Informationsveranstaltung DVGW-LG Saarland IT-Sicherheit

Transkript

1 Informationsveranstaltung DVGW-LG Saarland IT-Sicherheit Daniel Fricke & Thomas Schmidt

2 Agenda Gründe für IT-Sicherheit (z.b. rechtliche Vorgaben, KRITIS) Überblick über Gefährdungen (welche Gefahren drohen über welche Pfade; aktuelle Beispiele) BSI-Grundschutz (Methode zur Erzielung einer Grundsicherheit gemäß Leitlinie des Bundesamtes für Sicherheit in der Informationstechnik) SMIT (strukturiertes Beratungsprojekt zur Erzielung des BSI-Grundschutzes)

3 KRITIS Kritische Infrastrukturen (KRITIS) Definition: Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. (Quelle:

4 Wo gibt es KRITIS 9 Bereiche (gem. BMI): Energie: Elektrizität, Gas, Mineralöl Informationstechnik und Telekommunikation Transport und Verkehr: Luft-, Seeschiff-, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik Gesundheit: Medizinische Versorgung, Arzneimittel, Impfstoffe, Labore Wasser: Öffentliche Wasserversorgung, Öffentliche Abwasserbeseitigung Ernährung: Ernährungswirtschaft, Lebensmittelhandel Finanz- und Versicherungswesen: Banken, Börsen, Versicherungen, Finanzdienstleister Staat und Verwaltung: Regierung und Verwaltung, Parlament, Justizeinrichtungen, Notfall-/ Rettungswesen einschließlich Katastrophenschutz Medien und Kultur: Rundfunk (Fernsehen und Radio), gedruckte und elektronische Presse, Kulturgut, symbolträchtige Bauwerke Quelle: Definition Kritische Infrastrukturen nach Bundesministerium des Inneren (BMI)

5 KRITIS-Meilensteine BMI- Diskussionspapier IT-Schutz Kritischer Eröffnung des Cyber- Infrastrukturen in Deutschland Abwehrzentrum zur Sicherheit der IT- Infrastruktur (Juni 2011 ) Referentenentwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom Billigung des Umsetzungsplans KRITIS durch das Bundeskabinett (2007) nationaler Plan zum Schutz der Informationsinfrastrukturen (BMI, 2005) Zunehmende Cyberkriminalität

6 Meilenstein BMI Diskussionspapier Diskussionspapier IT-Schutz Kritischer Infrastrukturen in Deutschland vom 25. Januar 2012 Mehr Transparenz schaffen Robuste Grundlagen durch ein standardisiertes und überprüfbares Sicherheitsniveau Kritische Prozesse autonom gestalten Produkt- und Dienstleistungssicherheit gewährleisten Durch Lagefortschreibung und Frühwarnung Gefahren vorbeugen Mit Übungen auf den Ernstfall vorbereiten Durch Kooperation an Know-How und Stärke gewinnen

7 Meilenstein Gesetzentwurf Entwurf Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG) vom 05. März 2013 Festlegung Kritischer Infrastrukturen BSI ist die ausführende Behörde Einrichten einer zentralen Meldestelle beim BSI 2 Jahre verpflichtender Umsetzungszeitraum für Betreiber Berücksichtigung Stand der Technik Möglichkeit der Festlegung branchenspezifischer Standards Überprüfung der IT-Sicherheit durch Sicherheitsaudits alle zwei Jahre Meldepflicht bei erheblichen IT-Sicherheitsvorfällen

8 DVGW-Stellungnahme zum Gesetzesvorhaben DVGW-Stellungnahme zum Gesetzesentwurf vom 05. April 2013 Hinweis bestehender Technischer Regeln im DVGW zum Schutz kritischer Infrastrukturen Umsetzung dieser Regeln über das Technische Sicherheitsmanagement (TSM) Konkretisierung der Definition Kritische Infrastruktur im Sinne des Gesetzes erforderlich Verlängerung der zweijährigen Umsetzungsfrist Anerkennung bestehender Managementsysteme Erweiterung TSM um das Modul IT-Sicherheit Begrenzung der Meldepflicht auf Vorgänge, die die Aufrechterhaltung der Versorgung gefährden Definition erheblicher IT-Sicherheitsvorfall erforderlich Umsetzung der IT-Sicherheit durch branchenspezifische Standards

9 Weitere gesetzliche Vorgaben I Gesetzliche Anforderungen nach Handelsgesetzbuch (HGB) 238 und 243 müssen die Grundsätze ordnungsgemäßer Buchführung (GoB) erfüllt sein Ergänzt durch Schreiben vom Bundesministerium der Finanzen: Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) vom 7. November 1995

10 Weitere gesetzliche Vorgaben II Die GoBS Pkt.4 fordert ein Internes Kontrollsystem zur Sicherung und Schutz des vorhanden Vermögens und vorhandener Informationen vor Verlusten aller Art Pkt. 5.3: Diese Informationen sind gegen Verlust zu sichern und gegen unberechtigte Veränderung zu schützen. Über die Anforderungen der GoBS hinaus sind die sensiblen Informationen des Unternehmens auch gegen unberechtigte Kenntnisnahme zu schützen

11 Weitere gesetzliche Vorgaben III Weitere Gesetze Bundesdatenschutzgesetz (BDSG) Landesdatenschutzgesetze Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)

12 Was bedeutet Informationssicherheit im VU? Datensicherheit/-vertraulichkeit Geschäftsrelevante Daten Personenbezogene Daten Infrastruktursicherheit Ausfall (auch durch höhere Gewalt) Firewalls Diebstahl von Rechnern KRITIS Für Informationssicherheit ist eine ganzheitliche Betrachtungsweise notwendig!

14 Bedrohungsarten Viren Verändern Dateien und nisten sich dort ein Werden durch Benutzer verbreitet Würmer Verbreiten sich selbstständig Trojaner Fernsteuerungsfunktion (oft getarnt in nützlicher Software) Spyware Sendet Informationen über den infizierten Rechner an Dritte Backdoor Öffnet einen infizierten Rechner für weitere Schadprogramme Rootkits Verstecken andere Schadprogramme Exploit Schwachstelle bzw. deren Ausnutzung Zero-Day-Exploit Schwachstelle die sofort nach bekanntwerden ausgenutzt wird

15 Cyberkriminalität I 1. Bankenverband warnt: sparkasse.de zum Malwareversand missbraucht Cyber-Kriminelle haben die Homepage der Sparkasse angegriffen und konnten für kurze Zeit Malware auf einzelnen Seiten von sparkasse.de installieren und womöglich an Besucher dieser Websites verteilen. Nach Angabe des Deutschen Sparkassen- und Giroverbands (DSGV) [ erfolgte der Angriff am 18. Februar. Kunden, die an diesem Tag ohne aktuellen und aktiven Virenscanner auf sparkasse.de waren, könnten sich die Schadsoftware auf den eigenen Rechner geladen haben, so der DSGV. Mit allen gängigen Virenschutzprogrammen soll sich die Malware beseitigen lassen. Die betroffenen Seiten wurden laut DSGV umgehend offline gestellt. Online-Banking-Angebote sowie Homebanking-Programme von Kunden seien von dem Angriff nicht betroffen. Die Sparkassen empfehlen allen Internetnutzern, stets eine aktive Firewall und einen aktuellen Virenscanner zu nutzen. Quelle: Buerger-cert.de (Infodienst des BSI) vom

16 Cyberkriminalität II Quelle:

17 Cyberkriminalität III Quelle:

18 Cyberkriminalität IV Quelle:

19 SCADA-Angriffe Angriffe auf SCADA-Systeme STUXNET Nov. 2011, Wasserwerk in Illinois zerstörte Pumpe Nov. 2011, Wasserwerk in Texas Screenshots Mai 2013, c t-artikel SCADA = Supervisory Control and Data Acquisition

20 STUXNET-Verlauf Datum Ereignis 20. Nov Der Trojaner Zlob nutzt zum ersten Mal die LNK-Lücke (MS10-046) aus, die später von Stuxnet verwendet werden wird. 25. Jan Der Stuxnet-Treiber wird mit einem Zertifikat von Realtek signiert. April 2010 Eine Stuxnet-Variante verwendet erstmals Remotecode-Ausführung durch die Windows-Shell (MS10-046). 13. Juli 2010 Symantec fügt eine Erkennung des Trojaners unter dem Namen W32.Temphid ein. 16. Juli 2010 Microsoft veröffentlicht das Security Advisory Vulnerability in Windows Shell Could Allow Remote Code Execution. VeriSign widerruft das Realtek-Zertifikat. 17. Juli 2010 ESET findet eine Stuxnet-Version mit einem Treiberzertifikat von JMicron. 19. Juli 2010 Siemens berichtet über Untersuchungen zur Infektion seiner SCADA-Anlagen. Symantec benennt die Erkennung in W32.Stuxnet um. 22. Juli 2010 VeriSign widerruft das Zertifikat von JMicron. 02. Aug Microsoft veröffentlicht Patch MS gegen den Shortcut-Exploit. 06. Aug Symantec beschreibt die Funktion von Stuxnet als SPS-Rootkit. 22. Aug Symantec kann keine neu infizierten IP-Adressen aus dem Iran mehr feststellen. 14. Sep Microsoft veröffentlicht den Print-Spooler-Patch MS Laut Siemens sollen weltweit 14 Anlagen betroffen sein. Schäden hätten jedoch nicht festgestellt werden können. 26. Sep Der Iran bestätigt Angriffe durch Stuxnet. Es sollen Computer befallen worden sein, dabei seien aber keine ernsthaften Schäden aufgetreten. Diese Aussage wird allerdings kurz darauf vom Außenministerium widerrufen. Dagegen wird dem Westen Cyber-Propaganda vorgeworfen. 30. Sep Das W32.Stuxnet Dossier wird auf der Virus Bulletin Conference 2010 vorgestellt. Die Nachrichtenagentur Xinhua berichtet von sechs Millionen befallenen Computern und fast tausend betroffenen Anlagensteuerungen in China. 02. Okt Siemens wurden bisher 15 befallene Anlagen gemeldet. Davon haben fünf ihren Standort in Deutschland, die übrigen in Westeuropa, den USA und Asien. Bei allen Anlagen sollen keine Schäden aufgetreten sein und das Virus konnte erfolgreich entfernt werden. 12. Okt Microsoft schließt mit Patch MS eine Lücke zur Privileg-Eskalation beim Laden von Tastaturbelegungen im Kernel. 14. Dez Microsoft schließt mit Patch MS eine Lücke zur Privileg-Eskalation durch Benutzung des Task-Schedulers. 11. Mär Bisher haben 24 Siemens-Kunden von einer Infektion berichtet. Es gab in keinem Fall Auswirkungen auf die Anlagen.

21 SCADA-Angriffe US-Wasserwerke Quelle:

22 Gefahr im Kraftwerk Artikel in c t 11/2013 ( ) Fazit der c t: [ ] In dieser Branche ticken die Uhren offensichtlich etwas anders, wodurch der Berührungspunkt mit dem schnelllebigen Internet zu einem ernsthaften Problem wird. [ ].

23 Werkzeuge: Metasploit Framework Metasploit ist ein freies Open Source Projekt Werkzeug zur Entwicklung und Ausführung von Angriffen auf Rechnersysteme Quelle:

24 Werkzeuge: Shodan Suchmaschine für anfällige Systeme

25 Innere Gefährdungen Gefährdung durch Verhalten der Mitarbeiter Arbeitsplatzschutz vernachlässigen Unsichere Passwörter verwenden Fremdsoftware installieren Verwendung mobiler Endgeräte BYOD Bring Your Own Device von unsicherer Umgebung einloggen Dienstleister / Arbeitnehmerüberlassung Mitarbeiter-Wechsel Gefährdung durch IT-Systeme Einspielung Sicherheitsupdates Unzureichend geschützte Systeme

26 Handy-Schutz? Quelle: Buerger-cert.de (Infodienst des BSI) vom

27 Zwischenbilanz Steigende Wahrnehmung der Öffentlichkeit zur Sicherheit in der IT durch z. B.: öffentlich gewordene Vorfälle z. B. Hackerangriffe Folgen aus fehlender oder fehlerhafter Datensicherung Innere Sicherheit im Unternehmen Systemausfall in Folge von Naturereignissen (Schnee/Eis, Regen, Sturm, Hochwasser, ) oder Brand (auch DVGW-Regelwerk G / W 1002 Risikomanagement im Krisenfall) steigende öffentliche Sensibilität steigendes inneres Bedürfnis der Unternehmen also: Gewissheit anstelle von Vermutung Gesetzentwurf: Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG)

28

30 BSI-Grundschutz Ziele des BSI-Grundschutz: Vertraulichkeit Integrität Verfügbarkeit Arbeitshilfen: BSI Standard Managementsysteme für Informationssicherheit BSI Standard Grundschutz Vorgehensweise BSI Standard Risikoanalyse auf der Basis von IT- Grundschutz BSI Standard Notfallmanagement IT-Grundschutz-Katalog (4068 Seiten)

31 PDCA-Zyklus Sicherheitsziele definieren Wirksamkeit prüfen Status prüfen Plan Maßnahmen ableiten und umsetzen Do Check Act

32 BSI Managementsysteme für Informationssicherheit (ISMS) Initiierung durch Geschäftsführung Definition von allgemeinen Verhaltensweisen im Unternehmen Top-Down-Struktur Zusammenwirken von Sicherheitsprozessen Mitarbeitern Managementprinzipien Ressourcen

33 BSI IT-Grundschutz-Vorgehensweise Strukturanalyse Schutzbedarfsfeststellung Auswahl und Anpassung von Maßnahmen unter Zuhilfenahme des IT Grundschutzkataloges Basis-Sicherheitscheck Ergänzende Sicherheitsanalyse Weitere Kernpunkte: Einbindung der Mitarbeiter in den Sicherheitsprozess Bereitstellung von Ressourcen Für Organisatorisches Für den IT-Regelbetrieb

34 BSI Risikoanalyse auf der Basis von IT-Grundschutz Weitergehende Betrachtung bei Schutzbedarf über den IT- Grundschutz hinaus Erstellung einer Gefährdungsübersicht Bewertung der Gefährdungen Behandlung von Risiken Reduktion durch weitere Sicherheitsmaßnahmen Vermeidung durch Umstrukturierung Akzeptanz (unter Berücksichtigung von Kosten/Risiken) Transfer (z.b. Versicherung / Outsourcing)

35 BSI Notfallmanagement Quelle:

37 Entwicklung SMIT Werkzeuge Checklistensystem (2 Ebenen) Selbstauskunft zu Projektbeginn Tool zur Statusermittlung im Rahmen Vor-Ort-Prüfung Inhalte: IT-Organisation IT-Infrastruktur Verwaltung IT-Infrastruktur Technik Wartung und Instandhaltung Worst-case-Szenarien

38 Vorbereitung I Entwicklung Selbstauskunftsfragebogen 64 Fragen: Abfrage des IT-Sicherheitsstatus (Eigeneinschätzung) Abfrage der IT-Infrastruktur Bewertung der Kritikalität Verfügbarkeitsziele Ziel Wie beurteilt der Kunde seine Informationssicherheit Welche Systeme werden eingesetzt

39 Vorbereitung II Entwicklung Leitfaden 344 Fragen zur Bewertung der Informationssicherheit Organisation (32 Fragen) Infrastruktur im Verwaltungsbereich (237 Fragen) Infrastruktur im technischen Bereich (5 Fragen) Wartung und Instandhaltung (30 Fragen) Worst-Case-Szenarien (14 Fragen) Mitarbeiterbefragung (26 Fragen) Ziel Umfassender Überblick über die IT-Struktur gelebte Informationssicherheit erheben

40 Vorbereitung III Entwicklung Auswertetool Excel-basiertes Auswerteverfahren Bewertungen der beiden Experten fließen ein Strukturiert Reproduzierbar und nachzuvollziehen Automatische zusammengefasste Ergebnisse Automatisch erstellte Ergebnis-Grafiken Erstellung von Prognosen Welches Ergebnis wird bei der Umsetzung von Maßnahme X erzielt?

41 Vorgehensweise Selbstauskunft Begehung Vor-Ort Befragung IT-Verantwortliche Mitarbeiter (Anwender) Auswertung Abschlussbericht mit Handlungsbedarfen Strukturanalyse und Schutzbedarfsfeststellung gem. BSI-Grundschutz

42 Erfassung und Befragungen - Strukturierter Fragenkatalog - Gliederung in folgende Bereiche: - Organisation - Infrastruktur Verwaltung - Wartung und Instandhaltung - Worst-Case-Szenarien - Mitarbeiterbefragung Beispiel Mitarbeiterbefragung: - Auswahl der befragten Mitarbeiter nach Kernprozessen - Teilweise offene Fragestellungen - Befragung durch 2 Experten

43 Auswertung I - Auswertung in Excel - Unterschiedliche Gewichtung der Fragen - Bewertung in 4 Stufen - 1 = kein Handlungsbedarf - 2 = Handlungsbedarf - 3 = dringender Handlungsbedarf - 4 = kritischer Handlungsbedarf

44 Auswertung II Darstellung der Auswertung in Form eines Netzdiagramms Prozentuale Werte stellen Abweichung vom Idealzustand dar: 75% 100% = sofortiger Handlungsbedarf (schwarz) 50 75% = dringender Handlungsbedarf (rot) 25 50% = Handlungsbedarf (gelb) 0 25 % = kein Handlungsbedarf (grün) Je größer die Abdeckung der Zielscheibe durch die erreichten Werte ist, desto besser ist das Ergebnis

45 Beispiel: Auswertung Überblick Organisation Handlungsbedarf Mitarbeiterbefragung Dringender Handlungsbedarf Infrastruktur Verwaltung Handlungsbedarf Worst-Case-Szenarien Dringender Handlungsbedarf Wartung und Instandhaltung Dringender Handlungsbedarf Gesamtsituation: Handlungsbedarf

46 Beispiel: Detail-Auswertung Verwaltung IT-Infrastruktur Absicherung Allgemein Netzwerk LAN Endgeräte Netzwerk WAN Software Netzwerk WLAN Virtualisierung Telefonanlage Speichersysteme Server allgemein Archivsystem Fileserver Terminalserver server Webserver Datenbankserver ERP-System

47 Beispiel für Auswertung Mitarbeiter I - z.b.: 8 Mitarbeiter aus unterschiedlichen Bereichen - Breite Streuung bei den Ergebnissen - Deutliche Handlungsbedarfe erkennbar, z.b. - Passworte am Arbeitsplatz hinterlegt - Versand vertraulicher Daten per - Kein vertraulicher Druck - Mitarbeiter sind der zentrale Punkt im Sicherheitsprozess MA 7 MA 8 MA 6 MA 1 MA 5 MA 2 MA 4 MA 3

48 Beispiel für Auswertung Mitarbeiter II - Durchführung von - regelmäßigen Unterweisungen - Schulungen - Änderungen an Systemen rechtzeitig bekanntmachen - Erhebliches Verbesserungspotential MA 7 MA 8 MA 1 MA 2 MA 3 Entwicklungsprognose MA 6 MA 4 MA 5

49 Beratungsergebnisse Handlungsempfehlungen Kurzfristig und mit geringem Aufwand zu realisierenden Maßnahmen Mittelfristige Unterstützung bei der Mitarbeitersensibilisierung Langfristige Maßnahmen mit Unterstützung bei der Investitionsplanung Regelmäßige (z.b. jährliche) Wiederholungsanalysen möglich PDCA-Verfahren

50 Zu guter Letzt Vielen Dank für Ihre Aufmerksamkeit! DVGW Service & Consult GmbH Josef-Wirmer-Str Bonn Kontaktdaten: Daniel Fricke Thomas Schmidt +49 (0) 228 / (0) 228 / fricke@dvgw-sc.de schmidt@dvgw-sc.de