Wir sitzen alle in einem Boot Erfahrungsbericht UP KRITIS

Transkript

1 Wir sitzen alle in einem Boot Erfahrungsbericht UP KRITIS Michael Freiberg, AG Leiter UP KRITIS Fachkonferenz Cyber-Sicherheit Bonn,

2 Es könnte alles, so einfach sein - isses aber nicht In einem sind eh alle gleich und auch wenn es keinem so scheint Obwohl wir nichts wissen, weiß jeder Bescheid Darin sind wir alle vereint Die Fantastischen Vier

3 1. Enterprise Security & Continuity Motive zu ganzheitlichem Risikomanagement und der Mitarbeit in Public-Private-Partnerships 2. Umsetzungsplan KRITIS Die Zusammenarbeit zwischen öffentlichen und privatem Sektor zum Schutz kritischer IT Infrastrukturen 3. Backup Slides Hintergrundinformationen zu den Arbeitsgruppen und ihrer Aktivitäten.

4 Enterprise Security & Continuity Motive zu ganzheitlichem Risikomanagement und der Mitarbeit in Public-Private-Partnerships

5 IT Durchdringung von Kritischen Prozessen im Erdölsektor 05/06/2012 5

6 Enterprise Security & Continuity to protect people, operations and reputation from criminal or hostile acts through an integrated, holistic security risk management We assess and maintain the capability of to protect people, operations, assets and reputation from criminal or hostile acts. We also ensure that the company s capability to respond to, and recover from, any infrastructure failures or major disruptions is in place, understood and applied. A unified approach to managing downside risks including business continuity, crisis management, physical and digital security risks Harmonisation of what is critical Prioritisation between risk views Avoiding gaps and blind-spots

7 Motivationen für UP KRITIS Die eigene IT Abhängigkeit steigt beständig Auch die externen Abhängigkeiten steigen, z.b. durch Outsourcing, Cloud Speicherung Externe Abhängigkeiten können branchenübergreifend erfasst und behandelt werden Eine Plattform für die Behandlung der Konvergenz von physischer und IT Welt Kontakte und Informationsflüsse werden hergestellt bevor es zu spät ist Das Problem nur auf dem Radar zu haben, reicht nicht Ein besserer Weg als Gesetzgebung

8 Einseitiger Fokus auf IT, das Risikomanagement im privaten Sektor ist heutzutage holistisch orientiert Im privaten Sektor gilt das Szenario einer IT Katastrophe als unwahrscheinlich im Vergleich zu physischen oder menschenbezogenen Szenarien (Pandemie) Der Rahmen ist zu unverbindlich für vertraulichen Informationsaustausch Motivationen gegen UPK

9 Umsetzungsplan KRITIS Die Zusammenarbeit zwischen öffentlichen und privatem Sektor zum Schutz kritischer IT Infrastrukturen

10 Kurzbeschreibung UP KRITIS Kritische Infrastrukturen sind die Lebensadern unserer Gesellschaft, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Die verlässliche Bereitstellung der Dienstleistungen dieser Infrastrukturen ist eine Grundvoraussetzung für das Wohlergehen unserer Gesellschaft und für politische Stabilität. Der Schutz Kritischer Infrastrukturen wird von Bundesregierung und Wirtschaft als wichtige nationale Aufgabe gesehen, weil die Innere Sicherheit immer stärker von der IT-Sicherheit beeinflusst wird. Der Umsetzungsplan KRITIS leistet einen wesentlichen Beitrag zur verlässlichen Bereitstellung der lebensnotwendigen Dienstleistungen.

11 Kurzbeschreibung UP KRITIS Schutz der Kritischen Infrastrukturen mit drei strategischen Zielen: Prävention: Informationsinfrastrukturen angemessen schützen Reaktion: Wirkungsvoll bei IT-Sicherheitsvorfällen handeln Nachhaltigkeit: Deutsche IT-Sicherheitskompetenz stärken

12 Teilnehmer am UP KRITIS Allianz, BaFin, Bankenverband, BBK, Bitkom, BMI, BMWi, BP, BSI, Bundesbank, Bundesnetzagentur, Colt, Commerzbank, Deutsche Bahn, Deutsche Bank, Deutsche Börse, Deutsche Bundesbank, Deutsche Flugsicherung, Deutsche Post, DSGV, DZ Bank, eco, E-Plus, EZB, GDV, HUK-Coburg, Lanxess, LVM Versicherungen, O2, Postbank, Provinzial, RWE, SIZ, Telekom, VCI, Verizon, Vodafone, Unicredit Group Anderen Unternehmen, die nicht zu den Kritischen Infrastrukturen gehören, werden die erarbeiteten Empfehlungen zur Umsetzung empfohlen. Der Kreis wird gezielt erweitert.

13 Arbeitsgruppen und UAG s AG 1 Notfall- und Krisenübungen AG 2 Krisenreaktion und -bewältigung Definition und Schaffung von Krisenkommunikationsmitteln. AG 3 Aufrechterhaltung kritischer Infrastrukturdienstleistungen AG 4 Nationale und internationale Zusammenarbeit UAG Fortschreibung UAG Krisenszenarien UAG Meldeschwellen / Fortentwicklung Lagebild Plus: Ad Hoc Themen zu Bedrohungen oder neuen Herausforderungen im IT Sektor

14 Erreichtes/ Aktuelle Arbeiten Zwei Rahmenkonzepte wurden veröffentlicht: IT-Notfall- und Krisenübungen in Kritischen Infrastrukturen Früherkennung und Bewältigung von IT-Krisen Krisenkommunikationsmittel SPOC-Aufsetzung und Ausbau Beobachtung/Vernetzung mit EU IKT Studie der externen Abhängigkeiten Beteiligung an der LÜKEX Mehrere Übungen durchgeführt Grundsätze der Zusammenarbeit Kooperationsplattform Welcome Package

15 Sysiphos Langwierige und schwierige Vertrauensbildung Drohung einer KRITIS Gesetzgebung zu Beginn, zwischenzeitlich und wieder einmal vor 6 Wochen. Zeichen von NIH (Not invented here) und ähnlichen Syndromen. Unterschiedliche Interessenschwerpunkte: privater Sektor: Komplexität der Beziehungen zwischen Bundes- und Landesbehörden erfassen öffentlicher Sektor: Evidenz einer hinreichenden Katastrophenvorbereitung des private Sektors.

16 ... der Stein rollt weiter IT versus Business Continuity Management Virtuell versus physisch Prozess versus Ort Analyse versus Aktion Behörden versus Wirtschaft Feste Aufgaben versus flexibler Strategie Zuständigkeit versus Portfolio (+ CashFlow Management) Abteilungsleiter versus Bereichsleiter Ungeklärt: Wo ist die Trennlinie zwischen einem vitalen Service und einer zusätzlichen Dienstleistung?

17 Über die Kunst, eine PPP erfolgreich zu gestalten Zeit, Geduld und Mediation Zuhören, Offenheit, Erfahrungsaustausch und Kollaboration Es ist der vorläufig beste Weg, nachhaltige Resultate zu erreichen Das Grundproblem ist, dass die politischen und auch wirtschaftlichen Entscheidungen zu kurzfristig ausgerichtet sind. Es wird nicht in Systemzusammenhängen gedacht. In unsere Entscheidungen müssen alle Facetten einfließen: die politische und die wirtschaftliche Komponente, aber auch die ökologische, soziale und die kulturelle Dimension. Eberhard von Koerber, Handelsblatt

18 Vielen Dank für Ihre Aufmerksamkeit Haben Sie Fragen? Dr. Waldemar Grudzien Direktor Michael Freiberg, AG Leiter UP KRITIS Mobil