IT SICHERHEIT IM ZEITALTER DER DIGITALEN FLOTTEN Thomas Kurzhals, AIDA Cruises, IT Infrastruktur 30.09.2016 © 2016 AIDA Cruises. All rights reserved.
Teil der erfolgreichsten Kreuzfahrtgruppe der Welt
• 103 Schiffe • 10 Millionen Gästen pro Jahr • 48% weltweiter Marktanteil
• 10 Brands unter einem Dach • Diversität und Vielfalt • Sowohl im FTSE 100 als auch im S&P 500 vertreten
2 © 2016 AIDA Cruises. All rights reserved.
Nachhaltiges Wachstum
§ 11 Schiffe modernste Flotte der Welt § Erfolg das wachstumsstärkste und erfolgreichste touristische Unternehmen in Deutschland § Zukunft drei weitere Schiffe im Bau bzw. beauftragt
AIDAcara 1996
AIDAvita/aura 2002–2003
AIDAdiva/bella/luna 2007–2009
AIDAblu/sol/mar/stella 2010–2013
AIDAprima/perla 2016–2017
Zwei Neubauten 2019/ ff. 3
© 2016 AIDA Cruises. All rights reserved.
IT Infrastruktur
AIDA Neubauten: • 4000 Wi-Fi Access Points • 5820 IP Telefone • 900 IP Kamera Systeme • In Summe etwa 18.000 IP Systeme • Etwa 200 virtualisierte Server 4 © 2016 AIDA Cruises. All rights reserved.
IT Kommunikation
• Tripple Band Vsat Antennen (C,Ku,Ka band) • Bandbreite pro Schiff zwischen 20 und 80 Mbps • Duales Antennen System mit 99,9% Erreichbarkeit • IP Telefonie und Datenverkehr über Vsat • In den Fjorden Backup über LTE • Andere Kommunikationskanäle u.a. zur Notfallkommunikation sind Iridium und Inmarsat (Telefon und begrenzt Daten) © 2016 AIDA Cruises. All rights reserved.
5
IT Applikationen und Systeme • IP Telefonsystem (incl. Mobiltelefon) • IP Kameras • Hotel Systeme, Kassen und Check-In • Logistik und Provision Applikationen • Automationssystem • Maschinen Überwachungsapplikationen (Abgas Reinigungssystem, Schiffs Energie Manager, etc.) • Klimatisierung Kabinen • Teile des Navigationssystems • Sicherheitsrelevante Applikationen (Maschinen Raum Evakuierung, Passagier Musterung etc.) • TV in den Kabinen • Entertainment und Bühnen © 2016 AIDA Cruises. All rights reserved.
• Kasino
6
IT Sicherheit in der Flotte - Vorbetrachtung • Es gibt keine speziellen oder exklusiven IT Sicherheitsgefährdungen für die Schifffahrt. • Es gelten die Sicherheitsempfehlungen und Standards wie aus dem landseitigen Umfeld bekannt (PCI-DSS, ISO/IEC 2700x) • Daraus abgeleitete technische IT Sicherheitsmaßnahmen basieren auf marktüblichen IT Sicherheitsprodukten (Firewall, Anti-Malware etc.) Besondere Rahmenbedingungen in der Schifffahrt sind: • Stark eingeschränkte Datenanbindung der Schiffe • Bandbreite und Antwortzeit • Trennung Freizeit und Dienst ist kaum möglich • Klassenrelevante IT Systeme (z.B. Navigation) • DNV-GL Abnahme von IT Systemen und Applikationen mit operativer Schiffssicherheitsrelevanz (Versicherungsrisiko) • Schwerpunkt liegt eindeutig auf der operativen Sicherheit • Zeitaufwendiger Zertifizierungsprozess stehen im Widerspruch zu den dynamischen Anforderungen einer hohen IT Sicherheit (z.B. Patch und Updatemanagement) © 2016 AIDA Cruises. All rights reserved.
7
IT – Gefährdungspotential (1/2)
Motivation
Angreifer
Ziel
Auswirkung
Militär/ Politik
National Staaten
Kritische Infrastruktur
Störung Kommunikation und Kommandostrukturen
Terrorismus
Politikwechsel
Terroristische Netzwerke/ Gruppen
Öffentliche Infrastruktur
Störung des öffentlichen Lebens
Spionage
Diebstahl geistigen Eigentums
Nationalstaaten und Unternehmen
Regierung, Unternehmen und Privatpersonen
Verlust Wettbewerbsvorteil, Finanzielle Schädigung, Verdrängung vom Markt
organisierte Kriminalität
finanzielle Vorteile
Kriminelle
Unternehmen und Privatpersonen
finanzielle Schädigung, Strafen und Klagen, Beschädigung der Reputation
Gruppen und Privatpersonen
Regierung, Unternehmen und Privatpersonen
Beschädigung der Reputation, wirtschaftliche Schädigung bis hin zur Zerschlagung des Unternehmens
Cyber War
Hacktivism
Ego, Neugier, politischer Wechsel
8 © 2016 AIDA Cruises. All rights reserved.
IT – Gefährdungspotential (2/2)
9 © 2016 AIDA Cruises. All rights reserved.
IT Sicherheitsmaßnahmen
Quelle: ISACA – BMIS Information Security Pyramid
10 © 2016 AIDA Cruises. All rights reserved.
IT Sicherheitsgleichgewicht
Sicherheit
Hoch
• •
•
Keine Verbindung zum Datennetzwerk oder Internet Kein Administrativer Fernzugriff zu den Systemen u. Anwendungen Proprietäre auf explizite Anforderungen reduzierte Betriebssysteme, Datenbanken und Anwendungen.
Schlecht
• •
•
Kontrollierte Verbindung zum Datennetzwerk und Internet Prozesse und Kontrollen zur Regelung des Systemzugriffs für unterschiedliche Benutzergruppen. Angepasste und gehärtete Betriebssysteme, Datenbanken und Anwendungen (COTS).
Niedrig
• • •
Unbeschränkter Zugang zum Datennetzwerk / Internet Keine Einschränkung im Zugriff auf Systeme und Applikationen Keine Anpassungen an Betriebssystem, Datenbank und Anwendung.
Benutzbarkeit (funktionale Anforderungen)
Gut
11 © 2016 AIDA Cruises. All rights reserved.
IT Sicherheitsbewertung
Am Beispiel des Systems zur Gästeabrechnung
Sicherheit
Benutzbarkeit/ funktionale Anforderungen Kreditkartenvalidierung übers Internet
Verarbeitung Kreditkarten Vertrauliche Gastinformatione n
Eine große Mitarbeitergrupp e benötigt Zugang Remote Zugan für Service Partng er Fidelio Cruise
12 © 2016 AIDA Cruises. All rights reserved.
IT Sicherheitsstrukturierung (1/2)
Prozessstruktur
Sicherheitsbewertung
Verfügbare SicherheitsTechnologie
Einordnung von Anwendungen u. Systemen mit ähnlicher Sicherheitsbewertung und Prozessstruktur in die selbe Gruppe. Die Gruppierung dient der Reduzierung der Komplexität zur Wahrung der Übersichtlichkeit. Ein ständiges Abwägen zwischen der Zuordnung und der Einrichtung einer zusätzlichen Gruppe (AIDA benutzt 7 Gruppen)
Schutzbedarfsgruppe
Gruppe 1 Automation
Gruppe 2 Telefonie
Navigation Evakuierung
Gruppe 3 Fidelio
Gruppe 4
Gruppe 5
Kasino
Gäste Internet
Foto
IP TV
Check-in Kameras
Kassen
13 © 2016 AIDA Cruises. All rights reserved.
IT Sicherheitsstrukturierung (2/2) Aufeinander aufbauende und ergänzenden Sicherheitsebenen. Überschneidung von ähnlichen z.T. auch gleichen Schutzmechanismen zur Kompensierung von Lücken bzw. Schwachstellen. Jede Schutzbedarfsgruppe hat ihr spezifisches Sicherheitssetup, welches auf alle zugeordneten Applikationen angewendet wird.
Netzwerk Sicherheit Network Firewall Intrusion Prevention System Network Access Control Data leakage Protection
System/ Geräte Sicherheit Anti-Viren Host Firewall
Patching Host IPS
Anwendung /Daten Identitäts und Zugriffs Management
Verschlüsselung
Daten Integritäts Überwachung
14 © 2016 AIDA Cruises. All rights reserved.
IT Sicherheitstip
Meine Top 5 (80-20 Regel)* Software auf dem aktuellen Stand halten (Patchmanagement) Aktuellen Virenscanner verwenden (Malware Protection) Einsatz Firewall und Filter System Sichere Passworte verwenden, Passwort niemals weitergeben Sensible Daten bzw. Datenverbindungen durch Verschlüsselung schützen
*Pareto-Effekt, besagt, dass 80 % der Ergebnisse mit 20 % des Gesamtaufwandes erreicht werden. Die verbleibenden 20 % der Ergebnisse benötigen mit 80 % die meiste Arbeit.
15 © 2016 AIDA Cruises. All rights reserved.
Zusammenfassung
Was soll hängen bleiben… Die Digitalisierung in der Flotte ist bereits erfolgt. Durch die Digitalisierung sind neue Risiken entstanden, die es so vorher nicht gab. Nicht nur die High-Tech Branche sowie Banken sind gefährdet, jedes Unternehmen ist ein lohnendes Ziel. Man ist dieser Gefährdung nicht ausgeliefert. Es gibt erprobte einfache Schutzmechanismen und Strategien sich zu schützen. Der Schutz muss eine Balance zwischen Gefährdungspotential, Risiko und Funktion sein. Es gibt keine absolute Sicherheit.
16 © 2016 AIDA Cruises. All rights reserved.