Transkript

1 Digital unterschrieben von Marek Stiefenhofer Date: :18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH r-tec IT Systeme GmbH

2

3 Bedrohungslage 2014 SEITE 3

4 2010: Stuxnet Auslöser für die heutige Situation SEITE 4

5 Angreifbare Steuerungssysteme SEITE 5

6 Betreiber kritischer Infrastrukturen stehen im Fokus SEITE 6 Kraftstoffversorgung Wasserversorgung Energieversorgung Medizinische Versorgung Lebensmittelversorgung Telekommunikation

7 Findings r-tec SEITE 7

8 Findings r-tec SEITE 8

9 Findings r-tec SEITE 9

10 Power-Generator ferngesteuert zerstört SEITE 10

11 Findings r-tec: Verteilerkasten SEITE 11

12 NSA Ist unser Umgang bewusster geworden? SEITE 12

13 Eher nicht Neulich auf der Konferenz SEITE 13 Setup: Man-In-The-Middle Anzahl der Opfer: 5 Erste verschlüsselte Passwörter: Gekaperte Konten in 20 Minuten: 4 5 min innerhalb 10min

14 Ergebnis SEITE 14 Zugang zu dienstlichen Konten: +Windows Benutzername und Kennwort und damit +Zugang zum Postfach (Outlook Web Access) +dienstliches Konto bei einem mittelständischen Hersteller kompromittiert Zugang zu privaten Konten: +Googl und ähnliches bei 3 Personen +alle von 2 Weltmarktführern +Private Konten = bester Infiltrationssweg

15 Neue Anforderungen an Betreiber kritischer Infrastrukturen SEITE 15

16 Anforderungen Informationssicherheit: Druck nimmt zu SEITE 16 Entwurf eines "IT-Sicherheitskataloges" zu 11 Absatz 1a EnWG Technische Richtlinien SmartMetering IT-Sicherheitsgesetz (Energie)- versorger Zertifizierungserwartungen am Markt

17 IT-Sicherheitsgesetz: Eckpunkte SEITE 17 Erfüllung von Mindestanforderungen an IT-Sicherheit für Betreiber kritischer Infrastrukturen Meldung erheblicher IT-Sicherheitsvorfälle für Betreiber kritischer Infrastrukturen Zeitplan: +Überarbeitung und Verabschiedung des Entwurfes bis Ende dieses Jahres +Anfang 2015 in den Bundestag +Wenn alles gut läuft: in Kraft bis zum Sommer 2015 Worauf läuft es hinaus: +ISMS nach ISO/IEC Geltungsbereich noch unklar

18 Fazit SEITE 18 Unumgänglich: + Energieversorger werden Mindeststandards für Informationssicherheit implementieren und nachweisen müssen + Dies ist nur auf Basis eines ISMS Standards möglich + ISO ist der Standard mit der größten Verbreitung und Anerkennung Noch offen: + Wird ISO ausreichen oder kommen weitere (spezifischere) Standards hinzu? + Ist die IT-Grundschutzmethodik endgültig vom Tisch? + Was ist der Geltungsbereich? + Zertifizierung notwendig? + Umsetzungsfristen, Stufenmodelle bei der Umsetzung, Kontrolle, Folgen bei Abweichungen Eine frühzeitige Initialisierung eines ISMS ist daher ratsam. Die vollständige Umsetzung nimmt ohnehin einen längeren Zeitraum in Anspruch und kann gut mit den politischen Entwicklungen abgeglichen werden.

19 ISMS Aufbau in der Praxis SEITE 19

20 Definition InformationsSicherheitsManagementSystem SEITE 20 Verfahren und Regeln innerhalb des Unternehmens, welche dazu dienen, die Informationssicherheit dauerhaft +zu definieren (Leitlinie, Organisation, Dokumentation) +zu steuern (Richtlinien, Konzepte, Anweisungen, Risikomanagement) +zu kontrollieren (Kennzahlen, Audits), +aufrechtzuerhalten (Lebenszyklus) und +fortlaufend zu verbessern (Reviews).

21 ISO Prozessmodell SEITE 21 (Risiko)Analyse Planung und Umsetzung Anforderungen ISMS Initialisierung Prozesse Assets Organisation Technische Systeme Betrieb/ Monitoring IT- Sicherheit Sicherheitsanforderungen verstehen die generelle Ziele der Sicherheit definieren Geltungsbereich festlegen ISMS-Leitlinie entwickeln Kriterien zur Risikobewertung festlegen Sicherheitsorganisation aufbauen Risikobewertungsmethode Geschäftsanforderungen Gesetzliche Anforderungen Kriterien der Risikoakzeptanz Risikoidentifikation Assets und Eigentümer erfassen Bedrohungen ermitteln Schwachstellen identifizieren Auswirkungen auf CIA bestimmen Risikobewertung Auswirkung auf Geschäft Eintrittswahrscheinlichkeit Behandlung oder Akzeptanz Art der Risikobehandlung Maßnahmen ergreifen Risiko akzeptieren Risiken vermeiden Risiken übertragen Maßnahmen und Ziele festlegen Zustimmung zu Restrisiken Genehmigung und Freigabe Erklärung zur Anwendbarkeit Gewählte Maßnahmenziele Umgesetzte Maßnahmen Begründete Ausschlüsse der normativen Anhänge entspricht somit einem Sicherheitskonzept Einführung projektieren (Risikobehandlungsplan) Maßnahmen umsetzen Schulungen durchführen Messgrößen für Wirksamkeit (Kennzahlen) definieren Fehler erkennen und abstellen Sicherheitsvorfälle erkennen und behandeln Wirksamkeit der Maßnahmen messen Risikoeinschätzung überprüfen Interne Audits und Managementreviews durchführen Aufzeichnungen relevanter Ereignisse führen

22 ISO 27001: Initialisierungsprojekt SEITE 22 Initialisierung beinhaltet: Anforderungen Sicherheitsanforderungen verstehen die generelle Ziele der Sicherheit definieren Geltungsbereich festlegen ISMS-Leitlinie entwickeln Kriterien zur Risikobewertung festlegen Sicherheitsorganisation aufbauen Risikobewertungsmethode Geschäftsanforderungen Gesetzliche Anforderungen Kriterien der Risikoakzeptanz ISMS Initialisierung Definition (Risiko)Analyse Planung und Umsetzung Ermittlung von Kontext und Interessen Ermittlung Technische Prozesse Assets relevanter Organisation Anforderungen Systeme Definition Geltungsbereich Definition Zielsetzung Maßnahmen und Ziele Risikoidentifikation Assets und Eigentümer erfassen Bedrohungen ermitteln Organisation Schwachstellen identifizieren Auswirkungen auf CIA bestimmen Risikobewertung Auswirkung auf Geschäft Eintrittswahrscheinlichkeit Behandlung oder Akzeptanz Art der Risikobehandlung Maßnahmen ergreifen Risiko akzeptieren Risiken vermeiden Risiken übertragen festlegen Zustimmung zu Restrisiken Genehmigung und Freigabe Erklärung zur Anwendbarkeit Gewählte Maßnahmenziele Umgesetzte Maßnahmen Begründete Ausschlüsse der normativen Anhänge entspricht somit einem Sicherheitskonzept Einführung projektieren (Risikobehandlungsplan) Maßnahmen umsetzen Schulungen durchführen Messgrößen für Wirksamkeit (Kennzahlen) definieren Betrieb/ Monitoring Fehler erkennen und abstellen Sicherheitsvorfälle erkennen und behandeln Wirksamkeit der Maßnahmen messen Risikoeinschätzung überprüfen Interne Audits und Managementreviews durchführen Aufzeichnungen relevanter Ereignisse führen IT- Sicherheit Definition Dokumenthierarchie und Dokumentenlenkung Definition von Rollen, Gremien, Zuständigkeiten Besetzung der Rollen und Gremien Erstellung von fehlenden Grundsatzdokumenten Einbettung in vorhandene Managementsysteme Risikomanagement Erprobung einer praktikablen Vorgehensweise Integration in vorhandenes RiskManagement Dokumentation Risikomanagementrahmen

23 Primäre Ergebnisse der Initialisierungsphase SEITE 23 ISMS Leitlinie Richtliniensatz ISMS Organisation: Rollen, Gremien Matrix: Zuständigkeiten Nebenergebnisse: + Geltungsbereich + Dokumentenhierarchie + Glossar + Anforderungsprofile für Besetzung der Rollen, insbesondere ISMS Manager + Schnittstellen in die Fachbereiche + IT Risikomanagementrahmen und Vorauswahl Risikomanagementtool + Abgestimmte Vorgehensweise der nächsten Umsetzungsschritte

24 SEITE 24 Nächste Schritte: Aufbau und Integration des ISMS

25 Nächste Schritte SEITE 25 +Risikoanalyse durchführen +Annex-A Gap-Analyse +Risikobehandlungsplan und SoA erstellen +Maßnahmenplan verabschieden, Aufgaben in die Fachbereiche delegieren +Kennzahlensystem aufbauen +Auditsystem etablieren +Schulungspläne etablieren und durchführen

26 Vollständigkeit SEITE 26

27 (ISMS) (Penetrationtests)