Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen

Größe: px

Ab Seite anzeigen:

Download "Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen"

Cornelius Bieber
vor 8 Jahren
Abrufe

1 Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen wissen? September 24, 2015 Slide 1

2 Über den Drucker ins Unternehmensnetzwerk Der Angreifer schickt ein mit Malware sowie einem auf den Drucker abgestimmten Exploit präpariertes Dokument per an Mitarbeiter im auszuspähenden Unternehmen Beim Ausdrucken des Dokuments kommt es dann zur Infektion; diese Art des Angriffs ist schon seit mehreren Jahren bekannt In den wenigsten Unternehmen wurden jedoch Firmware-Updates auf Druckern installiert, so dass sich in der Praxis reichlich verwundbare Geräte finden lassen HP LaserJet P2055 Ist die Malware aktiv, baut sie einen Tunnel zu einem Server auf und erwartet von dort weitere Kommandos Da der Drucker ein vollwertiges Betriebssystem mitbringt, kann der Angreifer das Netzwerk scannen September 24, 2015 Slide 2

wurden jedoch Firmware-Updates auf Druckern installiert, so dass sich in der Praxis reichlich verwundbare Geräte finden lassen HP LaserJet P2055 Ist die Malware aktiv, baut sie einen

3 Aufdeckungen von Schwachstellen in Leitsystemen Quelle: (Stand: 25. Juni 2015) September 24, 2015 Slide 3

2009 2010 2011 2012 2013 2014 2015 Quelle: https://scadahacker.

4 Regulatorischer Rahmen in Deutschland IT-Sicherheitsgesetz (25. Juli 2015) Zielgruppe: Betreiber kritischer Infrastrukturen Ausstehende Rechtsverordnung, die kritische Infrastrukturen anhand von branchenspezifischen Schwellenwerten definiert IT-Sicherheitskatalog gemäß EnWG (12. August 2015) Zielgruppe: Betreiber von Strom- und Gasnetzen (unabhängig von der Größe oder Anzahl der angeschlossenen Kunden) Mindeststandard zum Schutz von TK- und EDV-Systemen, die für einen sicheren Netzbetrieb notwendig sind Wichtige Umsetzungsfristen Benennung einer Kontaktperson für die BNetzA bis zum 30. November 2015 Vorlage des ISMS-Zertifikates (gemäß Katalog) bis zum 31. Januar 2018 September 24, 2015 Slide 4

definiert IT-Sicherheitskatalog gemäß EnWG (12.

5 Relevante Normen für Energieversorgungsunternehmen IT-Sicherheitsgesetz Gesetzliche Grundlagen KonTraG 91 EnWG 11 (vom BMWi) BSI-Gesetz (vom BMI) ICS Security Kompendium IT-Sicherheitskatalog (Netze) BDEW Whitepaper Maßnahmen DIN ISO/IEC DIN ISO/IEC DIN ISO/IEC TR Zertifizierung IT- Grundschutz DIN ISO/IEC September 24, 2015 Slide 5

IT-Sicherheitskatalog (Netze) BDEW Whitepaper Maßnahmen DIN ISO/IEC 27001 DIN ISO/IEC

6 Weitere Normen für Energieversorgungsunternehmen DIN EN Anforderungen an die Planung, Ausführung und Gerätefunktionen für Alarmempfangsstellen in Europa IEC grundlegende Sicherheitsstandards für industrielle Automatisierungsumgebungen und Kontrollsysteme IEC technischer Standard zur Definition einer sicheren Kommunikation in Netzführungssysteme BSI-CC-PP-0073 Schutzprofil für die Kommunikationseinheit eines intelligenten Messsystems (Smart Meter Gateway) September 24, 2015 Slide 6

und Kontrollsysteme IEC 62351 technischer Standard zur Definition einer sicheren Kommunikation in Netzführungssysteme

7 Neuerungen im BSI-Gesetz BSIG EnWG IT-SK Verpflichtungen für Betreiber kritischer Infrastrukturen (gemäß BSI-Gesetz 8a bis 8b) Umsetzung von angemessenen organisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen Nachweis der Einhaltung von branchenspezifischen Normen durch Sicherheitsaudits, Prüfungen oder Zertifizierungen Ernennung einer Kontaktperson für das BSI Anonymisierte Meldung von Störungen Ausnahme: Ausfall bzw. Beeinträchtigung der kritischen Infrastruktur Keine Anwendung von 8a auf Betreiber von Energieversorgungsnetzen und -anlagen im Sinne des EnWG Bußgelder von bis zu ,- bei vorsätzlichen oder fahrlässigen Verstößen September 24, 2015 Slide 7

Ernennung einer Kontaktperson für das BSI Anonymisierte Meldung von Störungen Ausnahme: Ausfall bzw.

8 Neuerungen im Energiewirtschaftsgesetz BSIG EnWG Schutz von Telekommunikations- und EDV-Systemen, die für einen sicheren Netzbetrieb notwendig sind (EnWG 11 Abs. 1a) Kein Spielraum mehr beim Nachweis eines angemessenen Schutzes, da der IT-Sicherheitskatalog als Mindeststandard einzuhalten ist Einführung des Abs. 1b für Betreiber von Energieanlagen IT-SK Schutz von Telekommunikations- und EDV-Systemen, die für einen sicheren Anlagenbetrieb notwendig sind Ähnliche Anforderungen wie für Betreiber von Energieversorgungsnetzen, jedoch separater Katalog Einführung des Abs. 1c für die (anonymisierte) Meldung von erheblichen Störungen September 24, 2015 Slide 8

1b für Betreiber von Energieanlagen IT-SK Schutz von Telekommunikations- und EDV-Systemen, die für einen sicheren Anlagenbetrieb notwendig sind Ähnliche

9 Kernforderungen des IT-Sicherheitskatalogs (Netze) BSIG EnWG Einführung eines ISMS (Informationssicherheits- Managementsystem) gemäß DIN ISO/IEC Zertifizierung des ISMS durch eine unabhängige und hierfür akkreditierte Stelle sowie eine Re-Zertifizierung Nennung eines Ansprechpartners an die Bundesnetzagentur Umsetzungsstand der Anforderungen ACT CHECK PLAN DO IT-SK Aufgetretene Sicherheitsvorfälle sowie Art und Umfang der hierdurch hervorgerufenen Auswirkungen Ursache aufgetretener Sicherheitsvorfälle sowie Maßnahmen zu deren Behebung und zukünftigen Vermeidung September 24, 2015 Slide 9

die Bundesnetzagentur Umsetzungsstand der Anforderungen ACT CHECK PLAN DO IT-SK Aufgetretene Sicherheitsvorfälle sowie Art und Umfang der hierdurch

10 Auf dem Weg zur Zertifizierung Wir unterstützen Betreiber von kritischen Infrastrukturen durch gehärtete Produkte, geschützte Systeme und zuverlässige Dienstleistungen in den Bereichen Netzleittechnik, Stationsleittechnik, Kommunikationstechnik und Fernwirktechnik. Betroffenheit des Betreibers 1 Zertifizierung 2 Systemzustand erfassen System aktiv schützen Regelkonformität kontrollieren System proaktiv schützen Systemzustand überwachen September 24, 2015 Slide 10

Kommunikationstechnik und Fernwirktechnik.

11 Ansprechpartner bei Fragen Peter Piwecki (mobil) Robert Grey (mobil) Kai-Uwe Böhm (mobil) September 24, 2015 Slide 11

abb.com +49 621 381 3670 +49 170 791 7552 (mobil) Kai-Uwe Böhm kai-uwe.

12 24. September 2015 Slide 12

Ähnliche Dokumente

Peter Piwecki und Robert Grey, Webinar, 17. Februar 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen

Peter Piwecki und Robert Grey, Webinar, 17. Februar 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen wissen? February 17, 2015 Slide 1 Agenda Aktueller Lagebericht