IT-Sicherheit: Herausforderungen und Quick-Wins Vorstellung der Handlungsempfehlungen des KKI e.v.

Transkript

1 IT-Sicherheit: Herausforderungen und Quick-Wins Vorstellung der Handlungsempfehlungen des KKI e.v. Lehrstuhl für Wirtschaftsinformatik und Electronic Government Universität Potsdam Chair of Business Information Systems and Electronic Government University of Potsdam Univ.-Prof. Dr. Ing. habil. Norbert Gronau Lehrstuhlinhaber Chairholder August-Bebel-Str Potsdam Germany Tel Fax Web lswi.de

2 Ausgangslage Herausforderungen für kleine und mittlere Versorger Erarbeitung von Handlungsempfehlungen Vorstellung der Handlungsempfehlungen

3 Gefährdungslage Vorfälle (Auszug): Fehlfunktion der Steuerung der Energienetze in Österreich Kompromittierung des Bundestagsnetzwerks Dragonfly - Schadcode in Industriesteuerungen zur Informationssammlung APT-Angriff auf Stahlwerk mit nicht geregeltem Herunterfahren des Hochofens Heartbleed, Shell-Shock, etc. - Kompromittierung zentraler Sicherheitsmechanismen von Netzwerken Die IT-Infrastruktur ist exponierter und angreifbarer als je zuvor. Unterschiedliche Angreifer nutzen Lücken in der Absicherung, um Infrastrukturen zu schädigen oder Daten abzugreifen. Quelle: Hackmageddon: OKTOBER 2015 CYBER ATTACKS STATISTICS, n=75; BSI (2015): Die Lage der IT-Sicherheit in Deutschland 2014

4 Ursachen Digitale Sorglosigkeit Schwachstellen Schutzmaßnahmen (Patchmanagement, Virenscanner) werden trotz offensichtlicher Bedrohung nicht hinreichend umgesetzt Anreize durch versprochenen Komfort bei sorgloser Nutzung (Whatsapp, Facebook, Google) Kaum kritischer Umgang mit potenziellen Schadprogrammen/Links Einsatz veralteter Software und ungepatchter Systeme rund 700 kritische Schwachstellen in 13 Softwareprodukten Hersteller sind gezwungen sich auf kritische Schwachstellen zu konzentrieren Auftreten von Zero-Day-Exploits (Sicherheitslücken ohne Patch) Unzureichende Absicherung industrieller Systeme min. 10% aller in Deutschland gängigen Betriebssysteme haben veraltete Patchstände; häufig auch Mobilsysteme (Android) veraltet Weltweit 6 Mio Webseiten angreifbar Auslaufen des Produktsupport z.b. Windows XP IT-Komponenten erhalten Einzug in Produktionsnetzwerke (z.b. Industrie 4.0) Infektion häufig über Büronetze, Wechseldatenträger und Fernwartungszugänge Social Engineering und menschliches Fehlverhalten Sowohl technische, organisatorische als auch menschliche Ursachen exponieren die Unternehmens-IT. Quelle: BSI (2015): Die Lage der IT-Sicherheit in Deutschland 2014

6 Umfangreiche Analyse notwendig Analysevorgehen Identifikation kritischer Geschäftsprozesse Erhebung der Komponenten und Netze Bewertung der Informationen und Systeme Auswahl von Maßnahmen Häufige Probleme Gewachsene, heterogene IT-Infrastruktur ohne Architektur- oder IT-Management Orientierung auf Strukturen, nicht Prozesse Verstreute IT-Dokumentation Hohe Anzahl kritischer Systeme durch stark verwobene IT-Infrastruktur Verteilte oder unklare Zuständigkeit für IT-Sicherheit Die Analyse der IT-Infrastruktur ist auf Grund fehlenden IT-Managements häufig sehr aufwendig, daher wird eine umfassende IT-Sicherheitsanalyse gescheut.

7 Fehlende Ressourcen zur Umsetzung Personelle Ressourcen IT-Abteilung ist häufig recht klein Organisatorische Trennung von Büro- und Steuerungs-IT Vergütung ist bei öffentlichen Betrieben wenig attraktiv für IT- Nachwuchs. Keine eigenständigen IT-Sicherheit-Budgets IT-Sicherheit wird als Teil der allgemeinen IT angesehen Ausgaben für IT-Sicherheit konkurrieren damit mit Ausgaben zur Modernisierung der IT Ohne Zwischenfälle ist das IT- Budget häufig Ansatzpunkt zum Sparen (ähnlich Krisenvorsorge) Lange Liste von IT- Sicherheitmaßnahmen Analysen ergeben häufig umfangreiche Prüf- und Umsetzungspläne Priorisierung, welche Maßnahmen kurz-, mittel- und langfristig Nutzen bringen ist notwendig Fehlende Orientierung bei der Priorisierung

9 Erarbeitung der Handlungsempfehlungen Grundlagen Priorisierungsworkshop Konkretisierung in Beirats-AG Orientierung am Rahmenwerk ISO/IEC27002:2014 Liste von Maßnahmen und Umsetzungsempfehlungen Voraussetzung sollte ein etabliertes ISMS sein Fragestellung: Welche Maßnahmen können im Sinne der 80/20-Regel schnell und kostengünstig das Sicherheitsniveau heben? Bewertung der Maßnahmen aus der ISO/IEC27002:2014 Teilnehmerkreis: Kritis-Betreiber IT-Sicherheitsexperten Behörden Bewertungsdimensionen: Aufwand der Umsetzung Nutzen der Maßnahme Resultat: Liste von Maßnahme, die sich zur schnellen Erhöhung der IT- Sicherheit eignen Gruppierung und Zusammenfassung der einzelnen Maßnahmen Erarbeitung von Fragen für eine abschließende Check-Liste Identifikation und Diskussion unklarer Begriffe Ausformulieren der Maßnahmen Zusammenstellen des Glossars

11 Inhalt und Struktur der Handlungsempfehlungen Mitarbeiter Zugang und Zugriff IT-Betrieb Beziehung zu externen Akteuren Struktur Maßnahmen gehen über technische Sicherheit hinaus IT-Sicherheit als Managementaufgabe zentrale Rolle sensibilisierter Mitarbeiter IT-Sicherheitsmanagement Inhalt 20 Handlungsempfehlungen Checkliste am Ende zur Selbsteinschätzung Erläuterung zentraler Begriffe im Glossar Die Handlungsempfehlungen ermöglichen kleinen und mittleren Betreibern kritischer Infrastrukturen einen schnellen, groben Überblick über ihre IT-Sicherheit zu gewinnen.

12 IT-Sicherheitsmanagement und Beziehungen zu externen Akteuren IT-Sicherheitsmanagement Inhalt IT-Sicherheit als Managementaufgabe Berücksichtigung in Strukturen und Prozessen des Unternehmens Sicherstellen der Operation im Krisenmodus Minimierung des Schadenspotenzials Maßnahmen 1. Zuständigkeiten und Verfahren bestimmen 2. Zulässigen Gebrauch von Informationen und Firmeneigentum festlegen 3. Verfahren für den Umgang mit klassifizierten Informationen festlegen Beziehung zu externen Akteuren Inhalt Externe Akteure können Wissensträger oder Gefahrenquelle sein Vertrauen zu Lieferanten und Dienstleistern aufbauen und überprüfen Behördliche Meldewege und Kontakte können verpflichtend sein und liefern einen Überblick zur Sicherheitslage Maßnahmen 4. Gegenüber Informationssicherheit in Lieferantenbeziehungen sensibilisieren 5. Behördenkontakte festlegen und pflegen

13 Mitarbeiter und Zugang/Zugriff Mitarbeiter Inhalt Mitarbeiter nehmen unterschiedliche Rollen bei der Benutzung der IT ein Nutzung der Mitarbeiter zur frühzeitigen Erkennung von Sicherheitsmängeln Motivation und Sanktionierung von sicherheitsrelevantem Verhalten Maßnahmen 6. Mitarbeiter schulen 7. Vertraulichkeits- und Geheimhaltungsvereinbarungen abschließen 8. Schwachstellen erkennen 9. IT-Sicherheitsmängel melden Zugang/Zugriff Inhalt Zugang zur IT-Infrastruktur im Front- und Backend- Bereich ermöglicht leichte Kompromittierung Zugriff auf Informationen und Systeme soll reguliert werden, um es Angreifern schwerer zu machen Maßnahmen 10.Zugriffsrechte regeln 11.Kennwortschutz sicherstellen 12.Unbeaufsichtigte Endgeräte schützen Sensibilisierte Mitarbeiter und geschützte Zugänge erschweren Angreifern das Eindringen in die IT-Infrastruktur.

14 IT-Betrieb Inhalt Qualität und Strukturierung des IT-Betriebs erleichtert die Durchführung von Sicherheitsanalysen und die Umsetzung von Maßnahmen Strukturierte Dokumentationen erleichtern das Verständnis komplexer IT-Systeme Unterschiedliche Rahmenwerke liefern Hilfe für den systematischer IT-Betrieb (ITIL, COBIT,...) Vorsorge und Vorbereitung nimmt einen hohen Stellenwert ein Maßnahmen 13.Verfahren des IT-Betriebs dokumentieren 14.Beschränkungen der Installation auf betrieblichen Anwendungssystemen 15.Beschränkung der Softwareinstallation auf Clients und Mobilgeräten 16.Management von Mobilgeräten 17.Wechseldatenträger kontrollieren 18.Schutz der IT-Systeme (vertrauenswürdige Software und Virenschutz) 19.Systemwiederherstellung 20.Administratoren- und Betreiberprotokolle pflegen Je systematischer IT betrieben wird, umso leichter ist die Umsetzung von Maßnahmen. Eine strukturierte Dokumentation und klare Regeln sind ein erster Schritt.

15 Grenzen der Handlungsempfehlungen Erste Schritte, um ein erhöhtes Sicherheitsniveau zu erreichen ISMS sollte zur besseren Systematisierung und Verstetigung der IT-Aufgaben und Maßnahmen etabliert werden Maßnahmen beziehen sich in großen Teilen auf die Büro-IT, Steuerungs-IT erfordert andere Sicherungsmaßnahmen Langfristig muss IT-Sicherheit im Budget der Unternehmen berücksichtigt werden IT-Sicherheit sollte bei der unternehmensweiten Risikoanalye mit betrachtet werden

16 Zum Nachlesen Kontakt Handlungsempfehlungen zur Verbesserung der IT- und Informationssicherheit für Betreiber Kritischer Infrastrukturen Einleitung Die IT-Sicherheitslage bleibt angespannt das bestätigt auch das erst im Juli dieses Jahres verabschiedete IT-Sicherheitsgesetz. Dessen vorrangiges Ziel ist die Erhöhung der IT-Sicherheit Kritischer Infrastrukturen in vorbestimmten Sektoren. Kleinstunternehmen (weniger als zehn Mitarbeiter und/oder Jahresumsatz bzw. Jahresbilanz < 2 Mio. Euro) sind aus Gründen der Verhältnismäßigkeit jedoch von diesem Gesetz ausgenommen. Tatsächlich würden die Anforderungen, die das Gesetz zur Erhöhung der IT-Sicherheit vorsieht, viele kleine Unternehmen vor eine Herkulesaufgabe stellen. Weniger gefährdet oder kritisch für unser Gemeinwesen sind kleinere Betreiber Kritischer Infrastrukturen dadurch jedoch nicht! Mit diesen Handlungsempfehlungen möchte der Verein Kompetenzzentrum Kritische Infrastrukturen e. V. (KKI e. V.) gerade den kleinen Unternehmen Wege aufzeigen, mit denen sich die IT-Sicherheit auch ohne großen Aufwand steigern lässt. Neben der Absicherung technischer Anlagen und Software sollen die Maßnahmen aber auch zum Schutz unternehmenseigener Informationen und somit zur Informationssicherheit der Unternehmen selbst beitragen. Dafür wurden die Empfehlungen in fünf Themenbereiche untergliedert: Christof Thim Universität Potsdam August-Bebel-Str Potsdam Germany Tel cthim@lswi.de Die insgesamt 20 Handlungsempfehlungen enden stets mit Ihrer realistischen Selbsteinschätzung ( geprüft/trifft zu ) und werden am Ende zu einer Check-Liste zusammengefasst. Bitte bedenken Sie bei Ihrer Einschätzung, dass dieses Zutreffen auch für andere nachvollziehbar und damit grundsätzlich dokumentiert sein sollte. Welche der einfach umzusetzenden Maßnahmen bei Ihnen bereits eingeführt wurden, lässt sich so leichter nachvollziehen. Zur näheren Erläuterung hängt den Handlungsempfehlungen außerdem ein Glossar an, das wichtige Begriffsunterscheidungen rund um das Thema IT- und Informationssicherheit vornimmt. Die Handlungsempfehlungen wurden auf der Basis der ISO/IEC27002:2014 und der Einschätzung durch eine Expertenrunde im KKI e. V. entwickelt KKI e. V. (Berlin) Seite 1 von 12 KKI e.v. (Hrsg): Handlungsempfehlungen zur Verbesserung der IT- und Informationssicherheit für Betreiber Kritischer Infrastrukturen. Berlin 2015,