. IEC 62443
 Compliance schwierig umzusetzen
 Orientierung: Best Practice für heutige
Industrial / ICS Security
 Vielzahl von Tools verfügbar, z.B.
 verinice (SerNet; für ISMS; OpenSource)
 GSTOOL (BSI)
 Unzulänglichkeiten (insb. KMU)
 Mächtigkeit (Beratung, Schulung notwendig)
 Kosten
5
© 2015 ı Classification: CONFIDENTIAL
BSI-Tool LARS
 Light And Right Security
 Leichtgewichtiger Einstieg, einfache
Benutzbarkeit
 Abdeckung IEC 62443, ISO 27001, ITGrundschutz, BSI ICS Security Kompendium
 Version 1.0 inkl. Handbuch verfügbar
 Kostenfrei erhältlich über BSI oder Sirrix
 Apache License, Version 2.0
6
© 2015 ı Classification: CONFIDENTIAL
Zielsetzung
 leichtgewichtiger Einstieg in Cyber-Sicherheit gemäß ISO/IEC 27001
und IEC 62443
 keine formelle Risikoanalyse
 Berücksichtigung der Besonderheiten und Rahmenbedingungen
der Prozesssteuerung und Fabrikautomation
 Hinführung zu einem ganzheitlichen Ansatz
 zwei Elemente
 Entwicklung einer Methodik für eine „Sicherheitsanalyse“
 Entwicklung eines Tools, das die Methodik umsetzt
 Adressaten: Kleine bis mittelständische Unternehmen
 schlanker, leicht zu verstehender Ansatz
7
© 2015 ı Classification: CONFIDENTIAL
Methodik
 Methodik baut auf einer Vorbereitungsphase auf
 Bildung eines Teams im Unternehmen
 Erstellung Netzwerkplan
 Sichtung der Dokumentation (Technik, Prozess,
Mensch)
Baum:
 Ansatz mit Baumstruktur (zur Identifikation von
 Asset-Typ
Bedrohungen)
 Domäne (Zone)
 Verzicht auf klassische Modellierung und
 Kategorie
Bedrohungsanalyse
 Maßnahme
 Orientierung an VDI/VDE 2182 (Asset-basierter
Ansatz)
 Hinführung zu einem ganzheitlichen Ansatz
8
© 2015 ı Classification: CONFIDENTIAL
Methodik
 Die Methodik beinhaltet folgende Vereinfachungen (im Vergleich zu
klassischen Ansätzen):
 keine Struktur-, Schutzbedarfs- oder Risikoanalyse durchgeführt
 über eine Baumstruktur werden im Hintergrund
„Bedrohungsszenarien“ identifiziert, denen
Sicherheitsmaßnahmen zugeordnet sind
 auf verschiedenen Ebenen wird Security-Niveau berechnet
 Priorisierung bei der Umsetzung der Maßnahmen gemäß SecurityNiveau
 Ampel-Funktion zur Anzeige des Security-Niveaus
 diese Methodik ersetzt natürlich keine detaillierte Schutzbedarfsund Risikoanalyse von versierten Fachkräften
9
© 2015 ı Classification: CONFIDENTIAL
Szenarien (Produktionsbereich)
10
© 2015 ı Classification: CONFIDENTIAL
Szenarien (Prozessindustrie)
11
© 2015 ı Classification: CONFIDENTIAL
Bedienoberfläche
12
© 2015 ı Classification: CONFIDENTIAL
Bedienoberfläche
13
© 2015 ı Classification: CONFIDENTIAL
Bedienoberfläche
14
© 2015 ı Classification: CONFIDENTIAL
Reporting
 Berichtsarten:
 Security-Niveau ICS insgesamt
 Security-Niveau auf Ebene
Asset-Typ / Domäne
 Security-Niveau auf Ebene
Domäne
 Priorisierter Maßnahmenkatalog
 Gesamtbericht
 wie positiv/negativ sich der
Zustand des ICS darstellt
 welche Maßnahmen als nächste
anzugehen sind, insbesondere
"KO"-Maßnahmen
15
© 2015 ı Classification: CONFIDENTIAL
Status und Ausblick
 LARS 1.0 ist erhältlich über
 Webseite der Allianz für Cyber-Sicherheit
 direkt vom BSI (auf Anfrage)
 direkt über Sirrix AG (auf Anfrage)
 Kommentare gerne an [email protected] und [email protected]
 Fortführung und Weiterentwicklung
 durch Sirrix (Auftragsentwicklung und Support)
 durch das BSI
• Offener Workshop am 16.6.2015 beim Cyber-Sicherheits-Tag der
Allianz
• Ausschreibung Projekt im Herbst 2015
16
© 2015 ı Classification: CONFIDENTIAL
Mögliche Verbesserungen






Vereinfachung Benutzeroberfläche und Workflow
Detailliertere Reports
Kompatibilität zu und Anbindung an andere Tools (verinice, …)
Mächtigere Asset-Verwaltung
Unterstützung beim Erstellen eines ersten Netzplans
…?
 -> Workshop am 16. Juni, Wünsche an [email protected]
 Oberste Priorität: Einstiegshürde niedrig halten!
 …mehr Möglichkeiten bieten
 ...aber Zielgruppe nicht abschrecken
17
© 2015 ı Classification: Public
Michael Gröne, M.Sc.
Senior Projektmanager & Consultant
Sirrix AG security technologies
Lise-Meitner-Allee 4
44801 Bochum
Tel
Fax
+49(234) 610071-125
+49(234) 610071-5125
Email
Web
[email protected]
www.sirrix.com
18