© 2015 ı Classification: CONFIDENTIAL LARS - Leichtgew ichtiges Werkzeug zum Einstieg in IT-Sicherheit für Betreiber von Industriesteuerungs-Anlagen Michael Gröne (Sirrix AG) Andre Wichmann (BSI) 19. Mai 2015 ı Bad-Godesberg, Bonn 14. Deutscher IT-Sicherheitskongress © 2015 ı Classification: CONFIDENTIAL Agenda Unternehmen Herausforderungen BSI-Tool LARS Zielsetzung Methodik Szenarien Bedienoberfläche Reporting Status und Ausblick Zeit zur Diskussion nach dem Vortrag. 2 © 2015 ı Classification: CONFIDENTIAL Ursprünge in der Spitzenforschung Gegründet 2005 als Spin-Off des Instituts für Kryptographie und Sicherheit am DFKI in Saarbrücken Heute High-Tech Produkthaus im IT-Sicherheitsbereich Fokussierung auf Kernziele: Commercial-of-the-Shelf (COTS)-Systeme mit minimalem Aufwand für den behördlichen und den unternehmensweiten Einsatz sicher machen. Standardsysteme nachweisbar vertrauenswürdig machen Sirrix AG heute Internationaler Technologieführer im Bereich „Trusted Infrastructures“ 2013 3 © 2015 ı Classification: CONFIDENTIAL Produktlinien Sprachverschlüsselungssysteme • • • ISDN/VoIP/GSM T ET RA/BO S-D/SNS VS-NfD NAT O -SC IP VS-NfD Fax Encryption Systeme Radio Encryption Systeme • • Module für VHF/UHF Radios Handsets für HF-Radios VS-NfD T URAYA T M TrustedInfrastructure • • • TrustedVPN TrustedDesktop TrustedServer Mo bile Device Security • T URAYA Embedded • T URAYA Mobile TM TM BitBox Secure Brow sing TrustedDisk Vo lume und USB-Encryption VS-NfD PanBox • TrustedMobile iO S • BizzTrust™ TrustedO bjects Manager Freigegeben für VS-NfD Management für Appliances, Policies, Benutzer, Trusted Domains, … 4 © 2015 ı Classification: CONFIDENTIAL Herausforderungen Standards nur teilweise vorhanden z.B. IEC 62443 Compliance schwierig umzusetzen Orientierung: Best Practice für heutige Industrial / ICS Security Vielzahl von Tools verfügbar, z.B. verinice (SerNet; für ISMS; OpenSource) GSTOOL (BSI) Unzulänglichkeiten (insb. KMU) Mächtigkeit (Beratung, Schulung notwendig) Kosten 5 © 2015 ı Classification: CONFIDENTIAL BSI-Tool LARS Light And Right Security Leichtgewichtiger Einstieg, einfache Benutzbarkeit Abdeckung IEC 62443, ISO 27001, ITGrundschutz, BSI ICS Security Kompendium Version 1.0 inkl. Handbuch verfügbar Kostenfrei erhältlich über BSI oder Sirrix Apache License, Version 2.0 6 © 2015 ı Classification: CONFIDENTIAL Zielsetzung leichtgewichtiger Einstieg in Cyber-Sicherheit gemäß ISO/IEC 27001 und IEC 62443 keine formelle Risikoanalyse Berücksichtigung der Besonderheiten und Rahmenbedingungen der Prozesssteuerung und Fabrikautomation Hinführung zu einem ganzheitlichen Ansatz zwei Elemente Entwicklung einer Methodik für eine „Sicherheitsanalyse“ Entwicklung eines Tools, das die Methodik umsetzt Adressaten: Kleine bis mittelständische Unternehmen schlanker, leicht zu verstehender Ansatz 7 © 2015 ı Classification: CONFIDENTIAL Methodik Methodik baut auf einer Vorbereitungsphase auf Bildung eines Teams im Unternehmen Erstellung Netzwerkplan Sichtung der Dokumentation (Technik, Prozess, Mensch) Baum: Ansatz mit Baumstruktur (zur Identifikation von Asset-Typ Bedrohungen) Domäne (Zone) Verzicht auf klassische Modellierung und Kategorie Bedrohungsanalyse Maßnahme Orientierung an VDI/VDE 2182 (Asset-basierter Ansatz) Hinführung zu einem ganzheitlichen Ansatz 8 © 2015 ı Classification: CONFIDENTIAL Methodik Die Methodik beinhaltet folgende Vereinfachungen (im Vergleich zu klassischen Ansätzen): keine Struktur-, Schutzbedarfs- oder Risikoanalyse durchgeführt über eine Baumstruktur werden im Hintergrund „Bedrohungsszenarien“ identifiziert, denen Sicherheitsmaßnahmen zugeordnet sind auf verschiedenen Ebenen wird Security-Niveau berechnet Priorisierung bei der Umsetzung der Maßnahmen gemäß SecurityNiveau Ampel-Funktion zur Anzeige des Security-Niveaus diese Methodik ersetzt natürlich keine detaillierte Schutzbedarfsund Risikoanalyse von versierten Fachkräften 9 © 2015 ı Classification: CONFIDENTIAL Szenarien (Produktionsbereich) 10 © 2015 ı Classification: CONFIDENTIAL Szenarien (Prozessindustrie) 11 © 2015 ı Classification: CONFIDENTIAL Bedienoberfläche 12 © 2015 ı Classification: CONFIDENTIAL Bedienoberfläche 13 © 2015 ı Classification: CONFIDENTIAL Bedienoberfläche 14 © 2015 ı Classification: CONFIDENTIAL Reporting Berichtsarten: Security-Niveau ICS insgesamt Security-Niveau auf Ebene Asset-Typ / Domäne Security-Niveau auf Ebene Domäne Priorisierter Maßnahmenkatalog Gesamtbericht wie positiv/negativ sich der Zustand des ICS darstellt welche Maßnahmen als nächste anzugehen sind, insbesondere "KO"-Maßnahmen 15 © 2015 ı Classification: CONFIDENTIAL Status und Ausblick LARS 1.0 ist erhältlich über Webseite der Allianz für Cyber-Sicherheit direkt vom BSI (auf Anfrage) direkt über Sirrix AG (auf Anfrage) Kommentare gerne an [email protected] und [email protected] Fortführung und Weiterentwicklung durch Sirrix (Auftragsentwicklung und Support) durch das BSI • Offener Workshop am 16.6.2015 beim Cyber-Sicherheits-Tag der Allianz • Ausschreibung Projekt im Herbst 2015 16 © 2015 ı Classification: CONFIDENTIAL Mögliche Verbesserungen Vereinfachung Benutzeroberfläche und Workflow Detailliertere Reports Kompatibilität zu und Anbindung an andere Tools (verinice, …) Mächtigere Asset-Verwaltung Unterstützung beim Erstellen eines ersten Netzplans …? -> Workshop am 16. Juni, Wünsche an [email protected] Oberste Priorität: Einstiegshürde niedrig halten! …mehr Möglichkeiten bieten ...aber Zielgruppe nicht abschrecken 17 © 2015 ı Classification: Public Michael Gröne, M.Sc. Senior Projektmanager & Consultant Sirrix AG security technologies Lise-Meitner-Allee 4 44801 Bochum Tel Fax +49(234) 610071-125 +49(234) 610071-5125 Email Web [email protected] www.sirrix.com 18
© Copyright 2024 ExpyDoc