Auf dem richtigen Weg?

Transkript

1 Auf dem richtigen Weg? Das IT-Sicherheitsgesetz zum Schutz kritischer Infrastrukturen 10. Februar

2 Kurzvorstellung KPMG Wer wir sind Wilhelm Dolle Partner Security Consulting KPMG und Geschäftsführer KPMG Cert GmbH 10 Jahre Grundschutzauditor, Mitautor von BSI IT-Grundschutz ISO Lead Auditor, BS Lead Auditor, COBIT-/PRINCE2-/ITIL-zertifiziert Schwerpunkte: IT-Strategie, Risiko- und Sicherheitsanalysen, ISMS, Penetrationstests und digitale Forensik langjährige Beschäftigung mit regulatorischen Anforderungen und rechtlichen Rahmenbedingungen von Informationssicherheit und IT-Risikomanagement Hanna Lurz Senior Associate, Security Consulting KPMG Wirtschaftsinformatikerin ISO Lead Auditor Schwerpunkte: ISMS, Kritische Infrastrukturen, Security Awareness 2

3 Kurzvorstellung KPMG Was wir tun 3

4 Einführung in KRITIS 4

5 Einführung in KRITIS KRITIS-Definition in Deutschland Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden Bundesamt für Bevölkerungsschutz und Katastrophenhilfe 5

6 Einführung in KRITIS KRITIS und das IT-Sicherheitsgesetz Kritische Infrastrukturen (KRITIS) Das BMI legt fest, wer KRITIS ist und somit unter das IT-Sicherheitsgesetz fällt. Das Bundesamt für Sicherheit in der Informationstechnik ist verantwortlich für Mindeststandards der IT- Sicherheit. IT-Sicherheitsgesetz (IT-SiG) Ist die nationale Implementierung der EU NIS Richtlinie. Kritische Infrastrukturen sollen vor Cyberangriffen geschützt werden. KRITIS-Betreiber müssen hierzu verschiedene Anforderungen an Informationssicherheit erfüllen. KPMG schätzt die Kosten für Meldungen für die Wirtschaft auf über 1,1 Mrd. Euro. 6

7 Einführung in KRITIS KRITIS-Sektoren 7

8 Einführung in KRITIS Bestimmung Kritischer Infrastrukturen Am hat das Bundesinnenministeriumden Entwurf einer ersten ergänzenden Rechtsverordnung zum IT-Sicherheitsgesetz veröffentlicht. Der Entwurf ist hier verfügbar. Energie 320 Anlagen z. B. Leistung Stromerzeugung/-speicherung 420 MW/Jahr IKT 30 Anlagen (plus TKG-regulierte Anlagen) z. B. Datenvolumen eines Content Delivery Networks TByte/Jahr Wasser Ernährung 230 Anlagen z. B. Leistung Trinkwassergewinnung/-aufbereitung 21,9 Mio. m³/jah r 70 Anlagen z. B. Leistung Lagerung/Umschlag von Lebensmitteln t/jahr 8

9 Das IT- Sicherheitsgesetz 9

10 Das IT-Sicherheitsgesetz Zeitliche Entwicklung Inkrafttreten des IT-Sicherheitsgesetzes Verpflichtung zur Einhaltung und zum Nachweis von Sicherheitsstandards und Meldung erheblicher Störungen Ergänzende Rechtsverordnung Nennung einer Kontaktstelle Evaluierung des IT- Sicherheitsgesetzes und erste Nachweise 10

11 Das IT-Sicherheitsgesetz Zielsetzung dass das Netz sicherer wird und die digitalen Infrastrukturen Deutschlands künftig zu den sichersten weltweit gehören. Thomas de Maizière 11

12 Das IT-Sicherheitsgesetz Sektoren im Geltungsbereich Gesundheit Ernährung Finanz- und Versicherungswesen Energie IKT Transport und Verkehr Wasser Sozioökonomische Infrastruktur Technische Infrastruktur 12

13 Das IT-Sicherheitsgesetz Was ist mit den übrigen Sektoren? Staat und Verwaltung Medien und Kultur Bereits seit 2009 durch UP Bund reguliert: verbindliche Sicherheitsleitlinie für Bundesbehörden IT-Sicherheitsvorfälle müssen an das BSI gemeldet werden regelmäßige IS-Revision Ist bislang nicht reguliert: fällt in den Zuständigkeitsbereich der Länder hier muss das IT- Sicherheitsgesetz in entsprechende Landesgesetze umgesetzt werden 13

14 Das IT-Sicherheitsgesetz Inhalte des Gesetzes Meldung erheblicher Störungen Branchenspezifische Sicherheitsstandards Regelmäßiger Nachweis Mögliche Sanktionen Evaluation 14

15 Das IT-Sicherheitsgesetz Meldepflicht Auswirkungen IT-Sicherheitsvorfälle müssen an das BSI oder die BNetzA gemeldet werden. Vorfälle und Ereignisse müssen beim Betreiber detektiert, analysiert und bewertet werden. Zu melden sind technische Rahmenbedingungen, Ursachen, betroffene Informationstechnik, Art der betroffenen Einrichtung/Anlage und Branche des Betreibers. Erfordert Organisation beim Mandanten für interne (IT, Produktion, Betrieb) sowie externe Meldewege (Ansprechpartner/CERT). Fragestellungen Was sind Sicherheitsvorfälle? Welche Informationen müssen erfasst und gemeldet werden? Was für eine Meldeorganisation ist erforderlich und angemessen? Der Entwurf der Verordnung schätzt den Erfüllungsaufwand der Meldepflicht für die Wirtschaft auf jährlich insgesamt 3 Millionen Euro (660 Euro Aufwand/Meldung * 7 IT-Sicherheitsvorfälle/Anlage * 650 Anlagen). 15

16 Das IT-Sicherheitsgesetz Mindeststandards Auswirkungen IT-Sicherheitsstandards müssen umgesetzt werden und Steuerungsorganisationen (ISMS) implementiert werden. Einsatz von IT im Betrieb muss durch geeignete Maßnahmen gesichert werden: ISO oder BSI IT-Grundschutz. Als angemessen gelten Vorkehrungen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht. KRITIS-Betreiber und ihre Branchenverbände können branchenspezifische Sicherheitsstandards entwickeln, die durch das BSI genehmigt werden müssen. Fragestellungen Reicht mein aktuelles ISMS und meine Sicherheitsorganisation? Welchen Teil meines Betriebs betreffen die IT- Maßnahmen? Sind bereits vorhandene Sicherheitsmaßnahmen angemessen und entsprechen diese dem Stand der Technik? Muss ich zertifiziert werden? 16

17 Das IT-Sicherheitsgesetz Nachweis Auswirkungen Die umgesetzten Mindeststandards für IT- Sicherheit müssen alle zwei Jahre durch geeignete Maßnahmen nachgewiesen werden. Die Ergebnisse der Überprüfung sind dem BSI oder der BNetzA zur Verfügung zu stellen. Liegen Sicherheitsmängel vor, kann das BSI die Übermittlung des gesamten Prüfberichts sowie die Beseitigung der Sicherheitsmängel verlangen. Fragestellungen Was und wie wird untersucht? Wie bereite ich mich auf die Überprüfung vor? Wie kann ich bestehende Audits und Revisionen integrieren und Mehrfachbelastung minimieren? 17

18 Das IT-Sicherheitsgesetz Mögliche Sanktionen Bußgelder bis EUR Wenn KRITIS-Betreiber dem BSI sechs Monate nach Inkrafttreten des IT-Sicherheitsgesetzes keinen Ansprechpartner nennen. Wenn KRITIS-Betreiber erhebliche Störungen nicht melden. Wenn spätestens zwei Jahre nach Inkrafttreten des IT-Sicherheitsgesetzes keine angemessenen organisatorischen und technischen Maßnahmen zum Schutz ihrer Infrastruktur getroffen wurden. Wenn Audit-, Prüfungs- oder Zertifizierungsergebnisse nicht an das BSI übermittelt wurden. Bußgelder bis EUR Wenn Sicherheitsmängel im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes nicht beseitigt wurden. 18

19 Das IT-Sicherheitsgesetz Evaluation des Gesetzes 4 Jahre nach Inkrafttreten werden Artikel 1 Nummer 2, 7 und 8 des IT-Sicherheitsgesetzes überprüft: Definition und Festlegung Kritischer Infrastruktur, Anforderungen an Betreiber Kritischer Infrastruktur, Zuständigkeiten einzelner Bundesbehörden. Evaluation Die Evaluation findet laut IT-Sicherheitsgesetz unter Einbeziehung eines wissenschaftlichen Sachverständigen, der im Einvernehmen mit dem Deutschen Bundestag bestellt wird, statt. 19

20 Herangehensweise bei der Umsetzung 20

21 Herangehensweise bei der Umsetzung Pauschaler Ansatz nicht möglich Große Unternehmen und Konzerne vorhandene IT-Sicherheitsstrukturen Überprüfung auf Compliance mit dem IT-Sicherheitsgesetz Ggf. Nachbessern in einzelnen Bereichen Kleine und mittelständische Unternehmen geringe bis keine IT-Sicherheitsstrukturen Aufbau eines schlanken Umsetzungs- und Bedarfsplan Umsetzung in exakt definiertem Scope mit möglichst wenig Betriebsbeeinträchtigung 21

22 Herangehensweise bei der Umsetzung Vorgehen in vier Schritten Betroffenheitsanalyse Zählen die Organisation oder Teile dieser zu KRITIS? Welche konkreten Prozesse und Anlagen sind betroffen? Branchenstandards Sind sektor- oder branchenspezifischen Merkmale zu berücksichtigen? Können daraus branchenspezifische Mindeststandards entwickelt werden? ISMS inkl. Maßnahmen Ist das ISMS bedarfsgerecht und praktikabel und erfüllt dennoch alle Anforderungen? Sind ganzheitliche Prozesse und Sicherheitsmaßnahmen etabliert? Meldeorganisation Werden Sicherheitsvorfälle zeitnah erkannt und angemessen analysiert? Sind Meldewege innerhalb der Organisation und mit BSI/BNetzA etabliert? Mittels Zertifizierung kann der Nachweis erbracht werden, dass alle Anforderungen erfüllt sind. Standards hierzu sind ISO oder BSI IT-Grundschutz. 22

23 Herangehensweise bei der Umsetzung Auswirkungen auf öffentliche und wissenschaftliche Einrichtungen Direkter Bezug zu KRITIS Einrichtungen, die direkt als KRITIS identifiziert werden können z. B. Stadtwerke, Verkehrsbetriebe, Forschungseinrichtungen mit Laboren, Universitätskliniken Indirekter Bezug zu KRITIS Unternehmen, die in Liefer- und Dienstleistungsketten von KRITIS- Betreibern eingebunden sind z. B. Rechenzentrumsbetreiber für Universitätskliniken Änderungen des TMG Technische und organisatorische Vorkehrungen müssen Telemedienangebote gegen unerlaubten Zugriff und Verletzungen des Schutzes personenbezogener Daten absichern 23

24 Herangehensweise bei der Umsetzung Königs- oder Holzweg? Informationssicherheit wird endlich zum Thema Informationssicherheit wird stärker wahrgenommen und diskutiert. Das BSI wird in seiner Position gestärkt (Personal, Know-how, Befugnisse). Das Sicherheitslagebild in Deutschland soll verbessert werden. In vielen Punkten bleibt das Gesetz allein zu unspezifisch Hard- und Softwareanbieter werden nicht zu mehr Sicherheit verpflichtet. Im Fokus steht primär das Schutzziel Verfügbarkeit. Die konkrete Anwendung in einem internationalen Kontext ist bislang nicht geklärt. Ohne pragmatische Branchenstandards bleibt das Gesetz lediglich ein Papiertiger. 24

25 Ihre Fragen 25

26 Ihre Ansprechpartner Wilhelm Dolle Partner, Security Consulting T wdolle@kpmg.com KPMG AG Wirtschaftsprüfungsgesellschaft Klingelhöferstraße Berlin Hanna Lurz Senior Associate, Security Consulting T hlurz@kpmg.com KPMG AG Wirtschaftsprüfungsgesellschaft Osterstraße Hannover kpmg.de kpmg.de/itsicherheitsgesetz Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie auch in Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und ohne gründliche Analyse der betreffenden Situation. 20XX KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative ( KPMG International ), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.