IT Security: Anforderungen und Lösungen für Eisenbahnleit

Lorem est
dolor sunt
2014
Prof. Dr. Jens Braband
IT Security: Anforderungen und
Lösungen für Eisenbahnleit- und
-sicherungstechnik
© Siemens AG 2015 – Alle Rechte vorbehalten.
siemens.com/answers
Inhalt
 Security versus Safety
4
 Security-Bedrohungen
5
 Politische Trends
9
 Einbettung von IT-Sicherheit
in die Normung
10
 Security-Level
12
 Lösungen
13
 Fazit
16
© Siemens AG 2015 – Alle Rechte vorbehalten.
Seite 2
Mobility
Eisenbahnleit- und -sicherungstechnik
© Siemens AG 2015 – Alle Rechte vorbehalten.
Seite 3
Mobility
Security versus Safety
Sicherheit (Safety)
 Freisein von nicht akzeptierbaren Risiken eines Schadens
IT-Sicherheit (Security)
 In den Eisenbahnnormen nicht explizit definiert, aber meist verstanden
als Zugriffsschutz
 Im technischen Sinne in den Eisenbahnnormen verstanden als
Informationssicherheit, d. h. das Sicherstellen von Vertraulichkeit,
Verfügbarkeit und Integrität
In der Praxis
 Safety
Schutz vor (unbeabsichtigten) Fehlfunktionen
 Security Schutz vor (absichtlichen) Angriffen
 Es besteht ein grundsätzlicher Unterschied, z. B. bei Risikoanalysen.
Trotzdem gibt es eine breite Überlappung der Begriffe, teilweise sogar
Begriffskonfusion.
© Siemens AG 2015 – Alle Rechte vorbehalten.
Seite 4
Mobility
Security-Bedrohungen
Beispiele
Januar 2008: 14-jähriger Schüler hackt
die Weichen-Fernsteuerung der
Straßenbahn in Lodz und lässt Züge
entgleisen.
August 2003: Computer-Virus bei CSX
bringt deren Betrieb in 23 US-Staaten
komplett zum Erliegen.
November 2011: Hacker stören
die Signalisierung im Nordwesten
der USA mehrere Tage lang.
© Siemens AG 2015 – Alle Rechte vorbehalten.
Seite 5
Mobility
Security-Bedrohungen
Security-relevante Anwendungen
 Das Verwenden kommerzieller Produkte und Systeme
(COTS) für signaltechnisch sichere Anwendungen nimmt zu:
 GSM-R für Funkübertragung
 Kommerzielle Hardware- und Betriebssysteme
 Neue Gefährdungen bestehen bezüglich der Sicherheit
der Anwendungen:
 Absichtliche Modifikation von Daten
 Manipulierter Verbindungsaufbau durch Dritte
 Bisher verwendete Mechanismen genügen nicht:
 Sicherheitscode (CRC)
 Adressierungsmechanismen
Can trains be hacked?
 Security wird benötigt, um Safety zu gewährleisten.
© Siemens AG 2015 – Alle Rechte vorbehalten.
Seite 6
Mobility
Security-Bedrohungen
Wo sind die Angreifer?
 Bei 30C3 zeigte eine russische HackerOrganisation, dass Zigtausende SCADASysteme vom Internet aus erreichbar sind.
 Darunter sollen auch Systeme an Bord von
Zügen gewesen sein.
 Dahinter steckt ein klares Geschäftsmodell.
© Siemens AG 2015 – Alle Rechte vorbehalten.
Seite 7
Mobility
Security-Bedrohungen
Erkenntnisse
 Alles, was nicht Mindeststandards
erfüllt, kann von Hacktivisten
gebrochen werden.
 Wesentliche Ursachen:
 Überschätzen der Sicherheit
 Fehlerhaftes Implementieren
 Fehlerhafte Konfiguration
 Bekannte Schwachstellen
 Infizierte Geräte
 Standard-Passwörter
 …
© Siemens AG 2015 – Alle Rechte vorbehalten.
Seite 8
Mobility
Politische Trends
Die Kommission fordert die Akteure auf:
 Sicherheitsnormen unter Federführung der Industrie entwickeln und
verabschieden
 Normen für die Cybersicherheitsleistung der Unternehmen entwickeln und
Informationen für die Öffentlichkeit durch eine Sicherheitskennzeichnung
verbessern
© Siemens AG 2015 – Alle Rechte vorbehalten.
Seite 9
Mobility
Einbettung von IT-Sicherheit in die Normung
Übersicht
 Zukünftig Einbettung von IT-SecurityNormen in die Safety-Landschaft
 Gesetzliche Vorgabe EU-Verordnung
402/2013 (Common Safety Methods)
 Anknüpfpunkt Sicherheitsnachweis
nach DIN EN 50129
 Keine eigenen Normen, sondern
Anwendung bestehender Normen
 Beispiel: IEC 62243 über DKE-Leitfaden DIN VDE V 0831-104
© Siemens AG 2015 – Alle Rechte vorbehalten.
Seite 10
Mobility
Einbettung von IT-Sicherheit in die Normung
DKE-Leitfaden DIN VDE V 0831-104
Veröffentlichung August 2015???
© Siemens AG 2015 – Alle Rechte vorbehalten.
Seite 11
Mobility
Security-Level (SL)
Safety
Hacker
Organisation
Cyberwar
© Siemens AG 2015 – Alle Rechte vorbehalten.
Seite 12
Mobility
Lösungen
Security Gateway (Internet of Zones)
Netzwerk
Zone B
Zone A
LST-Anwendung
VPN-Tunnel
LST-Anwendung
Management
Administrator
 Architektur ermöglicht die Verbindung sicherer (safe) Zonen mit Hilfe von
sicheren (secure) Tunneln unter Einsatz von COTS-Security-Komponenten.
 Architektur erlaubt weitgehende Orthogonalisierung der Safety- und SecurityEigenschaften (bis auf Rückwirkungsfreiheit).
 Zulassung bzw. Zertifizierung kann weitgehend separiert werden.
 Beispiel: Security Gateway für BZ/UZ-Kopplung, KISA
© Siemens AG 2015 – Alle Rechte vorbehalten.
Seite 13
Mobility
Lösungen
SW-Updates und Patch-Management
 Die Anforderungen von Safety und Security
sind gegenläufig:
 Bei Safety ändert man Software
möglichst nicht.
 Bei Security ändert man Software
möglichst täglich.
 Innovatives Konzept ̶ Safety-Software,
COTS und Security-Software:
 In einem System
 Aber in getrennten, redundanten Kanälen
 Pilotierung S-Bane Copenhagen
© Siemens AG 2015 – Alle Rechte vorbehalten.
Seite 14
Mobility
Lösungen
ESTW-Server (Internet of Things)
Aus 586 Anlagen 155 ESTW-Z und 431 ESTW-A können
wenige ESTW-Server mit Multicore-Architektur werden.
WAN/SG
IKI/KISA
ESTW-Server
ESTW-Z
ESTW-A
Point of Service
© Siemens AG 2015 – Alle Rechte vorbehalten.
Seite 15
Mobility
Fazit
 Zunehmender Einsatz von COTS-Produkten und Systemen im Bereich
Eisenbahn-Leit- und Sicherungstechnik benötigt IT Security-Mechanismen.
 Eisenbahnanforderungen sollten auf Grundlage allgemeiner IT-SecurityStandards, z. B. IEC 62443, definiert werden.
 Safety und Security müssen in modernen Eisenbahnsignalsystemen in ihrer
Gesamtheit betrachtet werden.
 Dazu gibt es bereits bewährte Architekturen und Lösungskonzepte.
Aber:
 Wenn möglich, sollte eine getrennte Zulassung von Safety- und
Security-Produkten angestrebt werden.
© Siemens AG 2015 – Alle Rechte vorbehalten.
Seite 16
Mobility
Vielen Dank für Ihre Aufmerksamkeit!
© Siemens AG 2015 – Alle Rechte vorbehalten.
Seite 17
Mobility

Download Report