BCM im Kontext von Industrial Control Systems. 4. CYBICS Cyber Security for Industrial Control Systems

Transkript

1 BCM im Kontext von Industrial Control Systems 4. CYBICS Cyber Security for Industrial Control Systems

2 Industrie. Supply Chain BCM im Kontext von Industrial Control Systems - 4. CYBICS Cyber Security for Industrial Control Systems

3 Klassische. Bedrohungen BCM im Kontext von Industrial Control Systems - 4. CYBICS Cyber Security for Industrial Control Systems

4 Digitalisierung. Globalisierung. Daten BCM im Kontext von Industrial Control Systems - 4. CYBICS Cyber Security for Industrial Control Systems

5 Neue Bedrohungslagen. Daten BCM im Kontext von Industrial Control Systems - 4. CYBICS Cyber Security for Industrial Control Systems

6 Beispiele. Klassische Bedrohungen. Ausfälle IT- / Kommunikationsinfrastruktur Ausfälle Energieversorgung Ausfälle Gebäude und Infrastruktur Ausfälle Personal Ausfälle / Unterbrechung Supply Chain Terrorismus Vandalismus Wetterphänomene Globale Krisen Abhängigkeiten gegenüber Dritten Anwenderfehler, Angriffe auf IT-Systeme, Schadsoftware BCM im Kontext von Industrial Control Systems - 4. CYBICS Cyber Security for Industrial Control Systems

7 Beispiele. ICS-relevante Bedrohungen. Diebstahl von Know-How, Daten, Systemen Betrug über technologische Maßnahmen Ausnutzen von Sicherheitslücken und Zugängen, über die Angreifer Informationen abgreifen und Konfigurationen manipulieren können Ausnutzen von - aus Business- Sicht erforderlichen - Schnittstellen Informationsbeschaffung über die Schwachstelle Mensch anhand psychologischer Tricks ( Trickbetrug ) Diebstahl, Betrug Angriff über IT Netzwerke, Wartungszugänge Globalisierung, Internet Social Engineering Mitteilungsbedürfnis Gezielte Spionage Terror, Unruhe, Verlust wichtiger Services Unwissenheit von Mitarbeitern Verbreitung sensitiver Informationen Beim kollegialen Gespräch An öffentlichen Orten (z.b. Bahn, Flughafen) Abhöraktionen durch Nachrichtendienste oder Industriespionage Störung und Ausfall von z.b. Stromnetzen, Klimatisierung oder Dienstleistern Z.B. unwissentliche Ablage von vertraulichen Informationen auf einem öffentlichen Laufwerk BCM im Kontext von Industrial Control Systems - 4. CYBICS Cyber Security for Industrial Control Systems

8 Lösungsansatz. Einführung eines BCM. Generischer. Ansatz. Evaluierung der Anforderungen und der aktuellen Ausgangssituation Konzeption des BCM Implementierung des BCM Aufbau eines Test- und Übungsmanagement Identifikation und Bewertung der aktuellen Anforderung Gesetze, Regularien, Verträge, Standards, Best-Practices IST-Analyse auf generischem Level Methoden, Prozesse, Dokumentationen Definition Ziele, Prozesse, Methoden, Schnittstellen und Abgrenzungen Enge Abstimmung mit den zuständigen IT-Bereichen IT, OT, SCADA Enge Verzahnung zu Managementsystemen und - disziplinen Z.B. ISMS, QMS, Risikound Prozessmanagement Einbeziehung Geschäfts-, Produktionsprozesse und Management Business Impact Analyse, Identifikation von: Kritische Prozesse und Ressourcen Abhängigkeiten und Anforderungen Risikomanagement Identifikation relevanter Szenarien Ableitung von Strategie- Optionen Erstellung von Notfallplänen Business, IT und ICS Erstellung Test- und Übungsplanung Regelmäßiges Üben und Testen der Notfallplanungen Sukzessive Steigerung der Komplexitäten Ableitung von Verbesserungsmaßnahmen BCM im Kontext von Industrial Control Systems - 4. CYBICS Cyber Security for Industrial Control Systems

9 Kooperationspartner Aufsichtsbehörden Angemessenheit Reputation Wirtschaftlichkeit Dienstleister Einflussfaktoren. BCM. Outsourcing ISO Kunden Krisenfestigkeit Supply Chain Branchenstandards BSI IT-Grundschutz Kunden Lieferanten BSI ISO 27001Notfallfähigkeit Widerstandsfähigkeit Interne Regularien Gesetzliche Anforderungen BCM im Kontext von Industrial Control Systems - 4. CYBICS Cyber Security for Industrial Control Systems

10 Identifikation. Mehrwerte. Auf Vorfälle vorbereiten, die evtl. nie eintreten? Wieso sollten wir dies tun? Schadensreduktion durch Prävention Identifikation kritischer Geschäftsprozesse, Services und Ressourcen Schutz gegen inakzeptable Ausfallzeiten Vermeidung von Image- und Reputationsschäden Erfüllung Compliance Anforderungen Möglichkeit auf Reduktion von Haftungsrisiken Marketing- und Wettbewerbsvorteil! Schaffen Sie die Basis für den Fortbestand Ihres Unternehmens! BCM im Kontext von Industrial Control Systems - 4. CYBICS Cyber Security for Industrial Control Systems

11 Herausforderungen. BCM Einführung. Strategische Herausforderungen Technische Herausforderungen Organisatorische und Betriebliche Herausforderungen! Vorurteile: Identifikation und Abbildung der kritischen Prozesse, Services und Ressourcen Schnittstelle / Kommunikation zwischen OT, ICS, IT und Produktion und Geschäftsprozessen Isolation des Thema BCM / Notfallmanagement auf IT und OT Management der Komplexitäten (historisch gewachsenen Strukturen, unterschiedliche Technologien, Architekturen und Infrastruktur) Abbildung der dynamischen OT-, ICS-, IT- und Prozess-Infrastruktur Begrenzte Berücksichtigung von Abhängigkeiten ohne Software Unterstützung Angemessene Erstellung von Dokumentationen (z.b. Konzepte, Pläne, Handbücher) Vertretbarer Pflegeaufwand und fortlaufende Aktualisierung der Dokumentationen Schaffung von Mehrwerten im realen Schadens- und Krisenfall (Verfügbarkeit, Vollständigkeit und Aktualität der Dokumente) Wirksamkeit der getroffenen Maßnahmen und Planungen durch Test- und Übungsmanagement Pflegeintensiv. Teuer. Keine Akzeptanz. Kein Mehrwert BCM im Kontext von Industrial Control Systems - 4. CYBICS Cyber Security for Industrial Control Systems

12 Zusammenhänge. BCMS (Business Continuity Management System). Organisation BCMS Management Strategien, Planungen, Visionen Management Commitment Bereich Organisation Prozesse, Rollen, Strukturen BCM Forum, Policies Fachbereiche Verfahren, Lösungen Anforderungen. Tech/org. Maßnahmen. Notfallpläne. Informationstechnik Prozesse, Kommunikation, Daten Anforderungen. Tech/org. Maßnahmen. Notfallpläne. Infrastruktur-Technik Gebäude, Infrastruktur Anforderungen. Tech/org. Maßnahmen. Notfallpläne. Ca. 80% der Maßnahmen bei der Einführung eines BCMS sind organisatorischer Art! Dienstleistung BCMS-Forderungen Betriebliche Anforderungen BCM im Kontext von Industrial Control Systems - 4. CYBICS Cyber Security for Industrial Control Systems

13 Inhalte. Normkonformes BCM. Themen vs. Prozesse in Anlehnung an die ISO Themen Prozesse BCM Policy Management commitment Unternehmensziele und Kultur Anforderungen und Erwartungen Dritter (z.b. Kunden, Lieferanten, Dienstleister) Scope (Anwendungsbereich) des BCM Rollen und Verantwortlichkeiten im BCM Zielsetzungen und Umsetzungen im BCM Ressourcen im BCM Awareness im BCM Kommunikation im BCM Dokumentenmanagement im BCM Business Impact Analysen Risikomanagement im BCM Business Continuity Strategien Incident Management Business Continuity Planungen Übungs- und Testmanagement Monitoring und Analyse des BCM Interne Audits im BCM Management Review im BCM Kontinuierliche Verbesserung im BCM BCM im Kontext von Industrial Control Systems - 4. CYBICS Cyber Security for Industrial Control Systems

14 TÜV Rheinland. Ihr Partner für Informationssicherheit. 2017

15 Zahlen ,881 Milliarden Umsatz Umsatz nach Geschäftsbereichen Umsatz nach Regionen 7% Zentral- und Osteuropa 1,9% 8% 27% Industrie Services Produkte Indien, Naher Osten, Afrika 4,7% Asien Pazifik 5,3% Deutschland, 52,8 10% Mobilität Südamerika 5,6% Academy & Life Care Nordamerika 5,8% ICT & Business Solution Westeuropa 9,4% 20% 24% Systeme Greater China 14,5% ICT & Business Solutions

16 ICT & Business Solutions Von der strategischen Beratung über Konzeption und Prozessoptimierung bis zu Implementierung, Betrieb oder Zertifizierung der Systeme ICT & Business Solutions

17 ICT & Business Solutions. Eckdaten 133 Mio. Umsatz 8% des Gesamtumsatzes 600 Spezialisten Geschäftsfelder IT-Services & Cyber Security Telco Solutions & Consulting Schwerpunktbranchen Wir verfügen über ein breites Erfahrungsspektrum in Schlüsselbranchen Telekommunikation Finanzdienstleistungen Energie Handel Gesundheit Fertigung Mobilität, Logistik, Automobil Luft- und Raumfahrt Wissenswertes Seit 2014 sind wir am deutschen Markt der führende unabhängige Anbieter von IT- und Internetsicherheitsleistungen und gehören weltweit zu den führenden Akteuren Wir beraten Netzwerkbetreiber bei der Planung, beim Aufbau und bei der Pflege ihrer Telekommunikationsinfrastrukturen kompetent technologieorientiert kosteneffizient ICT & Business Solutions

18 TÜV Rheinland i-sec. Informations- und IT-Sicherheit. Führender unabhängiger Dienstleister für Informationssicherheit in Deutschland Beratungs- und Lösungskompetenz in ganzheitlicher Informationssicherheit von der Steuerungsebene bis ins Rechenzentrum inkl. betriebsunterstützender Leistungen Exzellente Technologie-Expertise, umfassendes Branchen-Knowhow, Partnerschaften mit Marktführern International zählen wir im Verbund mit unseren Schwestergesellschaften OpenSky und 2MC zu den wichtigsten unabhängigen Anbietern Zertifiziert nach ISO und ISO ICT & Business Solutions

19 TÜV Rheinland i-sec GmbH. Fakten und Zahlen. Standorte Deutschland Köln (HQ) München Gelnhausen Saarbrücken 15 Sales Fachliches Kompetenzteam 20 Security Engineering 60 Management Beratung 45 Professional Service und Betrieb Kernbranchen und Sitz unserer Kunden Finanzen Automobil Energiewirtschaft Chemie/Pharma Telekommunikation Int. Mischkonzerne Transport/Logistik Öffentlicher Dienst Handel! Projekteinsatz an Tagen in ICT & Business Solutions

20 Lösungskompetenz. Informations- und IT-Sicherheit. 01 Zielsetzung und Strategie 02 Steuerung und Planung 03 Konzeption und Implementierung 04 Betrieb 05 Prüfung Businessanforderung Management der Informationssicherheit Sichere Architekturen und Prozesse für Netzwerke, Rechenzentren, Mobil Sicherheit im Betrieb Sicherheitsaudits Strategie Datenschutz und Datensicherheit Anwendungssicherheit Betrieb (MSS) und Support von IT Security Lösungen Zertifizierung von Prozessen und Diensten Steuerungsprozesse IT Risikomanagement nach ISO und APT Computer Security Incident Response Team (CSIRT) ISMS, BCM und GRC Toolauswahl/-einführung! Branchenlösungen, individuelle Konzepte, professionelle Beratung und stark in der Umsetzung. Abkürzungsverzeichnis: ISMS = Information Security Management System BCM = Business Continuity Management GRC = Governance, Risk und Compliance APT = Advanced Persistent Threat gezielte Cyberangriffe MSS = Managed Security Services ICT & Business Solutions

21 Betrieb. Service und Support. Managed Service und Support. Bedarfsgerecht. Support Services Support Services 10/5 Support Services 24/7 Software Services Support Web Support-Web mit Benachrichtigung Hardware Services Garantieverlängerung Next Business Day Spare onsite Innerhalb 4 Stunden Managed Services Managed Services 10/5 Managed Services 24/7 Change Management Monitoring Services Monitoring mit Benachrichtigung Monitoring Managed Services Monitoring onsite Optionale Services Lizenzmanagement Laufzeitkonsolidierung Dienstleistungskontingent Fremdleistung (Handelsware) Finanzierung Threat Qualification ICT & Business Solutions

22 Hersteller. Kompetenzen ICT & Business Solutions

23 Kunden. Referenzen ICT & Business Solutions

24 TÜV Rheinland i-sec GmbH Am Grauen Stein Köln Tel: Fax: