22
Cyberattacken vs. Physische Attacken
Cyberattacken – anonym, von irgendwoher
Viel Schaden, geringes Risiko für Angreifer• Datenverlust
• Verzögerungen von Transporten
• Wirtschaftliche Schäden
Mögliche Angriffe: • Sabotage durch Fälschen/Löschen von Daten
• Ausspähen vertraulicher Daten, um Kriminalität zu unterstützen (Diebstahl, Schmuggel, Terrorismus)
Dr. Nils Meyer-Larsen • ISL • 01.03.2018
33
Maersk 17 June NotPetya RansomwareAttacke
Maersk's Computernetzwerk fast vollständiglahmgelegt
17 von 76 Terminals weltweit betroffen
45,000 PCs und 4,000 Server mussten ausgetauschtwerden, Neuinstallation der kompletten Infrastuktur
Reparatur in einem “heroic effort” in nur 10 Tagen
Schaden zwischen 250 und 300 Millionen US$
Hacker hatten den Update-Server der ukrainischenSoftware-Firma MeDoc gehackt, so dass NotPetya in die Systeme der Opfer übertragen wurde
Dr. Nils Meyer-Larsen • ISL • 01.03.2018
44
Beispielfälle
Dr. Nils Meyer-Larsen • ISL • 01.03.2018
Port of Antwerp (2011–2013)• Drogenschmuggel in Containern, Hacker spähten
Standorte der Container aus (Malware, Keylogger), Kriminelle schickten eigene Trucks, um Container abzuholen
Australian Customs and Border Protection (2012)
• Drogenschmuggel in Containern, Kriminelle hattenZugriff auf Zoll-IT-System und konntenSicherheitsstatus abfragen, “verdächtige” Container wurden aufgegeben
Christchurch Port, Neuseeland (May 2017)• WannaCry Ransomware, IT-Systeme offline,
Operations mussten unterbrochen werden
55
Literaturanalyse: PCSs & Cyber Security
Studie der Brookings Institution (2013)• In US-Häfen nur wenig Bewusstsein für Cyber
Security• Nur ein Hafen hatte Cyber-Risiken analysiert
• Kein Hafen hatte Notfallplan für Cyber-Attacken
Häfen betrachten eher die physischeSicherheit
Cyber Security wurde eher marginal betrachtet
Dr. Nils Meyer-Larsen • ISL • 01.03.2018
66
PortSec
IT-Risikomanagement in der Hafentelematik
Entwicklung neuer automatisierterMethoden, um Cybersicherheit weiter zuverbessern
Projektlaufzeit 09/2016 - 08/2018
Gefördert vom Bundesministerium fürBildung und Forschung
Dr. Nils Meyer-Larsen • ISL • 01.03.2018
77
Port Community Systeme (PCS)
Informations-drehscheibe für Häfen
Kommunikation mitvielen Partnern, vieleSchnittstellen
Komplexe Prozesseund Abläufe
Dr. Nils Meyer-Larsen • ISL • 01.03.2018
88
Bedrohungsanalyse
Aufnahme
• Erhebung der Beteiligten
• Modellierung der Geschäftsprozesse
Bedrohungs-szenarien
• Typisierung der Angreifer
• Definition von Angriffsszenarien
• Abschätzung der Auswirkungen
Analyse
• Aufnahme der IT-Infrastruktur
• Aufnahme der Software
• Identifikation potentieller kritischer Punkte
Umfassendes Verständnis der Cyber-Risiken für PCS
Dr. Nils Meyer-Larsen • ISL • 01.03.2018
99
Typisierung der Angreifer
Kriminelle• Unterstützung von Diebstahl, Schmuggel,
Terrorismus• Ausspähen von Ladungsinformation, Transportroute,
Containerstatus
• Verschlüsselung von Daten, Erpressung von Lösegeld (Ransomware)
Hactivists• Hacker, Nerds, Script-Kiddies• “sportliche” Motivation, können trotzdem großen
Schaden anrichten
Regierungen, Firmen• Industriespionage, Sabotage
Dr. Nils Meyer-Larsen • ISL • 01.03.2018
1010
Schadensszenarien
Szenarien bzgl. Cyber-Risiken für PCSs• Literatur-Analyse von früheren Attacken auf PCSs • Brainstorming-Sessions über Risiken
Struktur des Katalogs• Schadensszenario: Wie?• Ziel des Angriffs: Was?• Typisierung des Angreifers: Wer?• Motivation: Warum?
Definition von 24 Schadens-Szenarien
Berechnung des Risikofaktors und der Eintrittswahrscheinlichkeit, um Szenarien mit hohem Risiko zu identifizieren
Dr. Nils Meyer-Larsen • ISL • 01.03.2018
1111
Analyse ökonomischer Risiken
Szenario 1: Distributed Denial-of-Service (DDoS) Attacke auf Bremer Hafentelematik (BHT), BHT 6 Stunden offline
Szenario 2: Ransomware-Attacke auf BHT, Verschlüsselung zentraler Daten, BHT 2 Wochen offline
Abschätzung wirtschaftlicher Schäden:
PCS-Betreiber: Schadensbehebung, entgangene Einnahmen
Hafenwirtschaft: entgangene Einnahmen (Hafengeld, Lotsen, Schlepper, Festmacher, Ver- und Entsorgung, …), Reputationsverlust, Verlust von Kunden
Hinterland-Transporteure: entgangene Einnahmen, Verlust von Kunden
Dr. Nils Meyer-Larsen • ISL • 01.03.2018
1212
Branchenspezifischer Sicherheitsstandard (B3S)
KRITIS-Betreiber müssen Einhaltung eines Sicherheitsstandards nachweisen
BSI-KritisV: Leitsysteme für Seeschifffahrt Güterverkehrsdichte > 17 Mio Tonnen/Jahr
Entwicklung eines B3S für Seehäfen auf Basis von PortSec
Basiert auf ISO 27001:2015
Abstimmung mit:
• Bundesamt für Sicherheit in der Informationstechnik (BSI)
• Branchenverbände (z.B. IPCSA)
Dr. Nils Meyer-Larsen • ISL • 01.03.2018
13
1. Betrachtung von Prozessen, die in einem Port Community
System (PCS) umgesetzt sind, z.B. Export, Import, NSW
2. Zugriffskontrolle für die einzelnen Prozessschritte: Admin-
Editor, Überprüfung der Zugriffskontrolle
3. Betrachtung der Übertragungssicherheit zwischen PCS und
externen Anwendungen (Schnittstellen)
4. Betrachtung der Implementierung des PCS:
Wiedergewinnung der implementierten Sicherheitsarchitektur
und Prüfung der Implementierung
Software-zentrierte Risikobetrachtung
Dr. Karsten Sohr • Universität Bremen • 01.03.2018
14
Erhebung der Sicherheitspolicy auf Prozessebene
Dr. Karsten Sohr • Universität Bremen • 01.03.2018
16
Admin Editor für Sicherheitspolicy
Zollfreigabe
Dr. Karsten Sohr • Universität Bremen • 01.03.2018
19
Prüfung mit einem Tool
Reeder (Ada) versucht die Operation „Zoll Freistellung prüfen“ durchzuführen
Dr. Karsten Sohr • Universität Bremen • 01.03.2018
22
Ausgang abgeschlossen
versenden
Ausgang abgeschlossen
verarbeiten
Ausgang abgeschlossen
verarbeitet
Ausgang abgeschlossen
weiterleiten
Ausgang abgeschlossen
verarbeiten
Zollfreigabe versenden
EXT_STA
EXT_STA
EXT_STA
EXT_STA
OSIS #13
Prozessdiagramm als Datenflussdiagram
Dr. Karsten Sohr • Universität Bremen • 01.03.2018
24
Prüfung der Übertragungssicherheit
EXT_STA
Zolldbh Reeder
Dr. Karsten Sohr • Universität Bremen • 01.03.2018
26
Statische Softwareanalyse
Statische Analyse des Java Bytecode des PCS
ZielRekonstruktion der Softwarearchitektur
Aufgaben• Prinzipielles Verständnis des PCS
• Identifikation von SW-Framework-
aufrufen
• Identifikation sicherheitsrelevanter
Teile
• Extraktion geeigneter Informationen
in Form von Datenflussdiagrammen
(„rekonstruierte
Sicherheitsarchitektur des PCS“)
...
Dr. Karsten Sohr • Universität Bremen • 01.03.2018
27Dr. Karsten Sohr • Universität Bremen • 01.03.2018
Zusammenfassung und Ausblick
• Sicherheitsbetrachtung der PCS-Software, ergänzend zum IT-Sicherheitsmanagement z.B. gemäß ISO 27001
• Prozesse, Zugriffskontrolle, Übertragungssicherheit und Betrachtung der PCS-Software selbst
• Weiterführende Arbeiten:• Umfassendere Betrachtung des PCS
• Sicherheitsbetrachtung des „Hafenkommunikationsverbundes“ (Reeder, Logistik, Spediteure, Bahn, Terminal, Zoll und PCS-Betreiber)
• Definition einer IT-Sicherheitsarchitektur für den Gesamtverbund und Herunterbrechen der Sicherheitsarchitektur auf die Software/Systeme einzelner Akteure
• Branchenspezifischer Sicherheitsstandard für Hafen-IT