Umsetzung des IT- Sicherheitsgesetzes in kleineren KRITIS- Unternehmen

Transkript

1 Umsetzung des IT- Sicherheitsgesetzes in kleineren KRITIS- Unternehmen Wilhelm Dolle Partner, KPMG Security Consulting Januar 2016 kpmg.de/securityconsulting

2 INHALT 1. Vorstellung KPMG 2. Das IT-Sicherheitsgesetz 3. Weitere Regulierung 4. Umsetzung insbesondere in KMUs 1

3 1 Vorstellung KPMG Security Consulting

4 KPMG SECURITY CONSULTING Security Consulting Der Bereich Security Consulting bietet unseren Mandanten mit über 120 Mitarbeitern Unterstützung bei Herausforderungen der Informations- und IT-Sicherheit an. Über 120 Mitarbeiter im Bereich Security Consulting/ Datenschutz und Datensicherheit Zertifizierte ISO/IEC Lead Auditoren Mitarbeiter, die Teile von BSI IT- Grundschutz mitgeschrieben haben Großer Pool an zertifizierten Experten (CISA, CISM, CRISC, CISSP, OSCP, CEH, LPT und weitere) Über 20 spezialisierte Penetrationstester Zugang zum weltweiten KPMG Sicherheitstester-Netzwerk mit mehr als 500 Mitgliedern Mitarbeiter von KPMG sind anerkannte Experten in den Arbeitskreisen Cyber-Sicherheit, Cyber- Forensik und Sicherheitslagebild in der Allianz für Cyber-Sicherheit des BSI. KPMG für Industrie/Produktion und KRITIS Energy Consulting: CTG eine Marke von KPMG Federführend beteiligt an Studien zu Informationssicherheit in Kritischen Infrastrukturen ISMS und Cyber-Sicherheit Assessment-Programme ISMS ISO/IEC Implementierungsleitfaden und Werkzeuge für DIN SPEC / ISO TR Branchenspezialisten für Industrie/Produktion und KRITIS Kenntnisse z.b. in Analyse und Umsetzung gemäß 11 Abs. 1a EnWG und BSI Sicherheitskataloge Unsere Dienstleistungen Implementierung von Informationssicherheitsmanagementsystemen Technische und organisatorische Informationssicherheit Penetration- und Sicherheitstests Zertifizierungsstelle für Informationssicherheit ISO/IEC (KPMG Cert GmbH) 2015 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative ( KPMG International ), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. 3

5 KPMG SECURITY CONSULTING THEMENGEBIETE (AUSZUG) Unser interdisziplinäres Team sorgt für gebündelte Expertise. Experten für Sicherheitsmanagement Einführung und Verbesserung von ISMS nach ISO und BSI IT-Grundschutz Analyse der aktuellen IS-Organisation auf Angemessenheit und Reaktionsfähigkeit Data Leakage Prevention Analyse und Maßnahmen CERT Aufbau und Weiterentwicklung Training, Schulung und Awareness Experten für technische Sicherheit Schwachstellen- und Penetrationstests von Netzwerk- Infrastrukturen, Firewall-Architekturen, (Web)-Anwendungen, Wireless-Security, VoIP-Security, usw. Source-Code Reviews Security Audits von IT-Systemen Netzwerk-Architektur Review und Design Web-Inventarisierung Weiterbildung und Austausch Wir fördern Weiterbildung und Austausch unserer Mitarbeiter durch: Fachliche Zertifizierungen wie CEH, LPT, CISSP, OSCP, CISA, CISM etc. Interne und externe Fachseminare Teilnahme an internationalen Konferenzen Teilnahme an der jährlichen KPMG-internen Hacknet - Konferenz Unsere Experten im Austausch mit der weltweiten KPMG Security Community: KPMG Hacknet Konferenz 2015 in Helsinki/Finnland 2015 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative ( KPMG International ), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. 4

6 UNSERE EXPERTISE Der Bereich Security Consulting kann in Fragen zu KRITIS, IT-Sicherheitsgesetz und Cyber-Sicherheit helfen. Wir erstellen Studien zum Thema und unterstützen bei Methoden zur Identifizierung und Sicherung von KRITIS-Anlagen. KPMG Security Consulting Über 100 Kollegen für Cyber-Sicherheit, organisatorische und technische Sicherheit Erfahrung in KRITIS, IT-Sicherheit, Sicherheitsorganisationen, Branchen und Verbänden Arbeitsbeziehungen zum Bundesamt für Sicherheit in der Informationstechnik (BSI) Studie: IT-Sicherheit in Deutschland Untersuchung des Entwurfs und der möglichen Auswirkungen des IT-Sicherheitsgesetz für den BDI. Die Studie schätzt die Umsetzungskosten betroffener Betreiber durch Meldepflicht und Mindeststandards mit Handlungsempfehlungen für eine Ausgestaltung und Umsetzung des Gesetzes KRITIS-Sektorstudien 2014 & 2015 Untersuchung und Befragung von Betreibern für das BSI in fünf KRITIS-Sektoren (Folgeprojekt aktuell in Arbeit) zu neuralgischen Punkten, zunehmendem Einsatz von IT und aktuellem Stand der IT-Sicherheit. Die Studie identifiziert die kritischen IT-Systeme und deren Schutzmaßnahmen, aktuelle Herausforderungen durch Bedrohungen und Änderungen im Markt und Regulierung. Studie: ecrime 2015 Untersuchung von ecrime (wirtschaftskriminellen Handlungen unter Einsatz von Informations- und Kommunikationstechnologien). Die Studie befragt regelmäßig deutsche Unternehmen zu Vorkommen und Einschätzung von ecrime-vorfällen. Thema der aktuellen Studie ecrime 2015 war außerdem das IT-SiG KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative ( KPMG International ), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. 5

7 UNSERE EXPERTISE Der Bereich Security Consulting kann in Fragen zu Cyber-Sicherheit helfen. Auf nationaler und internationaler Ebene ist KPMG Vorreiter in der Cyber-Sicherheit und berät sowohl die Wirtschaft als auch die öffentliche Hand. ENISA Europäische Agentur für Netz- und Informationssicherheit Rahmenvertrag für KPMG für ICS-SCADA Sicherheit bei der ENISA Erstellung von Analysen und Studien im Umfeld Kritischer Infrastrukturen und SCADA Sicherheit Technische und organisatorische Beratungsprojekte im ICS-SCADA Umfeld KPMG Sicherheit in Industriellen Steuerungssystemen Weltweites Netzwerk von Spezialisten aus IT- und Prozesstechnik Bewährte KPMG ICS Security Methodologie Enge Zusammenarbeit mit den Fachbereichen aus der Energie- und Fertigungsbranche Globale Projekte Über 1000 Projekte im Umfeld der Cyber-Sicherheit Vielzahl von Projekten bezüglich Cyber-Sicherheit in kritischen Infrastrukturen Experten für alle Fachgebiete der Cyber-Sicherheit 2015 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative ( KPMG International ), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. 6

8 UNSERE EXPERTISE VERÖFFENTLICHUNGEN (AUSZUG) KPMG und Energie Global Energy Institute Identifizierung von aktuellen Trends, Entwicklungen und Herausforderungen in enger Abstimmung mit Verbänden, Kunden und Partner CTG als Marke der KPMG für Energie Consulting 2015 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative ( KPMG International ), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. 7

9 UNSERE EXPERTISE Thought Leadership Wir publizieren regelmäßig zu Fachthemen, halten Vorträge bzw. Seminare und forschen zu Themen der Informationssicherheit. Aktuell beispielsweise: mobile and embedded systems, DECT, RFID, critical infrastructure protection, network und application security, production IT, ISMS und ISO/IEC und Identity and Access Management KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative ( KPMG International ), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. 8

10 2 Das IT-Sicherheitsgesetz

11 Inhalte des IT-Sicherheitsgesetzes Aktuelle Entwicklungen der Politik Schärfere Vorschriften sollen dafür sorgen, dass wichtige deutsche Unternehmensbereiche künftig besser vor Cyber-Attacken geschützt sind. Die zwei wichtigsten Entwicklungen im Überblick. Kritische Infrastrukturen KRITIS sind Institutionen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Ver-sorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden IT-Sicherheitsgesetz (IT-SiG) Kritische Infrastrukturen sollen vor Cyberangriffen geschützt werden KRITIS-Betreiber sollen zukünftig erhebliche Störungen melden, branchenspezifische Sicherheits-standards einhalten und regelmäßige Nachweise darüber erbringen Das BMI legt fest, wer KRITIS ist und somit unter das IT-SiG fällt Das IT-SiG ist am 25. Juli 2015 in Kraft getreten und ändert vorhandene Gesetze Das Bundesamt für Sicherheit in der Informationstechnik ist verantwortlich für Mindeststandards der IT-Sicherheit KPMG schätzt die Kosten für Meldungen für die Wirtschaft auf über 1,1 Mrd. Euro Vergleicht das IT-Sicherheitsgesetz mit der Einführung der Sicherheitsgurte in den 70er- Jahren: Innenminister de Maizière (Tagesschau) 10

12 Inhalte des IT-Sicherheitsgesetzes Betreiber Kritischer Infrastrukturen KRITIS-Sektor Staat und Verwaltung Energie Branchen und Betreiber Bundes-, Landes- und Kommunalverwaltung, Ministerien, Sicherheitsbehörden Strom, Gas, Öl und Wärme: Stadtwerke, Kraftwerke, Stromnetze, Gasförderung, Gasnetze Nicht im IT-SiG geregelt; UP Bund Gesundheit Krankenhäuser, Krankentransport, Arztpraxen, Apotheken Informationstechnik & Telekommunikation IT-, Telekommunikations- und Internetkommunikationsunternehmen, Internetprovider, Kabelprovider, Mobilfunkanbieter, IT-Hoster, Netzbetreiber Transport und Verkehr Flughäfen, Fluglinien, Logistikunternehmen, Häfen und Wasserstraßen, Bahnbetreiber, Bahnnetze, ÖPNV Medien und Kultur Wasser Zeitungen, Rundfunk, Fernsehen, Medien Wasserversorgung, Wasserwerke, Wassernetze Nicht im IT-SiG geregelt; Ländergesetze Finanz- und Versicherungswesen Banken, Versicherungen, Finanzdienstleister, Börsen Ernährung Ernährungswirtschaft, Nahrungsmittelherstellung, Lager, Verteilung, Groß- und Einzelhandel 11

13 Inhalte des IT-Sicherheitsgesetzes Kernpunkte des IT-Sicherheitsgesetzes Zu den wesentlichen Inhalten des IT-Sicherheitsgesetzes gehören die Einführung und Ausweitung von Meldungen über erhebliche Störungen sowie die Einführung und der regelmäßige Nachweis branchenspezifischer Sicherheitsstandards. Meldung erheblicher Störungen Branchenspezifische Sicherheitsstandards Regelmäßiger Nachweis 12

14 Inhalte des IT-Sicherheitsgesetzes Meldung erheblicher Störungen für KRITIS-Betreiber Mit der Änderung des BSI-Gesetzes durch Artikel 1 des IT-Sicherheitsgesetzes sind Betreiber Kritischer Infrastrukturen dazu verpflichtet, erhebliche Störungen unverzüglich an das BSI zu melden. Meldung erheblicher Störungen Das BSI-Gesetz wird u. a. durch 8b Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen ergänzt, der in Abschnitt 4 die Meldepflicht näher ausführt. Demnach sind Betreiber Kritischer Infrastrukturen dazu verpflichtet, erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können oder geführt haben über die Kontaktstelle unverzüglich an das Bundesamt zu melden. Ausgestaltung der Meldung Weiterhin definiert Abschnitt 4, welche Angaben aus der Meldung hervor gehen müssen. Hierbei handelt es sich um die technischen Rahmenbedingungen, die vermutete oder tatsächliche Ursache, die betroffene Informationstechnik, die Art der betroffenen Einrichtung oder Anlage sowie die Branche des Betreibers. Die Nennung des Betreibers ist hierbei nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat. 13

15 Inhalte des IT-Sicherheitsgesetzes Einführung branchenspezifischer Sicherheitsstandards Durch Ergänzung von 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen im BSI-Gesetz wird durch die Artikel 1 und 2 festgelegt, was die Anforderungen branchenspezifischer Sicherheitsstandards für Betreiber Kritischer Infrastrukturen sind und wie diese vom BSI genehmigt werden. Anforderungen branchenspezifischer Sicherheitsstandards Anforderungen an die branchenspezifischen Sicherheitsstandards sind angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Als angemessen gelten Vorkehrungen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht. Bei den Sicherheitsstandards ist der Stand der Technik zu beachten. Genehmigung durch das BSI Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können zunächst branchenspezifische Sicherheitsstandards vorschlagen. Das BSI stellt anschließend auf Antrag fest, ob die vorgeschlagenen Sicherheitsstandards geeignet sind, die gesetzlichen Anforderungen zu gewährleisten. Die Feststellung erfolgt dabei im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde. 14

16 Inhalte des IT-Sicherheitsgesetzes Regelmäßiger Nachweis Die Erfüllung der im IT-Sicherheitsgesetz genannten organisatorischen und technischen Vorkehrungen zum Schutz Kritischer Infrastrukturen muss dem BSI mindestens alle zwei Jahre nachgewiesen werden. Art des Nachweises Gemäß 8a Artikel 3 kann der Nachweis durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Übermittlung der Nachweise Betreiber Kritischer Infrastrukturen sind dabei verpflichtet, dem BSI eine Aufstellung der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel zu übermitteln. Verhalten bei Sicherheitsmängeln Sofern Sicherheitsmängel vorliegen, kann das Bundesamt darüber hinaus Regelmäßiger Nachweis 1. die Übermittlung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse und 2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen. 15

17 Ausblick Zeitliche und inhaltliche Agenda des IT-Sicherheitsgesetzes Inkrafttreten des IT-Sicherheitsgesetzes Mit sofortiger Wirkung müssen Betreiber von Webangeboten Maßnahmen zum Schutz von Kundendaten und genutzten IT-Systemen treffen. Telekommunikationsunternehmen müssen Kunden bei Missbrauch ihres Anschlusses warnen. Die Befugnisse des BSI werden erweitert. Für Betreiber von Kernkraftwerken und Telekommunikationsunternehmen besteht eine Meldepflicht von erheblichen IT-Sicherheitsvorfälle. Verpflichtung zur Einhaltung und zum Nachweis von Sicherheits-standards und Meldung erheblicher Störungen Zwei Jahre nach Inkrafttreten der Rechtsverordnung müssen alle Betreiber Kritischer Infrastrukturen Vorkehrungen zur Vermeidung von Störungen treffen und erhebliche Störungen ihrer Infrastruktur melden. Ebenso muss ein regelmäßiger Nachweis der Vorkehrungen erfolgen Rechtsverordnung Die Rechtsverordnung nach 10 Absatz 1 des BSI- Gesetzes wird für 2016 erwartet. Sie legt fest, welche Unternehmen genau als Betreiber Kritischer Infrastrukturen gelten. Nennung einer Kontaktstelle Sechs Monate nach Inkrafttreten der Rechtsverordnung müssen alle Betreiber Kritischer Infrastrukturen dem BSI eine Kontaktstelle nennen. Evaluierung des IT-Sicherheitsgesetzes und erste Nachweise Vier Jahre nach Inkrafttreten der Rechtsverordnung werden einzelne Teile des IT-Sicherheitsgesetzes evaluiert. Im gleichen Jahr sind zudem erste Nachweise für die Einhaltung der Sicherheits-standards zu erbringen. 16

18 3 Weitere Regulierung

19 Inhalte des IT-Sicherheitsgesetzes Anforderungen des IT-Sicherheitsgesetzes im Vergleich Perspektive des BSI (Technischer) Blick auf Schutz von Informationen und der Verfügbarkeit von Geschäftsprozessen und deren Ressourcen Perspektive der BaFin Risikomanagement mit Blick auf die ordnungsgemäße Aufbau- und Ablauforganisation, u.a. Informationssicherheit und Notfallplanung IT-SiG: 8b Meldepflicht IT-Sicherheitsvorfälle müssen von Betreibern an das BSI oder BaFin gemeldet werden Vorfälle und Ereignisse müssen beim Betreiber detektiert, ermittelt und bewertet werden Organisation beim Mandanten für interne (IT, Produktion, Betrieb) und externe Meldewege notwendig (Ansprechpartner/CERT)? Meldepflicht Vertiefte Einblicke durch Bundesanstalt und Deutsche Bundesbank Prüfer meldet unverzüglich wesentliche Einschränkung, Gefährdungen oder Versagen an Bundesanstalt und Deutsche Bundesbank Schwerwiegende Feststellungen an BaFin und Deutsche Bundesbank KWG: 24, 29 MaRisk: BT 2.4 IT-SiG: 8a Mindeststandards für IT-Sicherheit IT-Sicherheitsstandards müssen umgesetzt werden, Steuerungsorganisation (ISMS) notwendig Einsatz von IT im Betrieb muss gesichert werden mit Maßnahmen: ISO oder BSI IT-Grundschutz MaRisk: AT 7.2, AT7.3 IT-SiG: 8a, 8b Regelmäßige Nachweise Die umgesetzten Mindeststandards für IT-Sicherheit müssen alle zwei Jahre durch geeignete Maßnahmen (beispielsweise Sicherheitsaudits) nachgewiesen werden Nachweise sind notwendig für das BSI und die BaFin KWG: 6, 25 MaRisk: BT

20 Branchenspezifische Mindeststandards Branchennorm ISO/IEC TR Die Energiewirtschaft hat bereits erfolgreich branchenspezifische Standards (mit-)entwickelt. Aus dem bdew-whitepaper Anforderungen an sichere Steuerungs- und Telekommunikationssysteme entstand über die DIN Spec die ISO/IEC TR In der Begründung des IT-Sicherheitsgesetzes wird der Entstehungsprozess implizit erwähnt: Die ISO/IEC TR ist beispielhaft für zukünftige branchen- spezifische Anforderungen gemäß IT-Sicherheitsgesetz. 19

21 Quelle: BNetzA Branchenspezifische Mindeststandards Ziele und Inhalte des IT-Sicherheitskatalogs Der IT-Sicherheitskatalog adressiert Betreiber von Strom- und Gasversorgungsnetzen und dient dem Schutz gegen Bedrohungen der für einen sicheren Netzbetrieb notwendigen Telekommunikations- und elektronischen Datenverarbeitungssysteme. (900 Betreiber von Stromnetzen und 700 deutsche Gasnetze betroffen) Ziele des IT-Sicherheitskatalogs sind laut BNetzA die Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten, die Sicherstellung der Integrität der verarbeiteten Informationen und Systeme und die Gewährleistung der Vertraulichkeit der verarbeiteten Informationen. Kernforderungen Umsetzung IT-sicherheitstechnischer Mindeststandards für Betreiber von Strom- und Gasversorgungsnetzen. Etablierung eines Informationssicherheits-Managementsystems (ISMS) gemäß DIN ISO/IEC Zertifizierung des ISMS bis zum 31. Januar Darüber hinaus müssen Netzbetreiber der Bundesnetzagentur bis zum einen Ansprechpartner für IT-Sicherheit mitteilen. 20

22 Umsetzung am Beispiel Sektor Energie Zeitliche und inhaltliche Agenda des IT-Sicherheitsgesetzes/IT-Sicherheitsk. Ansprechpartner für IT-Sicherheit Übertragungsnetzbetreiber müssen der Bundesnetzagentur bis zum 30. November 2015 einen Ansprechpartner für IT-Sicherheit mitteilen. Zertifizierung des ISMS Bis zum 31. Januar 2018 müssen Übertragungsnetzbetreiber ihr eingeführtes Informationssicherheits-Managementsystems (ISMS) zertifizieren lassen. Implementierung ISMS Rechtsverordnung Die Rechtsverordnung nach 10 Absatz 1 des BSI-Gesetzes wird für 2016 erwartet. Sie legt fest, welche Unternehmen genau als Betreiber Kritischer Infrastrukturen gelten. Nennung einer Kontaktstelle Sechs Monate nach Inkrafttreten der Rechtsverordnung müssen alle Betreiber Kritischer Infrastrukturen dem BSI eine Kontaktstelle nennen. Nachweis von Sicherheitsstandards und Meldung erheblicher Störungen Zwei Jahre nach Inkrafttreten der Rechtsverordnung müssen alle Betreiber Kritischer Infrastrukturen Vorkehrungen zur Vermeidung von Störungen treffen und erhebliche Störungen ihrer Infrastruktur melden. Ebenso muss ein regelmäßiger Nachweis der Vorkehrungen erfolgen. Evaluierung des IT-Sicherheitsgesetze Vier Jahre nach Inkrafttreten der Rechtsverordnung werden einzelne Teile des IT- Sicherheitsgesetzes evaluiert. 21

23 Quelle: BSI Umsetzung am Beispiel Sektor Energie Cyber-Sicherheit im Sektor Energie Es existiert eine Vielzahl an Standards und Best Practises, die direkt auf die IKT-Sicherheit von KRITIS-Betreibern im Allgemeinen und den Energiesektor im Speziellen bezogen werden können. 22

24 4 Umsetzung der Anforderungen (am Beispiel KMU)

25 Umsetzung Konzerne versus KMU Die Auswirkungen des IT-Sicherheitsgesetzes / IT-Sicherheitskatalogs hängen stark von den bereits vorhandenen Strukturen ab. Konzerne mit vorhandenen IT-Sicherheitsstrukturen KMU mit geringen bis keinen IT-Sicherheitsstrukturen 24

26 Umsetzung Konzerne Konzerne verfügen in aller Regel bereits über etablierte IT-Sicherheitsstrukturen und orientieren sich an internationalen Standards für IT-Sicherheit. Ausgangssituation Vorhandene IT-Sicherheitsorganisation Betrieb eines Informationssicherheits-managementsystems (ISMS) Festgelegte Baseline-Standards für IT-Systeme, IT Security Controls, regelmäßige Audits Meldung, Analyse und Dokumentation von Sicherheitsvorfällen Herausforderungen durch das IT-SiG Genügen die vorhandenen Sicherheits-strukturen den Anforderungen des IT-SiG? Werden alle relevanten Vorfälle ausreichend dokumentiert, um die notwendigen Informationen zu melden? Handlungsfelder (Auszug) Abgleich vorhandener IT-Sicherheitsstrukturen mit Anforderungen des IT-SiG Assessment zum Reifegrad der IT-SiG-Compliance Reifegrad von CERT, SOC und ISOs für IT-SiG-Meldepflichten Umsetzungsgrad von ISMS und IT-Sicherheitsmaßnahmen für das IT-SiG Anpassung vorhandener Prozesse an das IT-SiG Ausgestaltung von Meldewegen und Sicherheitsbeauftragten CERT-Aufbau und Weiterentwicklung nach Best Practices Erweiterung und Anpassung des ISMS nach ISO oder BSI IT-Grundschutz Unterstützung bei Auswahl und Anpassungen spezieller KRITIS-Maßnahmen Untersuchung und Begleitung von Sicherheitsvorfällen und der Prävention Vorbereitung auf das IT-Sicherheitsgesetz / IT-Sicherheitskatalog Konzerne 25

27 Umsetzung Mittelständische Unternehmen KMU verfügen teilweise über keine etablierte IT-Sicherheitsstruktur und orientieren sich nur locker an Branchenstandards. Ausgangssituation Fehlende Sicherheitsorganisation Kein vollwertiges ISMS vorhanden, ggf. einzelne Richtlinien und Prozess-anweisungen vorhanden Keine flächendeckenden Baseline-Standards für IT-Systeme, IT Security Controls Fehlende Strukturen, Expertise, Personal Herausforderungen durch das IT-SiG Einführung einer bedarfsgerechten und schlanke IT- Sicherheitsorganisation Etablierung flächendeckender Mindeststandards zur Konfiguration und zum Betrieb von IT-Systemen Meldung, Analyse und Dokumentation von Sicherheitsvorfällen Handlungsfelder (Auszug) Auswirkungen des IT-SiG identifizieren Identifizierung betroffener Telemediendienste Erhebung, welche technischen und organisatorischen Maßnahmen etabliert werden müssen Umsetzung von Schutzmaßnahmen nach dem Stand der Technik Etablierung technischer und organisatorischer Maßnahmen zur Verhinderung eines unerlaubten Zugriffs auf genutzte technische Einrichtungen, gegen Verletzungen des Schutzes personenbezogener Daten und gegen Störungen (Denial-of-Service) sowie durch äußere Angriffe. Hierbei ist insbesondere bei Verschlüsselungsverfahren der Stand der Technik zu beachten. Vorbereitung auf das IT-Sicherheitsgesetz / IT-Sicherheitskatalog KMU 26

28 Umsetzung Betroffenheitsanalyse KPMG führt ein Vorprojekt zur Ermittlung der unternehmensweiten Betroffenheit vom IT-Sicherheitsgesetz und Ableitung eines umsetzungsfähigen Vorgehensmodells für betroffene Unternehmensteile durch. Arbeitspakete Tätigkeiten Ergebnisse 1 Ermittlung der Betroffenheit Zuordnung Geschäftsprozesse zu kritischen Dienstleistungen Ermitteln der betroffenen Gesellschaften / Unternehmensteile Erstellen einer Anforderungsmatrix Übersicht der betroffenen Gesellschaften / Untern.Teile Anforderungsmatrix 2 Ist-Analyse Anwendung CyberSAFE-Methode Prüfen weiterer regulatorischer Anforderungen Bericht zum Ist-Stand der Informationssicherheit 3 Lösungsszenarien Ableitung von strategischen Entscheidungsbedarfen / Lösungen Einrichten einer zentralen Meldestelle beschreiben Preisindikation durchführen Managementvorlage mit abgewogenen Lösungsszenarien 4 Vorgehensmodelle Ausarbeitung von Vorgehensmodellen Projektplan / Roadmap und Aufwandabschätzung für Lösungen Steuerung eines effizienten ISMS beschreiben Projektplanung Beschreibung zur Umsetzung ISMS 5 Abschluss-präsentation Abschlusspräsentation erstellen und abstimmen Definieren der Kernbotschaften Vorstellen der Ergebnisse für strategische Entscheider Abschlusspräsentation 27

29 Quelle: Bitkom Umsetzung Schritte zu einem ISMS nach IT-Sicherheitskatalog Die Ermittlung des Anwendungsbereichs für die Implementierung eines ISMS erfolgt individuell für jedes Unternehmen. In den potenziellen Scope können Technologien, Netzwerke und Personen mit aufgenommen werden. 28

30 Umsetzung Aufbau eines ISMS Die Einführung eines ISMS bedeutet die Schaffung organisatorischer Strukturen und Prozesse zur Steuerung und Verbesserung Ihrer Informationssicherheit. Damit einhergehend müssen Sie auch entsprechende Maßnahmen und Kontrollen umsetzen. Rollen und Verantwortlichkeiten Informationssicherheitsmanagementsystem (ISMS) ISMS Richtlinie und Geltungsbereich Risiko Management Dokumente und Nachweise Überwachung und Verbesserung Organisatorische Strukturen. Schaffung der notwendigen organisatorischen Strukturen, Rollen, Verantwortlichkeiten und Prozesse für den Betrieb des Managementsystems. Risikoanalysen. Durchführung von Risikoanalysen zur Identifizierung Ihrer Bedrohungen und der Auswahl angemessener und notwendiger Maßnahmen und Kontrollen. Umsetzung von Kontrollen. Absicherung Ihrer Prozesse durch Einführung von Kontrollen gem. Vorgaben aus der ISO/IEC ACT PLAN CHECK DO Branchentypische Kontrollen. Der ISO/IEC TR spezialisiert Kontrollen aus ISO/IEC derartig, dass spezifische Anforderungen zu Steuerungssystemen der Energieversorgung in ein ISMS aufgenommen werden können. Somit kann ein Zertifikat gem. ISO/IEC auch den Nachweis für die Erfüllung dieser branchenspezifischen Norm erbringen. Dokumentation. Erstellung von Dokumenten, Sammlung und Aufbewahrung von Nachweisen für einen funktionsfähigen Betrieb Ihres ISMS. Rahmenwerk der Informationssicherheit (Vorgaben- und Regelwerk, Kontrollen, Maßnahmen) 29

31 Umsetzung Aufbau eines ISMS Basierend auf unseren Erfahrungen schlagen wir für die Einführung eines ISMS ein dreistufiges Vorgehensmodell vor, bei dem wir Sie von den ersten Vorbereitungen, über den Aufbau und die Implementierung, bis hin zur Inbetriebnahme unterstützen. Vorbereitung Aufbau Inbetriebnahme Bestandsaufnahme Ist-Analyse der bereits vorhandenen Prozesse und Maßnahmen im Bereich Informationssicherheit (IS) Aufbau der Sicherheitsorganisation Schaffung der organisatorischen Grundlagen für den Betrieb des Managementsystems (ISMS) Überwachung und Verbesserung des ISMS Einführung von Kennzahlen und Methoden zur Überwachung sowie Planung interner Audits Anwendungsbereich gem. IT-Sicherheitsgesetz Festlegung des Anwendungsbereiches des ISMS in Einklang mit den Anforderungen aus dem IT-SIG Definition des Vorgaben- und Regelwerks Verfassen von Dokumenten des Vorgaben- und Regelwerks (Richtlinien, Verfahren, Prozesse) Die Vorbereitung dient der Ermittlung bereits vorhandener Prozesse und Maßnahmen, die im Rahmen des ISMS-Aufbaus berücksichtigt und in das ISMS integriert werden können Schulung und Knowhow-Transfer Befähigung der ISMS-Verantwortlichen zur Durchführung des ISMS- Regelbetriebs Etablierung des IS-Risikomanagement Durchführung und Dokumentation von Bedrohungs- und Risikoanalysen zur Planung von Maßnahmen Mit der Inbetriebnahme beginnt der Regelbetrieb des ISMS, die Verantwortlichen lernen Ihre Aufgaben wahrzunehmen und die ersten Nachweise für eine Zertifizierung werden gesammelt 30

32 Ihr Ansprechpartner Für weitere Fragen stehen wir Ihnen jederzeit gerne zur Verfügung. Ihr Kontakt Wilhelm Dolle Partner, Security Consulting Tel Mobile KPMG AG Wirtschaftsprüfungsgesellschaft Klingelhöferstr Berlin