SlideShare ist ein Scribd-Unternehmen logo

Cyber Security für vernetzte Industrie

Florian Brunner
Florian Brunner

Foliensatz der VACE Systemtechnik GmbH über Cyber Security für die Industrie mit Aspekten aus dem ICS-Security-Kompendium des BSI, GDPR/EU-DSGVO, sowie Lessons Learned.

Präsentationen & Vorträge
1 von 26
www.vace-sec.at VACE Systemtechnik GmbH business unit SECURITY Linzer Straße 16e, 4221 Steyregg Cyber Security als Chance für vernetzte Industrie
www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Wer ist VACE? - Unternehmensüberblick 1981 Gründung der VACE Die „Voest Alpine Consulting Engineering“ - kurz VACE - wird am Standort Linz gegründet. Eingliederung in die MCE Im Zuge einer Umstrukturierung wird die VACE von der damaligen MCE übernommen. neue Eigentümerstruktur Dreißig Jahre nach ihrer Gründung wird die VACE von der damaligen MCE losgelöst. Gründung der VACE GROUP Neu aufgestellt präsentiert sich die VACE Group als spezialisierter Industriedienstleister mit 8 Standorten in Österreich und Deutschland. 1990 2010 2014
www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Wer ist VACE? - Unternehmensüberblick Geschäftsleitung Helmut Altreiter, Andreas Obermüller, Franz Humer, Klaus Kremmair VACE-Bereiche VACE Engineering, VACE Systemtechnik, VACE IT Services, VACE Security, VACE Education & Training Über 1.200 Mitarbeiter Unsere Vorzüge • ISO 9001:2008 zertifiziert • Best Recruiters 2016/17 mit goldenem Siegel • Kununu-Arbeitgeber-Ranking Platz 3 • Trend-Ranking – Top Arbeitgeber 2017 Andreas Obermüller Helmut Altreiter Franz Humer Klaus Kremmair
www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Aktuelle Bedrohungen – Cyber Security betrifft Whistleblower Geheimdienste erspähen Kundendaten. Admins haben Zugriff auf fast alle Daten. In Europa laufen mindestens dreimal so viele Daten über verschlüsselte Verbindungen wie noch Anfang 2013. WannaCry, Heartbleed, Glibc Fehler in breit verwendeten, sicher geglaubten Technologien – siehe WannaCry von 2017, glibc von 2016, OpenSSL-Fehler von 2014. KRITIS Wir sind mehr denn je von technischen Systemen abhängig. Kritische Infrastrukturen Strom, Trinkwasser, Informations- und Kommunikationstechnologie, Bankwesen, Treib- und Brennstoff, Verkehr, … Die NIS Richtlinie für „Netz- und Informations-Sicherheit“ tritt zeitgleich zur EU-DSGVO im Mai 2018 in Kraft. Öffentliche Einrichtungen Cyberangriffe richten sich auch gegen öffentliche Einrichtungen. Alle IT- Systeme können von Angriffen betroffen sein. • Über 50% aller Unternehmen sind bereits betroffen • Alle betroffenen Unternehmen nutzten Virenscanner, Firewalls sowie Passwortschutz • Beliebteste Angriffsziele sind die Automobilindustrie, Chemie- und Pharma-Branche sowie Banken und Versicherungen Quelle Bitkom.org 09.07.2015 Studie zu Wirtschaftsschutz und Cybercrime 52 % aktuelle oder ehemalige Mitarbeiter 39 % Wettbewerber, Lierferanten, Dienstleister, Kunden 17% Hacker 11% organisierte Bandenkriminalität 3% Geheimdienste
www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Aktuelle Vorfälle Mai 2017: WannaCry infiziert über 230.000 Computer Am 12. Mai 2017 wurde ein schwerwiegender Cyber-Angriff in 150 Ländern beobachtet. Unter den betroffenen Unternehmen befanden sich unter anderem der französische Autokonzern Renault, der japanische Autohersteller Nissan, das US-Logistikunternehmen FedEx, die Deutsche Bahn mit der Logistiktochter Schenker sowie Teile des britischen National Health Services (NHS). Der Angriff nutzte eine Sicherheitslücke aus, die dem US- amerikanischen Auslandsgeheimdienst NSA mehr als 5 Jahr lang bekannt war. März 2017: Wirtschaftsspionage bei Firma Bulmor Industries vereitelt Laut Auskunft der Landespolizeidirektion und des Verfassungsschutzes wurde ein Fall von Industriespionage beim oberösterreichischen Unternehmen Bulmor Industries erfolgreich verhindert. Die vermeintlichen Täter wollten die Technologie für einen neuen Supergabelstapler ins Ausland verkaufen – für mehrere 100.000 Euro. Die Ermittlungen wurden gestartet, als sich ein ausländischer Mitbewerber beim Perger Unternehmen meldete. Dezember 2016: Thyssenkrupp wird Opfer von massiven Hacker-Angriff Die Abwehr eines erfolgreichen Angriffs dauerte beim deutschen Industriekonzern mehr als sechs Monate. Die Angreifer hätten versucht, von einem IT- System, das bereits geknackt wurde, auf weitere Systeme einzudringen. Es wird vermutet, dass der Zugriff über Phishing-E-Mails erfolgt sein könnte. Das IT-Sicherheitsteam konnte den Angriff letztendlich abwehren. August 2016: Autozulieferer Leoni wird Betrugsopfer: 40 Millionen Euro Der deutsche Autozulieferer Leonie wurde um etwa 40 Millionen Euro betrogen. Das Vorgehen der Täter entspricht der sogenannten „Fake-President- Trick“, mit der Unbekannte bereits in den vorangegangenen Monaten andere Unternehmen um große Beträge erleichtert hatten.
www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Was hat eine Burg mit Cyber Security zu tun?
www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Vernetzung - Entwicklungsstufen der Industrie INDUSTRIE 1.0 – Mechanisierung durch Einführung mechanischer Produktionsanlagen mithilfe von Wasser- und Dampfkraft 1784 Erster mechanischer Webstuhl INDUSTRIE 2.0 – Elektrifizierung durch Einführung arbeitsteiliger Massenproduktion mithilfe von elektrischer Energie 1870 Erstes Fließband, Schlachthöfe von Cincinnati INDUSTRIE 3.0 – Automatisierung von Produktionsprozessen durch Einsatz von Elektronik und IT 1969 Erste speicher- programmierbare Steuerung (SPS), Modicon 084 INDUSTRIE 4.0 – Vernetzung von Menschen, Maschinen (M2M) und Dingen (Internet der Dinge) auf Basis von cyber- physischen Systemen BEGINN20.JAHRHUNDERTENDE 18. JAHRHUNDERT BEGINNDER 70ERJAHRE HEUTE
www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Industrieunternehmen Cloud Supply Chain Produktion USAProduktion CZ Niederlassung FR Hauptstandort Österreich
www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Nutzung von Cloud Computing in der EU www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at 17% 21% 57% Österreich EU-Durchschnitt Finnland Quelle: Eurostat, Cloud computing use in EU enterprises 2016
www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Nutzung von Cloud Computing in Österreich www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at 12% 20% 45% Produzierende Industrie Dienstleistungen IKT-Sektor Quelle: Statistik Austria, Unternehmen mit Nutzung von Cloud Services 2016
www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at INDUSTRIAL IoT KNOW-HOW & GEHEIMNISSCHUTZ ABSICHERUNG VON PRODUKTIONS- AUSFÄLLEN PRODUKTHAFTUNG PRODUKTBEOBACH- TUNGSPFLICHTEN DATENSCHUTZ PRIVACY BY DESIGN IT-SICHERHEIT Sicherheitsaspekte bei Industrial IoT
www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at IndustRIal IoT Vorbeugende Wartung Digitale Kooperation Stabilere Produktion bei geringeren Kosten Geister- schichten Disruptive Geschäfts- modelle Digitaler Zwilling Chancen bei Industrial IoT
www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Top 10 ICS Bedrohungen des BSI (BSI-CS-005) 1. Social Engineering und Phishing 2. Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware 3. Infektion mit Schadsoftware über Internet und Intranet 4. Einbruch über Fernwartungszugänge 5. Menschliches Versagen und Sabotage 6. Internet-verbundene Steuerungskomponenten 7. Technisches Fehlverhalten und höhere Gewalt 8. Kompromittierung von Extranet und Cloud- Komponenten 9. (D)DoS-Angriffe 10. Kompromittierung von Smartphones im Produktionsumfeld Quelle: Bundesamt für Sicherheit in der Informationstechnik (Deutschland) https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_005.pdf?__blob=publicationFile
www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Beispiel: Einbruch über Fernwartungszugänge VNC Keyhole ist ein Projekt von Marco DiFilippo und dient als Awareness-Tool. Beschreibung Das Projekt sucht nach offenen, und ungeschützten Fernwartungszugängen und stellt diese in Form von Screenshots dar. Zweck Steigerung des Problembewusstseins Website: http://vnckh.com
www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at IoT Device Default Password Lookup DefPass.com ist ein Projekt von Marco DiFilippo und dient als Awareness-Tool. Beschreibung Das Projekt stellt Standard-Zugangsdaten für (Industrial) IoT-Geräte bereit. Zweck Steigerung des Problembewusstseins Website: http://defpass.com
www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Internet-verbundene Steuerungskomponenten Shodan ist eine Computersuchmaschine von John Matherly. Beschreibung Die 2009 veröffentlichte Plattform durchsucht das Internet und stellt die Informationen in einer einfachen, und übersichtlichen Art dar. Neben grafischen Auswertungen, und einfachen Suchabfragen, gibt es auch Programmierschnittstellen. Zweck Steigerung des Problembewusstseins Website https://www.shodan.io
www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Shodan.io Suchmaschine - BACnet
www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at (D)DoS durch ein IoT-Botnetz Quelle: Twitter.com - https://twitter.com/olesovhcom/status/778019962036314112
www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at (D)DoS durch ein IoT-Botnetz Das Mirai-Botnet (japanisch für „Zukunft“) infiziert zunehmend IoT-Geräte. Beschreibung Im September 2016 wurde auf „Krebs On Security“ ein Angriff mit 620 Gbps durchgeführt und auf den französischen Cloud Dienstleister OVH, mit ca. 1 Tbps. Der Quellcode ist inzwischen im Internet verfügbar. Quelle: Github.com – Leaded Mirai Botnet- Quellcode: https://github.com/jgamblin/Mirai-Source-Code
www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at • Unterbrechung des Geschäftsbetriebes (inkl. Zusammenbruch der Lieferantenkette) • Sicherheitsvorfälle (Cyber Crime, Datenlecks, IT-Fehler) • Reputationsverlust • Diebstahl, Betrug, Korruption, Sabotage und Terrorismus • Neue Technologien, Kollateralschäden • Menschliche Fehler • Blackouts Auszug Global Business Risken für 2016 Quelle: Allianz Risk Barometer 2016 / in Anlehnung an Herbert Dirnberger (Cyber Security Austria) http://www.agcs.allianz.com/assets/PDFs/Reports/AllianzRiskBarometer2016.pdf
www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Wenn Sie heute wüssten,… …dass auch Ihrem Unternehmen demnächst ein Cyberangriff droht,… …wäre es bereits zu spät! Jedes zweite betroffene Unternehmen wurde erst nach einer Verweildauer von durchschnittlich 150 Tagen im Kundennetzwerk durch externe Stellen auf die Attacke aufmerksam gemacht!
www.vace-sec.at VACE-Security – member of the VACE Group security@vace.atwww.vace-sec.at VACE Security – member of the VACE Group security@vace.at Sicherheit ist ein Prozess SICHERHEITS MANAGEMENT PROZESS TECHNISCHE MAßNAHMEN VALIDIERUNGUND VERBESSERUNG RISIKOANALYSE RICHTLINIEN, ORGANISATORISCHE MAßNAHMEN 3 4 1 2
www.vace-sec.at VACE-Security – member of the VACE Group security@vace.atwww.vace-sec.at • Grundrecht für EU Bürger Die Europäische Union verankert den Schutz, natürlicher Personen betreffende, personenbezogene Daten auf Grundrechtsebene • EU-weites Datenschutzrecht Die Verordnung ist der Versuch alle 28 bestehende nationale Gesetz zu vereinheitlichen – auf Grund der Öffnungsklauseln unzureichend • Sanktionen • bis 10 Mio. € bzw. 2% des weltweiten Vorjahresumsatzes • Bei Verletzung technischer und organisatorischer Schutzmaßnahmen • Fehlender Nachweis der Verarbeitungstätigkeit, Datenschutz-Folgenabschätzung • bis 20 Mio. € bzw. 4% des weltweiten Vorjahresumsatzes • Verletzung der Rechtmäßigkeit, mangelnde oder nicht vorhandene Einwilligung • Verletzung der Rechte Betroffener • Drittlandübermittlung • Fehlende Zusammenarbeit mit der Aufsichtsbehörde • Beweislastumkehr: der Verantwortliche muss die Rechtskonformität seiner Datenverarbeitung nachweisen. • Meldepflicht bei Datenschutzvergehen, innerhalb von 72 Stunden an die Behörde und die Betroffenen. • Handlungsbedarf – die Maßnahmen sollten bis zum 25. Mai 2018 bereits umgesetzt sein! VACE Security – member of the VACE Group security@vace.at Datenschutz Grundverordnung EU-DSGVO
www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Überblick über Cyber Security Maßnahmen VACE Security – member of the VACE Group security@vace.at Planung der Audits Compliance Dashboard Control Assessment Übersicht der Controls
www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Diskussion zum Abschluss Safety, Security, Resilienz und Privacy von Anfang an Das deutsche Cybersicherheitsgesetz und die Europäische Datenschutzgrundverordnung (EU-DSGVO) setzen die ersten Schritte in diese Richtung. Industrial IoT vs. IoT vs. IT vs. AT Jeder Teilbereich bringt unterschiedliche Aspekte mit sich und es ist daher umso entscheidender zu verstehen worin die Unterschiede und die Gemeinsamkeiten von (Industrial) IoT, IT und AT liegen. Chancen und Risiken erkennen Durch eine zunehmende Vernetzung können Synergieeffekte genutzt werden, allerdings müssen die Technologien sicher und beherrschbar angewendet werden, denn sonst wird aus einer Chance ein Risiko. Legacy von Stunde 0 weg Ohne einer Risiko- und Technologie-Folgenabschätzung von Anfang an, kann ein Digitalisierungs-Projekt in einem Legacy-Projekt enden. www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at
www.vace-sec.at VACE Systemtechnik GmbH Linzer Straße 16e A-4221 Steyregg Das Angebot an Dienstleistern für Human Ressources, Engineering, Training und Education, Netzwerk- und IT-Security-Dienstleister, ist groß,… …aber wir vereinen all diese Kernkompetenzen zum einzigartigen Nutzen für Sie!

Empfohlen

Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...
Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...
Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...
Praxistage
 
Mag.a Michaela Roither (Industriellenvereinigung Niederösterreich)
Mag.a Michaela Roither (Industriellenvereinigung Niederösterreich)Mag.a Michaela Roither (Industriellenvereinigung Niederösterreich)
Mag.a Michaela Roither (Industriellenvereinigung Niederösterreich)
Praxistage
 
Josef Weissinger (Soroban)
Josef Weissinger (Soroban)Josef Weissinger (Soroban)
Josef Weissinger (Soroban)
Praxistage
 
Wolfgang Rosenkranz | Staatlich-private Zusammenarbeit in Zeiten von NIS-Gese...
Wolfgang Rosenkranz | Staatlich-private Zusammenarbeit in Zeiten von NIS-Gese...Wolfgang Rosenkranz | Staatlich-private Zusammenarbeit in Zeiten von NIS-Gese...
Wolfgang Rosenkranz | Staatlich-private Zusammenarbeit in Zeiten von NIS-Gese...
Microsoft Österreich
 
Das IT Sicherheitsgesetz heiß am brodeln
Das IT Sicherheitsgesetz heiß am brodelnDas IT Sicherheitsgesetz heiß am brodeln
Das IT Sicherheitsgesetz heiß am brodeln
Torben Haagh
 
Der IT-Sicherheitskatalog ist da!
Der IT-Sicherheitskatalog ist da!Der IT-Sicherheitskatalog ist da!
Der IT-Sicherheitskatalog ist da!
Torben Haagh
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
Fujitsu Central Europe
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Fujitsu Central Europe
 

Empfohlen

Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...
Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...
Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...
Praxistage
 
Mag.a Michaela Roither (Industriellenvereinigung Niederösterreich)
Mag.a Michaela Roither (Industriellenvereinigung Niederösterreich)Mag.a Michaela Roither (Industriellenvereinigung Niederösterreich)
Mag.a Michaela Roither (Industriellenvereinigung Niederösterreich)
Praxistage
 
Josef Weissinger (Soroban)
Josef Weissinger (Soroban)Josef Weissinger (Soroban)
Josef Weissinger (Soroban)
Praxistage
 
Wolfgang Rosenkranz | Staatlich-private Zusammenarbeit in Zeiten von NIS-Gese...
Wolfgang Rosenkranz | Staatlich-private Zusammenarbeit in Zeiten von NIS-Gese...Wolfgang Rosenkranz | Staatlich-private Zusammenarbeit in Zeiten von NIS-Gese...
Wolfgang Rosenkranz | Staatlich-private Zusammenarbeit in Zeiten von NIS-Gese...
Microsoft Österreich
 
Das IT Sicherheitsgesetz heiß am brodeln
Das IT Sicherheitsgesetz heiß am brodelnDas IT Sicherheitsgesetz heiß am brodeln
Das IT Sicherheitsgesetz heiß am brodeln
Torben Haagh
 
Der IT-Sicherheitskatalog ist da!
Der IT-Sicherheitskatalog ist da!Der IT-Sicherheitskatalog ist da!
Der IT-Sicherheitskatalog ist da!
Torben Haagh
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
Fujitsu Central Europe
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Fujitsu Central Europe
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
Fujitsu Central Europe
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Fujitsu Central Europe
 
Digitalisierung der öffentlichen Verwaltung - Ziele, Chancen, Perspektiven, R...
Digitalisierung der öffentlichen Verwaltung - Ziele, Chancen, Perspektiven, R...Digitalisierung der öffentlichen Verwaltung - Ziele, Chancen, Perspektiven, R...
Digitalisierung der öffentlichen Verwaltung - Ziele, Chancen, Perspektiven, R...
Matthias Stürmer
 
Sebastian Louven - Datenzugang und FRAND
Sebastian Louven - Datenzugang und FRANDSebastian Louven - Datenzugang und FRAND
Sebastian Louven - Datenzugang und FRAND
Sebastian Louven
 
DI Dr. Igor Miladinovic (FH Campus Wien)
DI Dr. Igor Miladinovic (FH Campus Wien)DI Dr. Igor Miladinovic (FH Campus Wien)
DI Dr. Igor Miladinovic (FH Campus Wien)
Praxistage
 
MinR Ing. Mag. Alfred Ruzicka (BMVIT)
MinR Ing. Mag. Alfred Ruzicka (BMVIT)MinR Ing. Mag. Alfred Ruzicka (BMVIT)
MinR Ing. Mag. Alfred Ruzicka (BMVIT)
Praxistage
 
Ing. Boris Werner, Ing. Reiner Reinbrech, MSc (BMVIT)
Ing. Boris Werner, Ing. Reiner Reinbrech, MSc (BMVIT)Ing. Boris Werner, Ing. Reiner Reinbrech, MSc (BMVIT)
Ing. Boris Werner, Ing. Reiner Reinbrech, MSc (BMVIT)
Praxistage
 
Mag. Fjodor Gütermann (Breitbandbüro BMLRT)
Mag. Fjodor Gütermann (Breitbandbüro BMLRT)Mag. Fjodor Gütermann (Breitbandbüro BMLRT)
Mag. Fjodor Gütermann (Breitbandbüro BMLRT)
Praxistage
 
Pforzheimer Schüler für IT-Sicherheit sensibilisieren
Pforzheimer Schüler für IT-Sicherheit sensibilisierenPforzheimer Schüler für IT-Sicherheit sensibilisieren
Pforzheimer Schüler für IT-Sicherheit sensibilisieren
bhoeck
 
Ing. Martin Krejca (UPC Business)
Ing. Martin Krejca (UPC Business)Ing. Martin Krejca (UPC Business)
Ing. Martin Krejca (UPC Business)
Praxistage
 
EU-DSGVO: Technik trifft Recht
EU-DSGVO: Technik trifft RechtEU-DSGVO: Technik trifft Recht
EU-DSGVO: Technik trifft Recht
bhoeck
 
Open Data und Datenvisualisierungen
Open Data und DatenvisualisierungenOpen Data und Datenvisualisierungen
Open Data und Datenvisualisierungen
Matthias Stürmer
 
2011 eurocloud brunch 04 microsoft
2011 eurocloud brunch 04 microsoft2011 eurocloud brunch 04 microsoft
2011 eurocloud brunch 04 microsoft
EuroCloud.Austria
 
Sgc opencloudday-20130611
Sgc opencloudday-20130611Sgc opencloudday-20130611
Sgc opencloudday-20130611
Netcetera
 
INFORMATIK 2014: Aufruf für Konferenzbeiträge der Industrie
INFORMATIK 2014: Aufruf für Konferenzbeiträge der IndustrieINFORMATIK 2014: Aufruf für Konferenzbeiträge der Industrie
INFORMATIK 2014: Aufruf für Konferenzbeiträge der Industrie
Informatik-Forum Stuttgart e.V.
 
MR Mag. Alfred Ruzicka (BMVIT)
MR Mag. Alfred Ruzicka (BMVIT)MR Mag. Alfred Ruzicka (BMVIT)
MR Mag. Alfred Ruzicka (BMVIT)
Praxistage
 
M-Files kooperiert mit IT Governance Ltd.
M-Files kooperiert mit IT Governance Ltd.M-Files kooperiert mit IT Governance Ltd.
M-Files kooperiert mit IT Governance Ltd.
bhoeck
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
Fraunhofer AISEC
 
Vernetzung 4.0
Vernetzung 4.0Vernetzung 4.0
Vernetzung 4.0
Bernd Fuhlert
 
BYOD vs. Sicherheit
BYOD vs. SicherheitBYOD vs. Sicherheit
BYOD vs. Sicherheit
Intellicomp GmbH
 
CIO-Briefing 09-2017
CIO-Briefing 09-2017CIO-Briefing 09-2017
CIO-Briefing 09-2017
Vogel IT-Medien
 
productronica Daily Day 2 / Tag 2
productronica Daily Day 2 / Tag 2productronica Daily Day 2 / Tag 2
productronica Daily Day 2 / Tag 2
Messe München GmbH
 

Weitere ähnliche Inhalte

Was ist angesagt?

2011 eurocloud brunch 04 microsoft
2011 eurocloud brunch 04 microsoft2011 eurocloud brunch 04 microsoft
2011 eurocloud brunch 04 microsoft
EuroCloud.Austria
 
Sgc opencloudday-20130611
Sgc opencloudday-20130611Sgc opencloudday-20130611
Sgc opencloudday-20130611
Netcetera
 

Was ist angesagt? (17)

Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
 
Digitalisierung der öffentlichen Verwaltung - Ziele, Chancen, Perspektiven, R...
Digitalisierung der öffentlichen Verwaltung - Ziele, Chancen, Perspektiven, R...Digitalisierung der öffentlichen Verwaltung - Ziele, Chancen, Perspektiven, R...
Digitalisierung der öffentlichen Verwaltung - Ziele, Chancen, Perspektiven, R...
 
Sebastian Louven - Datenzugang und FRAND
Sebastian Louven - Datenzugang und FRANDSebastian Louven - Datenzugang und FRAND
Sebastian Louven - Datenzugang und FRAND
 
DI Dr. Igor Miladinovic (FH Campus Wien)
DI Dr. Igor Miladinovic (FH Campus Wien)DI Dr. Igor Miladinovic (FH Campus Wien)
DI Dr. Igor Miladinovic (FH Campus Wien)
 
MinR Ing. Mag. Alfred Ruzicka (BMVIT)
MinR Ing. Mag. Alfred Ruzicka (BMVIT)MinR Ing. Mag. Alfred Ruzicka (BMVIT)
MinR Ing. Mag. Alfred Ruzicka (BMVIT)
 
Ing. Boris Werner, Ing. Reiner Reinbrech, MSc (BMVIT)
Ing. Boris Werner, Ing. Reiner Reinbrech, MSc (BMVIT)Ing. Boris Werner, Ing. Reiner Reinbrech, MSc (BMVIT)
Ing. Boris Werner, Ing. Reiner Reinbrech, MSc (BMVIT)
 
Mag. Fjodor Gütermann (Breitbandbüro BMLRT)
Mag. Fjodor Gütermann (Breitbandbüro BMLRT)Mag. Fjodor Gütermann (Breitbandbüro BMLRT)
Mag. Fjodor Gütermann (Breitbandbüro BMLRT)
 
Pforzheimer Schüler für IT-Sicherheit sensibilisieren
Pforzheimer Schüler für IT-Sicherheit sensibilisierenPforzheimer Schüler für IT-Sicherheit sensibilisieren
Pforzheimer Schüler für IT-Sicherheit sensibilisieren
 
Ing. Martin Krejca (UPC Business)
Ing. Martin Krejca (UPC Business)Ing. Martin Krejca (UPC Business)
Ing. Martin Krejca (UPC Business)
 
EU-DSGVO: Technik trifft Recht
EU-DSGVO: Technik trifft RechtEU-DSGVO: Technik trifft Recht
EU-DSGVO: Technik trifft Recht
 
Open Data und Datenvisualisierungen
Open Data und DatenvisualisierungenOpen Data und Datenvisualisierungen
Open Data und Datenvisualisierungen
 
2011 eurocloud brunch 04 microsoft
2011 eurocloud brunch 04 microsoft2011 eurocloud brunch 04 microsoft
2011 eurocloud brunch 04 microsoft
 
Sgc opencloudday-20130611
Sgc opencloudday-20130611Sgc opencloudday-20130611
Sgc opencloudday-20130611
 
INFORMATIK 2014: Aufruf für Konferenzbeiträge der Industrie
INFORMATIK 2014: Aufruf für Konferenzbeiträge der IndustrieINFORMATIK 2014: Aufruf für Konferenzbeiträge der Industrie
INFORMATIK 2014: Aufruf für Konferenzbeiträge der Industrie
 
MR Mag. Alfred Ruzicka (BMVIT)
MR Mag. Alfred Ruzicka (BMVIT)MR Mag. Alfred Ruzicka (BMVIT)
MR Mag. Alfred Ruzicka (BMVIT)
 
M-Files kooperiert mit IT Governance Ltd.
M-Files kooperiert mit IT Governance Ltd.M-Files kooperiert mit IT Governance Ltd.
M-Files kooperiert mit IT Governance Ltd.
 

Ähnlich wie Cyber Security für vernetzte Industrie

Die hohe Kunst Tretminen in Ihrer Software zu verstecken
Die hohe Kunst Tretminen in Ihrer Software zu versteckenDie hohe Kunst Tretminen in Ihrer Software zu verstecken
Die hohe Kunst Tretminen in Ihrer Software zu verstecken
team-WIBU
 
2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...
2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...
2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...
Martin Merck
 

Ähnlich wie Cyber Security für vernetzte Industrie (20)

Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
 
Vernetzung 4.0
Vernetzung 4.0Vernetzung 4.0
Vernetzung 4.0
 
BYOD vs. Sicherheit
BYOD vs. SicherheitBYOD vs. Sicherheit
BYOD vs. Sicherheit
 
CIO-Briefing 09-2017
CIO-Briefing 09-2017CIO-Briefing 09-2017
CIO-Briefing 09-2017
 
productronica Daily Day 2 / Tag 2
productronica Daily Day 2 / Tag 2productronica Daily Day 2 / Tag 2
productronica Daily Day 2 / Tag 2
 
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptxModul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
 
Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013
 
Die hohe Kunst Tretminen in Ihrer Software zu verstecken
Die hohe Kunst Tretminen in Ihrer Software zu versteckenDie hohe Kunst Tretminen in Ihrer Software zu verstecken
Die hohe Kunst Tretminen in Ihrer Software zu verstecken
 
Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)
 
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityCybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
 
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
 
CWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT SecurityCWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT Security
 
Wie sich Unternehmens– und Arbeitsprozesse durch die Cloud verändern werden
Wie sich Unternehmens– und Arbeitsprozesse durch die Cloud verändern werdenWie sich Unternehmens– und Arbeitsprozesse durch die Cloud verändern werden
Wie sich Unternehmens– und Arbeitsprozesse durch die Cloud verändern werden
 
GAI NetConsult diskutiert auf Konferenz über Informationssicherheit in Energi...
GAI NetConsult diskutiert auf Konferenz über Informationssicherheit in Energi...GAI NetConsult diskutiert auf Konferenz über Informationssicherheit in Energi...
GAI NetConsult diskutiert auf Konferenz über Informationssicherheit in Energi...
 
Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26Cryptware pm-bit locker-2018-04-26
Cryptware pm-bit locker-2018-04-26
 
Live Hacking – Wie (un)sicher sind Android, iPhone, Blackberry & Co.?
Live Hacking – Wie (un)sicher sind Android, iPhone, Blackberry & Co.?Live Hacking – Wie (un)sicher sind Android, iPhone, Blackberry & Co.?
Live Hacking – Wie (un)sicher sind Android, iPhone, Blackberry & Co.?
 
2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...
2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...
2014-dev-martin_merck-eine_architektur_fuer_mobile_anwendungen_bei_der_bundes...
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
 
Namics & Adobe Industrie-Workshop "Be smart" vom 23.05.2017
Namics & Adobe Industrie-Workshop "Be smart" vom 23.05.2017Namics & Adobe Industrie-Workshop "Be smart" vom 23.05.2017
Namics & Adobe Industrie-Workshop "Be smart" vom 23.05.2017
 
Sicherheitsbetrachtung der Cloudifizierung von Smart- Devices
Sicherheitsbetrachtung der Cloudifizierung von Smart- DevicesSicherheitsbetrachtung der Cloudifizierung von Smart- Devices
Sicherheitsbetrachtung der Cloudifizierung von Smart- Devices
 

Cyber Security für vernetzte Industrie

  • 1. www.vace-sec.at VACE Systemtechnik GmbH business unit SECURITY Linzer Straße 16e, 4221 Steyregg Cyber Security als Chance für vernetzte Industrie
  • 2. www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Wer ist VACE? - Unternehmensüberblick 1981 Gründung der VACE Die „Voest Alpine Consulting Engineering“ - kurz VACE - wird am Standort Linz gegründet. Eingliederung in die MCE Im Zuge einer Umstrukturierung wird die VACE von der damaligen MCE übernommen. neue Eigentümerstruktur Dreißig Jahre nach ihrer Gründung wird die VACE von der damaligen MCE losgelöst. Gründung der VACE GROUP Neu aufgestellt präsentiert sich die VACE Group als spezialisierter Industriedienstleister mit 8 Standorten in Österreich und Deutschland. 1990 2010 2014
  • 3. www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Wer ist VACE? - Unternehmensüberblick Geschäftsleitung Helmut Altreiter, Andreas Obermüller, Franz Humer, Klaus Kremmair VACE-Bereiche VACE Engineering, VACE Systemtechnik, VACE IT Services, VACE Security, VACE Education & Training Über 1.200 Mitarbeiter Unsere Vorzüge • ISO 9001:2008 zertifiziert • Best Recruiters 2016/17 mit goldenem Siegel • Kununu-Arbeitgeber-Ranking Platz 3 • Trend-Ranking – Top Arbeitgeber 2017 Andreas Obermüller Helmut Altreiter Franz Humer Klaus Kremmair
  • 4. www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Aktuelle Bedrohungen – Cyber Security betrifft Whistleblower Geheimdienste erspähen Kundendaten. Admins haben Zugriff auf fast alle Daten. In Europa laufen mindestens dreimal so viele Daten über verschlüsselte Verbindungen wie noch Anfang 2013. WannaCry, Heartbleed, Glibc Fehler in breit verwendeten, sicher geglaubten Technologien – siehe WannaCry von 2017, glibc von 2016, OpenSSL-Fehler von 2014. KRITIS Wir sind mehr denn je von technischen Systemen abhängig. Kritische Infrastrukturen Strom, Trinkwasser, Informations- und Kommunikationstechnologie, Bankwesen, Treib- und Brennstoff, Verkehr, … Die NIS Richtlinie für „Netz- und Informations-Sicherheit“ tritt zeitgleich zur EU-DSGVO im Mai 2018 in Kraft. Öffentliche Einrichtungen Cyberangriffe richten sich auch gegen öffentliche Einrichtungen. Alle IT- Systeme können von Angriffen betroffen sein. • Über 50% aller Unternehmen sind bereits betroffen • Alle betroffenen Unternehmen nutzten Virenscanner, Firewalls sowie Passwortschutz • Beliebteste Angriffsziele sind die Automobilindustrie, Chemie- und Pharma-Branche sowie Banken und Versicherungen Quelle Bitkom.org 09.07.2015 Studie zu Wirtschaftsschutz und Cybercrime 52 % aktuelle oder ehemalige Mitarbeiter 39 % Wettbewerber, Lierferanten, Dienstleister, Kunden 17% Hacker 11% organisierte Bandenkriminalität 3% Geheimdienste
  • 5. www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Aktuelle Vorfälle Mai 2017: WannaCry infiziert über 230.000 Computer Am 12. Mai 2017 wurde ein schwerwiegender Cyber-Angriff in 150 Ländern beobachtet. Unter den betroffenen Unternehmen befanden sich unter anderem der französische Autokonzern Renault, der japanische Autohersteller Nissan, das US-Logistikunternehmen FedEx, die Deutsche Bahn mit der Logistiktochter Schenker sowie Teile des britischen National Health Services (NHS). Der Angriff nutzte eine Sicherheitslücke aus, die dem US- amerikanischen Auslandsgeheimdienst NSA mehr als 5 Jahr lang bekannt war. März 2017: Wirtschaftsspionage bei Firma Bulmor Industries vereitelt Laut Auskunft der Landespolizeidirektion und des Verfassungsschutzes wurde ein Fall von Industriespionage beim oberösterreichischen Unternehmen Bulmor Industries erfolgreich verhindert. Die vermeintlichen Täter wollten die Technologie für einen neuen Supergabelstapler ins Ausland verkaufen – für mehrere 100.000 Euro. Die Ermittlungen wurden gestartet, als sich ein ausländischer Mitbewerber beim Perger Unternehmen meldete. Dezember 2016: Thyssenkrupp wird Opfer von massiven Hacker-Angriff Die Abwehr eines erfolgreichen Angriffs dauerte beim deutschen Industriekonzern mehr als sechs Monate. Die Angreifer hätten versucht, von einem IT- System, das bereits geknackt wurde, auf weitere Systeme einzudringen. Es wird vermutet, dass der Zugriff über Phishing-E-Mails erfolgt sein könnte. Das IT-Sicherheitsteam konnte den Angriff letztendlich abwehren. August 2016: Autozulieferer Leoni wird Betrugsopfer: 40 Millionen Euro Der deutsche Autozulieferer Leonie wurde um etwa 40 Millionen Euro betrogen. Das Vorgehen der Täter entspricht der sogenannten „Fake-President- Trick“, mit der Unbekannte bereits in den vorangegangenen Monaten andere Unternehmen um große Beträge erleichtert hatten.
  • 6. www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Was hat eine Burg mit Cyber Security zu tun?
  • 7. www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Vernetzung - Entwicklungsstufen der Industrie INDUSTRIE 1.0 – Mechanisierung durch Einführung mechanischer Produktionsanlagen mithilfe von Wasser- und Dampfkraft 1784 Erster mechanischer Webstuhl INDUSTRIE 2.0 – Elektrifizierung durch Einführung arbeitsteiliger Massenproduktion mithilfe von elektrischer Energie 1870 Erstes Fließband, Schlachthöfe von Cincinnati INDUSTRIE 3.0 – Automatisierung von Produktionsprozessen durch Einsatz von Elektronik und IT 1969 Erste speicher- programmierbare Steuerung (SPS), Modicon 084 INDUSTRIE 4.0 – Vernetzung von Menschen, Maschinen (M2M) und Dingen (Internet der Dinge) auf Basis von cyber- physischen Systemen BEGINN20.JAHRHUNDERTENDE 18. JAHRHUNDERT BEGINNDER 70ERJAHRE HEUTE
  • 8. www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Industrieunternehmen Cloud Supply Chain Produktion USAProduktion CZ Niederlassung FR Hauptstandort Österreich
  • 9. www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Nutzung von Cloud Computing in der EU www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at 17% 21% 57% Österreich EU-Durchschnitt Finnland Quelle: Eurostat, Cloud computing use in EU enterprises 2016
  • 10. www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Nutzung von Cloud Computing in Österreich www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at 12% 20% 45% Produzierende Industrie Dienstleistungen IKT-Sektor Quelle: Statistik Austria, Unternehmen mit Nutzung von Cloud Services 2016
  • 11. www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at INDUSTRIAL IoT KNOW-HOW & GEHEIMNISSCHUTZ ABSICHERUNG VON PRODUKTIONS- AUSFÄLLEN PRODUKTHAFTUNG PRODUKTBEOBACH- TUNGSPFLICHTEN DATENSCHUTZ PRIVACY BY DESIGN IT-SICHERHEIT Sicherheitsaspekte bei Industrial IoT
  • 12. www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at IndustRIal IoT Vorbeugende Wartung Digitale Kooperation Stabilere Produktion bei geringeren Kosten Geister- schichten Disruptive Geschäfts- modelle Digitaler Zwilling Chancen bei Industrial IoT
  • 13. www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Top 10 ICS Bedrohungen des BSI (BSI-CS-005) 1. Social Engineering und Phishing 2. Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware 3. Infektion mit Schadsoftware über Internet und Intranet 4. Einbruch über Fernwartungszugänge 5. Menschliches Versagen und Sabotage 6. Internet-verbundene Steuerungskomponenten 7. Technisches Fehlverhalten und höhere Gewalt 8. Kompromittierung von Extranet und Cloud- Komponenten 9. (D)DoS-Angriffe 10. Kompromittierung von Smartphones im Produktionsumfeld Quelle: Bundesamt für Sicherheit in der Informationstechnik (Deutschland) https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_005.pdf?__blob=publicationFile
  • 14. www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Beispiel: Einbruch über Fernwartungszugänge VNC Keyhole ist ein Projekt von Marco DiFilippo und dient als Awareness-Tool. Beschreibung Das Projekt sucht nach offenen, und ungeschützten Fernwartungszugängen und stellt diese in Form von Screenshots dar. Zweck Steigerung des Problembewusstseins Website: http://vnckh.com
  • 15. www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at IoT Device Default Password Lookup DefPass.com ist ein Projekt von Marco DiFilippo und dient als Awareness-Tool. Beschreibung Das Projekt stellt Standard-Zugangsdaten für (Industrial) IoT-Geräte bereit. Zweck Steigerung des Problembewusstseins Website: http://defpass.com
  • 16. www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Internet-verbundene Steuerungskomponenten Shodan ist eine Computersuchmaschine von John Matherly. Beschreibung Die 2009 veröffentlichte Plattform durchsucht das Internet und stellt die Informationen in einer einfachen, und übersichtlichen Art dar. Neben grafischen Auswertungen, und einfachen Suchabfragen, gibt es auch Programmierschnittstellen. Zweck Steigerung des Problembewusstseins Website https://www.shodan.io
  • 17. www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Shodan.io Suchmaschine - BACnet
  • 18. www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at (D)DoS durch ein IoT-Botnetz Quelle: Twitter.com - https://twitter.com/olesovhcom/status/778019962036314112
  • 19. www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at (D)DoS durch ein IoT-Botnetz Das Mirai-Botnet (japanisch für „Zukunft“) infiziert zunehmend IoT-Geräte. Beschreibung Im September 2016 wurde auf „Krebs On Security“ ein Angriff mit 620 Gbps durchgeführt und auf den französischen Cloud Dienstleister OVH, mit ca. 1 Tbps. Der Quellcode ist inzwischen im Internet verfügbar. Quelle: Github.com – Leaded Mirai Botnet- Quellcode: https://github.com/jgamblin/Mirai-Source-Code
  • 20. www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at • Unterbrechung des Geschäftsbetriebes (inkl. Zusammenbruch der Lieferantenkette) • Sicherheitsvorfälle (Cyber Crime, Datenlecks, IT-Fehler) • Reputationsverlust • Diebstahl, Betrug, Korruption, Sabotage und Terrorismus • Neue Technologien, Kollateralschäden • Menschliche Fehler • Blackouts Auszug Global Business Risken für 2016 Quelle: Allianz Risk Barometer 2016 / in Anlehnung an Herbert Dirnberger (Cyber Security Austria) http://www.agcs.allianz.com/assets/PDFs/Reports/AllianzRiskBarometer2016.pdf
  • 21. www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Wenn Sie heute wüssten,… …dass auch Ihrem Unternehmen demnächst ein Cyberangriff droht,… …wäre es bereits zu spät! Jedes zweite betroffene Unternehmen wurde erst nach einer Verweildauer von durchschnittlich 150 Tagen im Kundennetzwerk durch externe Stellen auf die Attacke aufmerksam gemacht!
  • 22. www.vace-sec.at VACE-Security – member of the VACE Group security@vace.atwww.vace-sec.at VACE Security – member of the VACE Group security@vace.at Sicherheit ist ein Prozess SICHERHEITS MANAGEMENT PROZESS TECHNISCHE MAßNAHMEN VALIDIERUNGUND VERBESSERUNG RISIKOANALYSE RICHTLINIEN, ORGANISATORISCHE MAßNAHMEN 3 4 1 2
  • 23. www.vace-sec.at VACE-Security – member of the VACE Group security@vace.atwww.vace-sec.at • Grundrecht für EU Bürger Die Europäische Union verankert den Schutz, natürlicher Personen betreffende, personenbezogene Daten auf Grundrechtsebene • EU-weites Datenschutzrecht Die Verordnung ist der Versuch alle 28 bestehende nationale Gesetz zu vereinheitlichen – auf Grund der Öffnungsklauseln unzureichend • Sanktionen • bis 10 Mio. € bzw. 2% des weltweiten Vorjahresumsatzes • Bei Verletzung technischer und organisatorischer Schutzmaßnahmen • Fehlender Nachweis der Verarbeitungstätigkeit, Datenschutz-Folgenabschätzung • bis 20 Mio. € bzw. 4% des weltweiten Vorjahresumsatzes • Verletzung der Rechtmäßigkeit, mangelnde oder nicht vorhandene Einwilligung • Verletzung der Rechte Betroffener • Drittlandübermittlung • Fehlende Zusammenarbeit mit der Aufsichtsbehörde • Beweislastumkehr: der Verantwortliche muss die Rechtskonformität seiner Datenverarbeitung nachweisen. • Meldepflicht bei Datenschutzvergehen, innerhalb von 72 Stunden an die Behörde und die Betroffenen. • Handlungsbedarf – die Maßnahmen sollten bis zum 25. Mai 2018 bereits umgesetzt sein! VACE Security – member of the VACE Group security@vace.at Datenschutz Grundverordnung EU-DSGVO
  • 24. www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Überblick über Cyber Security Maßnahmen VACE Security – member of the VACE Group security@vace.at Planung der Audits Compliance Dashboard Control Assessment Übersicht der Controls
  • 25. www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at Diskussion zum Abschluss Safety, Security, Resilienz und Privacy von Anfang an Das deutsche Cybersicherheitsgesetz und die Europäische Datenschutzgrundverordnung (EU-DSGVO) setzen die ersten Schritte in diese Richtung. Industrial IoT vs. IoT vs. IT vs. AT Jeder Teilbereich bringt unterschiedliche Aspekte mit sich und es ist daher umso entscheidender zu verstehen worin die Unterschiede und die Gemeinsamkeiten von (Industrial) IoT, IT und AT liegen. Chancen und Risiken erkennen Durch eine zunehmende Vernetzung können Synergieeffekte genutzt werden, allerdings müssen die Technologien sicher und beherrschbar angewendet werden, denn sonst wird aus einer Chance ein Risiko. Legacy von Stunde 0 weg Ohne einer Risiko- und Technologie-Folgenabschätzung von Anfang an, kann ein Digitalisierungs-Projekt in einem Legacy-Projekt enden. www.vace-sec.at VACE-Security – member of the VACE Group security@vace.at
  • 26. www.vace-sec.at VACE Systemtechnik GmbH Linzer Straße 16e A-4221 Steyregg Das Angebot an Dienstleistern für Human Ressources, Engineering, Training und Education, Netzwerk- und IT-Security-Dienstleister, ist groß,… …aber wir vereinen all diese Kernkompetenzen zum einzigartigen Nutzen für Sie!