IT Sicherheit für Industrieanlagen unter Berücksichtigung des IT Sicherheitsgesetzes

Transkript

1 IT Sicherheit für Industrieanlagen unter Berücksichtigung des IT Sicherheitsgesetzes Holger Junker Bundesamt für Sicherheit in der Informationstechnik (BSI)

2 Das BSI

3 Bekannte Fälle STUXNET HAVEX STAHLWERK

4 Worum es heute nicht geht

5 Angriffe sind nicht immer zielgerichtet

6 Einige Zahlen zur Bedrohungslage > 1100 Schwachstellen in den 12 häufigsten Anwendungen; davon knapp 700 kritische Schwachstellen 11,3% aller Benutzer arbeiten auf einem ungepatchten Windows-Betriebssystem 6,03% der Nutzer setzen veraltete Software ein, für die es keine Updates mehr gibt (EOL) Von Januar 2014 bis Januar 2015 wurden weltweit allein rund 340 Millionen Windows-Schadsoftware-Varianten gezählt Im Januar 2015 wurden in Deutschland von einem einzigen AV-Hersteller allein rund 6,7 Millionen Infektionen durch Schadprogramme gezählt In Deutschland sind mindestens 1 Million Computersysteme Teil eines Botnetzes

7 Einige Zahlen zur Bedrohungslage ca. 3% aller Webseiten in Deutschland sind mit Drive-by- Exploits infiziert Auf eine erwünschte kommen 3,74 unerwünschte Nachrichten Auf 100 erwünschte s kommen 8 mit Schadprogrammen verseuchte s Auf 100 Spam-Nachrichten kommen 2 Nachrichten mit Schadprogramm im Anhang Bis Anfang September 2014 in Deutschland bereits über DDoS-Angriffe verzeichnet, d.h 133 Angriffe pro Tag

8 Storyline einer zielgerichteten Attacke Quelle: TrendMicro

9 X Advanced Persistent Threat

10 Erste Fragen an Betreiber Sind Zugriffe auf das Produktionsnetz von anderen Netzen möglich? Ist aus dem Produktionsnetz heraus ein freier Webzugriff möglich? Ist aus dem Produktionsnetz heraus ein unbeschränkter Internetzugriff möglich? Erlauben Sie externe Hardware (Laptops, USB, etc.) im eigenen Netzwerk? Erlauben Sie die Verwendung von Hardware (Laptops, USB-Sticks, etc.) aus dem Produktionsnetz in anderen Netzen / Systemen?

11 Sensibilisierung für Security

12 Lösungswege für Betreiber

13 Lösungswege für Betreiber Industrial Security Flowchart Anlagenbetreiber, Hersteller oder Integrator? Top 10 Awareness Self Check Spezial- Themen Revision Kompendium ISMS Tabletop LARS Technik Organisation & Management

14 BSI Portfolio

15 Lösungswege für Betreiber Start small, keep on growing, and think big

16 (Kurz-)Revision Essentiell insbesondere für Revision in der Industrie: Rules of Engagement, z.b. keine Penetrationstests Auswahl des Dienstleisters; optimal: keine reinen IT-Sicherheitsdienstleister, sondern Angebote von erfahrenen und bewährten Partnern nutzen (z.b. als Dienstleistung des Herstellers oder Integrators)

17 Tabletop Exercise

18 Lösungswege für Betreiber Start small, keep on growing, and think big

19 ISMS

20 ISMS IT-Grundschutz Signifikante Einsparungen ergeben sich insbesondere, wenn Hersteller bzw. Integrator geeignete sicherheitsspezifische Funktionen integriert haben sich dabei selbst an den Bausteinen orientieren die erforderliche Dokumentation bereitstellen, um diese in die Konzeption einfließen zu lassen über die gesamte Laufzeit der Anlage die für ein Sicherheitsmanagement erforderlichen Informationen liefern

21 Lösungswege für Hersteller und Integratoren

22 Erste Fragen an Hersteller, Maschinenbauer & Integratoren Ein Sicherheitsforscher meldet eine Schwachstelle in Ihrem Produkt. Was geschieht? Eine Schwachstelle wie Heartbleed, Poodle oder Freak wird bekannt. Wie lange dauert es, bis Ihre Kunden eine fundierte Aussage zur Betroffenheit Ihres Produkts und eine Handlungsempfehlung erhalten? Welche Richtlinien gibt es für die Entwicklung? Welche Sicherheitstests müssen Ihre Produkte durchlaufen? Welche Anforderungen werden an die Infrastruktur gestellt? Welche Pflichten obliegen dem Betreiber?

23 Lösungswege für Hersteller und Integratoren Start small, keep on growing, and think big

24 IT-Sicherheitsgesetz Das IT-SiG umfasst Änderungen folgender Gesetze: BSI-Gesetz (BSIG) Atomgesetz (AtomG) Energiewirtschaftsgesetz (EnWG) Telemediengesetz (TMG) Telekommunikationsgesetz (TKG) Bundesbesoldungsgesetz (BBG) Bundeskriminalamtgesetz (BKAG)

25 IT-Sicherheitsgesetz KRITIS: 2 (10) + 10 Identifizierung KRITIS 3 (3) Beratung KRITIS 8a Pflicht zu Stand der Technik bei KRITIS 8b Informationen durch BSI + Meldepflicht Sonstiges 7a Befugnis zur Untersuchung von Produkten 7 erweiterte Warnbefugnisse 13 Jahresbericht TKG 100 erweiterte Protokollierungserlaubnis TMG Pflicht zur Absicherung Webangebote Sonstiges sonstiges BKAG erweiterte Ermittlungsbefugnisse für BKA Diverse kleinere Änderungen

26 IT-Sicherheitsgesetz

27 Lagebild When you can measure what you are speaking about, and express it in numbers, you know something about it when you cannot express it in numbers, your knowledge is of a meager and unsatisfactory kind. [Lord Kelvin]

28 Vielen Dank für Ihre Aufmerksamkeit. Holger Junker Federal Office for Information Security (BSI) Tel: +49 (0) Follow me on

29 Agenda Bernd Schuhmann Ragnar Schierholz Dr. Ragnar Schierholz Dr. Markus Bartoschek Dr. ABB Slide 29