IT SICHERHEIT IM ZEITALTER DER DIGITALEN FLOTTEN Thomas Kurzhals, AIDA Cruises, IT Infrastruktur 30.09.2016 © 2016 AIDA Cruises. All rights reserved.

Teil der erfolgreichsten Kreuzfahrtgruppe der Welt

•  103 Schiffe •  10 Millionen Gästen pro Jahr •  48% weltweiter Marktanteil

•  10 Brands unter einem Dach •  Diversität und Vielfalt •  Sowohl im FTSE 100 als auch im S&P 500 vertreten

2 © 2016 AIDA Cruises. All rights reserved.

Nachhaltiges Wachstum

§  11 Schiffe modernste Flotte der Welt §  Erfolg das wachstumsstärkste und erfolgreichste touristische Unternehmen in Deutschland §  Zukunft drei weitere Schiffe im Bau bzw. beauftragt

AIDAcara 1996

AIDAvita/aura 2002–2003

AIDAdiva/bella/luna 2007–2009

AIDAblu/sol/mar/stella 2010–2013

AIDAprima/perla 2016–2017

Zwei Neubauten 2019/ ff. 3

© 2016 AIDA Cruises. All rights reserved.

IT Infrastruktur

AIDA Neubauten: •  4000 Wi-Fi Access Points •  5820 IP Telefone •  900 IP Kamera Systeme •  In Summe etwa 18.000 IP Systeme •  Etwa 200 virtualisierte Server 4 © 2016 AIDA Cruises. All rights reserved.

IT Kommunikation

•  Tripple Band Vsat Antennen (C,Ku,Ka band) •  Bandbreite pro Schiff zwischen 20 und 80 Mbps •  Duales Antennen System mit 99,9% Erreichbarkeit •  IP Telefonie und Datenverkehr über Vsat •  In den Fjorden Backup über LTE •  Andere Kommunikationskanäle u.a. zur Notfallkommunikation sind Iridium und Inmarsat (Telefon und begrenzt Daten) © 2016 AIDA Cruises. All rights reserved.

5

IT Applikationen und Systeme •  IP Telefonsystem (incl. Mobiltelefon) •  IP Kameras •  Hotel Systeme, Kassen und Check-In •  Logistik und Provision Applikationen •  Automationssystem •  Maschinen Überwachungsapplikationen (Abgas Reinigungssystem, Schiffs Energie Manager, etc.) •  Klimatisierung Kabinen •  Teile des Navigationssystems •  Sicherheitsrelevante Applikationen (Maschinen Raum Evakuierung, Passagier Musterung etc.) •  TV in den Kabinen •  Entertainment und Bühnen © 2016 AIDA Cruises. All rights reserved.

•  Kasino

6

IT Sicherheit in der Flotte - Vorbetrachtung •  Es gibt keine speziellen oder exklusiven IT Sicherheitsgefährdungen für die Schifffahrt. •  Es gelten die Sicherheitsempfehlungen und Standards wie aus dem landseitigen Umfeld bekannt (PCI-DSS, ISO/IEC 2700x) •  Daraus abgeleitete technische IT Sicherheitsmaßnahmen basieren auf marktüblichen IT Sicherheitsprodukten (Firewall, Anti-Malware etc.) Besondere Rahmenbedingungen in der Schifffahrt sind: •  Stark eingeschränkte Datenanbindung der Schiffe •  Bandbreite und Antwortzeit •  Trennung Freizeit und Dienst ist kaum möglich •  Klassenrelevante IT Systeme (z.B. Navigation) •  DNV-GL Abnahme von IT Systemen und Applikationen mit operativer Schiffssicherheitsrelevanz (Versicherungsrisiko) •  Schwerpunkt liegt eindeutig auf der operativen Sicherheit •  Zeitaufwendiger Zertifizierungsprozess stehen im Widerspruch zu den dynamischen Anforderungen einer hohen IT Sicherheit (z.B. Patch und Updatemanagement) © 2016 AIDA Cruises. All rights reserved.

7

IT – Gefährdungspotential (1/2)

Motivation

Angreifer

Ziel

Auswirkung

Militär/ Politik

National Staaten

Kritische Infrastruktur

Störung Kommunikation und Kommandostrukturen

Terrorismus

Politikwechsel

Terroristische Netzwerke/ Gruppen

Öffentliche Infrastruktur

Störung des öffentlichen Lebens

Spionage

Diebstahl geistigen Eigentums

Nationalstaaten und Unternehmen

Regierung, Unternehmen und Privatpersonen

Verlust Wettbewerbsvorteil, Finanzielle Schädigung, Verdrängung vom Markt

organisierte Kriminalität

finanzielle Vorteile

Kriminelle

Unternehmen und Privatpersonen

finanzielle Schädigung, Strafen und Klagen, Beschädigung der Reputation

Gruppen und Privatpersonen

Regierung, Unternehmen und Privatpersonen

Beschädigung der Reputation, wirtschaftliche Schädigung bis hin zur Zerschlagung des Unternehmens

Cyber War

Hacktivism

Ego, Neugier, politischer Wechsel

8 © 2016 AIDA Cruises. All rights reserved.

IT – Gefährdungspotential (2/2)

9 © 2016 AIDA Cruises. All rights reserved.

IT Sicherheitsmaßnahmen

Quelle: ISACA – BMIS Information Security Pyramid

10 © 2016 AIDA Cruises. All rights reserved.

IT Sicherheitsgleichgewicht

Sicherheit

Hoch

•  • 

• 

Keine Verbindung zum Datennetzwerk oder Internet Kein Administrativer Fernzugriff zu den Systemen u. Anwendungen Proprietäre auf explizite Anforderungen reduzierte Betriebssysteme, Datenbanken und Anwendungen.

Schlecht

•  • 

• 

Kontrollierte Verbindung zum Datennetzwerk und Internet Prozesse und Kontrollen zur Regelung des Systemzugriffs für unterschiedliche Benutzergruppen. Angepasste und gehärtete Betriebssysteme, Datenbanken und Anwendungen (COTS).

Niedrig

•  •  • 

Unbeschränkter Zugang zum Datennetzwerk / Internet Keine Einschränkung im Zugriff auf Systeme und Applikationen Keine Anpassungen an Betriebssystem, Datenbank und Anwendung.

Benutzbarkeit (funktionale Anforderungen)

Gut

11 © 2016 AIDA Cruises. All rights reserved.

IT Sicherheitsbewertung

Am Beispiel des Systems zur Gästeabrechnung

Sicherheit

Benutzbarkeit/ funktionale Anforderungen Kreditkartenvalidierung übers Internet

Verarbeitung Kreditkarten Vertrauliche Gastinformatione n

Eine große Mitarbeitergrupp e benötigt Zugang Remote Zugan für Service Partng er Fidelio Cruise

12 © 2016 AIDA Cruises. All rights reserved.

IT Sicherheitsstrukturierung (1/2)

Prozessstruktur

Sicherheitsbewertung

Verfügbare SicherheitsTechnologie

Einordnung von Anwendungen u. Systemen mit ähnlicher Sicherheitsbewertung und Prozessstruktur in die selbe Gruppe. Die Gruppierung dient der Reduzierung der Komplexität zur Wahrung der Übersichtlichkeit. Ein ständiges Abwägen zwischen der Zuordnung und der Einrichtung einer zusätzlichen Gruppe (AIDA benutzt 7 Gruppen)

Schutzbedarfsgruppe

Gruppe 1 Automation

Gruppe 2 Telefonie

Navigation Evakuierung

Gruppe 3 Fidelio

Gruppe 4

Gruppe 5

Kasino

Gäste Internet

Foto

IP TV

Check-in Kameras

Kassen

13 © 2016 AIDA Cruises. All rights reserved.

IT Sicherheitsstrukturierung (2/2) Aufeinander aufbauende und ergänzenden Sicherheitsebenen. Überschneidung von ähnlichen z.T. auch gleichen Schutzmechanismen zur Kompensierung von Lücken bzw. Schwachstellen. Jede Schutzbedarfsgruppe hat ihr spezifisches Sicherheitssetup, welches auf alle zugeordneten Applikationen angewendet wird.

Netzwerk Sicherheit Network Firewall Intrusion Prevention System Network Access Control Data leakage Protection

System/ Geräte Sicherheit Anti-Viren Host Firewall

Patching Host IPS

Anwendung /Daten Identitäts und Zugriffs Management

Verschlüsselung

Daten Integritäts Überwachung

14 © 2016 AIDA Cruises. All rights reserved.

IT Sicherheitstip

Meine Top 5 (80-20 Regel)* Software auf dem aktuellen Stand halten (Patchmanagement) Aktuellen Virenscanner verwenden (Malware Protection) Einsatz Firewall und Filter System Sichere Passworte verwenden, Passwort niemals weitergeben Sensible Daten bzw. Datenverbindungen durch Verschlüsselung schützen

*Pareto-Effekt, besagt, dass 80 % der Ergebnisse mit 20 % des Gesamtaufwandes erreicht werden. Die verbleibenden 20 % der Ergebnisse benötigen mit 80 % die meiste Arbeit.

15 © 2016 AIDA Cruises. All rights reserved.

Zusammenfassung

Was soll hängen bleiben… Die Digitalisierung in der Flotte ist bereits erfolgt. Durch die Digitalisierung sind neue Risiken entstanden, die es so vorher nicht gab. Nicht nur die High-Tech Branche sowie Banken sind gefährdet, jedes Unternehmen ist ein lohnendes Ziel. Man ist dieser Gefährdung nicht ausgeliefert. Es gibt erprobte einfache Schutzmechanismen und Strategien sich zu schützen. Der Schutz muss eine Balance zwischen Gefährdungspotential, Risiko und Funktion sein. Es gibt keine absolute Sicherheit.

16 © 2016 AIDA Cruises. All rights reserved.