IT-Sicherheit für KRITIS Lösungen aus Praxis und Forschung

Transkript

1 Vernetzte IT-Sicherheit Kritischer Infrastrukturen IT-Sicherheit für KRITIS Lösungen aus Praxis und Forschung Prof. Dr. Ulrike Lechner it-sa 2018 Nürnberg, 10. Oktober 2018 Gefördert vom FKZ: 16KIS0213

2 Prof. Dr. Ulrike Lechner Seit 2004 Lehrstuhlinhaberin für Wirtschaftsinformatik an der Universität der Bundeswehr in München Professorin für Digitale Medien in Dienstleistung und Verwaltung an der Universität Bremen Projektleiterin, Dozentin, Professorin an der Universität St. Gallen Wissenschaftliche Mitarbeiterin an der Universität Passau Studium Informatik an der Universität Passau Aufgewachsen in Simbach am Inn Die Kritischen Infrastrukturen in Deutschland gehören zu den Sichersten der Welt. Das soll so bleiben!

3 Ergebnisse der Forschung Ergebnisse der Forschung MONITOR IT-SICHERHEIT KRITISCHER INFRASTRUKTUREN MONITOR 2.0 IT-SICHERHEIT KRITISCHER INFRASTRUKTUREN DIE ERGEBNISSE DES BMBF FÖRDERSCHWERPUNKTS FALLSTUDIENSERIE Zu finden unter oder 3

4 Kritische Infrastrukturen Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. (Definition BBK) Bildquellen:

5 ITS KRITIS Die Partner von ITS KRITIS 5

6 Der Förderschwerpunkt its kritis mit 13 Forschungsprojekten 6

7 Die Entwicklung VeSiKi Juni 2010 Stuxnet April 2015 TV5Monde Dezember 2015 Blackout Ukraine Mai 2017 Wannacry

8 Monitor 2.0 Wie steht es um die Sicherheit? 8

9 Wie steht es um die IT-Sicherheit? Monitor 1.0 Monitor IT-Sicherheit Kritischer Infrastrukturen Monitor 2.0 Ja: 50% Mehr als 100: 17% 9

10 Monitor 2.0 Die Arten von Angriffen 10

11 Ursachen für den Erfolg von Cyber-Attacken Monitor 2.0 IT-Sicherheit Kritischer Infrastrukturen Konnten Ursachen für den Erfolg von Cyber-Attacken festgestellt werden? Nein 21,20% 33,33% Andere 0% 18,20% Fehlkonfiguration 33,33% 33,30% Fehlverhalten von Mitarbeitern 48,50% 55,56% Sicherheitsmängel bei Partnern 22,22% 27,30% Nicht erfolgte Patches 27,30% 33,33% Zero Day Lücken 0% 21,20% KRITIS alle Teilnehmer 11

12 Selbsteinschätzung der Bedrohungslage Monitor 2.0 IT-Sicherheit Kritischer Infrastrukturen 12

13 Nobelpreis Wirtschaft 2017 für Richard Thaler Menschen treffen irrationale Entscheidungen angesichts abstrakter Risiken in der Zukunft. -> Kluge Entscheidungsarchitekturen Nobelpreis 2017 für Richard Thaler 13

14 Monitor 2.0 IT-Sicherheit Kritischer Infrastrukturen Einfluss auf die Sicherheit 14

15 Monitor 2.0 IT-Sicherheit Kritischer Infrastrukturen Einfluss auf die Sicherheit 15

16 Reaktion auf spezifische Bedrohungen Monitor 2.0 IT-Sicherheit Kritischer Infrastrukturen 16

17 Reaktion auf spezifische Bedrohungen Monitor 2.0 IT-Sicherheit Kritischer Infrastrukturen 17

18 Die Fallstudienserie CASE KRITIS Neun Fallstudien Einführung in das Thema IT-Sicherheit in Kritischen Infrastrukturen Themen wie Open Innovation, Regulierung Standards und Normen Aussagen von Experten zu strategischen Fragestellungen Weitere Informationen unter 18

19 Was sind denn Fallstudien? Fallstudien erzählen spannende Geschichten... CASE KRITIS Fallstudien zur IT-Sicherheit Kritischer Infrastrukturen... von erfolgreichen Projekten von innovativen Lösungen von interessanten Beispielen aus der Praxis. Die Fallstudie untersucht in der Regel komplexe, schwer abgrenzbare Phänomene in ihrem natürlichen Kontext. (Quelle: Wilde & Hess, 2007) In Zusammenarbeit mit Betreibern Kritischer Infrastrukturen und anderen Unternehmen stellen die Case Kritis Fallstudien deren Konzepte, Projekte und Prozesse im Bereich der IT-Sicherheit in Kritischen Infrastrukturen dar. 19

20 Bundeswehr Die Fallstudien Titel Autoren Typ AG IT-SecAwBw Wie eine Arbeitsgruppe IT-Security Awareness im In- und Ausland fördert A. Rieb, G. Opper Produkt Genua gmbh Fernwartung Kritischer Infrastrukturen A. Rieb Projekt itwatch GmbH kbo Dairy PREVENT SAP SE Stadt Gera Ugarbe software Ein sicherer Standardprozess für die Digitale Tatortfotografie mit DeviceWatch Ausgewogenes Risikomanagement für nachhaltige Sicherheit IT-Sicherheit in der Molkerei: Familientradition und Hochverfügbarkeit IT-Sicherheit für Geschäftsprozesse im Finanzsektor: die Managementlösung PREVENT Informationssicherheit bei SAP SE: Die längste Human Firewall der Welt Zentrale Leitstelle Ostthüringen: IT-Sicherheit in einer Leitstelle Informationssicherheit durch ClassifyIt: Informationssicherheit durch gestützte Klassifizierung von Dokumenten und s S. Lücking S. Dännart T. Kehr S. Dännart S. Dännart S. Rudel T. Bollen U. Lechner T.Gurschler A. Rieb T. Gurschler A. Rieb M. Hofmeier Projekt Projekt Projekt Organisation Unternehmen Unternehmen Unternehmen A. Rieb Produkt 20

21 IT-Sicherheit für Kritische Infrastrukturen Fallstudie: Ausgewogenes Risikomanagement für nachhaltige IT-Sicherheit kbo Kliniken des Bezirks Oberbayern Mitarbeiter, 22 Standorte Jährlich Patienten stationär Reaktionen auf Ransomwareattacke auf Krankenhäuser Folie 21

22 IT-Sicherheit für Kritische Infrastrukturen Fallstudie: IT-Sicherheit für Geschäftsprozesse im Finanzsektor die Managementlösung PREVENT PREVENT Verbundprojekt aus dem Förderschwerpunkt ITS KRITIS Sicherheitsbewertung von Rechenzentren Verknüpfung von Geschäftsprozessen mit Assets Management-Software für präventives Krisen- und Risiko-Management für Rechenzentren systemrelevanter Banken Folie 22

23 IT-Sicherheit für Kritische Infrastrukturen Code Einfachheit der Maßnahme Da in den meisten Fällen solche Richtlinien und Geheimhaltungsstufen in Organisationen bereits existieren, ist der Aufwand eher gering. Fallstudie ugarbe.de software Die Informationssicherheitskampagne umfasst seit 2012 eine einstündige Pflichtschulung zur Informationssicherheit für alle Mitarbeiter des Unternehmens. Fallstudie SAP SE Damit die IT-Administratoren die Fernwartungslösung in eigener Hand administrieren können, sieht das Unternehmen zudem eine Schulung über 2,5 Tage vor. Fallstudie Fernwartung Kritischer Infrastrukturen Folie 23

24 IT-Sicherheit für Kritische Infrastrukturen Code Einfachheit der Maßnahme Da in den meisten Fällen solche Richtlinien und Geheimhaltungsstufen in Organisationen bereits Einfachheit existieren, der ist der Aufwand eher gering. Maßnahme Fallstudie ugarbe.de software Die Informationssicherheitskampagne umfasst seit 2012 eine einstündige Pflichtschulung zur Informationssicherheit für alle Mitarbeiter des Unternehmens. Fallstudie SAP SE Implementierungsaufwandin eigener Hand freundlichkeit administrieren können, aufwand sieht das Damit die IT-Administratoren Nutzer- die Fernwartungslösung Schulungs- Unternehmen zudem eine Schulung über 2,5 Tage vor. Fallstudie Fernwartung Kritischer Infrastrukturen Folie 24

25 IT-Sicherheit für Kritische Infrastrukturen Code Kosteneffizienz der Maßnahme Maßnahmen bedürfen unterschiedlichen Ressourcen Finanzen, Personal, Zeit Nutzen i.d.r. schwer zu beziffern Unterschiedliche Thematisierung von Kosteneffizienz Schnelle Amortisation durch monetäre Einsparungen Reduzierung von laufenden Kosten (z.b. Ausbildung) Wenig Berücksichtigung von Kosten/Risiken-Verhältnis Folie 25

26 IT-Sicherheit für Kritische Infrastrukturen Code Erfolgsfaktoren für die Implementierung Die Akzeptanz des Thema IT-Sicherheit ist bei den Mitarbeitern hoch: Die Prozesse, die notwendigen Dokumente und Richtlinien sind außergewöhnlich kompakt, die Systemkompetenz der Mitarbeiter ist hoch und der BringIn Service verbindet die zentrale IT mit den übrigen Geschäftsbereichen des Unternehmens. Fallstudie IT-Sicherheit in der Nahrungsmittelindustrie Wichtig für den Erfolg der Human Firewall Aktion ist die Einbindung des Top-Managements: Das Top-Management ist als Poster genau wie in der Human Firewall im Webportal präsent. Fallstudie SAP SE Im Bereich der Projektplanung und -durchführung, war die effektive Zusammenarbeit innerhalb des Projektes und vor allem die herausragende Rolle des Projektleiters ein Schlüssel zum Erfolg. Fallstudie Digitale Tatortfotographie Folie 26

27 IT-Sicherheit für Kritische Infrastrukturen Code Erfolgsfaktoren für die Implementierung Fallstudie IT-Sicherheit in der Nahrungsmittelindustrie Erfolgsfaktoren für Effektive Akzeptanz der Wichtig für den Erfolg der Human Firewall die Implementierung Aktion ist die Einbindung des Top-Managements: Das Top-Management ist als Poster genau wie in der Human Firewall im Webportal präsent. Fallstudie SAP SE Die Akzeptanz des Thema IT-Sicherheit ist bei den Mitarbeitern hoch: Erfolgreiches Engagement Die Einbinden Prozesse, der die notwendigen Dokumente und Richtlinien sind und Managementebene außergewöhnlich kompakt, die Systemkompetenz Commitment der Mitarbeiter ist hoch und der BringIn Service verbindet die zentrale IT mit den übrigen Geschäftsbereichen des Unternehmens. Zusammenarbeit der Im Bereich der Projektplanung Maßnahmen und -durchführung, / war die effektive Zusammenarbeit innerhalb Widerstände Organisationseinheiten des Projektes und vor allem abbauen die herausragende Rolle des Projektleiters ein Schlüssel zum Erfolg. Fallstudie Digitale Tatortfotographie Folie 27

28 Fallstudien sind für die Praxis relevant Sind Beispiele der Umsetzung von IT-Sicherheit in anderen Organisationen (z.b. Good/Best Practices) für die Umsetzung in Ihrer Organisation hilfreich? 1,60% 1,60% 6,60% 44,30% 45,90% gar nicht hilfreich wenig hilfreich hilfreich sehr hilfreich weiß nicht 28

29 Der State of the Art Bündelung der Forschung des Förderschwerpunktes Über 50 Beiträge in 5 Sektionen Forschungsprojekte KRITIS-Bausteine der IT-Sicherheit KRITIS-Sektoren und ihre Spezifika Transfer in die Praxis Referenzimplementierung und Ausblick Weitere Informationen unter 29

30 Die Forschungsprojekte entwickeln systemische Lösungen 30

31 Danke für Ihre Aufmerksamkeit! MONITOR IT-SICHERHEIT KRITISCHER INFRASTRUKTUREN Ergebnisse der Forschung MONITOR 2.0 IT-SICHERHEIT KRITISCHER INFRASTRUKTUREN Gefördert vom FKZ: 16KIS0213 DIE ERGEBNISSE DES BMBF FÖRDERSCHWERPUNKTS FALLSTUDIENSERIE Zu finden unter oder 31

32 Monitor 2.0 IT-Sicherheit Kritischer Infrastrukturen Das Spektrum der Angriffe Welche Art von Angriffen konnten festgestellt werden? Keine Andere Ransomware Spam Innentäter Denial of Service Cyber-Spionage Identitätsdiebstahl Exploit Kits Phishing Physische Beschädigung Botnets 0% 0% 3,00% 6,10% 11,11% 9,10% 11,11% 11,11% 9,10% 3,00% 22,22% 18,20% 22,22% 27,30% 22,22% 33,33% 33,33% 33,30% 36,40% 45,50% 60,60% 60,60% 66,67% 66,67% KRITIS alle Teilnehmer 32