Industrial Security

SIEMENS AG
Industrie Tag – Industrial Security
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
siemens.de/industrialsecurity
Agenda
10:00 – 10:15
10:15 – 10:30
10:30 – 11:30
11:30 – 12:00
Begrüßung
Herr Jürgen Giegerich – Leitung Vertrieb
Aktuelle Bedrohungen für Industrieanlagen & IT Sicherheit – Produktion vs. Office
Herr Mario Heinrich Schenk – Leitung Plant Data Services
Risiko-Management - Know-How-Schutz im Zeitalter moderner Wirtschaftsspionage
Herr Thomas Klausnitzer – Bundesamt für Verfassungsschutz (BfV)
Ganzheitliches Sicherheitskonzept für Industrieanlagen (..vom sicheren Netz bis zum
sensiblen Mitarbeiter)
Herr Mansoor Bley - Service Promotor Plant Security Services
12:00 – 13:00
Pause
13:00 – 13:35
Vernetzte Produkte, Vernetzte Produktion – mit Sicherheit
Herr Daniel Roß – Produkt Promotor Industrial Communication
Plant Security Services – Antworten für kontinuierlichen Schutz und Sicherheit
Herr Christian Telgen – Service Promotor Plant Security Services
Livedemo - Security Information and Event Management (SIEM) in Industrieanlagen
Herr Jan Kißling und Herr Timo Wirtz – Systemexperten Plant Security Services
Get together / Diskussion / Erfahrungsaustausch / Microfair
13:35 – 14:05
14:05 – 14:45
14:45 – 15:45
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 2
Juli 2015
Industrial Security - Plant Security Services
"Industrie Tag – Industrial Security"
Aktuelle Bedrohungen für Industrieanlagen &
IT Sicherheit – Produktion vs. Office
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
siemens.de/industrialsecurity
IT in Industrieanlagen
Von isolierten Kommunikationsinseln…
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 5
Juli 2015
Industrial Security - Plant Security Services
IT in Industrieanlagen
… zu komplexen Landschaften
Office Network
ERP- and MES-Systems
Internet and Mobile
Network
UMTS, GPRS, etc.
Control Network
Ethernet
WLAN
WLAN
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 6
Juli 2015
Industrial Security - Plant Security Services
Aktuelle Bedrohungslage
Bedrohungen für Steuerungskomponenten
Top 10 Bedrohungen im Überblick
1.
Infektion mit Schadsoftware über Internet und Intranet
2.
Einschleusen von Schadsoftware über Wechseldatenträger und
externe Hardware
3.
Social Engineering
4.
Menschliches Fehlverhalten und Sabotage
5.
Einbruch über Fernwartungszugänge
6.
Internet-verbundene Steuerungskomponenten
7.
Technisches Fehlverhalten und höhere Gewalt
8.
Kompromittierung von Smartphones im Produktionsumfeld
9.
Kompromittierung von Extranet und Cloud-Komponenten
10. (D)DoS Angriffe
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 7
Juli 2015
Industrial Security - Plant Security Services
Aktuelle Bedrohungslage
BSI und BITKOM Berichte
Studie des Digitalverbands BITKOM
Quelle: https://www.bitkom.org/files/documents/150415_Digitaler_Wirtschaftsschutz(1).jpg
BSI – Die Lage der IT-Sicherheit in Deutschland
Quelle: BSI - Die Lage der IT-Sicherheit in Deutschland 2014
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 8
Juli 2015
Industrial Security - Plant Security Services
Aktuelle Bedrohungslage
Schlagzeilen über aufgedeckte Schwachstellen
Quelle: http://www.spiegel.de/politik/deutschland/pressekompass-ueber-cyber-attacke-bundestag-a-1038497.html
https://www.bmi.bund.de/SharedDocs/Kurzmeldungen/DE/2014/12/bundeskabinett-beschlie%C3%9Ft-it-sicherheitsgesetz.html
Quelle: http://www.welt.de/wirtschaft/article141007629/Die-Angst-der-Airlines-vor-den-Flugzeug-Hackern.html
Quelle: http://www.spiegel.de/netzwelt/web/bsi-bericht-hacker-legten-deutschen-hochofen-lahm-a-1009191.html
Quelle: http://www.heise.de/security/meldung/Hackergruppe-spezialisiert-sich-auf-westliche-Industrieanlagen-2243885.html
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 9
Juli 2015
Industrial Security - Plant Security Services
Industrial Security vs. IT Security
Produktion und Büro haben unterschiedliche Schutzziele
Hauptziel
Verfügbarkeit
Vertraulichkeit
Integrität
Vertraulichkeit
Industrial Security
Integrität
Netzausfallzeiten
< 300 ms
Verfügbarkeit
Minutenbereich
akzeptabel
AnlagenIBS-Personal
Installation
NetzwerkFachpersonal
Anlagenspezifisch
Topologie
Sternförmig
Raue Umgebungen
Einsatzort
Klimatisierte Büros
Niedrig, Switches
mit weniger Ports
Gerätedichte
Hoch, Switches
mit hoher Portanzahl
Verfügbarkeit
IT-Security
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 10
Juli 2015
Industrial Security - Plant Security Services
Aktuelle Bedrohungslage
Bedrohungen können Industrieanlagen an vielen Stellen treffen
Sicherheitsbedrohungen schaffen
Handlungsbedarf
• Verlust von geistigem Eigentum, Rezepturen, …
• Sabotage an der Produktionsanlage
• Anlagenstillstand z. B. durch Viren oder Malware
• Manipulation von Daten oder
Anwendungssoftware
• Unbefugter Einsatz von Systemfunktionen
• Vorschriften und Normen bezüglich Industrial
Security müssen eingehalten werden
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 11
Juli 2015
Industrial Security - Plant Security Services
Aktuelle Gesetzeslage
IT-Sicherheit in kritischen Infrastrukturen
Bedrohung
Gesetz
Betroffene
Gesetz im
Bundesrat
beschlossen
Quelle: Bericht zur Lage der IT-Sicherheit in Deutschland 2014
Quelle: Bundesministerium des Innern: Nationale Strategie zum Schutz Kritischer
Infrastrukturen (KRITIS-Strategie)
http://www.bmi.bund.de/SharedDocs/Downloads/DE/Broschueren/2009/kritis.html
(17.06.2009)
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 12
Juli 2015
Industrial Security - Plant Security Services
Vielen Dank für Ihre Aufmerksamkeit!
Mario Heinrich Schenk
RC-DE DF CS DS
Von-der-Tann-Str. 30
90439 Nürnberg
Telefon: +49 911 654 2760
Mobiltelefon: + 49 172 5675851
E-Mail: [email protected]
siemens.de/industrialsecurity
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 13
Juli 2015
Industrial Security - Plant Security Services
"Industrie Tag – Industrial Security"
Ganzheitliches Sicherheitskonzept für
Industrieanlagen (..vom sicheren Netz bis
zum sensiblen Mitarbeiter)
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
siemens.de/industrialsecurity
Industrial Security
Ganzheitliches Sicherheitskonzept für Industrieanlagen
•
•
Defense-in-Depth als Schlüssel für eine sichere Infrastruktur
Siemens Konzept und Herangehensweise:
•
Anlagensicherheit
•
Netzwerksicherheit
•
Systemintegrität
Ganzheitlicher Ansatz
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 15
Juli 2015
Industrial Security - Plant Security Services
IT-Sicherheit in Industrieanlagen
Defense-in-Depth als Schlüssel für eine sichere Infrastruktur
Große Mauer
Defense in Depth
§ Unüberwindbare Mauer
§ Vielschichtiger Schutz
§ Einschichtiger Schutz
§ Jede Schicht unterstützt die Anderen
§ Ein Angriffspunkt
§ Bei jedem Übergang muss ein
Angreifer Zeit und Aufwand aufbringen
Eine einzelne Schutzmaßnahme ist niemals gut genug, um einer Bedrohung stand zu halten!
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 16
Juli 2015
Industrial Security - Plant Security Services
IT-Sicherheit in Industrieanlagen
Das Defense-in-Depth-Konzept
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 17
Juli 2015
Industrial Security - Plant Security Services
Defense-in-Depth
Anlagensicherheit: Physikalische Sicherheit
• Das Ignorieren der Risiken der physischen Sicherheit kann alle
anderen Maßnahmen ad absurdum führen
• Beschränkung des physischen und unautorisierten Zugriffs zu:
• Gebäuden und Anlagen
• Serverräumen und Leitwarten
• Schaltschränken
• Geräten, PCs (USB, CD/DVD)
• Switches, Verkablung
• LAN Ports, WiFi,…
• Controller, IO Systeme, PS, etc.
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 18
Juli 2015
Industrial Security - Plant Security Services
Defense-in-Depth
Anlagensicherheit: Organisatorische Sicherheit
Anlagenspezifischer Sicherheitsmanagement Prozess
• Risikoanalyse mit Definition von Risikominderungsmaßnahmen
• Festlegung von Richtlinien und organisatorischen Maßnahmen
• Festlegung technischer Maßnahmen
• Wartung aller implementierten Sicherheitsmaßnahmen
• Regelmäßige / ereignisabhängige Wiederholung der
Risikoanalyse
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 19
Juli 2015
Industrial Security - Plant Security Services
Defense-in-Depth
Netzwerksicherheit: Zellenschutz und Perimeternetzwerk
• Schutz der internen Netzwerkstruktur
• Beschränkt die Wirkung einer Bedrohung auf
eine Zelle
• Interne Netzwerkstruktur ist nicht nach außen
sichtbar
• Isolation von Systemen gegenüber Netzwerken
• Sichere Dienst-Bereitstellung für unsichere als
auch sichere Netzwerke
• Zugriff zum Automatisierungsnetzwerk nur über
klar definierte und überwachte Zugangspunkte
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 20
Juli 2015
Industrial Security - Plant Security Services
Defense-in-Depth
Netzwerksicherheit: Firewalls und VPNs
• Firewalls betrachten und filtern Datenverkehr nach festgelegten Regeln:
• Sie schützen den Eingang zu Sicherheitszellen
• Ausprägungen: Paketfilter, Stateful Inspection, Application Proxy
• Sie erlauben den Datenverkehr mit Hilfe von Computer- und Nutzerauthentifizierung
• Überprüfen des Datenverkehrs auf Viren (Eingebaute Virenscanner)
• Man unterscheidet drei Typen von Firewalls:
• Front-Firewall (zur WAN Anbindung – Internet Zugang)
• Back-Firewall (zur Abgrenzung interner Netzsegmente)
• Threehomed Firewall (Kombination aus beiden – Eine Firewall für Alles)
Verstecken von internen Informationen
NAT, PAT, 1-to-1-NAT
Internet
Verbindungen: Verweigerung als Standard!
Zulassen von def. Protokollen, Ports, IP-Adressen...
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 21
Juli 2015
Industrial Security - Plant Security Services
Defense-in-Depth
Systemintegrität: Systemhärtung
• PCs enthalten eine Menge an Software, die auf
Automatisierungssystemen nicht benötigt wird
• Viren sind i.d.R. für weitverbreitete Software wie Internet
Explorer, Media Player, Active X, Javascript, … geschrieben
•
Änderung des Standard-Systemstatus:
• Abschalten/Deaktivieren von USB, CD/DVD,
nicht benötigten Ports
• Entfernen/Abschalten von nicht benötigen Anwendungen,
Protokollen und Diensten, wie e-Mail, Spielen, Autorun,
Screensaver, Messenger,…
• BIOS-Passwort und Einschränkung des Desktop- und
Systemzugriffs
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 22
Juli 2015
Industrial Security - Plant Security Services
Defense-in-Depth
Systemintegrität: Authentifizierung und Benutzerverwaltung
• Grundsatz Minimalitätsprinzip
• Klare Zuordnung von Rollen und Rechten
• Regelmäßige Überprüfung der Rollenzuordnung und Rechte
• Zuweisung sichererer Passwörter
• Zentrale Benutzer-, Passwort und Rechteverwaltung
(Arbeitsgruppe oder Windows Domäne – Active Directory)
• Zugriffsschutz für Projektierungsdaten
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 23
Juli 2015
Industrial Security - Plant Security Services
Defense-in-Depth
Systemintegrität: Patch Management
• 90% aller erfolgreichen Attacken basieren auf Schwachstellen,
für die ein Patch bereits existiert
• Alle Patches sollten auf Systemverträglichkeit getestet werden
• Nur 2% aller Systeme sind vollständig gepatcht (Quelle:
Secunia)
• Patch-Verteilung mittels zentralem Patch-Server, der innerhalb
DMZ steht und bspw. auf Windows Server Update Services
(WSUS) basiert
• Aufbau von Patch-Gruppen und Vorgehensweisen für Updates
im laufenden Betrieb (Redundantes System)
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 24
Juli 2015
Industrial Security - Plant Security Services
Defense-in-Depth
Systemintegrität: Virenscanner & Whitelisting
• Um negative Einflüsse auf die Performance oder die
Reaktionszeit des Systems zu vermeiden, sollten die Leitfäden
des Automatisierungssoftware-Hersteller zur Einrichtung von
Virenscanner befolgt werden.
• Whitelisting zum Schutz von nicht gewünschten Applikationen
und Schadsoftware
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 25
Juli 2015
Industrial Security - Plant Security Services
IT-Sicherheit in Industrieanlagen
Ganzheitlicher Ansatz
Assess
Implement
Manage
Defense in Depth
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 26
Juli 2015
Industrial Security - Plant Security Services
Vielen Dank für Ihre Aufmerksamkeit!
Mansoor Bley
RC-DE DF CS P
Service Promotion – Plant Security Services
Mobile: +49 (174) 3141841
[email protected]
Christian Telgen
RC-DE DF CS P
Service Promotion – Plant Security Services
Mobile: +49 (162) 2030474
[email protected]
© Siemens AG 2015. Alle Rechte vorbehalten.
Seite 27
05.05.2015
Industrial Security
Industrial Security
Ausschlussklausel (Disclaimer)
Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren Betrieb von Anlagen,
Lösungen, Maschinen, Geräten und/oder Netzwerken unterstützen. Sie sind wichtige Komponenten in einem
ganzheitlichen Industrial Security-Konzept. Die Produkte und Lösungen von Siemens werden unter diesem
Gesichtspunkt ständig weiterentwickelt. Siemens empfiehlt, sich unbedingt regelmäßig über Produkt-Updates zu
informieren.
Für den sicheren Betrieb von Produkten und Lösungen von Siemens ist es erforderlich, geeignete Schutzmaßnahmen (z.
B. Zellenschutzkonzept) zu ergreifen und jede Komponente in ein ganzheitliches Industrial Security-Konzept zu
integrieren, das dem aktuellen Stand der Technik entspricht. Dabei sind auch eingesetzte Produkte von anderen
Herstellern zu berücksichtigen. Weitergehende Informationen über Industrial Security finden Sie unter:
http://www.siemens.com/industrialsecurity
Um stets über Produkt-Updates informiert zu sein, melden Sie sich für unseren produktspezifischen Newsletter an.
Weitere Informationen hierzu finden Sie unter: http://support.automation.siemens.com
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 28
Juli 2015
Industrial Security - Plant Security Services
"Industrie Tag – Industrial Security"
Vernetzte Produkte, Vernetzte Produktion –
mit Sicherheit
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
siemens.de/industrialsecurity
Industrial Security
System- und Wertschöpfungsaspekte der Industrial Security
Hohe Produktivität
durch Risikominimierung
1
Verfügbarkeit
2
Integrität
3
►
Strategie
►
Technik/
Portfolio
►
Innovation
Slides
►
Anwendungsbei
spiele
►
Hauptwettbewer
ber S615
►
Hauptwettbewer
ber S627
►
Zielkunden
Vertraulichkeit► Promotion
►
Erhöhen der Anlagenverfügbarkeit
durch Vermeiden oder Reduzieren
von Störungen durch Angriffe oder
Schadsoftware
Schutz der System- und Datenintegrität zum Vermeiden von
Fehlfunktionen, Produktionsfehler
oder Stillständen
Support
Schutz vertraulicher Daten und
Informationen, sowie geistigen
Eigentums
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 30
Juli 2015
Industrial Security
Industrial Security
Security in der SPS
Scalance
M874-3
TIA
Portal V13
SINEMA Remote
Connect Server
SINEMA Server
V13
SINEMA
RC Client
SCALANCE S615
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 31
Juli 2015
Industrial Security
Industrial Security
Security in der SPS
S7-1500 CPU mit Security Integrated
WinCC / HMI-Panels
TIA Portal V13
bietet mehrere Security Features:
§ Erhöhter Zugriffsschutz (Authentifizierung)
§ granulare Berechtigungsstufen
û
§ Schutzstufe 4 für CPUKomplettverriegelung
§ Erhöhter Know-how-Schutz (Sperren von Bausteinen)
§ Erhöhter Kopierschutz (verhindert Vervielfältigung)
§ Erhöhter Manipulationsschutz
Stufe 1: Kein Schutz
Stufe 2: Schreibschutz
Stufe 3: Lese-/Schreibschutz
Stufe 4: Komplettschutz
S7-1500-System
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 32
Juli 2015
Industrial Security
Industrial Security
Security in der SPS
Kommunikationsprozessoren (CPs) als spezielle
Netzwerkkarte in der SPS-Steuerung
schützen gegen:
• Spionage
• Datenmanipulation
• Zufälligen Zugriff
CP1243-1
CP1543-1
CP343-1 Advanced
CP443-1 Advanced
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 33
Juli 2015
Industrial Security
Industrial Security
Security in der SPS
Zellenschutz mit CPs für die SPS-Steuerung
• Erhaltung der Unversehrtheit/Verfügbarkeit der Zelle ist
oberstes Ziel
• In die Automatisierung integrierter Zellenschutz durch
SIMATIC NET CPs, z.B.: CP343-1 Advanced bzw.
CP443-1 Advanced
• Integrierte Stateful Inspection Firewall
• VPN (Datenverschlüsselung und Authentifizierung)
• NAT/NAPT (Adressumsetzung)
• SNMP V3 (abhörsichere Übertragung von
Netzwerkanalyse-Informationen)
• HTTPs (Zugriff auf Webseiten mit verschlüsseltem
Datenaustausch via SSL)
• FTPs (gesicherte Dateiübertragungen)
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 34
Juli 2015
Industrial Security
Industrial Security
Sichere Kommunikation
Scalance
M874-3
TIA
Portal V13
SINEMA Remote
Connect Server
SINEMA Server
V13
SINEMA
RC Client
SCALANCE S615
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 35
Juli 2015
Industrial Security
Industrial Security
Sichere Kommunikation
Zellenschutz mit CPs für den PC
• Erhaltung der Unversehrtheit/Verfügbarkeit der
Zelle ist oberstes Ziel
• In den PC integrierter Zellenschutz durch
SIMATIC NET PC CP1628
• Integrierte Stateful Inspection Firewall
unabhängig vom Windows-Betriebssystem
• SNMP V3
• Sichere redundante Kommunikation von PC zu
hochverfügbarer S7-400H Steuerung über VPN
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 36
Juli 2015
Industrial Security
Industrial Security
Sichere Kommunikation mit SCADA und Leitsystemen
Ab WinCC V7.3 / PCS7 8.1 Verschlüsselung der
Kommunikation zwischen WinCC Server und -Client
•
•
Sichere Kommunikation des Terminalbusses
über SSL Verschlüsslung mit PSK
statischen Ports für Kommunikation
Ø Bereich TCP/UDP 1024 – 65535.
(kein dynamischer Port, Firewall kann entsprechend
eingerichtet werden)
•
Migrationsmodus
Ø Hochrüsten im laufenden Betrieb
(Kommunikation mit Rechnern ohne Sichere
Kommunikation)
Ø Erlaubt verschlüsselte und unverschlüsselte
Verbindungen.
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 37
Juli 2015
Industrial Security
Industrial Security
Netzwerkverfügbarkeit
Scalance
M874-3
TIA
Portal V13
SINEMA Remote
Connect Server
SINEMA Server
V13
SINEMA
RC Client
SCALANCE S615
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 38
Juli 2015
Industrial Security
Industrial Security
Netzwerkverfügbarkeit
Erhöhte Prozessverfügbarkeit durch Ringredundanz mit SCALANCE X
• Erhaltung der Unversehrtheit/Verfügbarkeit der Zelle ist oberstes Ziel
• Ringredundanz: IT-Redundanzkonzepte wie z.B. Rapid Spanning Tree
(RSTP) sind nicht eindeutig berechenbar und damit nicht deterministisch
• Ringredundanz mit Media Redundancy Protocol MRP garantiert
Umschaltzeit von max. 200ms bei bis zu 100 erlaubten Teilnehmern im
Ring
• Mit allen managed Switchen der SCALANCE X-200 Serie und größer
kann ein MRP-Ring aufgebaut werden
• SIMATIC Automatiserungsysteme wie z.B. S7-300 PN/DP können durch
integrierten 2-Port Switch direkt in den Ring integriert werden
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 39
Juli 2015
Industrial Security
Industrial Security
Netzwerkverfügbarkeit
Vernetzung und Strukturierung von hochperformanten industriellen Netzwerken
Modular anpassbar an die jeweilige Aufgabenstellung über Medienmodule
Erweiterter Funktionsumfang (IT-Funktionalität, Layer 3, Router-Redundanz)
Diagnose über SNMP, Webserver, STEP 7, vor-Ort-Diagnose
X-400
§
§
§
§
Flexible und strukturierte Vernetzung von Anlagen / Anlagenbereichen
Modular erweiterbar an die jeweilige Aufgabenstellung über Port Extender
Zugang zu dynamischen Gerätedaten über Near Field Communication (NFC)
Bauform im SIMATIC Design (S7-1500)
X-300
§
§
§
§
Vernetzung von Teilanlagen / Anlagenbereichen
Modular anpassbar an die jeweilige Aufgabenstellung über Medienmodule
Erweiterter Funktionsumfang (VLAN, Port Security etc.)
Diagnose über SNMP, Webserver, STEP 7, vor-Ort-Diagnose
X-200
§
§
§
§
Für maschinennahe Anwendungen bis hin zu vernetzten Teilanlagen
Diagnose über SNMP, Webserver, STEP 7, vor-Ort-Diagnose
Geräte in hoher Schutzart und PROFINET-konformer Anschlusstechnik
PROFINET IRT-Device (Isochronous Real-Time)
X-100
§ Für maschinennahe Vernetzung
§ Vollindustrietaugliche, unmanaged Ausführung
§ vor-Ort-Diagnose
X-500
§
§
§
§
X-000
Managed L2/L3
Managed L2
Unmanaged
Field Level
Control /
Operations Level
Mgmt. /
Operations
Level
Scalance X Portfolioübersicht
§ Für Vernetzung in kleinen Maschinen
§ vor-Ort-Diagnose
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 40
Juli 2015
Industrial Security
Industrial Security
Netzwerkverfügbarkeit
Security Funktionen der SCALANCE X Switche
•
•
•
•
•
•
•
Konfiguration über HTTPs oder Zugriff über Secure Shell (SSH)
Access Control Lists (ACL)
Sperren von offenen Ports
SNMP V3 Unterstützung
Remote Monitoring (RMON)
Benutzerauthentifizierung über Radius-Server
VLAN
Hinweis: nicht alle Funktionen sind in alle Geräteklassen integriert
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 41
Juli 2015
Industrial Security
Industrial Security
Netzwerktrennung
Scalance
M874-3
TIA
Portal V13
SINEMA Remote
Connect Server
SINEMA Server
V13
SINEMA
RC Client
SCALANCE S615
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 42
Juli 2015
Industrial Security
Industrial Security
Netzwerktrennung
Netzwerksicherheit durch Netzwerksegmentierung / Firewall mit SCALANCE S Modulen
•
•
•
•
•
•
•
•
•
Größere Flexibilität, da nicht an die SPS gebunden
Integrierte Stateful Inspection Firewall
NAT/NAPT
SNMP V3
Benutzerdefinierte Firewallregeln (noch nicht bei S615)
Syslog Unterstützung
VPN mit IPSec (S612/S623/S627)
VPN mit OpenVPN (S615)
Radius-Authentifizierung
B
I
L
D
Hinweis: IPSec-VPN mit SCALANCE S612/S623/S627-2M, OpenVPN OpenVPN mit Scalance S615
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 43
Juli 2015
Industrial Security
Industrial Security
Netzwerktrennung
Netzwerksicherheit durch Netzwerksegmentierung / Firewall mit SCALANCE S Modulen
SCALANCE S602
Router + Firewall
SCALANCE S612
Router + Firewall
+ IPSec VPN
SCALANCE S623
Router + Firewall +
IPSec VPN + DMZ
SCALANCE S627
Router + Firewall +
IPSec VPN + DMZ +
LWL+MRP
SCALANCE S615
Router + Firewall +
Open VPN + DMZ
Für die Sicherheit Ihrer Netze und Daten.
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 44
Juli 2015
Industrial Security
Industrial Security
Netzwerktrennung
Beispiel einer Einrichtung einer Demilitarisierten Zone (DMZ) mit einer Firewall
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 45
Juli 2015
Industrial Security
Industrial Security
Netzwerksicherheit
Beispiel einer Router-/Firewallredundanz mit SCALANCE S623 und S627-2M
Bsp 1:
ohne Ring
=> S623
Office
Netzwerk
Switch
Stand-by-Kopplung
SCALANCE S623
Produktions
Netzwerk
Switch
SCALANCE
S627-2M
Bsp 2:
mit Ring
=>S627-2M
Stand-by-Kopplung
Office
Netzwerk
CU oder LWL
MRP-Ring
MRP-Switch
Ring-Redundanz
Manager
Produktions
Netzwerk
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 46
Juli 2015
Industrial Security
Industrial Security
Fernwartung mit SINEMA Remote Connect Server
Scalance
M874-3
TIA
Portal V13
SINEMA Remote
Connect Server
SINEMA Server
V13
SINEMA
RC Client
SCALANCE S615
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 47
Juli 2015
Industrial Security
Industrial Security
Fernwartung mit SINEMA Remote Connect Server
Typische Einsatzgebiete
• Anlagen- und Maschinenbau
• Energieverteilung /
Unterstationen (Stadtwerke)
• Logistik / Hafenlogistik
• ITS / Verkehrsbetriebe
• Wasser & Abwasser
(Stadtwerke, …)
Konfigurationsbeispiel SINEMA RC - Gesamtübersicht
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 48
Juli 2015
Industrial Security
Industrial Security
Fernwartung mit SINEMA Remote Connect Server
Funktion
• Transparente IP-Kommunikation
• VPN Konzentrator
• Einsetzbar für Maschinen mit
identischen lokalen Subnetzen (NAT)
Vorteile
u bis Remote Control
• Sichere und einfache Einwahl in die
u Anlagen von jedem Punkt der Welt
• Breites Einsatzfeld von Remote Service
• Optimale Anbindung von identischen
Maschinen z.B. für Serienmaschinenbauer und OEM
• Einfache Verwaltung verschiedener
Nutzer (Servicetechniker)
• Gruppenverwaltung
u
• Einfach konfigurierbare Netzkomponente für die Automatisierungstechnik
u
• Einfache Integration in Industrieanlagen
u
• kein spezielles IT KnowHow erforderlich
u
• Erfüllung von Nachweispflichten
gegenüber Betreiber / Endkunden bei
jedem Fernzugriff durch OEM
• Autokonfiguration der Endgeräte und
SINEMA RC Client
• einfaches Nutzerinterface
• Logging
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 49
Juli 2015
Industrial Security
Industrial Security
Fernwartung mit SINEMA Remote Connect Server
Vorteile
Hohe Sicherheit bei maximaler Flexibilität
§ Abhör- und übernahmesichere Verschlüsselung (bis 4096 Bit)
§ Zahl Verbindungen / Geräte unbegrenzt, stufenlos skalierbar
§ Kontrollierte Freischaltung / Sperrung des Wartungsobjekts
Direkter Support und sehr hohe Funktionalität
§ Support rund um die Uhr – 365 Tage im Jahr
§ Beratung und Unterstützung bei der Einrichtung des Systems
§ Unterstützung der gängigen / etablierten VPN-Standards
Durchgängiges Siemens Netzwerk
§ Zuverlässige und robuste Hardware
§ Gesamtlösung aus einer Hand für garantierte Kompatibilität
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 50
Juli 2015
Industrial Security
Industrial Security
Netzwerkmonitoring mit SINEMA Server
Scalance
M874-3
TIA
Portal V13
SINEMA Remote
Connect Server
SINEMA Server
V13
SINEMA
RC Client
SCALANCE S615
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 51
Juli 2015
Industrial Security
Industrial Security
Netzwerkmonitoring mit SINEMA Server
SINEMA Server V13
Inventarerstellung
kontinuierliches
flexibles
Monitoring
Reporting
Transparente Netzwerke
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 52
Juli 2015
Industrial Security
Industrial Security
Netzwerkmonitoring mit Sinema Server
Topologie
Startbildschirm
Reports
Ereignisliste
Topologie Ansicht
Serverübersicht
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 53
Juli 2015
Industrial Security
Industrial Security
Erster Anbieter mit Achilles Level 2 Zertifizierung
zertifizierte SPSen
S7- 300 PN/DP
S7- 400 PN und PN/DP
zertifizierte DP
ET200S
PN/DP CPUs
zertifizierte CPs
+ Schutz gegen DoS-Attacken
CP343-1 Adv
+ Definiertes Verhalten bei
Attacken
è Verbesserte Verfügbarkeit
CP443-1 Adv
è Schutz geistigen Eigentums
04/2013
04/2013
è Internationaler Standard
CP1628
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 54
Juli 2015
Industrial Security
Industrial Security
Haftungsausschluss
Siemens bietet Automatisierungs- und Antriebsprodukte mit Industrial Security-Funktionen an, die den sicheren Betrieb
der Anlage oder Maschine unterstützen. Sie sind ein wichtiger Baustein für ein ganzheitliches Industrial SecurityKonzept. Unsere Produkte werden unter diesem Gesichtspunkt ständig weiterentwickelt. Wir empfehlen Ihnen daher,
sich regelmäßig über Aktualisierungen und Updates unserer Produkte zu informieren. Weitere Informationen und den
Newsletter zu diesem Thema finden Sie unter: http://support.automation.siemens.com.
Für den sicheren Betrieb einer Anlage oder Maschine ist es darüber hinaus notwendig, geeignete Schutzmaßnahmen
(z.B. Zellenschutzkonzept) zu ergreifen und die Automatisierungs- und Antriebskomponenten in ein ganzheitliches
Industrial Security-Konzept der gesamten Anlage oder Maschine zu integrieren, das dem aktuellen Stand der Technik
entspricht. Dabei sind auch eingesetzte Produkte von anderen Herstellern zu berücksichtigen. Weitergehende
Informationen finden Sie unter: http://www.siemens.com/industrialsecurity
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 56
Juli 2015
Industrial Security
Industrial Security
Microfair
Daniel Roß
Siemens AG
Promotion für Industrielle Kommunikation
[email protected]
Tel: +49 (621) 456-1103
Tanja Stieb
Siemens AG
Fachberatung für Industrielle Kommunikation
[email protected]
+49 (69) 797-2956
Oliver Mirzwa
Siemens AG
Fachberatung für Industrielle Kommunikation
[email protected]
+49 (621) 456-3204
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 57
Juli 2015
Industrial Security
"Industrie Tag – Industrial Security"
Plant Security Services –
Antworten für kontinuierlichen Schutz und Sicherheit
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
siemens.de/plant-security-services
Industrial Security
Plant Security Services – Umsetzung der gesetzlichen
Anforderungen
•
Aktuelle Gesetzlage – Herausforderungen und Ziele
•
Siemens Konzept und Herangehensweise
•
Umsetzung der gesetzlichen Anforderungen
•
Portfolioübersicht
•
Beispielumsetzung
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 59
Juli 2015
Industrial Security - Plant Security Services
Aktuelle Gesetzeslage
Herausforderungen und Ziele
Herausforderungen
Ziele des Gesetzes
•
• Einhaltung eines Mindestniveau an IT-Sicherheit
• Verfügbarkeit
• Integrität
• Vertraulichkeit
• Authentizität
Das IT-Sicherheitsniveau bei kritischen Infrastrukturen
und Infrastrukturbetreibern ist heute sehr
unterschiedlich
•
•
•
•
•
•
Vorgaben
Risikomanagement
Übergreifende Sicherheitskonzepte
Audits
Informationsaustausch
Defizite im Bereich IT-Sicherheit sind abzubauen, um
ein gefordertes Mindest-Niveau / Grundschutz zu
erreichen
• Meldung von IT-Sicherheitsvorfälle an BSI
•
Den Nachweis der Erfüllung durch
Sicherheitsaudits
•
Die Einrichtung und Aufrechterhaltung von
Verfahren für die Meldung erheblicher ITSicherheitsvorfälle an das BSI
•
Das Betreiben einer Kontaktstelle
* Zeit zum Umsetzung nach Inkrafttreten der gesetzlichen Vorgaben
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 60
Juli 2015
Industrial Security - Plant Security Services
Siemens Konzept unterstützt den Kunden bei der Erfüllung des Gesetzes
Bedarfsgerechter Ansatz für den langfristigen Schutz Ihres
industriellen Automatisierungssystems (ICS)
Bewerten
Realisieren
Betreiben
Information über
den
Sicherheitsstatus
und Entwicklung
eines SecurityFahrplans
Planen, entwickeln
und umsetzen
eines
ganzheitlichen
Industrial Security
Programms
Durchgängige
Sicherheit durch
proaktiven Schutz
Geplant ab 2016
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 61
Juli 2015
Industrial Security - Plant Security Services
Siemens Plant Security Services
Unterstützung zur Erfüllung der gesetzlichen Anforderungen
Unser Portfolio
Den Nachweis der Erfüllung
durch Sicherheitsaudits*
Die Einrichtung und
Aufrechterhaltung von Verfahren
für die Meldung erheblicher ITSicherheitsvorfälle an das BSI*
Das Betreiben einer
Kontaktstelle*
Die Einhaltung eines Mindestniveaus an
IT-Sicherheit*
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 62
Juli 2015
* Anforderungen aus dem neuen IT-Sicherheitsgesetz
Cyber-Security
Operation
Center
(C-SOC)
Industrial Security
- Plant
Security
Services
Siemens Plant Security Services
Bündelung basiert auf den gesetzlichen Anforderungen
• Planen: Überprüfung des IST-Zustands der Anlage
hinsichtlich industrieller Sicherheit
Planen:
Festlegung eines
Prozesses
• Durchführen: Implementierung der identifizierten
Maßnahmen zur Risikominderung
• Prüfen: Validierung der Maßnahmen durch
kontinuierliche Überwachung
• Handeln: Verbesserung der Sicherheit durch
regelmäßige/ereignisabhängige Überprüfung des
IST-Zustands
Handeln:
Instandhalten und
Verbessern
Durchführen:
Umsetzung und
Durchführen
Prüfen:
Überwachen und
Überprüfen
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 63
Juli 2015
Industrial Security - Plant Security Services
Planen „ Assessment“
Überprüfung des IST-Zustands der Anlage hinsichtlich industrieller Sicherheit
Security Assessment entsprechend IEC 62443, ISO 27000 & BSI Grund Schutz
Prozesse
• Bewertung der Wirksamkeit Ihrer
sicherheitsrelevanten, organisatorischen
Prozesse
• Überprüfung des IST-Zustands ihrer
installierten Basis und Netzwerkarchitektur
zur Erkennung von Sicherheitslücken
Security Assessment für PCS7
und WIN CC
Assess
Menschen
• Bewertung des Sensibilisierungsgrads sowie
die Ausgangsqualifikation bezogen auf
industrielle Sicherheit
Technik
Was liefern wir?
Security Assessment für
Plants
Den Nachweis der Erfüllung durch
Sicherheitsaudits
Security Consulting &
Auditierung
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 64
Juli 2015
Industrial Security - Plant Security Services
Durchführen „Implement“
Implementierung der identifizierten Maßnahmen zur Risikominderung (1 von 2)
Implementierung von Maßnahmen für die Einhaltung eines IT-Mindestniveaus
Was liefern wir?
Netzwerkplanung (incl.
Perimeternetz)
Einrichtug Firewalls
Implement
System-Härtung
Patchmanagement
Virenscan / Whitelisting
Die Einhaltung eines
Mindestniveaus an IT-Sicherheit
Remotezugriff
Benutzerverwaltung
Training
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 65
Juli 2015
Industrial Security - Plant Security Services
Durchführen „Implement“
Implementierung der identifizierten Maßnahmen zur Risikominderung (2 von 2)
Kundenanlage
Implementierungselemente
Schulungen & Prozesse
Sicherheitszellen und DMZ
Firewalls und VPN
Systemhärtung
Benutzerverwaltung
Patch Management
Malware-Erkennung und
-Vermeidung
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 66
Juli 2015
Industrial Security - Plant Security Services
Prüfen „Manage“
Validierung der Maßnahmen durch kontinuierliche Überwachung
Kontinuierliche Überwachung Services
• Überwachung des Sicherheitszustands
• Überprüfung der Wirksamkeit der
implementierten technischen Mechanismen
Zyklische Kontrolle der Sec.
Maßnahmen
Manage
Menschen
• Überprüfung der Wirksamkeit der
eingesetzten Prozesse, Arbeitsanweisungen
und Richtlinien
• Überwachung der Einhaltung gesetzter
Vorgaben
Technik
• Aufrechterhaltung des Ausbildungsstandes
der Mitarbeiter entsprechend der sich
ändernden Bedrohungslage
Prozesse
Manage Security
Automatische Zyklische
Kontrolle
Die Einrichtung und
Aufrechterhaltung von Verfahren
für die Meldung erheblicher ITSicherheitsvorfälle an das BSI
Netzwerk Security Monitoring
On-Demand Incident Handling
Das Betreiben einer Kontaktstelle
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 67
Juli 2015
Cyber-Security
Operation
Center (C-SOC)
Industrial Security
- Plant Security
Services
Handeln „Re-Assessment“
Regelmäßige Überprüfung des IST-Zustands
Regelmäßige Wiederholung des Security Assessments entsprechend IEC 62443, ISO 27000 & BSI Grund Schutz
Prozesse
• Bewertung der Wirksamkeit Ihrer
sicherheitsrelevanten, organisatorischen
Prozesse in Bezug auf Veränderungen in
den Anforderungen vom Anlagenbetrieb
• Überprüfung der Änderungen in ihrer
installierten Basis und Netzwerkarchitektur
bezugnehmend auf das zuvor durchgeführte
Assessment zur Erkennung von
Sicherheitslücken
Security Assessment für PCS7
und WIN CC
Assess
Menschen
• Bewertung des Sensibilisierungsgrads sowie
die notwendige, spezifische Qualifikation
bezugnehmend auf das zuvor durchgeführte
Assessment
Technik
Was liefern wir?
Security Assessment für
Plants
Den Nachweis der Erfüllung durch
Sicherheitsaudits
Security Consulting &
Auditierung
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 68
Juli 2015
Industrial Security - Plant Security Services
Plant Security Services
Portfolioübersicht - Zusammenfassung
Den Nachweis der Erfüllung durch
Sicherheitsaudits
PSS Portfolio
Assess
IT-Sicherheitsgesetz
Security Assessment für PCS7 und WIN CC
Security Assessment für Plants
Security Consulting & Auditierung
Netzwerkplanung (incl. Perimeternetz)
Die Einhaltung eines
Mindestniveaus an IT-Sicherheit
Implement
Einrichtug Firewalls
System-Härtung
Patchmanagement
Virenscan / Whitelisting
Remotezugriff
Benutzerverwaltung
Training
Manage
Starter: Zyklische Kontrolle der Sec. Maßnahmen
Die Einrichtung und
Aufrechterhaltung von Verfahren
für die Meldung erheblicher ITSicherheitsvorfälle an das BSI
Advance: Automatische Zyklische Kontrolle
Expert: Netzwerk Security Monitoring
On-Demand Incident Handling
Das Betreiben einer Kontaktstelle
Unser Portfolio deckt alle Anforderungen bezüglich
Security Assessment, Implementation und Manage
Services ab
Cyber-Security Operation Center (C-SOC)
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 69
Juli 2015
Industrial Security - Plant Security Services
Vielen Dank für Ihre Aufmerksamkeit!
Mansoor Bley
RC-DE DF CS P
Service Promotion – Plant Security Services
Mobile: +49 (174) 3141841
[email protected]
Christian Telgen
RC-DE DF CS P
Service Promotion – Plant Security Services
Mobile: +49 (162) 2030474
[email protected]
© Siemens AG 2015. Alle Rechte vorbehalten.
Seite 70
05.05.2015
Industrial Security
Industrial Security
Ausschlussklausel (Disclaimer)
Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren Betrieb von Anlagen,
Lösungen, Maschinen, Geräten und/oder Netzwerken unterstützen. Sie sind wichtige Komponenten in einem
ganzheitlichen Industrial Security-Konzept. Die Produkte und Lösungen von Siemens werden unter diesem
Gesichtspunkt ständig weiterentwickelt. Siemens empfiehlt, sich unbedingt regelmäßig über Produkt-Updates zu
informieren.
Für den sicheren Betrieb von Produkten und Lösungen von Siemens ist es erforderlich, geeignete Schutzmaßnahmen (z.
B. Zellenschutzkonzept) zu ergreifen und jede Komponente in ein ganzheitliches Industrial Security-Konzept zu
integrieren, das dem aktuellen Stand der Technik entspricht. Dabei sind auch eingesetzte Produkte von anderen
Herstellern zu berücksichtigen. Weitergehende Informationen über Industrial Security finden Sie unter:
http://www.siemens.com/industrialsecurity
Um stets über Produkt-Updates informiert zu sein, melden Sie sich für unseren produktspezifischen Newsletter an.
Weitere Informationen hierzu finden Sie unter: http://support.automation.siemens.com
Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten.
Seite 71
Juli 2015
Industrial Security - Plant Security Services