Anforderungen an digitale Strukturen in der Energiewirtschaft

Transkript

1 ENERGY Anforderungen an digitale Strukturen in der Energiewirtschaft Was bedeuten die KRITIS-Standards in der Praxis? Hamburg, 25. Januar DNV GL 2016 SRL Montag, 3.0 TPL-IT 22. Januar 2018 SAFER, SMARTER, GREENER

2 0. Zu meiner Person Name: Uwe Jacob Rolle im Unternehmen: Erfahrung: Head of Section Operational Excellence Principal Consultant Grid Operation and Control / IT 31 Jahre, davon 25 in der Energiewirtschaft Dipl.-Ing. Elektrotechnik, Technische Hochschule Leipzig 2

3 0. Zum Unternehmen DNV GL 2,5 Mrd. 188 Mio. 5% Umsatz (2015) EBIT (2015) Investitionen F&E Jahre Büros Länder Mitarbeiter (2015) 3

4 Inhalt des Vortrages 1. Warum KRITIS und IT-Sicherheit? 2. Wesentliche KRITIS-Standards 3. Herausforderungen bei der Umsetzung in die Praxis 4. Blick in die Zukunft 5. Zusammenfassung 4

5 1. Warum KRITIS und IT-Sicherheit? 5

6 Warum KRITIS und IT-Sicherheit - Digitale Strukturen in der EW. Dezentrale Kommunikationsstrukturen Umfassende Vernetzung Ort Verfügbarkeit Information Schnelligkeit Information ist schon heute ein hohes wirtschaftliches Gut Information als Basis für operative Entscheidungen ist essentiell Information jederzeit + überall wird zum Wettbewerbsvorteil 6

7 Warum KRITIS und IT-Sicherheit Stromausfall in der Ukraine. Dezember 2015 Cyber-Angriff in der Ukraine betraf Stromkunden Hacker haben aus der Ferne angegriffen und in 17 Umspannwerken die Stromversorgung unterbrochen Hacker sammelten Passwörter und Login- Daten und erhielten die Möglichkeit, auf das Kontrollsystem zuzugreifen Malware (BlackEnergy 3) infizierte die IT Systeme Hacker haben Pishing s an Mitarbeiter in den Büros gesendet 7

8 Warum KRITIS und IT-Sicherheit - Virenangriff auf Saudi Aramco. August 2012 Malware-Virus breitete sich aus / zerstörte Computer Zurück zur Arbeit mit Der Angriff Malware, Shamoon, auch bekannt als Disttrack, infizierte über Computer Die Folgen Papierunterlagen Störung des Geschäftsbetriebs System war erst nach 10 Tagen wieder online 8

9 Praktische Beispiele für Angriffe auf kritische Infrastrukturen. Cyber-Angriff mit bösartiger Software auf Steuerungssysteme für Rohrleitung verursacht eine Explosion (1982) Cyber-Angriff mit dem Stuxnet-Virus auf eine Anreicherungsanlage im Iran, verursachte eine Störung der Anlage und führte zu einem Ausfall von 1 Jahr (2010) Feuer zerstörte Kontrollstation der Eisenbahngesellschaft und verursacht Störungen im Eisenbahnverkehr (2010) Cyber-Hacker zielen auf den Energy Sector ab, um Black Energy- Malware zu entwickeln (2014) Cyber-Attacke auf das Verteilnetz der Ukraine verursacht einen Stromausfall für 200K Kunden (2015) Ransomware-Infektion des Hollywood Presbyterian Medical Centers in Los Angeles, sperrte Daten im gesamten IT-System, es war kein Zugriff auf s oder medizinische Aufzeichnungen möglich und einige Patienten mussten verlegt werden (2016) 9

10 2. Wesentliche KRITIS-Standards Quelle: kritis.bund.de 10

11 Vielfältige Anforderungen für den sicheren Betrieb kritischer Infrastrukturen. ISMS IT-Sicherheitsgesetz BSI BSI-KritisV Quelle: kritis.bund.de BSI-Gesetz BSI TR DIN ISO/IEC a Abs. 1,2 BSIG Wahrscheinlichkeit sehr hoch hoch mittel niedrig sehr niedrig sehr niedrig mittel hoch sehr UP KRITIS niedrig hoch Konsequenz Act Check Plan Do Penetrationstest 11 Abs. 1b EnWG Branchenstandards 11

12 Etwas Mehr Klarheit - Was für Wen? 12

13 Kernelemente: IT-Sicherheitsgesetz Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme am in Kraft getreten resultiert aus der 2011 beschlossenen Cyber-Sicherheitsstrategie Inhalte: Meldepflicht von IT-Sicherheitsvorfällen Höhere IT-Sicherheitsstandards Schutzniveau der IT-Systeme des Bundes Stärkung des BSI inkl. Warnbefugnissen BKA bundesweit für Cyberdelikte zuständig Mantelgesetz Ändert nur bestehende Gesetze IT-Sicherheitsgesetz (ITSiG) BSI-Gesetz (BSIG) Energiewirtschaftsgesetz (EnWG) Telekommunikationsgesetz (TKG) Telemediengesetz (TMG) Atomgesetz (AtG) Bundesbesoldungsgesetz (BBesG) Bundeskriminalamtgesetz (BKAG) 13

14 Kernelemente: IT-Sicherheitskatalog und DIN ISO/IEC Verordnung: IT-Sicherheitskatalog gemäß 11 Absatz 1a Energiewirtschaftsgesetz (Stand: August 2015) Kernelemente: Schutzziele Risikoanayles und Bewertung ISMS entsprechend ISO/IEC Stand der Technik Umsetzung: Zertifizierung bis 31. Januar 2018, keine Einschränkung der Unternehmensgröße Norm: DIN ISO/IEC (gültgige Fassung) 14

15 Kernelemente: Branchenstandards Branchenstandard: IT-Sicherheit Branchenstandard Wasser/Abwasser gemäß 8 Absatz 1,2 BSI-Gesetz (Stand: August 2017) Kernelemente: Schutzziele Risikoanayles und Bewertung ISMS entsprechend ISO/IEC oder Maßnahmen gemäß Sicherheitsleitfaden Betriebliches Kontinuitätsmanagement Stand der Technik Umsetzung: 3. Mai 2018 für KritisV-Unternehmen (22 Mio. m³/jahr) Quelle: DVGW Quelle: Istock.com/AlexBrylov 15

16 3. Herausforderungen bei der Umsetzung in die Praxis 16

17 Herausforderung: Anwendbarkeit und Zuordnung Mehrsparten-Unternehmen (Strom, Gas, Wasser) Eigentümer oder Betreiber der KRITIS Ausdehnung auf Dienstleister / Lieferant 17

18 Herausforderung: Eindeutigkeit Einheitliche Auslegung der Anforderungen (BSI DAkkS BnetzA - Regulierungsbehörde) Ermittlung der Schwellwerte für KRITIS-Unternehmen 18

19 Herausforderung: Gültigkeit, Aktualität Vorhandene Zertifizierung nach BSI-G, ISO 27001, TSM, Zertifikate vor Überarbeitung Konformitätsbewertungsprogramm (2017) Quelle: 19

20 Herausforderung: Aufwand und Nutzen ISMS ist nicht (nur) IT und Software Unterschätzter Aufwand (Zeit, Personal) Risiken - Aufwand für deren Beseitigung Wahrscheinlichkeit sehr hoch hoch Act Plan mittel niedrig Check Do sehr niedrig sehr niedrig mittel hoch sehr niedrig hoch Konsequenz 20

21 4. Blick in die Zukunft 21

22 IT-Sicherheitskatalog für Energieanlagen (Entwurf) Verordnung: IT-Sicherheitskatalog gemäß 11 Absatz 1b Energiewirtschaftsgesetz (Stand: Entwurf Januar 2018) Kernelemente: Schutzziele, besondere Schutzziele Risikoanayles und Bewertung ISMS entsprechend ISO/IEC Stand der Technik Umsetzung: Zertifizierung innrhalb 1,5 Jahre ab Veröffentlichung, gültig für KritisV-Unternehmen (Anhang1, Teil 3, Nr /2.1.2 Norm: DIN ISO/IEC (gültige Fassung) Quelle: BNetzA 22

23 Weitere Branchenstandards (B3S) sind in Prüfung. Sektor Energie: Verteilung von Fernwärme; eingereicht von BDEW (Bundesverband der Energie- und Wasserwirtschaft e. V.) Anlage oder Systeme zur Steuerung/Bündelung elektrischer Leistungen; eingereicht vom BDEW (Bundesverband der Energie- und Wasserwirtschaft e. V.) Sektor IT und TK: Housing, Hosting und CDN; eingereicht vom BAK Datacenter & Hosting Quelle: BSI 23

24 5. Zusammenfassung 24

25 Zusammenfassung Immer mehr Bereiche sind im Fokus von Cyber-Attacken Cyber-Attacken werden immer gezielter und erfolgreicher Digitalisierung und Vernetzung machen die Systeme anfälliger IT-Sicherheit ist kein Produkt IT-Sicherheit ist ein Prozess IT-Sicherheit braucht Klarheit und Abstimmung IT-Sicherheit erfordert Unterstützung vom Management 25

26 Neue Technologien bringen neue Chancen und neue Risiken - es ist wichtig diese zu (er)kennen und zu managen. Klaus Schmeh aus "Kryptografie. Verfahren Protokolle Infrastrukturen" Vielen Dank für Ihre Aufmerksamkeit 26

27 Vielen Dank für Ihre Aufmerksamkeit Uwe Jacob (Head of Section, Operational Excellence) T: SAFER, SMARTER, GREENER 27