Sicherheit in der Industrial IT

Transkript

1 Sicherheit in der Industrial IT - grundsätzliche Anmerkungen - Hans Honecker Bundesamt für Sicherheit in der Informationstechnik (BSI) Forum Industrial IT, Hannover Messe 2011 / 06. April 2011

2 Übersicht IT in der Prozesssteuerung Beispiel: Vernetzung Klassische IT-Gefährdungen Implementierung von IT-Sicherheit BSI IT Grundschutz Standards allgemein Grundsätzliche Anmerkungen Prozesseigner, Hersteller und Integratoren Sonderfall Safety Fazit 2

3 Annahmen Prozesssteuerungs- bzw. Leittechniksysteme überwachen/steuern komplexe physikalische Prozesse Prozesssteuerungssysteme sind IT-gestützt Hierarchieebenen (von lokaler Automatisierung bis SCADA) Lange Nutzungsdauer Hohe Diversität bzgl. Hersteller, Systemgeneration, Systemarchitektur (und damit Art der IT-Unterstützung) Grad der IT-Abstützung ist hoch oder nimmt zu Klassische Bürokommunikation wird nur am Rande betrachtet 3

4 IT in der Überwachung und Steuerung von physischen Prozessen Einsatz von Komponenten aus der klassischen IT Standardanwendungen (z.b. Datenbanken) Standardhardware und Betriebssysteme (z.b. Windows, Unix) klassische Netzwerktechnologie (ggf. modifiziert) spezifische Steuerungsanwendungen auf Basis klassischer IT Einsatz von spezifischen Komponenten mit Eigenschaften aus der klassischen IT Industrial IT: SPS, IED, Controler u.a. Netzwerkkomponenten, -schnittstellen und Netzwerke Auch ältere IT-Technologien, Betriebssysteme,... Informationstechnisch eng verwandt mit klassischer IT IT-Gefährdungen greifen auch im Prozesssteuerungsnetz 4

5 Beispiel: Datenkommunikation / Vernetzung Kommunikation zwischen Systemkomponenten:! Sehr hohe Verfügbarkeitsanforderung! Sehr hohe Integritätsanforderung Früher: Elektrisch, elektronisch, serielle proprietäre Protokolle Heute: Nutzung klassischer IT-Protokolle: Informationstechnische Vernetzung hoch / zunehmend (?) (Industrial) Ethernet, TCP/IP-Protokolle Netzwerkkomponenten aus der IT oder davon abgeleitet Webserver, Dateitransfer, etc. möglich Gefährdungen aus der klassischen IT greifen über das Netz und für das Netz 5

6 Verfügbarkeit des Prozesssteuerungsnetzwerks (PCN)! Unterbrechungsfreie Verfügbarkeit des PCN! Ggf. Echtzeitanforderungen oder garantierte Antwortzeiten PCN muss gegen äußere Einflüsse abgeschirmt werden Bestmögliche Abschottung Äußerst restriktive Auslegung externer Verbindungen Unterschiedliche Anforderungen innerhalb des PCN? Separierung unterschiedlicher Bereiche im PCN reduziert mögliche Beeinträchtigung kritischerer Bereiche Beispiel: lokale Automatisierung vs. übergeordnete Leittechnik 6

7 Absicherung des Prozesssteuerungsnetzwerks Im PCN eingesetzte Komponenten haben Schwachstellen! Schwachstellen oft nicht behebbar oder nicht zeitnah Ungezielte Angriffe (eingeschleppte Schadsoftware etc.) Störung von Systemkomponenten Störung von Echtzeitkommunikation und Latenzverhalten Netzwerkausfall Gezielte Angriffe Auf eingesetzte Technologie, auf eine spezifische Anlage Gezielte Fehlsteuerung, Sabotage etc. möglich Abschottung des PCN notwendig Beschränkung der Kommunikation innerhalb der PCN-Segmente wünschenswert Conficker Stuxnet 7

8 Klassische IT-Gefährdungen Bedrohungen + Schwachstellen Gefährdungen Beispiele von klassischen IT-Gefährdungen im PCN: Gezielte Angriffe: PCN erreichbar Gefährdung durch externe Angriffe! Auch ein Irrtum des Angreifers macht ein PCN zum Ziel Ungezielte Angriffe: (z.b. Irrläufer von Schadsoftware) Ausfall oder Fehlverhalten betroffener Komponenten Netzwerkscans beeinträchtigen andere Komponenten... und stören ggf. die Echtzeitfähigkeit des PCN Technisches und menschliches Versagen: Fehlfunktion einer Netzwerkkarte verursacht hohe Netzlast Hardwareversagen / Fehlkonfiguration legt PCN lahm 8

9 Unterschiede zwischen Prozesssteuerung und klassischer IT IT-basierte Prozesssteuerung Ununterbrochener Betrieb, 24 Stunden x 365 Tage Priorität bei Verfügbarkeit Physischer Prozess hat Vorrang Patchen und Updates schwierig oder gar unmöglich Spezialisierte IT kontrolliert physische Prozesse Garantierte Antwortzeiten erforderlich, teilw. Echtzeitfähigkeit Einsatzzeiträume in Jahrzehnten Klassische Informationstechnik Betriebsschwerpunkt zu Geschäftszeiten Priorität bei Vertraulichkeit / Integrität Informationssicherheit hat Vorrang Patchen und Updates etabliert und üblich Standardisierte IT verarbeitet Daten und Informationen Keine Echtzeitanforderungen, erhöhte Latenzzeiten tolerabel Einsatzzeiträume in Jahren 9

10 Implementierung von IT-Sicherheit BSI IT-Grundschutzstandards bis Standards allgemein ISO Reihe (insbes. ISO und 27002) Diverse IEC-Standards ISA SP 99 und IEC VDI/VDE Richtlinie 2182 BDEW Whitepaper Anforderungen an sichere Steuerungsund Telekommunikationssysteme (Elektrizitätssektor) BSI Informationstechnik in der Prozessüberwachung und -steuerung - Grundsätzliche Anmerkungen 10

11 Klassische IT-Sicherheit nach IT-Grundschutz BSI IT-Grundschutzstandards bis und PCN? Grundsätzlich anwendbar: Aber: Einführung eines ISMS (Informationssicherheitsmangagementsystem) Anwendung der Grundschutzmethodik Kaum spezifische Bausteine für Prozesssteuerung Erstellung eigener Bausteine bzw. Maßnahmen notwendig Beispiel: IT-Grundschutz-Profil für das produzierende Gewerbe (kleines Unternehmen mit PCN)! Anlagen mit Industrial IT oft erheblich komplexer 11

12 ISO 2700x Reihe ISO 2700x, insbes. ISO und BSI IT Grundschutz kompatibel zu ISO 27001/27002 Empfehlungen zur Einführung eines ISMS? Unterlegung mit Maßnahmenempfehlungen Keine spezifische Unterstützung der Anwendung für industriellen IT-Einsatz Keine spezifische Unterstützung für Prozesssteuerung und Anlagen mit Industrial IT? ISO 2700x, x >> 2 12

13 Internationale Standards divers Beispiel IEC allgemein (IEC-) Standards zu Prozesssteuerung / Automatisierung zu Sicherheit Safety IT-Sicherheit Oft bezogen auf Konkrete Technologien Protokollfamilien Anwendungsfälle Relevanz stark abhängig vom eingesetzten Gesamtsystem! IT-Sicherheit i.d.r. nicht abschließend behandelt 13

14 ISA SP 99 und IEC ISA = International Society of Automation Reihe ISA SP 99 in der Entwicklung befindlich Wesentliche Teile noch nicht veröffentlicht Status der Arbeiten (dem Vortragenden) nicht transparent Nicht frei verfügbar (Bezug nur über ISA) Veröffentlichte Dokumente haben Überarbeitungsbedarf ISA kooperiert inzwischen enger mit IEC Standards unter IEC gemeinsam weitererarbeitet Insbes.: IEC (als Standard angenommen, aber erhebliche Überarbeitung angekündigt) Nicht frei verfügbar (Bezug nur über IEC) Unterstützung IT-Sicherheit spezifischer Anlagen offen? 14

15 VDI/VDE Richtlinie 2182 Titel: Informationssicherheit in der industriellen Automatisierung Allgemeines Vorgehensmodell (Blatt 1) Beschreibt gemeinsames Vorgehen zur IT-Sicherheit von Herstellern, Integratoren und Betreibern Keine konkreten Maßnahmen Anwendungsbeispiele zum Vorgehensmodell für Hersteller (Blätter 2.1 für SPS; 3.1 für Leitsystem LPDE-Anl.) Maschinen- und Anlagenbauer (Blatt 2.2 für Umformpresse) Integratoren (Blatt 3.2 für LPDE-Reaktor) Betreiber (Blatt 3.3 für LPDE-Anlage) 15

16 BDEW Whitepaper BDEW Whitepaper Anforderungen an sichere Steuerungsund Telekommunikationssysteme Zielgruppe: Unternehmen der Energiewirtschaft Inhalt: Grundsätzliche Sicherheitsmaßnahmen für sichere Steuerungs- und Telekommunikationssysteme Bezüge auf relevante ISO-Standards 2700x (insbes. ISO / 27002) BSI IT-Grundschutz Zur Implementierung von IT-Sicherheit Auch zur Verwendung im Rahmen von Ausschreibungen 16

17 Grundsätzliche Anmerkungen des BSI Titel: Informationstechnik in der Prozessüberwachung und -steuerung - Grundsätzliche Anmerkungen Kurzpaper (veröffentlicht auf BSI-Webseite) Darstellung von Besonderheiten in der Prozesssteuerung Betont die notwendige Absicherung auf Netzwerkebene Benennt auch Anforderungen an Komponenten und Systeme Zielgruppen: Anwender und Betreiber Hersteller und Integratoren 17

18 Gemeinschaftsaufgabe IT-Sicherheit Gemeinsame Implementierung von IT-Sicherheit Prozessbetreiber, ggf. zusätzlich IT-Betrieb des Betreibers Hersteller von Komponenten und Systemen Integratoren von Prozesssteuerungssystemen Beispiele für Aufgaben: Prozessbetreiber Benennung der Anforderungen aus Prozesssicht (Verfügbarkeit, Integrität etc.) Hersteller und Integratoren Benennung der Sicherheitsanforderungen der Prozesssteuerungssysteme und Empfehlungen zur Absicherung Gemeinsam: Festlegung netzwerktechnische Absicherung 18

19 Sonderfall Safety Safety-Systeme dienen zum Schutz von Personen, Umwelt und Anlagen gegen anlagenspezifische Gefahren Unverzichtbare Safety-Systeme: (z.b. zum Schutz von Leib und Leben, Schutz vor schwerwiegenden Anlagenschäden) Autark Gefährdung durch Informationstechnik ausschließen Weniger kritische Safety-Systeme: Möglichst autark Gefährdung durch Informationstechnik nur nach bewusster Entscheidung über das Risiko in Kauf nehmen Wiederholung Gefährdungen: Gezielte und ungezielte Angriffe, technisches und menschliches Versagen 19

20 Zusammenfassung Schon Irrläufer von Schadsoftware sind eine Bedrohung Stuxnet ist Beleg für qualitativ hochwertige, gezielte Angriffe Es gibt keine universellen, leicht umsetzbaren Empfehlungen für die IT-Sicherheit in der Industrial IT Empfehlungen zur klassischen IT-Sicherheit übertragbar unter Berücksichtigung der besonderen Anforderungen teilweise andere Lösungen und Maßnahmen notwendig Bestmögliche Absicherung der PCN-Segmente empfohlen Entscheidung über Absicherung am konkreten Einzelfall, möglichst gemeinsam von Betreiber, Herstellern, Integrator 20

21 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Hans Honecker Godesberger Allee Bonn Tel: +49 (0) Fax: +49 (0)