funktionale sicherheit i n f a und it-security u c h j e t...

Funktionale Sicherheit und IT-Security

Aktuelle Bedrohungslage aus Sicht des BSIJens Wiesner 22.03.2017 Jetzt a

uch in Farb

e

Jens Wiesner | Funktionale Sicherheit und IT-Security: Aktuelle Bedrohungslage aus Sicht des BSI | 22.03.2017 | Seite 2

Schnell ändernde IT-Landschaften

Massive Vernetzung führt zu● Cloud● IoT● Industrie 4.0

Neue Bedrohungen und traditionelle Herangehensweisen


Theorie:Defence in Depth

Traditionelle Herangehensweise an IT-Sicherheit:● Hohe Mauern● Wächter● Burgtore

ISO/IEC62443: Zones and Conduits


Wirklichkeit:


Unbegrenzte Möglichkeiten


(Ab)use Cases

Gelegenheit

Motiv

BusinessModel


12.02.2016Ransomware in Krankenhäusern

Infektion durch GPCode / LockyServersysteme betroffen, Kompletter Zusammenbruch der Verwaltungs IT-SystemeEntscheidung: Keine BezahlungAbhängigkeit von IT in einem modern Krankenhaus?Arbeits- und Operationspläne, Kommunikation, Medizinberichte, Versorgung mit Medizin und Essen!!! Viele Prozesse mussten mit Stift und Papier durchgeführt werden.Mehr als eine Woche Wiederherstellungsdauer, massiver Schaden & Hysterie

Imag

e: C

reat

iveC

omm

ons


2015Virtueller Bankraub

Mehr als 100 Banken betroffenSchaden bis zu 1 Mrd US$Carbanak-GangPhishing


Hafen von Antwerpen 2013

Einbruch und Einbau von Hardware zum HackenManipulation der Containerverwaltung am HafenDauer: ~ 2 JahreDrogenschmuggel / Diebstahl

Quelle: http://www.bbc.co.uk/news/world-europe-24539417


2013 Target Black Friday Hack

Eindringen über Wartungszugang für KlimaanlageNicht separierte NetzwerksegmenteAbgriff von Kreditkartendaten einer Supermarktkette Datenabfluss während Weihnachtszeit (27.11-15.12)Bis zu 40 Mio Kreditkarten und 70 Mio weitere Daten Rücktritt des CEO und weiterer Verantwortlicher

10 Mio US$ Schadensersatz


IoT - die Zukunft?

Oft billig und einfach zu hacken und zu kontrollieren

08.03.2017: Schwachstelle bei chinesischem OEM für Kameras gefunden● 1250 Modelle verschiedener Hersteller betroffen ● 185000 Kameras mit dieser Schwachstelle online -> Botnetze überall

AlternativesMotiv


23.12.2015Stromausfall in der Ukraine

SpearPhishing Angriff (→ Blackenergy 3)Hacker übernehmen Steuerungsrechner in 4 LeitwartenZeitlich abgestimmte AktionenAbschalten von Umspannstationen (≤110kV)Bediener können nur zuschauen225000 Menschen ohne StromLöschen von FestplattenAbschalten der USVsÜberlastung des CallCenters


2012 Saudi Aramco &Shamoon

35000 Computer und Server gelöscht85 % Festplatten zerstörtLogistikinfrastruktur inoperabelÖlproduktion nicht beeinflusst Ölknappheit in Saudi Arabien2016/2017: Shamoon 2 & 3


26.04.2016Schadsoftware in Atomkraftwerk

18 USB-Sticks seit 2008/2009 mit veralteter Schadsoftware (Conflicker/Ramnit) infiziertEbenfalls betroffen war Protokollrechner der Lademaschine für BrennelementeVorfall nicht gravierend, da der betroffene Prozess stark manuell ist

KEIN gezielter Angriff

AIR GAP (Strikte Separierung) hat nicht funktioniert!

(Bild: Felix König, Lizenz CC BY-SA 3.0)

https://commons.wikimedia.org/w/index.php?curid=4494166

http://creativecommons.org/licenses/by-sa/3.0/


Professionelle Strukturen „der Bösen“

BüroarbeitszeitenArbeitsteilungHacking as a ServiceCall-Center Support


Business Cases in Industrieanlagen

Ungezielte AngriffeViren & WürmerRansomware (I)ÄrgerlichProzeduren & Verfahren etabliert, damit umzugehen


Business Cases in Industrieanlagen

Gezielte AngriffeDiebstahl von GeschäftsgeheimnissenBeeinträchtigung der ProduktionReduzierung der QualitätRansomware (II) für Industrieanlagen


Auswirkungen für Funktionale Sicherheit

Bisherige Threatmodelle müssen überdacht werden

Manipulation & Missbräuchliche Nutzung über alle Schnittstellen USB & Netzwerk muss berücksichtigt werden

=> auf dem Weg zum Hype-Thema

Photo by Wang Hu / VCG


Zusammenarbeit aller Beteiligten notwendig

StandardisierungProblem wurde erkanntLösungswege nicht klar

BetreiberEinbringen von Erfahrung in Arbeitskreise

HerstellerIT-Sicherheit in Produkte integrieren

BSI...


Rolle des BSI

„Das BSI als die nationale Cyber- Sicherheitsbehörde gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft“

Gründung 1991 per Gesetz Mitarbeiter: ca. 658 (Stand: 2016)Stellenzuwachs 2017: 180Standort: Bonn

Wir

suchen N

achwuchs

und Profs!

www.bsi.bund.de/k

arriere

https://www.bsi.bund.de/karriere





Mitarbeit in Standardisierung(DKE Gremien)

UK931.1 IT-Sicherheit in der AutomatisierungstechnikUK967.1 Elektro- und Leittechnik für kerntechnische AnlagenAK351.0.6 IT-Sicherheit im BahnsystemAK351.1.6 IT-Sicherheit bei BahnfahrzeugenAK351.2.10 IT-Sicherheit in der BahnenergieversorgungAK351.3.7 Security Anforderungen an signaltechnische EinrichtungenAK353.0.11 Backend Kommunikation für LadeinfrastrukturAK716.0.1 Normative Beschreibung eines Sicherheitskonzeptes für Energiemanagement im GebäudeAK811.3.3 Informationssicherheit in der MedizintechnikAK901.0.115 IT-Sicherheit in der ElektromobilitätAK952.0.15 IT-Sicherheit in der Netz- und StationsleittechnikTBINK AK IT-Security und Security by DesignCERT@VDE BSI aktive Beteiligung

BSI Beteiligung geplant / passiv


Ziel: Verbessern der IT-Sicherheitdurch Konzepte der Funktionalen Sicherheit

● Safety:● Viel mehr Erfahrung in Sicherheit ● Anderer (höherer) Anspruch an Qualität● „Failure is not an option“

● Beispiele: ● Nachweis Abwesenheit von Fehlern● Tests auf Codeabdeckung● Black Channel Approach „Assume the breach“↔


Vielen Dankfür Ihre Aufmerksamkeit!

Kontakt

Jens [email protected]. +49 (0) 228 99 95 82 6022Fax +49 (0) 228 99 95 82 10 6022

Bundesamt für Sicherheit in der InformationstechnikReferat CK23 Cybersicherheit in IndustrieanlagenGodesberger Allee 185-18953175 Bonnwww.bsi.bund.de/ICS

http://www.bsi.bund.de/ICS

funktionale sicherheit i n f a und it-security u c h j e t...

Documents