Sicherheit im Internet Industrial Control Systeme und Sicherheit 59. Immobiliengespräch vom 23. April 2015 © 2014 InfoGuard AG | infoguard.ch SEITE 1
SCADA und ICS Systeme › Supervisory Control and Data Acquisition (SCADA) Industrial Control Systems (ICS) › Überwachen und steuern technischer Prozesse mittels eines Computer- Systems › Gebäudeleittechnik, Gebäudeautomation › Kommunikation: vermehrt Internet-basiert › zT. unsicheres „web-enabling“ der Technologien © 2014 InfoGuard AG | infoguard.chSEITE 2
Gebäudeautomation © 2014 InfoGuard AG | infoguard.chSEITE 3
› Betriebszustände von Anlageteilen › Motoren › Lüftungsklappen, Ventile › Störmeldungen › Schalterstellungen › Direkte Messwerte › Temperatur, Druck › Verbrauchszählerstände › Brandmeldeanlagen › Zugangskontrollsysteme, Videoüberwachung © 2014 InfoGuard AG | infoguard.chSEITE 4 Informationen
SCADA Security – Incidents 2014 ICS-CERT, USA © 2014 InfoGuard AG | infoguard.chSEITE 5
SCADA Security – Access Vector 2014 ICS-CERT, USA © 2014 InfoGuard AG | infoguard.chSEITE 6
› Security by Design – in der (heutigen, modernen) IT noch immer ein Fremdwort › Sicherheit im Design, Ausführung und Betrieb von SCADA Systemen › Security by Obscurity – Nutzung spezialisierter oder proprietärer Protokolle macht SCADA nicht sicherer › Physikalischer Schutz von SCADA Systemen – sobald eine Schnittstelle zu einem Netzwerk besteht, hilft physische Sicherheit nur noch bedingt › Sicherheit durch Trennung vom Internet – heute kein zwingender Hinderungsgrund mehr › Safety deckt Security nicht ab! © 2014 InfoGuard AG | infoguard.chSEITE 7 SCADA Sorgenliste
Top BSI-CS 005 v1.10, © 2014 InfoGuard AG | infoguard.chSEITE 8
› Risikoanalyse / Threat Modelling › Angriffsvektoren › Schadenausmass, Entdeckungsmöglichkeiten und Wahrscheinlichkeit › Systematischen Sicherheitsplan – Sicherheitskonzept entwickeln, inklusiv Informationssicherheit › Schnittstellen / Kommunikation zu „physischer Sicherheit / Safety“ und IT- Sicherheit etablieren › Prozesse, Verantwortlichkeiten, Informationsflüsse › Eskalation, Incident Management › Notfallkonzeption/-planung © 2014 InfoGuard AG | infoguard.chSEITE 9 Massnahmen
InfoGuard AG Lindenstrasse 10, 6340 Baar/Schweiz Telefon , Fax infoguard.ch, Umberto Annino Senior Security Consultant Direct Mobile SEITE 10 Kontakt © 2014 InfoGuard AG | infoguard.ch