Foliensatz der VACE Systemtechnik GmbH über Cyber Security für die Industrie mit Aspekten aus dem ICS-Security-Kompendium des BSI, GDPR/EU-DSGVO, sowie Lessons Learned.
2. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
Wer ist VACE? - Unternehmensüberblick
1981 Gründung der VACE
Die „Voest Alpine Consulting Engineering“ - kurz VACE - wird am Standort
Linz gegründet.
Eingliederung in die MCE
Im Zuge einer Umstrukturierung wird die VACE von der damaligen MCE
übernommen.
neue Eigentümerstruktur
Dreißig Jahre nach ihrer Gründung wird die VACE von der damaligen MCE
losgelöst.
Gründung der VACE GROUP
Neu aufgestellt präsentiert sich die VACE Group als spezialisierter
Industriedienstleister mit 8 Standorten in Österreich und Deutschland.
1990
2010
2014
3. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
Wer ist VACE? - Unternehmensüberblick
Geschäftsleitung Helmut Altreiter, Andreas Obermüller,
Franz Humer, Klaus Kremmair
VACE-Bereiche VACE Engineering, VACE Systemtechnik, VACE
IT Services, VACE Security, VACE Education & Training
Über 1.200 Mitarbeiter
Unsere Vorzüge
• ISO 9001:2008 zertifiziert
• Best Recruiters 2016/17 mit goldenem Siegel
• Kununu-Arbeitgeber-Ranking Platz 3
• Trend-Ranking – Top Arbeitgeber 2017
Andreas Obermüller Helmut Altreiter
Franz Humer Klaus Kremmair
4. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
Aktuelle Bedrohungen – Cyber Security betrifft
Whistleblower
Geheimdienste erspähen Kundendaten. Admins haben Zugriff auf fast alle Daten.
In Europa laufen mindestens dreimal so viele Daten über verschlüsselte
Verbindungen wie noch Anfang 2013.
WannaCry, Heartbleed, Glibc
Fehler in breit verwendeten, sicher geglaubten Technologien –
siehe WannaCry von 2017, glibc von 2016,
OpenSSL-Fehler von 2014.
KRITIS
Wir sind mehr denn je von technischen Systemen abhängig. Kritische Infrastrukturen
Strom, Trinkwasser, Informations- und Kommunikationstechnologie, Bankwesen, Treib- und
Brennstoff, Verkehr, …
Die NIS Richtlinie für „Netz- und Informations-Sicherheit“ tritt zeitgleich zur EU-DSGVO im
Mai 2018 in Kraft.
Öffentliche Einrichtungen
Cyberangriffe richten sich auch gegen öffentliche Einrichtungen.
Alle IT- Systeme können von Angriffen betroffen sein.
• Über 50% aller Unternehmen sind bereits betroffen
• Alle betroffenen Unternehmen nutzten Virenscanner, Firewalls sowie Passwortschutz
• Beliebteste Angriffsziele sind die Automobilindustrie, Chemie- und Pharma-Branche sowie Banken und Versicherungen
Quelle Bitkom.org 09.07.2015
Studie zu Wirtschaftsschutz und Cybercrime
52 % aktuelle oder
ehemalige Mitarbeiter
39 % Wettbewerber,
Lierferanten,
Dienstleister, Kunden
17% Hacker
11% organisierte
Bandenkriminalität
3% Geheimdienste
5. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
Aktuelle Vorfälle
Mai 2017: WannaCry infiziert über 230.000 Computer
Am 12. Mai 2017 wurde ein schwerwiegender Cyber-Angriff in 150 Ländern beobachtet. Unter den betroffenen Unternehmen befanden sich unter
anderem der französische Autokonzern Renault, der japanische Autohersteller Nissan, das US-Logistikunternehmen FedEx, die Deutsche Bahn mit der
Logistiktochter Schenker sowie Teile des britischen National Health Services (NHS). Der Angriff nutzte eine Sicherheitslücke aus, die dem US-
amerikanischen Auslandsgeheimdienst NSA mehr als 5 Jahr lang bekannt war.
März 2017: Wirtschaftsspionage bei Firma Bulmor Industries vereitelt
Laut Auskunft der Landespolizeidirektion und des Verfassungsschutzes wurde ein Fall von Industriespionage beim oberösterreichischen Unternehmen
Bulmor Industries erfolgreich verhindert. Die vermeintlichen Täter wollten die Technologie für einen neuen Supergabelstapler ins Ausland verkaufen –
für mehrere 100.000 Euro. Die Ermittlungen wurden gestartet, als sich ein ausländischer Mitbewerber beim Perger Unternehmen meldete.
Dezember 2016: Thyssenkrupp wird Opfer von massiven Hacker-Angriff
Die Abwehr eines erfolgreichen Angriffs dauerte beim deutschen Industriekonzern mehr als sechs Monate. Die Angreifer hätten versucht, von einem IT-
System, das bereits geknackt wurde, auf weitere Systeme einzudringen. Es wird vermutet, dass der Zugriff über Phishing-E-Mails erfolgt sein könnte. Das
IT-Sicherheitsteam konnte den Angriff letztendlich abwehren.
August 2016: Autozulieferer Leoni wird Betrugsopfer: 40 Millionen Euro
Der deutsche Autozulieferer Leonie wurde um etwa 40 Millionen Euro betrogen. Das Vorgehen der Täter entspricht der sogenannten „Fake-President-
Trick“, mit der Unbekannte bereits in den vorangegangenen Monaten andere Unternehmen um große Beträge erleichtert hatten.
7. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
Vernetzung - Entwicklungsstufen der Industrie
INDUSTRIE 1.0 –
Mechanisierung
durch Einführung
mechanischer
Produktionsanlagen mithilfe
von Wasser- und Dampfkraft
1784 Erster mechanischer
Webstuhl
INDUSTRIE 2.0 –
Elektrifizierung
durch Einführung
arbeitsteiliger
Massenproduktion mithilfe
von elektrischer Energie
1870 Erstes Fließband,
Schlachthöfe von Cincinnati
INDUSTRIE 3.0 –
Automatisierung
von Produktionsprozessen
durch Einsatz von Elektronik
und IT
1969 Erste speicher-
programmierbare Steuerung
(SPS), Modicon 084
INDUSTRIE 4.0 –
Vernetzung von
Menschen, Maschinen
(M2M) und Dingen
(Internet der Dinge)
auf Basis von cyber-
physischen Systemen
BEGINN20.JAHRHUNDERTENDE 18. JAHRHUNDERT BEGINNDER 70ERJAHRE HEUTE
8. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
Industrieunternehmen
Cloud
Supply Chain
Produktion USAProduktion CZ
Niederlassung FR
Hauptstandort Österreich
9. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
Nutzung von Cloud Computing in der EU
www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
17% 21% 57%
Österreich EU-Durchschnitt Finnland
Quelle: Eurostat, Cloud computing use in EU enterprises 2016
10. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
Nutzung von Cloud Computing in Österreich
www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
12% 20% 45%
Produzierende
Industrie
Dienstleistungen IKT-Sektor
Quelle: Statistik Austria, Unternehmen mit Nutzung von Cloud Services 2016
11. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
INDUSTRIAL
IoT
KNOW-HOW &
GEHEIMNISSCHUTZ
ABSICHERUNG
VON
PRODUKTIONS-
AUSFÄLLEN
PRODUKTHAFTUNG
PRODUKTBEOBACH-
TUNGSPFLICHTEN
DATENSCHUTZ
PRIVACY BY
DESIGN
IT-SICHERHEIT
Sicherheitsaspekte bei Industrial IoT
12. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
IndustRIal
IoT
Vorbeugende
Wartung
Digitale
Kooperation
Stabilere
Produktion
bei
geringeren
Kosten
Geister-
schichten
Disruptive
Geschäfts-
modelle
Digitaler
Zwilling
Chancen bei Industrial IoT
13. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
Top 10 ICS Bedrohungen des BSI (BSI-CS-005)
1. Social Engineering und Phishing
2. Einschleusen von Schadsoftware
über Wechseldatenträger und
externe Hardware
3. Infektion mit Schadsoftware
über Internet und Intranet
4. Einbruch über
Fernwartungszugänge
5. Menschliches Versagen und
Sabotage
6. Internet-verbundene
Steuerungskomponenten
7. Technisches Fehlverhalten und
höhere Gewalt
8. Kompromittierung von
Extranet und Cloud-
Komponenten
9. (D)DoS-Angriffe
10. Kompromittierung von
Smartphones im
Produktionsumfeld
Quelle: Bundesamt für Sicherheit in der Informationstechnik (Deutschland)
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_005.pdf?__blob=publicationFile
14. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
Beispiel: Einbruch über Fernwartungszugänge
VNC Keyhole ist ein Projekt
von Marco DiFilippo und
dient als Awareness-Tool.
Beschreibung
Das Projekt sucht nach offenen, und
ungeschützten Fernwartungszugängen
und stellt diese in Form von
Screenshots dar.
Zweck
Steigerung des Problembewusstseins
Website: http://vnckh.com
15. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
IoT Device Default Password Lookup
DefPass.com ist ein Projekt von
Marco DiFilippo und dient als
Awareness-Tool.
Beschreibung
Das Projekt stellt Standard-Zugangsdaten
für (Industrial) IoT-Geräte bereit.
Zweck
Steigerung des Problembewusstseins
Website: http://defpass.com
16. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
Internet-verbundene Steuerungskomponenten
Shodan ist eine
Computersuchmaschine von
John Matherly.
Beschreibung
Die 2009 veröffentlichte Plattform
durchsucht das Internet und stellt die
Informationen in einer einfachen, und
übersichtlichen Art dar. Neben
grafischen Auswertungen, und
einfachen Suchabfragen, gibt es auch
Programmierschnittstellen.
Zweck
Steigerung des Problembewusstseins
Website
https://www.shodan.io
18. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
(D)DoS durch ein IoT-Botnetz
Quelle: Twitter.com - https://twitter.com/olesovhcom/status/778019962036314112
19. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
(D)DoS durch ein IoT-Botnetz
Das Mirai-Botnet (japanisch für „Zukunft“)
infiziert zunehmend IoT-Geräte.
Beschreibung
Im September 2016 wurde auf „Krebs On
Security“ ein Angriff mit 620 Gbps
durchgeführt und auf den französischen
Cloud Dienstleister OVH, mit ca. 1 Tbps.
Der Quellcode ist inzwischen im Internet
verfügbar.
Quelle: Github.com – Leaded Mirai Botnet-
Quellcode:
https://github.com/jgamblin/Mirai-Source-Code
20. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
• Unterbrechung des Geschäftsbetriebes (inkl. Zusammenbruch der
Lieferantenkette)
• Sicherheitsvorfälle (Cyber Crime, Datenlecks, IT-Fehler)
• Reputationsverlust
• Diebstahl, Betrug, Korruption, Sabotage und Terrorismus
• Neue Technologien, Kollateralschäden
• Menschliche Fehler
• Blackouts
Auszug Global Business Risken für 2016
Quelle: Allianz Risk Barometer 2016 / in Anlehnung an Herbert Dirnberger (Cyber Security Austria)
http://www.agcs.allianz.com/assets/PDFs/Reports/AllianzRiskBarometer2016.pdf
21. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
Wenn Sie heute wüssten,…
…dass auch Ihrem Unternehmen demnächst ein Cyberangriff droht,…
…wäre es bereits zu spät!
Jedes zweite betroffene Unternehmen wurde erst nach einer Verweildauer von
durchschnittlich 150 Tagen im Kundennetzwerk durch externe Stellen auf die Attacke
aufmerksam gemacht!
22. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.atwww.vace-sec.at VACE Security – member of the VACE Group
security@vace.at
Sicherheit ist ein Prozess
SICHERHEITS
MANAGEMENT
PROZESS
TECHNISCHE
MAßNAHMEN
VALIDIERUNGUND
VERBESSERUNG
RISIKOANALYSE
RICHTLINIEN,
ORGANISATORISCHE
MAßNAHMEN
3
4
1
2
23. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.atwww.vace-sec.at
• Grundrecht für EU Bürger Die Europäische Union verankert den Schutz, natürlicher Personen betreffende,
personenbezogene Daten auf Grundrechtsebene
• EU-weites Datenschutzrecht Die Verordnung ist der Versuch alle 28 bestehende nationale Gesetz zu
vereinheitlichen – auf Grund der Öffnungsklauseln unzureichend
• Sanktionen
• bis 10 Mio. € bzw. 2% des weltweiten Vorjahresumsatzes
• Bei Verletzung technischer und organisatorischer Schutzmaßnahmen
• Fehlender Nachweis der Verarbeitungstätigkeit, Datenschutz-Folgenabschätzung
• bis 20 Mio. € bzw. 4% des weltweiten Vorjahresumsatzes
• Verletzung der Rechtmäßigkeit, mangelnde oder nicht vorhandene Einwilligung
• Verletzung der Rechte Betroffener
• Drittlandübermittlung
• Fehlende Zusammenarbeit mit der Aufsichtsbehörde
• Beweislastumkehr: der Verantwortliche muss die Rechtskonformität seiner Datenverarbeitung nachweisen.
• Meldepflicht bei Datenschutzvergehen, innerhalb von 72 Stunden an die Behörde und die Betroffenen.
• Handlungsbedarf – die Maßnahmen sollten bis zum 25. Mai 2018 bereits umgesetzt sein!
VACE Security – member of the VACE Group
security@vace.at
Datenschutz Grundverordnung EU-DSGVO
24. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
Überblick über Cyber Security Maßnahmen
VACE Security – member of the VACE Group
security@vace.at
Planung der Audits
Compliance Dashboard
Control Assessment
Übersicht der Controls
25. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
Diskussion zum Abschluss
Safety, Security, Resilienz und Privacy von Anfang an
Das deutsche Cybersicherheitsgesetz und die Europäische
Datenschutzgrundverordnung (EU-DSGVO) setzen die ersten Schritte
in diese Richtung.
Industrial IoT vs. IoT vs. IT vs. AT
Jeder Teilbereich bringt unterschiedliche Aspekte mit sich und es ist
daher umso entscheidender zu verstehen worin die Unterschiede und
die Gemeinsamkeiten von (Industrial) IoT, IT und AT liegen.
Chancen und Risiken erkennen
Durch eine zunehmende Vernetzung können Synergieeffekte genutzt
werden, allerdings müssen die Technologien sicher und beherrschbar
angewendet werden, denn sonst wird aus einer Chance ein Risiko.
Legacy von Stunde 0 weg
Ohne einer Risiko- und Technologie-Folgenabschätzung von Anfang
an, kann ein Digitalisierungs-Projekt in einem Legacy-Projekt enden.
www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
26. www.vace-sec.at
VACE Systemtechnik GmbH
Linzer Straße 16e
A-4221 Steyregg
Das Angebot an Dienstleistern für Human Ressources, Engineering, Training und
Education, Netzwerk- und IT-Security-Dienstleister, ist groß,…
…aber wir vereinen all diese Kernkompetenzen
zum einzigartigen Nutzen für Sie!