Fernwartung im Massenmedium Internet16.07.2014 1Dipl. Inform. Felix Sittner
Industrielle Fernwartung im Massenmedium InternetNeue Entwicklungen, Chancen und Risiken
Fernwartung im Massenmedium Internet16.07.2014 2Dipl. Inform. Felix Sittner
Inhaltsverzeichnis
1. Vorstellung Zentrum für Telematik e.V.
2. Chancen
3. Risiken
4. Fazit
5. Vorstellung MainTelRob
Fernwartung im Massenmedium Internet16.07.2014 3Dipl. Inform. Felix Sittner
Vorstellung ZFT
• Ausgründung des Lehrstuhls für Robotik und Telematik der Universität Würzburg
• Vorsitzender: Professor Klaus Schilling
• Förderung von Wissenschaft und Forschung in der Telematik als eine öffentliche, nicht
gewinnorientierte und anwendungsbezogene Forschungseinrichtung
• Ziel: Technologietransfer für Industrie und KMUs
Zentrum für Telematik e.V.
Fernwartung im Massenmedium Internet16.07.2014 4Dipl. Inform. Felix Sittner
Vorstellung ZfTArbeitsfelder
Fernwartung im Massenmedium Internet16.07.2014 5Dipl. Inform. Felix Sittner
ChancenFernwartung im Massenmedium Internet
Fernwartung im Massenmedium Internet16.07.2014 6Dipl. Inform. Felix Sittner
ChancenInternet als weltumspannendes Medium
Weltkarte: http://chrisharrison.net
Fernwartung im Massenmedium Internet16.07.2014 7Dipl. Inform. Felix Sittner
Fernwartung früher & heute
• Telefon
• Einwahl in die SPS
• Telefon
• Mobiltelefon
• Einwahl in SPS
• Remote-Zugriff auf weitere Ressourcen
vor Ort (Prozessrechner / SCADA)
• Internettelefonie / VoIP
• Chat und Videochat
• Übertragung größerer Dateien
• Live Bilder / Echtzeitstreaming von
Videos aus der Anlage
• AR / VR Technologien
Fernwartung im Massenmedium Internet16.07.2014 8Dipl. Inform. Felix Sittner
Daten in der Cloud / Big DataLangzeitaufzeichnung & Chancen für Predictive Maintenance
Fernwartung im Massenmedium Internet16.07.2014 9Dipl. Inform. Felix Sittner
ChancenBesserer Überblick durch Kombination verschiedener Technologien
Fernwartung im Massenmedium Internet16.07.2014 10Dipl. Inform. Felix Sittner
ChancenBessere Interaktion und Anleitung durch Videotelefonie und Screencasts
Fernwartung im Massenmedium Internet16.07.2014 11Dipl. Inform. Felix Sittner
ChancenBessere Anleitung durch VR/AR Methoden (und Head Up Displays)
Fernwartung im Massenmedium Internet16.07.2014 12Dipl. Inform. Felix Sittner
RisikenWhat could possibly go wrong?
Fernwartung im Massenmedium Internet16.07.2014 13Dipl. Inform. Felix Sittner
Status Quo
• Weltweites Massenmedium:
– Meist günstig / Flatrate
– Kriminalität
– Wirtschaftsspionage
• Best Effort :
– Schwankende Servicequalität
– Ausfälle
• Noch im Ausbau (Schwellenländer):
– Verschiedene Übertragungsmedien
(Kabelgebunden, Mobilfunk, Satellit)
– Perspektive: Weltweite Verfügbarkeit
Das Internet
Weltweite Internetnutzung,
Grafik: Wikipedia
Nutzung von Breitband-Mobilfunkzugängen,
Grafik: Wikipedia
Fernwartung im Massenmedium Internet16.07.2014 14Dipl. Inform. Felix Sittner
Risiken
Studie der FU Berlin zur Anzahl der verwundbaren
Feldgeräte → „Top Nationen“:
1. USA
2. Deutschland
3. Italien
DsinN Sicherheitsmonitor Mittelstand:
• 17 % der befragten Unternehmen nutzten Cloud.
• 27 % der Cloud-Nutzer kennen die
Sicherheitsanforderungen gar nicht
• 47 % sind sie „teilweise bekannt“
Viele der sich aktuell im Einsatz befindlichen Systeme sind nicht „Internet-sicher“
Fernwartung im Massenmedium Internet16.07.2014 15Dipl. Inform. Felix Sittner
Risiken
• Systeme die ehemals zur ausschließlichen
Nutzung in sicheren Intranets konzipiert wurden
• Verwundbare Betriebssysteme (WindowsXP,
VxWorks,…) und SCADA Web Interfaces
• Standard PC-Hardware
• Lange Betriebsdauer
Viele der sich aktuell im Einsatz befindlichen Systeme sind nicht „Internet-sicher“
Einige Heise.de Meldungen der letzten Wochen
Fernwartung im Massenmedium Internet16.07.2014 16Dipl. Inform. Felix Sittner
Risiken
„Unsere Steuerung hängt zwar im Netz, aber es weiß doch keiner die IP“
• Leider nein: Nicht leicht über Google auffindbar ≠ nicht auffindbar.
• Es existieren Tools, mit denen Ihre Devices komfortabel auffindbar sind, z.B.:
– ERIPP
– SHODAN
– Diggity
Und Missverständnisse
Scannt nur Port 80
Ziel: von großen Suchmaschinen unterschlagene Seiten indizierenSucht (verwundbare) Devices
erlaubt dedizierte Suchfunktion nach Geräte- / Betriebssystemversion Meta-Suchmaschine / Hackertool
erlaubt über viele automatisierte Suchanfragen ganze Netzbereiche zu scannen
Fernwartung im Massenmedium Internet16.07.2014 17Dipl. Inform. Felix Sittner
„Um in ein System einzubrechen braucht es gute Programmierkenntnisse.“
- Leider nein.
- Für gängige Exploits existieren Baukastensysteme und Datenbanken mit Quellcode
- Mit Schritt für Schritt Anleitung für Anfänger.
RisikenUnd Missverständnisse
Fernwartung im Massenmedium Internet16.07.2014 18Dipl. Inform. Felix Sittner
RisikenBeispiel: Schritt für Schritt Anleitungen auf der Metasploit Homepage
Fernwartung im Massenmedium Internet16.07.2014 19Dipl. Inform. Felix Sittner
„Man braucht doch Insiderwissen, um in so speziellen Anlagen gezielt Schaden anrichten
zu können“
Prinzipiell: Ja
Aber:
Embedded Webserver
SCADA Webinterfaces
Angreifer kann dank solcher Komfortfunktionen
auch ohne große Sachkenntnis Prozesse sabotieren.
Auch ein primitiver Hack kann massiv Schaden anrichten.
RisikenUnd Missverständnisse
Fernwartung im Massenmedium Internet16.07.2014 20Dipl. Inform. Felix Sittner
Risiken
„Wirtschaftsspionage richtet sich vor allem gegen die Branchengrößen“
• Landesamt für Verfassungsschutz:
– Nein, auch KMUs sind beliebte Ziele
– „Das besondere Interesse fremder Nachrichtendienste richtet sich jedoch auf Unternehmen
und Forschungseinrichtungen der Informations- und Kommunikationstechnologie, der
Werkzeugmaschinenindustrie, der Optoelektronik, der Luft- und Raumfahrttechnik,
des Automobilbaus und der Energie- und Umweltindustrie.„
– Motivation: Schwellenländer wollen sich Entwicklungskosten und Lizenzgebühren sparen
– Unternehmen, die in kritischen Ländern tätig sind, sind besonders gefährdet
Quelle: http://www.lfv.bayern.de/service/spionage/02411/index.php
Und Missverständnisse
Fernwartung im Massenmedium Internet16.07.2014 21Dipl. Inform. Felix Sittner
Was auch nicht vergessen werden darf
- Beispiel: Kameras vs. Datenschutz / Arbeitsrecht
- Fernwartungs-Infrastruktur darf nicht als Überwachungs-Infrastruktur aufgefasst werden
- Abklärung mit Mitarbeitern nötig, Warnschilder, Aufnahmemodus erkennbar machen
Nutzerakzeptanz / Arbeitsrecht
Fernwartung im Massenmedium Internet16.07.2014 22Dipl. Inform. Felix Sittner
Beispiel VPN-VerbindungEinfachster Fall: Client-Server-VPN
Fernwartung im Massenmedium Internet16.07.2014 23Dipl. Inform. Felix Sittner
Neu eingerichtet Jahre alt
Beispiel VPN-VerbindungProblematik und Restrisiko
Algorithmen
veraltet
Einbruch bei
Zertifizierungsstelle
Up to Date
Richtig eingerichtet
Zu kurze KeysBug in Software Software veraltet
Fernwartung im Massenmedium Internet16.07.2014 24Dipl. Inform. Felix Sittner
Restrisiko / Fallstricke
Menschliche Fehler / Konfigurationsfehler
Veraltete Verschlüsselungs- und Signatur-Algorithmen oder zu kurze Keys
Einbrüche bei Zertifizierungsstellen (DigiNotar, Commodo,..)
Bruch der Chain of Trust
„echte“ gefälschte Zertifikate
Bisher unerkannte Bugs in verwendeter Sicherheitssoftware. (OpenSSL / HeartBleed)
Andere Einfallstore:
- Infiziertes System am anderen Ende der Verbindung
- mitgebrachte Hardware (vgl. Stuxnet)
- keine saubere Trennung der Netzbereiche innerhalb des Unternehmens (vgl. Stuxnet)
Einer abgesicherten Verbindung
Fernwartung im Massenmedium Internet16.07.2014 25Dipl. Inform. Felix Sittner
Fazit
Nach aktuellem Stand der Technik abzusichern ist immer nur der erste Schritt.
Jetzt sicher bedeutet nicht für immer sicher!
Die gewählte Lösung muss aktualisierbar sein.
Immer auf dem aktuellen Stand bleiben bedeutet permanenten Aufwand.
Für KMUs ohne eigene IT-Abteilung ist dies schwer machbar.
Dienstleister und / oder Maschinenhersteller müssen kundenfreundliche und
sichere Fernwartungslösungen schaffen.
Fernwartung im Massenmedium Internet16.07.2014 26Dipl. Inform. Felix Sittner
MainTelRobKurzvorstellung unseres aktuellen Projekts
Fernwartung im Massenmedium Internet16.07.2014 27Dipl. Inform. Felix Sittner
Kurvorstellung MainTelRob Projektziel und Partner
Vom bayerischen Staat gefördertes Forschungsprojekt
Partner: Reis Robotics, Braun/P&G und das ZfT
Ziel:
Neue sichere Werkzeuge zur effizienten
Fernwartung über das Internet zu schaffen
Entfernter Experte soll sich „wie vor Ort“ fühlen
Fernwartung im Massenmedium Internet16.07.2014 28Dipl. Inform. Felix Sittner
Herangehensweise
• Befragungen der Nutzer-Zielgruppe
– Fernwartungsexperten bei Reis Robotics
– Servicetechniker und Maschinenbediener bei Braun / P&G
– Betriebsrat bei Braun / P&G
• Identifikation von Beispiel-Szenarios
– Fernwartung, Optimierung mit Hilfe externen Experten, Verschleiß Prädiktion durch
Langzweitauswertungen
• Identifikation der zur Umsetzung nötigen Techniken und Dienste
• Implementierung von Prototypen
User Driven Design
Fernwartung im Massenmedium Internet16.07.2014 29Dipl. Inform. Felix Sittner
Beispiel Dienste
Roboter-verbindung
KommunikationVoIP / Chat
Augmented &Virtual Reality
VideoStreaming
Datei-Übertragung
Viel Übertragen = viel verschlüsseln müssen!
Risiko Kunden-rechner ?
Risiko Übertragungs-Strecke
Fernwartung im Massenmedium Internet16.07.2014 30Dipl. Inform. Felix Sittner
Anforderungen Dienste vs. Sicherheit
Augmented &Virtual Reality
Roboter-verbindung
KommunikationVoIP / Chat
Echtzeit
VideoStreaming
Datei-Übertragung
Bandbreite
Security
Fernwartung im Massenmedium Internet16.07.2014 31Dipl. Inform. Felix Sittner
Roboter verbindung
KommunikationVoIP / Chat
Augmented &Virtual Reality
VideoStreaming
Datei-Übertragung
Messung
Priorisierung
Graceful Degradation
AMSAMS
Funktionsweise AMS
Situationsbewertung
Übertragungsstrecke
Security
Anforderungen
Fernwartung im Massenmedium Internet16.07.2014 32Dipl. Inform. Felix Sittner
Vielen Dank für Ihre Aufmerksamkeit!
Q&A
Fernwartung im Massenmedium Internet16.07.2014 33Dipl. Inform. Felix Sittner
Kontakt
Dipl.-Inform. Felix Sittner
Zentrum für Telematik e.V.
Allesgrundweg 12
97218 Gerbrunn
Tel: +49-931 3292954-25
Fax: +49-931 3292954-11
Email: [email protected]
Arbeitsgruppe Industrieautomation
Zentrum für Telematik e.V.
www.telematik-zentrum.de
Fernwartung im Massenmedium Internet16.07.2014 34Dipl. Inform. Felix Sittner
• Grafiken Folie 13: http://en.wikipedia.org/wiki/File:InternetPenetrationWorldMap.svg
http://en.wikipedia.org/wiki/File:MobileBroadbandInternetPenetration
WorldMap.svg Autor: J. Ogden, Lizenz CreativeCommons v3.0
• Screenshots Folie 14: http://www.heise.de/security/meldung/Freier-Zugriff-auf-
Fernsteuerungen-fuer-Industrieanlagen-2114521.html
• Screenshots Folie 16: http://eripp.com/ , https://exploits.shodan.io/?q=scada
http://www.bishopfox.com/resources/tools/google-hacking-
diggity/attack-tools/
• Screenshots Folie 17: http://www.metasploit.com/ , https://exploits.shodan.io/?q=scada
http://www.exploit-db.com/
• Screenshots Folie 18ff: http://help.metasploit.com/
• Grafik Folie 19: http://en.wikipedia.org/wiki/File:Scada_std_anim.gif Upload
von Wikipedia User Ecava, Lizenz: CreativeCommons v.3.0
Projekte und Initiativen:
• Industrial Risk Acess Map http://www.scadacs.org/iram.html
• Deutschland sicher im Netz e.V. https://www.sicher-im-netz.de/
• SHODAN http://www.shodanhq.com/
• Every Routable IP Project http://eripp.com/
• Metasploit http://www.metasploit.com/
• ExploitDB http://www.exploit-db.com/
• Vulnerability Database der Carnegie Mellon University,
http://www.kb.cert.org/vuls/ (nicht zitiert, aber informativ)
Studien:
• DsinN Sicherheitsmonitor Mittelstand https://www.sicher-im-
netz.de/sites/default/files/media/dsin_sicherheitsmonitor_2014_web.pdf
Quellen und Bildquellen