10. vorstellung ict-security graz · sicherheit in der fernwirktechnik informationstag trinkwasser...
TRANSCRIPT
![Page 1: 10. Vorstellung ICT-Security Graz · Sicherheit in der Fernwirktechnik Informationstag Trinkwasser 2017 Patrick Erni 3 Jahre Leiter IT-Services bei Rittmeyer ... Datenmanipulation](https://reader031.vdocuments.site/reader031/viewer/2022022613/5b9f316b09d3f2385c8b52ca/html5/thumbnails/1.jpg)
12.10.2017
1
Sicherheit in der FernwirktechnikInformationstag Trinkwasser 2017
Patrick Erni
3 Jahre Leiter IT-Services bei Rittmeyer HSLU Information Security HSLU IT-Driven Business Innovation ISO 27001 Officer
12 Jahre Leiter Informatik bei Rittmeyer HSLU IT-Management ITIL Foundation
10 Jahre ICT-Projektleiter Banken, Versicherung und KMU Umfeld MCSE Microsoft zertifiziert NCSE Novell zertifiziert
10 Jahre Hardware System Engineer IBM HW Zertifiziert
Das Unternehmen Rittmeyer
Gründungsjahr:1904 Unternehmensform: Aktiengesellschaft Hauptsitz: Baar (Schweiz)Anzahl der Mitarbeitenden: 300 Weltweit installierte Systeme: über 20’000
![Page 2: 10. Vorstellung ICT-Security Graz · Sicherheit in der Fernwirktechnik Informationstag Trinkwasser 2017 Patrick Erni 3 Jahre Leiter IT-Services bei Rittmeyer ... Datenmanipulation](https://reader031.vdocuments.site/reader031/viewer/2022022613/5b9f316b09d3f2385c8b52ca/html5/thumbnails/2.jpg)
12.10.2017
2
Inhalt
Was ist Sicherheit
Bedrohungen
Schwachstellen
Gefahren
Wie schützen wir uns
© Patrick Erni – Rittmeyer AG
Simulation eines Wasserkraftwerkes (mit Steuerungsebene über das Internet)
Quelle: MELANI Halbjahresbericht 2015
![Page 3: 10. Vorstellung ICT-Security Graz · Sicherheit in der Fernwirktechnik Informationstag Trinkwasser 2017 Patrick Erni 3 Jahre Leiter IT-Services bei Rittmeyer ... Datenmanipulation](https://reader031.vdocuments.site/reader031/viewer/2022022613/5b9f316b09d3f2385c8b52ca/html5/thumbnails/3.jpg)
12.10.2017
3
Bedrohung - Live Angriffe
http://threatmap.fortiguard.com/
https://threatmap.bitdefender.com/
https://threatmap.checkpoint.com/ThreatPortal/livemap.html
https://intel.malwaretech.com/pewpew.html
aus der Presse….
![Page 4: 10. Vorstellung ICT-Security Graz · Sicherheit in der Fernwirktechnik Informationstag Trinkwasser 2017 Patrick Erni 3 Jahre Leiter IT-Services bei Rittmeyer ... Datenmanipulation](https://reader031.vdocuments.site/reader031/viewer/2022022613/5b9f316b09d3f2385c8b52ca/html5/thumbnails/4.jpg)
12.10.2017
4
Es gibt zwei Arten von Unternehmen: solche
die schon gehackt wurden, und solche, die
es noch werden.
Die Frage ist heute nicht mehr, ob ein
Unternehmen angegriffen wird, sondern
wann!
Definition von Informations-Sicherheit
Informationen sind wichtige Unternehmenswerte und werden heute überwiegend mit IT-Systemen übertragen, verarbeitet, gespeichert.
![Page 5: 10. Vorstellung ICT-Security Graz · Sicherheit in der Fernwirktechnik Informationstag Trinkwasser 2017 Patrick Erni 3 Jahre Leiter IT-Services bei Rittmeyer ... Datenmanipulation](https://reader031.vdocuments.site/reader031/viewer/2022022613/5b9f316b09d3f2385c8b52ca/html5/thumbnails/5.jpg)
12.10.2017
5
Gesetze und Vorlagen
• Das EU-Parlament beschliesst am 14.4.2016 eine Datenschutz-Grundverordnung (DSGVO)
• Die Bestimmungen der DSGVO und des österreichischen Datenschutzgesetzes (DSG) ist in der Fassung des Datenschutz-Anpassungsgesetzes 2018 und gelten ab 25.5.2018.
Die Regeln für die Verarbeitung personenbezogener Daten, die Rechte der Betroffenen und die Pflichten der Verantwortlichen werden EU-weit vereinheitlicht. Jedes Unternehmen, das in irgendeiner Weise personenbezogene Daten verarbeitet, ist betroffen. (z.B. eine Kundendatei führt, Rechnungen ausstellt, Lieferantendaten speichert)
Ab diesem Zeitpunkt drohen bei Verstössen hohe Geldbussen von bis zu 10 Mio €oder im Fall eines Unternehmens von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.
Zukünftige Gesetze und Vorlagen
In Österreich ist das BMI und das BKA für den Schutz kritischer Infrastrukturen beauftragt. Sie werden vom APCIP in der Umsetzung unterstützt.
Das IT-Sicherheitsgesetz (ITSiG) verlangt von Betreibern kritischer Infrastrukturen, kurz KRITIS, dass sie ihre Netze besser schützen und Angriffe melden.
Die ÖVGW hat einen Branchenstandard für IT-Sicherheit Wasser/Abwasser
![Page 6: 10. Vorstellung ICT-Security Graz · Sicherheit in der Fernwirktechnik Informationstag Trinkwasser 2017 Patrick Erni 3 Jahre Leiter IT-Services bei Rittmeyer ... Datenmanipulation](https://reader031.vdocuments.site/reader031/viewer/2022022613/5b9f316b09d3f2385c8b52ca/html5/thumbnails/6.jpg)
12.10.2017
6
Bedrohung + Schwachstelle = Gefahr
Erpressung
Manipulation
Ausfall
Diebstahl
Spionage
Zerstörung
USB-Speicher
Internet
Netzwerk
Mitarbeiter
An der Bedrohung können wir nichts ändern - Schwachstellen können jedoch vermeiden werden
Bedrohungen
Menschen– Cyber-Angreifer
– Terroristen
– Aktivisten
– Mitarbeiter
Malware (Virus)
Hardware / Technik– externe– Interne
Software– externe– Interne
höhere Gewalt– Feuer– Wasser– Blitz– Erdbeben
![Page 7: 10. Vorstellung ICT-Security Graz · Sicherheit in der Fernwirktechnik Informationstag Trinkwasser 2017 Patrick Erni 3 Jahre Leiter IT-Services bei Rittmeyer ... Datenmanipulation](https://reader031.vdocuments.site/reader031/viewer/2022022613/5b9f316b09d3f2385c8b52ca/html5/thumbnails/7.jpg)
12.10.2017
7
Angreifer-Typologie
Die häufigsten erfolgreichen Tätergruppen
Quelle: IBM X-Force Cyber Security Intelligence Index 2016
![Page 8: 10. Vorstellung ICT-Security Graz · Sicherheit in der Fernwirktechnik Informationstag Trinkwasser 2017 Patrick Erni 3 Jahre Leiter IT-Services bei Rittmeyer ... Datenmanipulation](https://reader031.vdocuments.site/reader031/viewer/2022022613/5b9f316b09d3f2385c8b52ca/html5/thumbnails/8.jpg)
12.10.2017
8
Top Schwachstellen (BSI 2017)
Social Engineering
Einschleusen von Schadsoftware über Wechseldatenträger
Infektion und Angriffe über Internet und Intranet
Einbruch über Fernwartungszugänge
Menschliches Fehlverhalten und Sabotage
Technisches Fehlverhalten
Höhere Gewalt
(D)DoS - Angriffe
Was ist Social Engineering?
Social Engineering ist ein Verfahren, um sicherheitstechnisch relevante Daten Computer- oder Human Based durch Ausnutzung menschlicher Komponenten in Erfahrung zu bringen. Menschen sind manipulierbar und generell das schwächste Glied in einer Kette.
Die Informationen werden gesammelt aus: Gesprächen
Telefongesprächen
Homepage
Internet
Darknet
Social Medien (Facebook, Xing, LinkedIn, Search, usw.)
Prospekte
Firmenorganigramm
Firmentelefonbuch
![Page 9: 10. Vorstellung ICT-Security Graz · Sicherheit in der Fernwirktechnik Informationstag Trinkwasser 2017 Patrick Erni 3 Jahre Leiter IT-Services bei Rittmeyer ... Datenmanipulation](https://reader031.vdocuments.site/reader031/viewer/2022022613/5b9f316b09d3f2385c8b52ca/html5/thumbnails/9.jpg)
12.10.2017
9
Schwachstelle USB-Speicher
Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware wie USB-Sticks.
Mitarbeiter verwenden diese häufig Privat, im Office- als auch in ICS-Netzen
Schwachstelle Mitarbeiter (Klicker)LinkedIn
DHL
UPS
Zalando
eBay
Amazon
PayPal
iTunes
Microsoft
Banken
Mastercard
Visa
Behörden
![Page 10: 10. Vorstellung ICT-Security Graz · Sicherheit in der Fernwirktechnik Informationstag Trinkwasser 2017 Patrick Erni 3 Jahre Leiter IT-Services bei Rittmeyer ... Datenmanipulation](https://reader031.vdocuments.site/reader031/viewer/2022022613/5b9f316b09d3f2385c8b52ca/html5/thumbnails/10.jpg)
12.10.2017
10
Top Malware-Quellen
#1 Drive by DownloadMalware installiert sich im Hintergrund beim Download einer Webseite Bis zu 200‘000 neu infizierte Webseiten pro Monat
#2 Spam MailÖffnen einer infizierten E-Mail oder deren Anhang führt zur Infektion 89% aller E-Mails sind Spam
#3 Direkte DownloadsInfektion durch den direkten Download von Malware (getarnt als gutartiges Programm) Eines von 14 heruntergeladenen Programmen ist böse
Schwachstelle Netzwerk / Internet
Digitalisierung Internet of Things Cloud Computing Industrie 4.o
![Page 11: 10. Vorstellung ICT-Security Graz · Sicherheit in der Fernwirktechnik Informationstag Trinkwasser 2017 Patrick Erni 3 Jahre Leiter IT-Services bei Rittmeyer ... Datenmanipulation](https://reader031.vdocuments.site/reader031/viewer/2022022613/5b9f316b09d3f2385c8b52ca/html5/thumbnails/11.jpg)
12.10.2017
11
Schwachstelle IP-Adresse (Shodan Suchmaschine)
Schwachstelle Fernwartungszugang
In ICS-Installationen sind externe Zugänge für Wartungszwecke weit verbreitet. Häufig existieren dabei Zugänge mit Standardpasswörtern oder fest kodierte Passwörter. Mit gestohlenem Equipment oder Zugangsdaten wird ein eindringen für Cyber-Kriminelle sehr einfach.
• Grundregel 1: Die Initiative zum Aufbau einer Support- oder Fernwartungssession muss
immer vom Anwender ausgehen.
• Grundregel 2: Die Fernwartungsverbindung muss verschlüsselt sein.
• Grundregel 3: Der Fernwartende muss sich sicher authentifizieren, bevor er Zugriff auf das
System erhält.
• Grundregel 4: Die Durchführung einer Fernwartung muss protokolliert werden.
• Grundregel 5: Verhängen einer Zeitsperre bei fehlerhaften Zugangsversuchen.
ein VPN-Zugang ist ein Schlüssel in die Firma….
![Page 12: 10. Vorstellung ICT-Security Graz · Sicherheit in der Fernwirktechnik Informationstag Trinkwasser 2017 Patrick Erni 3 Jahre Leiter IT-Services bei Rittmeyer ... Datenmanipulation](https://reader031.vdocuments.site/reader031/viewer/2022022613/5b9f316b09d3f2385c8b52ca/html5/thumbnails/12.jpg)
12.10.2017
12
Gefahren
Verfügbarkeit– instabile Systeme
– instabile Kommunikation
– Blockierte / Defekte Systeme
– Zerstörung der Systeme
Fernsteuerung– Software
– Hardware
Erpressung
Diebstahl– Daten
– Informationen
– Finanzen
– Hardware
Datenmanipulation– Sensoren (Überlauf)
– Sensoren (Durchfluss)
– Aufzeichnungen
– Abrechnungen
Gefahren Map
![Page 13: 10. Vorstellung ICT-Security Graz · Sicherheit in der Fernwirktechnik Informationstag Trinkwasser 2017 Patrick Erni 3 Jahre Leiter IT-Services bei Rittmeyer ... Datenmanipulation](https://reader031.vdocuments.site/reader031/viewer/2022022613/5b9f316b09d3f2385c8b52ca/html5/thumbnails/13.jpg)
12.10.2017
13
Wie Schützen wir uns?
Nur Technische Massnahmen
PASSWORD
Mythen, Missverständnisse und Fehleinschätzungen
![Page 14: 10. Vorstellung ICT-Security Graz · Sicherheit in der Fernwirktechnik Informationstag Trinkwasser 2017 Patrick Erni 3 Jahre Leiter IT-Services bei Rittmeyer ... Datenmanipulation](https://reader031.vdocuments.site/reader031/viewer/2022022613/5b9f316b09d3f2385c8b52ca/html5/thumbnails/14.jpg)
12.10.2017
14
Unterschied zwischen Office- und Industriewelt
Wie müssen wir uns Schützen?
IT-Sicherheit wird beeinflusst durch Menschen, Prozesse und Technologie
Dabei besteht es aus 75% Mensch (Organisatorisch) und 25% Technologie
den gesunden Menschenverstand einsetzen
![Page 15: 10. Vorstellung ICT-Security Graz · Sicherheit in der Fernwirktechnik Informationstag Trinkwasser 2017 Patrick Erni 3 Jahre Leiter IT-Services bei Rittmeyer ... Datenmanipulation](https://reader031.vdocuments.site/reader031/viewer/2022022613/5b9f316b09d3f2385c8b52ca/html5/thumbnails/15.jpg)
12.10.2017
15
Burgarchitektur als Vorbild
10 Punkte Sicherheitsplan
![Page 16: 10. Vorstellung ICT-Security Graz · Sicherheit in der Fernwirktechnik Informationstag Trinkwasser 2017 Patrick Erni 3 Jahre Leiter IT-Services bei Rittmeyer ... Datenmanipulation](https://reader031.vdocuments.site/reader031/viewer/2022022613/5b9f316b09d3f2385c8b52ca/html5/thumbnails/16.jpg)
12.10.2017
16
Update Service
Schluss mit „never change a running system!“
Um höchste Versorgungssicherheit zu gewährleisten und zu erhalten, müssen auftretende Sicherheitslücken in der Softwareinstallation umgehend behoben werden. Dafür ist es notwendig, dass verfügbare Aktualisierungen regelmässig durchgeführt werden.
Backup Service
Die Komplette Datensicherung in der Cloud
Die Notwendigkeit für Backups ist vorhanden. Es wird jedoch unterschätzt, oft vernachlässigt und nicht seriös gehandhabt. Mit der vollautomatischen Daten-Backup Lösung übernimmt der Anbieter die Verantwortung für die regelmässige und effiziente Sicherung der wertvollen Anlagendaten.
![Page 17: 10. Vorstellung ICT-Security Graz · Sicherheit in der Fernwirktechnik Informationstag Trinkwasser 2017 Patrick Erni 3 Jahre Leiter IT-Services bei Rittmeyer ... Datenmanipulation](https://reader031.vdocuments.site/reader031/viewer/2022022613/5b9f316b09d3f2385c8b52ca/html5/thumbnails/17.jpg)
12.10.2017
17
Cloud Service
Die Leittechnik Anwendung in einem Cloud Service.
Sie ist rund um die Uhr, 365 Tage im Jahr verfügbar. Ein Anwender greift über das Internet (verschlüsselt) auf die gewünschte Anwendung zu. Alle Investitionen in eigene Hardware und Massnahmen zu deren sicheren und störungsfreien Betrieb entfallen.
ICT-Sicherheitsberatung
Zertifizierten ISO-27001-Experten unterstützen Sie dabei, potenzielle Schwachstellen und Bedrohungen frühzeitig zu erkennen.
Wir erstellen Ihnen eine IST-Analyse und können danach mit gezielten Schutzmassnahmen ein individuelles und strukturiertes IT-Sicherheitskonzept für einen IT-Grundschutz erstellen.
IT-Grundschutz
IT-Sicherheitskonzept
ISMS nach ISO 27001
Zertifizierung ISO 27001
![Page 18: 10. Vorstellung ICT-Security Graz · Sicherheit in der Fernwirktechnik Informationstag Trinkwasser 2017 Patrick Erni 3 Jahre Leiter IT-Services bei Rittmeyer ... Datenmanipulation](https://reader031.vdocuments.site/reader031/viewer/2022022613/5b9f316b09d3f2385c8b52ca/html5/thumbnails/18.jpg)
12.10.2017
18
Die Welt der Hacker
Ablaufphasen eines Hackerangriffs
Aufklärung
Scan
Eindringen
Nachbearbeiten
Erhalten des Zugriffs
Penetration Testing
Informationsbasis
Aggressivität
Umfang
Vorgehensweise
Ausgangspunkt
Technik
![Page 19: 10. Vorstellung ICT-Security Graz · Sicherheit in der Fernwirktechnik Informationstag Trinkwasser 2017 Patrick Erni 3 Jahre Leiter IT-Services bei Rittmeyer ... Datenmanipulation](https://reader031.vdocuments.site/reader031/viewer/2022022613/5b9f316b09d3f2385c8b52ca/html5/thumbnails/19.jpg)
12.10.2017
19
Penetration Testing
mit einem Penetration-Tool (über 300 Werkzeuge) werden Angriffe durchgeführt
Was darf Sicherheit Kosten?
Eine Schutzmassnahme sollte nicht mehr kosten als das, was ich schützen will, Wert hat (es können auch subjektive Werte sein)
![Page 20: 10. Vorstellung ICT-Security Graz · Sicherheit in der Fernwirktechnik Informationstag Trinkwasser 2017 Patrick Erni 3 Jahre Leiter IT-Services bei Rittmeyer ... Datenmanipulation](https://reader031.vdocuments.site/reader031/viewer/2022022613/5b9f316b09d3f2385c8b52ca/html5/thumbnails/20.jpg)
12.10.2017
20