IT-Sicherheit im KRITIS-Umfeld - notwendig und umsetzbar. Hannover, im April 2014 Thomas Baier

Größe: px

Ab Seite anzeigen:

Download "IT-Sicherheit im KRITIS-Umfeld - notwendig und umsetzbar. Hannover, im April 2014 Thomas Baier"

Gesche Rosenberg
vor 8 Jahren
Abrufe

1 IT-Sicherheit im KRITIS-Umfeld - notwendig und umsetzbar Hannover, im April 2014 Thomas Baier

2 Premium IT-Sicherheit Made in Germany Marktführer in Deutschland für innovative und hochwertige IT-Sicherheit Erfahrung und Expertenwissen aus über 15 Jahren und über namhaften, nationalen und internationalen Projekten über alle Branchen Umfangreiches Beratungs- und Produktportfolio für nationale und internationale Kunden zum Schutz von Daten und Infrastrukturen Nationale und internationale Kundenreferenzen aus Behörden, Sicherheitsorganisationen, Verteidigung sowie Großkonzernen und Mittelstand Seite 2

000 namhaften, nationalen und internationalen Projekten über alle Branchen Umfangreiches Beratungs- und Produktportfolio für

3 Premium IT-Sicherheit Made in Germany Langjährige und vertrauensvolle Partnerschaften Sicherheitspartner der Bundesrepublik Deutschland seit 2004 Enge Kooperationen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesministerium des Innern (BMI) Partner der Allianz für Cyber-Sicherheit und Mitglied der TeleTrusT Initiative ITSMIG Zusammenarbeit mit Einrichtungen für Forschung und Entwicklung Seite 3

Informationstechnik (BSI) und dem Bundesministerium des Innern (BMI) Partner der Allianz für

4 eid Test Suite Intrusion Detection System Security Awareness Web Application Firewall (WAF) Informationssicherheit Public Key-Infrastruktur (PKI) Elektronische Signaturen SINA Terminal Identity & Access Management -Verschlüsselung Single Sign-On Cyber-Sicherheit SINA BusinessBook Elektronische Rechnungsstellung Managed Security Services secunet konnektor Sichere Authentifizierung secunet safe surfer Common Criteria Beratung Kryptosysteme Netzwerksicherheit Kritische Infrastrukturen Automotive Security Secure Communication Unit (SCU) Pentests & Forensik SINA L2 Box Sicher ins Netz Verschlüsselung Sicherheitskonzepte Virtual Private Networks (VPN) Mobile Security Network Access Control (NAC) Device Management Financial Services Automatische Grenzkontrolle ReCoBSMobile SINA Management eid PKI Suite Cloud Sicherheit Industrie 4.0 Sicherheitsprüfung secunet multisign Data Loss Prevention (DLP) secunet biomiddle Log-Management Sichere elektronische Post SINA Workflow Trust Center ISO egovernment epassportapi Smart Grid secunet GRT platinum edition Biometrie ELSTER Konformitätsprüfung SINA Workstation secunet snort ISMS E-Health-Lösungen Social Engineering Penetrationstests secunet KeyCore SINA L3 Box VS-Verarbeitung Compliance SINA One Way IT-Grundschutz Audits und Konzepte SOA Application Control Unit (ACU) Separation Kernel emobility secunet easygate Informations- und Telekommunikationstechnologie

secunet safe surfer Common Criteria Beratung Kryptosysteme Netzwerksicherheit Kritische Infrastrukturen Automotive Security Secure Communication Unit (SCU) Pentests & Forensik SINA L2 Box Sicher ins

5 Technische Basisinfrastruktur in KRITIS Energie Elektrizität Mineralöl Gas IKT Telekommunikation Informationstechnik Transport und Verkehr Luft-, Seeschiff-, und Binnenschifffahrt Schienen- und Straßenverkehr Logistik Wasser (Trink-)Wasserversorgung Abwasserentsorgung Seite 5

und Verkehr Luft-, Seeschiff-, und Binnenschifffahrt Schienen- und

6 Der Einfluss der IKT nimmt zu Elektrizität Dezentrale volatile Energieerzeugung (EEG) und Lastmanagement erzwingt Smart Grid Wasser elektronische Steuerung der Pumpen / Schieber über Leitstellen Messen, Regeln und Steuern in Prozess- und Netzleittechnik Schienenverkehr elektronische Stellwerke auf Basis IKT Seite 6

elektronische Steuerung der Pumpen / Schieber über Leitstellen Messen, Regeln

7 Leitstellen gestern und morgen Reine SCADA-Systeme Wenige Schnittstellen Keine / wenige Büro-IT Wenig Funktionalität Wenig Steuerungsfunktionalität Wenig Abhängigkeiten von Dritten Erweiterte Funktionalität Viele Schnittstellen IT-Systeme (DBMS, Applikationen, ) Büro-IT Kommunikation zu externen Komponenten und Dritten Seite 7

Abhängigkeiten von Dritten Erweiterte Funktionalität Viele Schnittstellen

8 Prozess-IT ist anders als Büro-IT Hochverfügbarkeit 365 x 24 Anlagen sind 5-20 Jahre im Betrieb Systemänderungen sind sehr selten Antwortzeit-Verhalten ist hoch kritisch meist Standalone- Betrieb Patch-Management sehr selten Seite 8 8

sind sehr selten Antwortzeit-Verhalten ist hoch kritisch

9 Es muss nicht immer Schnee und Eis sein Bedrohungen und Risiken Stuxnet in der iranischen Anreicherungsanlage Natans, Iran Sabotage, Zerstörung von einigen Zentrifugen in der Anreicherungsanlage SQL Slammer im Atomkraftwerk von FirstEnergy in Ohio, USA Überwachungssystem war für fast 5 Stunden außer Betrieb DDoS-Angriffe gegen Web-Server EDF Frankreich und 50Hertz Deutschland WebService war über mehrere Stunden nicht erreichbar Smartmeter-Manipulation in Puerto Rico Versorger schätzt Schäden auf bis zu 400 Millionen US-Dollar jährlich Seite 9

Überwachungssystem war für fast 5 Stunden außer Betrieb DDoS-Angriffe gegen Web-Server EDF Frankreich und 50Hertz Deutschland WebService

10 IT-Sicherheitsmaßnahmen Sichere Architektur und Einsatz aktueller Hochsicherheits-Technologien Hohe Netzwerksicherheit Fernwartung Separierung Isolation Umfassende Gestaltung von Prozessen Organisatorische Maßnahmen Incident Response Management Notfallmanagement Informationsaustausch hinsichtlich Bedrohungen / Risiken / Maßnahmen (CERT etc.) Akzeptanzbildende Maßnahmen: Aufklärung / Beratung / Training Physikalische / Bauliche Sicherheit Vertrauenswürdiges und fachkundiges Personal Test, Audits und Zertifizierungen Seite 10

Informationsaustausch hinsichtlich Bedrohungen / Risiken / Maßnahmen (CERT etc.

11 Herausforderungen für Organisation und IT im KRITIS-Umfeld Regulatorische Anforderungen (z. B. UP-KRITIS, zuk. IT-Sicherheitsgesetz, EnWG, BDEW Whitepaper) Feststellung des Sicherheitsniveaus (Haftung, Versicherung) KRITIS-Audit Einführung ISMS einschl. Risikomanagement Erstellung von Sicherheitskonzepten Einführung ISMS Absicherung Fernwirktechnik Absicherung Fernzugänge Absicherung (Automatisierungs-) Netzwerke sichere Software Updates Identity Management / User- und Berechtigungsmanagement Nutzung moderner / sicherer Kryptographie SINA Identity Management Lösungen Seite 11

Risikomanagement Erstellung von Sicherheitskonzepten Einführung ISMS Absicherung Fernwirktechnik Absicherung Fernzugänge Absicherung

12 KRITIS-Audit: Feststellung des Sicherheitsniveaus Beschreibung Organisatorische und technische Analyse branchenspezifischer Anforderungen und Handlungsempfehlungen (u. a. UP KRITIS, KRITIS Standort-Check, ISO/IEC TR 27019: bzw. DIN SPEC 27009: ) gelenkte Interviews, Fragebögen und stichprobenartige Prüfung Organisatorische Analyse Organisation Informationssicherheit Physische Sicherheit (insbesondere Leitstellen, Technikräume und Außenstandorte, sonstige Betriebseinrichtungen) IT-Service Management IT-Sicherheit Compliance Technische Analyse stichprobenartige Prüfung der Ergebnisse der organisatorischen Analyse Begehung, Einsichtnahmen, Beobachtungen von Aktivitäten und Arbeitsabläufen Ergebnis Die Auswertung erfolgt in Form eines Berichtes unter Verwendung von Grafiken und enthält Maßnahmenvorschläge zur Verbesserung des Sicherheitsniveaus. Seite 12

DIN SPEC 27009:2012-04) gelenkte Interviews, Fragebögen und stichprobenartige Prüfung Organisatorische Analyse Organisation Informationssicherheit Physische Sicherheit (insbesondere Leitstellen,

öffentliche/ private Netze Anforderungen der Beispielrichtlinie KRITIS SINA Workstation

13 SINA: Sicherer Fern-Zugriff und Standortvernetzung Prozess-IT-RZ Leitstelle RTU-Daten SINA erfüllt BSI-Anforderungen für Verschlusssachen Anforderungen aus BDEW-Whitepaper öffentliche/ private Netze Anforderungen der Beispielrichtlinie KRITIS SINA Workstation SINA Terminal SINA Workstation LAN / Niederlassung SINA Terminal Mobil / Heimarbeit Anlage Seite 13

14 SINA OneWay: Sicherer Austausch mit Automatisierungsnetzwerken Features: Unidirektionales Schwarz/Rot-Gateway Hochsichere unidirektionale Datentransfers in eingestufte Netze Automatische Fehlerkorrektur, Rückkanal nicht erforderlich bis 100 MBit/s Datendurchsatz Proxies für smtp, ftp, generisches udp und smb FTP/FTPS/SFTP/SCP und CIFS/SMB Zugriff, SMTP Windows Server Update Service (WSUS) / Anti Virus Signatur Update WSUS Update Vorteile: Evaluierte und BSI zugelassene Hardware Keine manipulierbare/hackbare Software Kein Konfigurationsaufwand nach der Installation geringer operativer Aufwand Kein Back Channel vorhanden, damit entfällt aufwendiges Labeling / Audit Trail Keine menschlichen Konfigurationsfehler im Betrieb möglich Kein Back Channel trotzdem ist Fehlerkorrektur möglich - Reed Solomon Fehler-Korrektur Verfahren Network Monitoring Seite 14

(WSUS) / Anti Virus Signatur Update WSUS Update Vorteile: Evaluierte und BSI zugelassene Hardware Keine manipulierbare/hackbare Software Kein Konfigurationsaufwand nach der Installation geringer

15 IT-Sicherheit kommt nicht nur aus der Box IT-Sicherheit besteht aus vielen Aspekten Soft- und Hardware Sichere Prozesse einschließlich Monitoring / Audit & Tests / Reporting / Eskalation Sicherheits-Organisation IT-Sicherheit lebt ständiger Prozess Bedrohungen / Risiken, Schadensauswirkungen regelmäßig neu bewerten ggf. neue / geänderte Maßnahmen zur Minimierung der Risiken bzw. Restrisiken akzeptabel zu halten Seite 15

Sicherheits-Organisation IT-Sicherheit lebt ständiger Prozess Bedrohungen / Risiken, Schadensauswirkungen

16 IT-Sicherheitsorganisation schaffen und sicheren Betrieb durchsetzen initial Unternehmensleitung Vorgaben definieren Durchsetzung von Policies, Ziele und Strategie zyklisch Review Genehmigung der Maßnahmen und Veränderungen Bereitstellung der Ressourcen Akzeptanz von Restrisiken ISMS Management Management Framework Policies Standards Prozesse Operational Management Risiko-Management Sicherer Betrieb Business Continuity Mgmt. Ausbildung und Awareness Monitoring und Reporting Audit und Review Sicherer Betrieb ISMS Verantwortliche Prüfung und Verbesserung des Sicherheitsmanagements Reporting an das Management Dokumentation Sicherheits-Monitoring Ereignisse reaktiv (nach Ereignissen) pro aktiv (Audits & Tests) Seite 16

Management Risiko-Management Sicherer Betrieb Business Continuity Mgmt.

17 Fazit: Notwendigkeit für Einsatz von Sicherheitstechnologien und -prozessen zur Erfüllung eines (sehr) hohen Schutzbedarfs KRITIS Beachtung von IT-Sicherheit im gesamten Lebenszyklus: Standardisierung, Planung, Implementierung, Integration, Betrieb, Außerbetriebnahme Umsetzung eines ISMS, Risikomanagements und eines Sicherheitskonzeptes für KRITIS-Unternehmen (auch für die Prozess-IT) Nutzung von vertrauenswürdigen Standards zu IT-Sicherheit und Einsatz von vertrauenswürdigen (Hoch-)Sicherheits-Lösungen Seite 17

Außerbetriebnahme Umsetzung eines ISMS, Risikomanagements und eines Sicherheitskonzeptes für KRITIS-Unternehmen (auch für die

18 secunet Security Networks AG Thomas Baier Telefon:

Ähnliche Dokumente

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance Mobile IT-Infrastrukturen in Unternehmen sicher und erfolgreich managen Kurzbeschreibung Mobilität der