SIEMENS AG Industrie Tag – Industrial Security Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. siemens.de/industrialsecurity Agenda 10:00 – 10:15 10:15 – 10:30 10:30 – 11:30 11:30 – 12:00 Begrüßung Herr Jürgen Giegerich – Leitung Vertrieb Aktuelle Bedrohungen für Industrieanlagen & IT Sicherheit – Produktion vs. Office Herr Mario Heinrich Schenk – Leitung Plant Data Services Risiko-Management - Know-How-Schutz im Zeitalter moderner Wirtschaftsspionage Herr Thomas Klausnitzer – Bundesamt für Verfassungsschutz (BfV) Ganzheitliches Sicherheitskonzept für Industrieanlagen (..vom sicheren Netz bis zum sensiblen Mitarbeiter) Herr Mansoor Bley - Service Promotor Plant Security Services 12:00 – 13:00 Pause 13:00 – 13:35 Vernetzte Produkte, Vernetzte Produktion – mit Sicherheit Herr Daniel Roß – Produkt Promotor Industrial Communication Plant Security Services – Antworten für kontinuierlichen Schutz und Sicherheit Herr Christian Telgen – Service Promotor Plant Security Services Livedemo - Security Information and Event Management (SIEM) in Industrieanlagen Herr Jan Kißling und Herr Timo Wirtz – Systemexperten Plant Security Services Get together / Diskussion / Erfahrungsaustausch / Microfair 13:35 – 14:05 14:05 – 14:45 14:45 – 15:45 Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 2 Juli 2015 Industrial Security - Plant Security Services "Industrie Tag – Industrial Security" Aktuelle Bedrohungen für Industrieanlagen & IT Sicherheit – Produktion vs. Office Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. siemens.de/industrialsecurity IT in Industrieanlagen Von isolierten Kommunikationsinseln… Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 5 Juli 2015 Industrial Security - Plant Security Services IT in Industrieanlagen … zu komplexen Landschaften Office Network ERP- and MES-Systems Internet and Mobile Network UMTS, GPRS, etc. Control Network Ethernet WLAN WLAN Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 6 Juli 2015 Industrial Security - Plant Security Services Aktuelle Bedrohungslage Bedrohungen für Steuerungskomponenten Top 10 Bedrohungen im Überblick 1. Infektion mit Schadsoftware über Internet und Intranet 2. Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware 3. Social Engineering 4. Menschliches Fehlverhalten und Sabotage 5. Einbruch über Fernwartungszugänge 6. Internet-verbundene Steuerungskomponenten 7. Technisches Fehlverhalten und höhere Gewalt 8. Kompromittierung von Smartphones im Produktionsumfeld 9. Kompromittierung von Extranet und Cloud-Komponenten 10. (D)DoS Angriffe Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 7 Juli 2015 Industrial Security - Plant Security Services Aktuelle Bedrohungslage BSI und BITKOM Berichte Studie des Digitalverbands BITKOM Quelle: https://www.bitkom.org/files/documents/150415_Digitaler_Wirtschaftsschutz(1).jpg BSI – Die Lage der IT-Sicherheit in Deutschland Quelle: BSI - Die Lage der IT-Sicherheit in Deutschland 2014 Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 8 Juli 2015 Industrial Security - Plant Security Services Aktuelle Bedrohungslage Schlagzeilen über aufgedeckte Schwachstellen Quelle: http://www.spiegel.de/politik/deutschland/pressekompass-ueber-cyber-attacke-bundestag-a-1038497.html https://www.bmi.bund.de/SharedDocs/Kurzmeldungen/DE/2014/12/bundeskabinett-beschlie%C3%9Ft-it-sicherheitsgesetz.html Quelle: http://www.welt.de/wirtschaft/article141007629/Die-Angst-der-Airlines-vor-den-Flugzeug-Hackern.html Quelle: http://www.spiegel.de/netzwelt/web/bsi-bericht-hacker-legten-deutschen-hochofen-lahm-a-1009191.html Quelle: http://www.heise.de/security/meldung/Hackergruppe-spezialisiert-sich-auf-westliche-Industrieanlagen-2243885.html Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 9 Juli 2015 Industrial Security - Plant Security Services Industrial Security vs. IT Security Produktion und Büro haben unterschiedliche Schutzziele Hauptziel Verfügbarkeit Vertraulichkeit Integrität Vertraulichkeit Industrial Security Integrität Netzausfallzeiten < 300 ms Verfügbarkeit Minutenbereich akzeptabel AnlagenIBS-Personal Installation NetzwerkFachpersonal Anlagenspezifisch Topologie Sternförmig Raue Umgebungen Einsatzort Klimatisierte Büros Niedrig, Switches mit weniger Ports Gerätedichte Hoch, Switches mit hoher Portanzahl Verfügbarkeit IT-Security Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 10 Juli 2015 Industrial Security - Plant Security Services Aktuelle Bedrohungslage Bedrohungen können Industrieanlagen an vielen Stellen treffen Sicherheitsbedrohungen schaffen Handlungsbedarf • Verlust von geistigem Eigentum, Rezepturen, … • Sabotage an der Produktionsanlage • Anlagenstillstand z. B. durch Viren oder Malware • Manipulation von Daten oder Anwendungssoftware • Unbefugter Einsatz von Systemfunktionen • Vorschriften und Normen bezüglich Industrial Security müssen eingehalten werden Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 11 Juli 2015 Industrial Security - Plant Security Services Aktuelle Gesetzeslage IT-Sicherheit in kritischen Infrastrukturen Bedrohung Gesetz Betroffene Gesetz im Bundesrat beschlossen Quelle: Bericht zur Lage der IT-Sicherheit in Deutschland 2014 Quelle: Bundesministerium des Innern: Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie) http://www.bmi.bund.de/SharedDocs/Downloads/DE/Broschueren/2009/kritis.html (17.06.2009) Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 12 Juli 2015 Industrial Security - Plant Security Services Vielen Dank für Ihre Aufmerksamkeit! Mario Heinrich Schenk RC-DE DF CS DS Von-der-Tann-Str. 30 90439 Nürnberg Telefon: +49 911 654 2760 Mobiltelefon: + 49 172 5675851 E-Mail: [email protected] siemens.de/industrialsecurity Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 13 Juli 2015 Industrial Security - Plant Security Services "Industrie Tag – Industrial Security" Ganzheitliches Sicherheitskonzept für Industrieanlagen (..vom sicheren Netz bis zum sensiblen Mitarbeiter) Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. siemens.de/industrialsecurity Industrial Security Ganzheitliches Sicherheitskonzept für Industrieanlagen • • Defense-in-Depth als Schlüssel für eine sichere Infrastruktur Siemens Konzept und Herangehensweise: • Anlagensicherheit • Netzwerksicherheit • Systemintegrität Ganzheitlicher Ansatz Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 15 Juli 2015 Industrial Security - Plant Security Services IT-Sicherheit in Industrieanlagen Defense-in-Depth als Schlüssel für eine sichere Infrastruktur Große Mauer Defense in Depth § Unüberwindbare Mauer § Vielschichtiger Schutz § Einschichtiger Schutz § Jede Schicht unterstützt die Anderen § Ein Angriffspunkt § Bei jedem Übergang muss ein Angreifer Zeit und Aufwand aufbringen Eine einzelne Schutzmaßnahme ist niemals gut genug, um einer Bedrohung stand zu halten! Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 16 Juli 2015 Industrial Security - Plant Security Services IT-Sicherheit in Industrieanlagen Das Defense-in-Depth-Konzept Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 17 Juli 2015 Industrial Security - Plant Security Services Defense-in-Depth Anlagensicherheit: Physikalische Sicherheit • Das Ignorieren der Risiken der physischen Sicherheit kann alle anderen Maßnahmen ad absurdum führen • Beschränkung des physischen und unautorisierten Zugriffs zu: • Gebäuden und Anlagen • Serverräumen und Leitwarten • Schaltschränken • Geräten, PCs (USB, CD/DVD) • Switches, Verkablung • LAN Ports, WiFi,… • Controller, IO Systeme, PS, etc. Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 18 Juli 2015 Industrial Security - Plant Security Services Defense-in-Depth Anlagensicherheit: Organisatorische Sicherheit Anlagenspezifischer Sicherheitsmanagement Prozess • Risikoanalyse mit Definition von Risikominderungsmaßnahmen • Festlegung von Richtlinien und organisatorischen Maßnahmen • Festlegung technischer Maßnahmen • Wartung aller implementierten Sicherheitsmaßnahmen • Regelmäßige / ereignisabhängige Wiederholung der Risikoanalyse Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 19 Juli 2015 Industrial Security - Plant Security Services Defense-in-Depth Netzwerksicherheit: Zellenschutz und Perimeternetzwerk • Schutz der internen Netzwerkstruktur • Beschränkt die Wirkung einer Bedrohung auf eine Zelle • Interne Netzwerkstruktur ist nicht nach außen sichtbar • Isolation von Systemen gegenüber Netzwerken • Sichere Dienst-Bereitstellung für unsichere als auch sichere Netzwerke • Zugriff zum Automatisierungsnetzwerk nur über klar definierte und überwachte Zugangspunkte Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 20 Juli 2015 Industrial Security - Plant Security Services Defense-in-Depth Netzwerksicherheit: Firewalls und VPNs • Firewalls betrachten und filtern Datenverkehr nach festgelegten Regeln: • Sie schützen den Eingang zu Sicherheitszellen • Ausprägungen: Paketfilter, Stateful Inspection, Application Proxy • Sie erlauben den Datenverkehr mit Hilfe von Computer- und Nutzerauthentifizierung • Überprüfen des Datenverkehrs auf Viren (Eingebaute Virenscanner) • Man unterscheidet drei Typen von Firewalls: • Front-Firewall (zur WAN Anbindung – Internet Zugang) • Back-Firewall (zur Abgrenzung interner Netzsegmente) • Threehomed Firewall (Kombination aus beiden – Eine Firewall für Alles) Verstecken von internen Informationen NAT, PAT, 1-to-1-NAT Internet Verbindungen: Verweigerung als Standard! Zulassen von def. Protokollen, Ports, IP-Adressen... Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 21 Juli 2015 Industrial Security - Plant Security Services Defense-in-Depth Systemintegrität: Systemhärtung • PCs enthalten eine Menge an Software, die auf Automatisierungssystemen nicht benötigt wird • Viren sind i.d.R. für weitverbreitete Software wie Internet Explorer, Media Player, Active X, Javascript, … geschrieben • Änderung des Standard-Systemstatus: • Abschalten/Deaktivieren von USB, CD/DVD, nicht benötigten Ports • Entfernen/Abschalten von nicht benötigen Anwendungen, Protokollen und Diensten, wie e-Mail, Spielen, Autorun, Screensaver, Messenger,… • BIOS-Passwort und Einschränkung des Desktop- und Systemzugriffs Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 22 Juli 2015 Industrial Security - Plant Security Services Defense-in-Depth Systemintegrität: Authentifizierung und Benutzerverwaltung • Grundsatz Minimalitätsprinzip • Klare Zuordnung von Rollen und Rechten • Regelmäßige Überprüfung der Rollenzuordnung und Rechte • Zuweisung sichererer Passwörter • Zentrale Benutzer-, Passwort und Rechteverwaltung (Arbeitsgruppe oder Windows Domäne – Active Directory) • Zugriffsschutz für Projektierungsdaten Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 23 Juli 2015 Industrial Security - Plant Security Services Defense-in-Depth Systemintegrität: Patch Management • 90% aller erfolgreichen Attacken basieren auf Schwachstellen, für die ein Patch bereits existiert • Alle Patches sollten auf Systemverträglichkeit getestet werden • Nur 2% aller Systeme sind vollständig gepatcht (Quelle: Secunia) • Patch-Verteilung mittels zentralem Patch-Server, der innerhalb DMZ steht und bspw. auf Windows Server Update Services (WSUS) basiert • Aufbau von Patch-Gruppen und Vorgehensweisen für Updates im laufenden Betrieb (Redundantes System) Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 24 Juli 2015 Industrial Security - Plant Security Services Defense-in-Depth Systemintegrität: Virenscanner & Whitelisting • Um negative Einflüsse auf die Performance oder die Reaktionszeit des Systems zu vermeiden, sollten die Leitfäden des Automatisierungssoftware-Hersteller zur Einrichtung von Virenscanner befolgt werden. • Whitelisting zum Schutz von nicht gewünschten Applikationen und Schadsoftware Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 25 Juli 2015 Industrial Security - Plant Security Services IT-Sicherheit in Industrieanlagen Ganzheitlicher Ansatz Assess Implement Manage Defense in Depth Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 26 Juli 2015 Industrial Security - Plant Security Services Vielen Dank für Ihre Aufmerksamkeit! Mansoor Bley RC-DE DF CS P Service Promotion – Plant Security Services Mobile: +49 (174) 3141841 [email protected] Christian Telgen RC-DE DF CS P Service Promotion – Plant Security Services Mobile: +49 (162) 2030474 [email protected] © Siemens AG 2015. Alle Rechte vorbehalten. Seite 27 05.05.2015 Industrial Security Industrial Security Ausschlussklausel (Disclaimer) Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren Betrieb von Anlagen, Lösungen, Maschinen, Geräten und/oder Netzwerken unterstützen. Sie sind wichtige Komponenten in einem ganzheitlichen Industrial Security-Konzept. Die Produkte und Lösungen von Siemens werden unter diesem Gesichtspunkt ständig weiterentwickelt. Siemens empfiehlt, sich unbedingt regelmäßig über Produkt-Updates zu informieren. Für den sicheren Betrieb von Produkten und Lösungen von Siemens ist es erforderlich, geeignete Schutzmaßnahmen (z. B. Zellenschutzkonzept) zu ergreifen und jede Komponente in ein ganzheitliches Industrial Security-Konzept zu integrieren, das dem aktuellen Stand der Technik entspricht. Dabei sind auch eingesetzte Produkte von anderen Herstellern zu berücksichtigen. Weitergehende Informationen über Industrial Security finden Sie unter: http://www.siemens.com/industrialsecurity Um stets über Produkt-Updates informiert zu sein, melden Sie sich für unseren produktspezifischen Newsletter an. Weitere Informationen hierzu finden Sie unter: http://support.automation.siemens.com Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 28 Juli 2015 Industrial Security - Plant Security Services "Industrie Tag – Industrial Security" Vernetzte Produkte, Vernetzte Produktion – mit Sicherheit Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. siemens.de/industrialsecurity Industrial Security System- und Wertschöpfungsaspekte der Industrial Security Hohe Produktivität durch Risikominimierung 1 Verfügbarkeit 2 Integrität 3 ► Strategie ► Technik/ Portfolio ► Innovation Slides ► Anwendungsbei spiele ► Hauptwettbewer ber S615 ► Hauptwettbewer ber S627 ► Zielkunden Vertraulichkeit► Promotion ► Erhöhen der Anlagenverfügbarkeit durch Vermeiden oder Reduzieren von Störungen durch Angriffe oder Schadsoftware Schutz der System- und Datenintegrität zum Vermeiden von Fehlfunktionen, Produktionsfehler oder Stillständen Support Schutz vertraulicher Daten und Informationen, sowie geistigen Eigentums Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 30 Juli 2015 Industrial Security Industrial Security Security in der SPS Scalance M874-3 TIA Portal V13 SINEMA Remote Connect Server SINEMA Server V13 SINEMA RC Client SCALANCE S615 Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 31 Juli 2015 Industrial Security Industrial Security Security in der SPS S7-1500 CPU mit Security Integrated WinCC / HMI-Panels TIA Portal V13 bietet mehrere Security Features: § Erhöhter Zugriffsschutz (Authentifizierung) § granulare Berechtigungsstufen û § Schutzstufe 4 für CPUKomplettverriegelung § Erhöhter Know-how-Schutz (Sperren von Bausteinen) § Erhöhter Kopierschutz (verhindert Vervielfältigung) § Erhöhter Manipulationsschutz Stufe 1: Kein Schutz Stufe 2: Schreibschutz Stufe 3: Lese-/Schreibschutz Stufe 4: Komplettschutz S7-1500-System Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 32 Juli 2015 Industrial Security Industrial Security Security in der SPS Kommunikationsprozessoren (CPs) als spezielle Netzwerkkarte in der SPS-Steuerung schützen gegen: • Spionage • Datenmanipulation • Zufälligen Zugriff CP1243-1 CP1543-1 CP343-1 Advanced CP443-1 Advanced Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 33 Juli 2015 Industrial Security Industrial Security Security in der SPS Zellenschutz mit CPs für die SPS-Steuerung • Erhaltung der Unversehrtheit/Verfügbarkeit der Zelle ist oberstes Ziel • In die Automatisierung integrierter Zellenschutz durch SIMATIC NET CPs, z.B.: CP343-1 Advanced bzw. CP443-1 Advanced • Integrierte Stateful Inspection Firewall • VPN (Datenverschlüsselung und Authentifizierung) • NAT/NAPT (Adressumsetzung) • SNMP V3 (abhörsichere Übertragung von Netzwerkanalyse-Informationen) • HTTPs (Zugriff auf Webseiten mit verschlüsseltem Datenaustausch via SSL) • FTPs (gesicherte Dateiübertragungen) Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 34 Juli 2015 Industrial Security Industrial Security Sichere Kommunikation Scalance M874-3 TIA Portal V13 SINEMA Remote Connect Server SINEMA Server V13 SINEMA RC Client SCALANCE S615 Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 35 Juli 2015 Industrial Security Industrial Security Sichere Kommunikation Zellenschutz mit CPs für den PC • Erhaltung der Unversehrtheit/Verfügbarkeit der Zelle ist oberstes Ziel • In den PC integrierter Zellenschutz durch SIMATIC NET PC CP1628 • Integrierte Stateful Inspection Firewall unabhängig vom Windows-Betriebssystem • SNMP V3 • Sichere redundante Kommunikation von PC zu hochverfügbarer S7-400H Steuerung über VPN Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 36 Juli 2015 Industrial Security Industrial Security Sichere Kommunikation mit SCADA und Leitsystemen Ab WinCC V7.3 / PCS7 8.1 Verschlüsselung der Kommunikation zwischen WinCC Server und -Client • • Sichere Kommunikation des Terminalbusses über SSL Verschlüsslung mit PSK statischen Ports für Kommunikation Ø Bereich TCP/UDP 1024 – 65535. (kein dynamischer Port, Firewall kann entsprechend eingerichtet werden) • Migrationsmodus Ø Hochrüsten im laufenden Betrieb (Kommunikation mit Rechnern ohne Sichere Kommunikation) Ø Erlaubt verschlüsselte und unverschlüsselte Verbindungen. Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 37 Juli 2015 Industrial Security Industrial Security Netzwerkverfügbarkeit Scalance M874-3 TIA Portal V13 SINEMA Remote Connect Server SINEMA Server V13 SINEMA RC Client SCALANCE S615 Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 38 Juli 2015 Industrial Security Industrial Security Netzwerkverfügbarkeit Erhöhte Prozessverfügbarkeit durch Ringredundanz mit SCALANCE X • Erhaltung der Unversehrtheit/Verfügbarkeit der Zelle ist oberstes Ziel • Ringredundanz: IT-Redundanzkonzepte wie z.B. Rapid Spanning Tree (RSTP) sind nicht eindeutig berechenbar und damit nicht deterministisch • Ringredundanz mit Media Redundancy Protocol MRP garantiert Umschaltzeit von max. 200ms bei bis zu 100 erlaubten Teilnehmern im Ring • Mit allen managed Switchen der SCALANCE X-200 Serie und größer kann ein MRP-Ring aufgebaut werden • SIMATIC Automatiserungsysteme wie z.B. S7-300 PN/DP können durch integrierten 2-Port Switch direkt in den Ring integriert werden Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 39 Juli 2015 Industrial Security Industrial Security Netzwerkverfügbarkeit Vernetzung und Strukturierung von hochperformanten industriellen Netzwerken Modular anpassbar an die jeweilige Aufgabenstellung über Medienmodule Erweiterter Funktionsumfang (IT-Funktionalität, Layer 3, Router-Redundanz) Diagnose über SNMP, Webserver, STEP 7, vor-Ort-Diagnose X-400 § § § § Flexible und strukturierte Vernetzung von Anlagen / Anlagenbereichen Modular erweiterbar an die jeweilige Aufgabenstellung über Port Extender Zugang zu dynamischen Gerätedaten über Near Field Communication (NFC) Bauform im SIMATIC Design (S7-1500) X-300 § § § § Vernetzung von Teilanlagen / Anlagenbereichen Modular anpassbar an die jeweilige Aufgabenstellung über Medienmodule Erweiterter Funktionsumfang (VLAN, Port Security etc.) Diagnose über SNMP, Webserver, STEP 7, vor-Ort-Diagnose X-200 § § § § Für maschinennahe Anwendungen bis hin zu vernetzten Teilanlagen Diagnose über SNMP, Webserver, STEP 7, vor-Ort-Diagnose Geräte in hoher Schutzart und PROFINET-konformer Anschlusstechnik PROFINET IRT-Device (Isochronous Real-Time) X-100 § Für maschinennahe Vernetzung § Vollindustrietaugliche, unmanaged Ausführung § vor-Ort-Diagnose X-500 § § § § X-000 Managed L2/L3 Managed L2 Unmanaged Field Level Control / Operations Level Mgmt. / Operations Level Scalance X Portfolioübersicht § Für Vernetzung in kleinen Maschinen § vor-Ort-Diagnose Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 40 Juli 2015 Industrial Security Industrial Security Netzwerkverfügbarkeit Security Funktionen der SCALANCE X Switche • • • • • • • Konfiguration über HTTPs oder Zugriff über Secure Shell (SSH) Access Control Lists (ACL) Sperren von offenen Ports SNMP V3 Unterstützung Remote Monitoring (RMON) Benutzerauthentifizierung über Radius-Server VLAN Hinweis: nicht alle Funktionen sind in alle Geräteklassen integriert Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 41 Juli 2015 Industrial Security Industrial Security Netzwerktrennung Scalance M874-3 TIA Portal V13 SINEMA Remote Connect Server SINEMA Server V13 SINEMA RC Client SCALANCE S615 Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 42 Juli 2015 Industrial Security Industrial Security Netzwerktrennung Netzwerksicherheit durch Netzwerksegmentierung / Firewall mit SCALANCE S Modulen • • • • • • • • • Größere Flexibilität, da nicht an die SPS gebunden Integrierte Stateful Inspection Firewall NAT/NAPT SNMP V3 Benutzerdefinierte Firewallregeln (noch nicht bei S615) Syslog Unterstützung VPN mit IPSec (S612/S623/S627) VPN mit OpenVPN (S615) Radius-Authentifizierung B I L D Hinweis: IPSec-VPN mit SCALANCE S612/S623/S627-2M, OpenVPN OpenVPN mit Scalance S615 Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 43 Juli 2015 Industrial Security Industrial Security Netzwerktrennung Netzwerksicherheit durch Netzwerksegmentierung / Firewall mit SCALANCE S Modulen SCALANCE S602 Router + Firewall SCALANCE S612 Router + Firewall + IPSec VPN SCALANCE S623 Router + Firewall + IPSec VPN + DMZ SCALANCE S627 Router + Firewall + IPSec VPN + DMZ + LWL+MRP SCALANCE S615 Router + Firewall + Open VPN + DMZ Für die Sicherheit Ihrer Netze und Daten. Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 44 Juli 2015 Industrial Security Industrial Security Netzwerktrennung Beispiel einer Einrichtung einer Demilitarisierten Zone (DMZ) mit einer Firewall Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 45 Juli 2015 Industrial Security Industrial Security Netzwerksicherheit Beispiel einer Router-/Firewallredundanz mit SCALANCE S623 und S627-2M Bsp 1: ohne Ring => S623 Office Netzwerk Switch Stand-by-Kopplung SCALANCE S623 Produktions Netzwerk Switch SCALANCE S627-2M Bsp 2: mit Ring =>S627-2M Stand-by-Kopplung Office Netzwerk CU oder LWL MRP-Ring MRP-Switch Ring-Redundanz Manager Produktions Netzwerk Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 46 Juli 2015 Industrial Security Industrial Security Fernwartung mit SINEMA Remote Connect Server Scalance M874-3 TIA Portal V13 SINEMA Remote Connect Server SINEMA Server V13 SINEMA RC Client SCALANCE S615 Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 47 Juli 2015 Industrial Security Industrial Security Fernwartung mit SINEMA Remote Connect Server Typische Einsatzgebiete • Anlagen- und Maschinenbau • Energieverteilung / Unterstationen (Stadtwerke) • Logistik / Hafenlogistik • ITS / Verkehrsbetriebe • Wasser & Abwasser (Stadtwerke, …) Konfigurationsbeispiel SINEMA RC - Gesamtübersicht Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 48 Juli 2015 Industrial Security Industrial Security Fernwartung mit SINEMA Remote Connect Server Funktion • Transparente IP-Kommunikation • VPN Konzentrator • Einsetzbar für Maschinen mit identischen lokalen Subnetzen (NAT) Vorteile u bis Remote Control • Sichere und einfache Einwahl in die u Anlagen von jedem Punkt der Welt • Breites Einsatzfeld von Remote Service • Optimale Anbindung von identischen Maschinen z.B. für Serienmaschinenbauer und OEM • Einfache Verwaltung verschiedener Nutzer (Servicetechniker) • Gruppenverwaltung u • Einfach konfigurierbare Netzkomponente für die Automatisierungstechnik u • Einfache Integration in Industrieanlagen u • kein spezielles IT KnowHow erforderlich u • Erfüllung von Nachweispflichten gegenüber Betreiber / Endkunden bei jedem Fernzugriff durch OEM • Autokonfiguration der Endgeräte und SINEMA RC Client • einfaches Nutzerinterface • Logging Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 49 Juli 2015 Industrial Security Industrial Security Fernwartung mit SINEMA Remote Connect Server Vorteile Hohe Sicherheit bei maximaler Flexibilität § Abhör- und übernahmesichere Verschlüsselung (bis 4096 Bit) § Zahl Verbindungen / Geräte unbegrenzt, stufenlos skalierbar § Kontrollierte Freischaltung / Sperrung des Wartungsobjekts Direkter Support und sehr hohe Funktionalität § Support rund um die Uhr – 365 Tage im Jahr § Beratung und Unterstützung bei der Einrichtung des Systems § Unterstützung der gängigen / etablierten VPN-Standards Durchgängiges Siemens Netzwerk § Zuverlässige und robuste Hardware § Gesamtlösung aus einer Hand für garantierte Kompatibilität Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 50 Juli 2015 Industrial Security Industrial Security Netzwerkmonitoring mit SINEMA Server Scalance M874-3 TIA Portal V13 SINEMA Remote Connect Server SINEMA Server V13 SINEMA RC Client SCALANCE S615 Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 51 Juli 2015 Industrial Security Industrial Security Netzwerkmonitoring mit SINEMA Server SINEMA Server V13 Inventarerstellung kontinuierliches flexibles Monitoring Reporting Transparente Netzwerke Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 52 Juli 2015 Industrial Security Industrial Security Netzwerkmonitoring mit Sinema Server Topologie Startbildschirm Reports Ereignisliste Topologie Ansicht Serverübersicht Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 53 Juli 2015 Industrial Security Industrial Security Erster Anbieter mit Achilles Level 2 Zertifizierung zertifizierte SPSen S7- 300 PN/DP S7- 400 PN und PN/DP zertifizierte DP ET200S PN/DP CPUs zertifizierte CPs + Schutz gegen DoS-Attacken CP343-1 Adv + Definiertes Verhalten bei Attacken è Verbesserte Verfügbarkeit CP443-1 Adv è Schutz geistigen Eigentums 04/2013 04/2013 è Internationaler Standard CP1628 Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 54 Juli 2015 Industrial Security Industrial Security Haftungsausschluss Siemens bietet Automatisierungs- und Antriebsprodukte mit Industrial Security-Funktionen an, die den sicheren Betrieb der Anlage oder Maschine unterstützen. Sie sind ein wichtiger Baustein für ein ganzheitliches Industrial SecurityKonzept. Unsere Produkte werden unter diesem Gesichtspunkt ständig weiterentwickelt. Wir empfehlen Ihnen daher, sich regelmäßig über Aktualisierungen und Updates unserer Produkte zu informieren. Weitere Informationen und den Newsletter zu diesem Thema finden Sie unter: http://support.automation.siemens.com. Für den sicheren Betrieb einer Anlage oder Maschine ist es darüber hinaus notwendig, geeignete Schutzmaßnahmen (z.B. Zellenschutzkonzept) zu ergreifen und die Automatisierungs- und Antriebskomponenten in ein ganzheitliches Industrial Security-Konzept der gesamten Anlage oder Maschine zu integrieren, das dem aktuellen Stand der Technik entspricht. Dabei sind auch eingesetzte Produkte von anderen Herstellern zu berücksichtigen. Weitergehende Informationen finden Sie unter: http://www.siemens.com/industrialsecurity Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 56 Juli 2015 Industrial Security Industrial Security Microfair Daniel Roß Siemens AG Promotion für Industrielle Kommunikation [email protected] Tel: +49 (621) 456-1103 Tanja Stieb Siemens AG Fachberatung für Industrielle Kommunikation [email protected] +49 (69) 797-2956 Oliver Mirzwa Siemens AG Fachberatung für Industrielle Kommunikation [email protected] +49 (621) 456-3204 Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 57 Juli 2015 Industrial Security "Industrie Tag – Industrial Security" Plant Security Services – Antworten für kontinuierlichen Schutz und Sicherheit Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. siemens.de/plant-security-services Industrial Security Plant Security Services – Umsetzung der gesetzlichen Anforderungen • Aktuelle Gesetzlage – Herausforderungen und Ziele • Siemens Konzept und Herangehensweise • Umsetzung der gesetzlichen Anforderungen • Portfolioübersicht • Beispielumsetzung Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 59 Juli 2015 Industrial Security - Plant Security Services Aktuelle Gesetzeslage Herausforderungen und Ziele Herausforderungen Ziele des Gesetzes • • Einhaltung eines Mindestniveau an IT-Sicherheit • Verfügbarkeit • Integrität • Vertraulichkeit • Authentizität Das IT-Sicherheitsniveau bei kritischen Infrastrukturen und Infrastrukturbetreibern ist heute sehr unterschiedlich • • • • • • Vorgaben Risikomanagement Übergreifende Sicherheitskonzepte Audits Informationsaustausch Defizite im Bereich IT-Sicherheit sind abzubauen, um ein gefordertes Mindest-Niveau / Grundschutz zu erreichen • Meldung von IT-Sicherheitsvorfälle an BSI • Den Nachweis der Erfüllung durch Sicherheitsaudits • Die Einrichtung und Aufrechterhaltung von Verfahren für die Meldung erheblicher ITSicherheitsvorfälle an das BSI • Das Betreiben einer Kontaktstelle * Zeit zum Umsetzung nach Inkrafttreten der gesetzlichen Vorgaben Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 60 Juli 2015 Industrial Security - Plant Security Services Siemens Konzept unterstützt den Kunden bei der Erfüllung des Gesetzes Bedarfsgerechter Ansatz für den langfristigen Schutz Ihres industriellen Automatisierungssystems (ICS) Bewerten Realisieren Betreiben Information über den Sicherheitsstatus und Entwicklung eines SecurityFahrplans Planen, entwickeln und umsetzen eines ganzheitlichen Industrial Security Programms Durchgängige Sicherheit durch proaktiven Schutz Geplant ab 2016 Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 61 Juli 2015 Industrial Security - Plant Security Services Siemens Plant Security Services Unterstützung zur Erfüllung der gesetzlichen Anforderungen Unser Portfolio Den Nachweis der Erfüllung durch Sicherheitsaudits* Die Einrichtung und Aufrechterhaltung von Verfahren für die Meldung erheblicher ITSicherheitsvorfälle an das BSI* Das Betreiben einer Kontaktstelle* Die Einhaltung eines Mindestniveaus an IT-Sicherheit* Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 62 Juli 2015 * Anforderungen aus dem neuen IT-Sicherheitsgesetz Cyber-Security Operation Center (C-SOC) Industrial Security - Plant Security Services Siemens Plant Security Services Bündelung basiert auf den gesetzlichen Anforderungen • Planen: Überprüfung des IST-Zustands der Anlage hinsichtlich industrieller Sicherheit Planen: Festlegung eines Prozesses • Durchführen: Implementierung der identifizierten Maßnahmen zur Risikominderung • Prüfen: Validierung der Maßnahmen durch kontinuierliche Überwachung • Handeln: Verbesserung der Sicherheit durch regelmäßige/ereignisabhängige Überprüfung des IST-Zustands Handeln: Instandhalten und Verbessern Durchführen: Umsetzung und Durchführen Prüfen: Überwachen und Überprüfen Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 63 Juli 2015 Industrial Security - Plant Security Services Planen „ Assessment“ Überprüfung des IST-Zustands der Anlage hinsichtlich industrieller Sicherheit Security Assessment entsprechend IEC 62443, ISO 27000 & BSI Grund Schutz Prozesse • Bewertung der Wirksamkeit Ihrer sicherheitsrelevanten, organisatorischen Prozesse • Überprüfung des IST-Zustands ihrer installierten Basis und Netzwerkarchitektur zur Erkennung von Sicherheitslücken Security Assessment für PCS7 und WIN CC Assess Menschen • Bewertung des Sensibilisierungsgrads sowie die Ausgangsqualifikation bezogen auf industrielle Sicherheit Technik Was liefern wir? Security Assessment für Plants Den Nachweis der Erfüllung durch Sicherheitsaudits Security Consulting & Auditierung Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 64 Juli 2015 Industrial Security - Plant Security Services Durchführen „Implement“ Implementierung der identifizierten Maßnahmen zur Risikominderung (1 von 2) Implementierung von Maßnahmen für die Einhaltung eines IT-Mindestniveaus Was liefern wir? Netzwerkplanung (incl. Perimeternetz) Einrichtug Firewalls Implement System-Härtung Patchmanagement Virenscan / Whitelisting Die Einhaltung eines Mindestniveaus an IT-Sicherheit Remotezugriff Benutzerverwaltung Training Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 65 Juli 2015 Industrial Security - Plant Security Services Durchführen „Implement“ Implementierung der identifizierten Maßnahmen zur Risikominderung (2 von 2) Kundenanlage Implementierungselemente Schulungen & Prozesse Sicherheitszellen und DMZ Firewalls und VPN Systemhärtung Benutzerverwaltung Patch Management Malware-Erkennung und -Vermeidung Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 66 Juli 2015 Industrial Security - Plant Security Services Prüfen „Manage“ Validierung der Maßnahmen durch kontinuierliche Überwachung Kontinuierliche Überwachung Services • Überwachung des Sicherheitszustands • Überprüfung der Wirksamkeit der implementierten technischen Mechanismen Zyklische Kontrolle der Sec. Maßnahmen Manage Menschen • Überprüfung der Wirksamkeit der eingesetzten Prozesse, Arbeitsanweisungen und Richtlinien • Überwachung der Einhaltung gesetzter Vorgaben Technik • Aufrechterhaltung des Ausbildungsstandes der Mitarbeiter entsprechend der sich ändernden Bedrohungslage Prozesse Manage Security Automatische Zyklische Kontrolle Die Einrichtung und Aufrechterhaltung von Verfahren für die Meldung erheblicher ITSicherheitsvorfälle an das BSI Netzwerk Security Monitoring On-Demand Incident Handling Das Betreiben einer Kontaktstelle Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 67 Juli 2015 Cyber-Security Operation Center (C-SOC) Industrial Security - Plant Security Services Handeln „Re-Assessment“ Regelmäßige Überprüfung des IST-Zustands Regelmäßige Wiederholung des Security Assessments entsprechend IEC 62443, ISO 27000 & BSI Grund Schutz Prozesse • Bewertung der Wirksamkeit Ihrer sicherheitsrelevanten, organisatorischen Prozesse in Bezug auf Veränderungen in den Anforderungen vom Anlagenbetrieb • Überprüfung der Änderungen in ihrer installierten Basis und Netzwerkarchitektur bezugnehmend auf das zuvor durchgeführte Assessment zur Erkennung von Sicherheitslücken Security Assessment für PCS7 und WIN CC Assess Menschen • Bewertung des Sensibilisierungsgrads sowie die notwendige, spezifische Qualifikation bezugnehmend auf das zuvor durchgeführte Assessment Technik Was liefern wir? Security Assessment für Plants Den Nachweis der Erfüllung durch Sicherheitsaudits Security Consulting & Auditierung Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 68 Juli 2015 Industrial Security - Plant Security Services Plant Security Services Portfolioübersicht - Zusammenfassung Den Nachweis der Erfüllung durch Sicherheitsaudits PSS Portfolio Assess IT-Sicherheitsgesetz Security Assessment für PCS7 und WIN CC Security Assessment für Plants Security Consulting & Auditierung Netzwerkplanung (incl. Perimeternetz) Die Einhaltung eines Mindestniveaus an IT-Sicherheit Implement Einrichtug Firewalls System-Härtung Patchmanagement Virenscan / Whitelisting Remotezugriff Benutzerverwaltung Training Manage Starter: Zyklische Kontrolle der Sec. Maßnahmen Die Einrichtung und Aufrechterhaltung von Verfahren für die Meldung erheblicher ITSicherheitsvorfälle an das BSI Advance: Automatische Zyklische Kontrolle Expert: Netzwerk Security Monitoring On-Demand Incident Handling Das Betreiben einer Kontaktstelle Unser Portfolio deckt alle Anforderungen bezüglich Security Assessment, Implementation und Manage Services ab Cyber-Security Operation Center (C-SOC) Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 69 Juli 2015 Industrial Security - Plant Security Services Vielen Dank für Ihre Aufmerksamkeit! Mansoor Bley RC-DE DF CS P Service Promotion – Plant Security Services Mobile: +49 (174) 3141841 [email protected] Christian Telgen RC-DE DF CS P Service Promotion – Plant Security Services Mobile: +49 (162) 2030474 [email protected] © Siemens AG 2015. Alle Rechte vorbehalten. Seite 70 05.05.2015 Industrial Security Industrial Security Ausschlussklausel (Disclaimer) Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren Betrieb von Anlagen, Lösungen, Maschinen, Geräten und/oder Netzwerken unterstützen. Sie sind wichtige Komponenten in einem ganzheitlichen Industrial Security-Konzept. Die Produkte und Lösungen von Siemens werden unter diesem Gesichtspunkt ständig weiterentwickelt. Siemens empfiehlt, sich unbedingt regelmäßig über Produkt-Updates zu informieren. Für den sicheren Betrieb von Produkten und Lösungen von Siemens ist es erforderlich, geeignete Schutzmaßnahmen (z. B. Zellenschutzkonzept) zu ergreifen und jede Komponente in ein ganzheitliches Industrial Security-Konzept zu integrieren, das dem aktuellen Stand der Technik entspricht. Dabei sind auch eingesetzte Produkte von anderen Herstellern zu berücksichtigen. Weitergehende Informationen über Industrial Security finden Sie unter: http://www.siemens.com/industrialsecurity Um stets über Produkt-Updates informiert zu sein, melden Sie sich für unseren produktspezifischen Newsletter an. Weitere Informationen hierzu finden Sie unter: http://support.automation.siemens.com Frei verwendbar / © Siemens AG 2015. Alle Rechte vorbehalten. Seite 71 Juli 2015 Industrial Security - Plant Security Services
© Copyright 2024 ExpyDoc