Auswirkungen des IT- Sicherheitsgesetzes auf die Betreiber von kritischen Infrastrukturen

Transkript

1 Auswirkungen des IT- Sicherheitsgesetzes auf die Betreiber von kritischen Infrastrukturen Wilhelm Dolle Partner, KPMG Security Consulting It.sa, Nürnberg, 8. Oktober 2014 kpmg.de/securityconsulting Bilddaten Google Maps

2 Aktuelle Entwicklungen der Politik: IT-SiG/KRITIS Schärfere Vorschriften sollen dafür sorgen, dass wichtige deutsche Unternehmensbereiche künftig besser vor Cyber-Attacken geschützt sind. Die zwei wichtigsten Entwicklungen im Überblick. Kritische Infrastrukturen (KRITIS) KRITIS sind Institutionen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden Das BMI legt fest, wer KRITIS ist und somit unter das IT-SiG fällt Das Bundesamt für Sicherheit in der Informationstechnik ist verantwortlich für Mindeststandards der IT-Sicherheit Vergleicht das IT-Sicherheitsgesetz mit der Einführung der Sicherheitsgurte in den 70er-Jahren: Innenminister de Maizière (Tagesschau) IT-Sicherheitsgesetz (IT-SiG) Kritische Infrastrukturen sollen vor Cyberangriffen geschützt werden KRITIS-Betreiber sollen zukünftig Sicherheitsvorfälle melden, Mindestsicherheitsstandards einhalten und sich regelmäßig auditieren lassen Aktueller Entwurf von 08/2014, finale Version demnächst erwartet. Das IT-SiG ändert vorhandene Gesetze. KPMG schätzt Kosten für Meldungen für die Wirtschaft auf über 1,1 Mrd. Euro 2

3 Welche Mandanten sind von KRITIS betroffen? Das IT-SiG betrifft Cyber-Sicherheit bei Betreibern Kritischer Infrastrukturen (KRITIS). Die Bundesregierung hat mit den relevanten Behörden eine Einteilung in KRITIS-Sektoren und Branchen vorgenommen. KRITIS-Sektor Staat und Verwaltung Energie Gesundheit Informationstechnik und Telekommunikation Transport und Verkehr Medien und Kultur Wasser Finanz- und Versicherungswesen Ernährung Branchen und Betreiber Bundes-, Landes- und Kommunalverwaltung Ministerien, Sicherheitsbehörden Strom, Gas, Öl und Wärme Stadtwerke, Kraftwerken, Stromnetzen, Gasförderung, Gasnetze Krankenhäuser, Krankentransport, Arztpraxen, Apotheken IT, Telekommunikation und Internet Telekommunikationsunternehmen, Internetprovider, Kabelprovider, Mobilfunk, IT-Hoster, Netzbetreiber Flughäfen, Fluglinien, Logistikunternehmen, Häfen und Wasserstrassen, Bahnbetreiber, Bahnnetze, ÖPNV Zeitungen, Rundfunk, Fernsehen, Medien Wasserversorgung, Wasserwerke, Wassernetze Banken, Versicherungen, Finanzdienstleister, Börsen Nahrungsmittelherstellung, Lager, Verteilung Welche Mandanten sind KRITIS? Relevante Betreiber sind Unternehmen, die Kritische Infrastrukturen betreiben. Festlegung ist in Arbeit, wird vom BMI wahrscheinlich per Verordnung entschieden. Teilweise schon regulierte Sektoren (BNetzA) und Betreiber, teilweise fallen darunter komplett neue Sektoren und Unternehmen. Ausnahme Kleinstunternehmen (weniger als 10 Mitarbeiter, Jahresumsatz kleiner 2 Mio. Euro). Teilweise ist Mandanten bewusst, dass sie betroffen sind (bei voriger Regulierung durch BNetzA), teilweise kein Vorwissen. 3

4 Exkurs: KPMG Studie zum IT-SiG für den BDI Die 2014 für den BDI durchgeführte Studie hat erstmals den Aufwand der geplanten Meldepflicht für Unternehmen für den IT-SiG- Entwurf von 2013 geschätzt. Ergebnis sind Empfehlungen zur Umsetzung und den geforderten Sicherheitsstandards. KPMG Aussagen in der Studie Viele Details im Entwurf sind noch unklar. Für die Meldepflicht ergeben sich geschätzt Kosten von 1,1 Milliarden Euro für die deutsche Wirtschaft. Für kleine Unternehmen ist das teils nicht zumutbar. In den Kosten sind mögliche weitere Kosten durch Reputationsschäden noch gar nicht mit einbegriffen. Es ist unklar, welchen Nutzen die Unternehmen selbst von den Meldungen haben. Einige Unternehmen werden durch die Meldepflicht doppelt reguliert (BNetzA, TKG, EnWG). Wenig Berücksichtigung für branchenspezifische Eigenheiten und für die Bedarfe international aufgestellter Unternehmen. Änderungen am 2014er IT-SiG Entwurf Begründung des IT-SiGs wurde ausführlicher: Mindeststandards und technologische Möglichkeiten geschärft, Möglichkeit zur (pseudo-)anonymen Meldung, über einen (Branchen-) Treuhänder teilweise möglich, um Reputationsschäden zu minimieren. Problem der Doppelregulierung wurde größtenteils angegangen. Zumindest Telekommunikationsfirmen werden hauptsächlich weiter mit der BNetzA kommunizieren. Branchenspezifischen Standards wird höherer Stellenwert eingeräumt. Die Mindeststandards werden unserer Ansicht nach auch insgesamt flexibler ausgelegt, so das von keinem Zwang zu einem spezifischen Standard (BSI Grundschutz) ausgegangen werden muss. Kleinstunternehmen fallen nicht unter die Meldepflicht. 4

5 Auswirkungen des IT-SiG auf die Betreiber von kritischen Infrastrukturen Die Betreiber Kritischer Infrastrukturen müssen künftig Sicherheitsvorfälle melden, Mindeststandards der IT-Sicherheit umsetzen und regelmäßig auditieren lassen. Die Schwerpunkte des Gesetzes im Überblick. Meldepflicht Auswirkungen IT-Sicherheitsvorfälle müssen von Betreibern an das BSI oder BNetzA gemeldet werden. Vorfälle und Ereignisse müssen beim Betreiber detektiert, ermittelt und bewertet werden. Organisation beim Mandanten für interne (IT, Produktion, Betrieb) und externe Meldewege notwendig (Ansprechpartner/CERT). Fragestellung beim Mandanten Was sind Sicherheitsvorfälle, was muss ich alles erfassen und melden? Was für eine Organisation brauche ich? Mindeststandards für IT-Sicherheit Auswirkungen IT-Sicherheitsstandards müssen umgesetzt werden, Steuerungsorganisation (ISMS) notwendig. Einsatz von IT im Betrieb muss gesichert werden mit Maßnahmen: ISO oder BSI IT-Grundschutz. Fragestellung beim Mandanten Reicht meine aktuelles ISMS und Sicherheitsorganisation? Welchen Teil von meinem Betrieb betreffen die IT-Maßnahmen? Muss ich zertifiziert werden? Regelmäßige Audits Auswirkungen Die umgesetzten Mindeststandards für IT- Sicherheit müssen alle zwei Jahre durch Externe auditiert werden. Nachweise sind notwendig für das BSI und die BNetzA Fragestellung beim Mandanten Was und wie wird untersucht? Wie bereite ich mich auf die Audits vor? Wie kann ich bestehende Audits und Revisionen integrieren und Mehrfachbelastung minimieren? 5

6 Handlungsbedarf Der Handlungsbedarf hängt aus unserer Sicht stark von den vorhandenen Strukturen ab. Konzerne mit vorhandenen IT-Sicherheitsstrukturen Mittelständische Unternehmen mit geringen bis keinen IT-Sicherheitsstrukturen 6

7 Handlungsbedarf: Konzerne Konzerne verfügen in aller Regel bereits über etablierte IT-Sicherheitsstrukturen und orientieren sich an internationalen Standards für IT-Sicherheit. Wir unterstützen bei der Ausrichtung auf die Anforderungen des IT-SiG. Ausgangssituation Vorhandene IT-Sicherheitsorganisation Betrieb eines Informationssicherheits- Managementsystem (ISMS) Festgelegte Baseline-Standards für IT- Systeme, IT-Security-Controls, Regelmäßige Audits Meldung, Analyse und Dokumentation von Sicherheitsvorfällen Herausforderungen durch das IT-SiG Genügen die vorhandenen Sicherheitsstrukturen den Anforderungen des IT-SiG? Werden alle relevanten Vorfälle ausreichend dokumentiert, um die notwendigen Informationen zu melden? Handlungsbedarf Abgleich vorhandener IT-Sicherheitsstrukturen mit Anforderungen des IT-SiG Assessment zum Reifegrad der IT-SiG Compliance Reifegrad von CERT, SOC und ISOs für IT-SiG Meldepflichten Umsetzungsgrad vom ISMS und IT-Sicherheitsmaßnahmen für das IT-SiG Unterstützung bei der Anpassung vorhandener Prozesse an das IT-SiG Ausgestaltung von Meldewegen und Sicherheitsbeauftragten CERT-Aufbau und Weiterentwicklung nach KPMG Best Practices Erweiterung und Anpassung des ISO 27001/BSI IT-Grundschutz ISMS Unterstützung bei Auswahl und Anpassungen spezieller KRITIS-Maßnahmen Untersuchung und Begleitung von Sicherheitsvorfällen und der Prävention Vorbereitung auf das IT-Sicherheitsgesetz Konzerne 7

8 Handlungsbedarf: Mittelständische Unternehmen KMUs haben unserer Erfahrung nach sehr heterogene Niveaus im Bereich Informationssicherheit. Ausgangssituation Fehlende Sicherheitsorganisation Kein vollwertiges ISMS vorhanden, ggf. einzelne Richtlinien und Prozessanweisungen vorhanden Keine flächendeckenden Baseline- Standards für IT-Systeme, IT-Security- Controls Fehlende Strukturen, Expertise, Personal Herausforderungen durch das IT-SiG Einführung einer bedarfsgerechten und schlanke IT-Sicherheitsorganisation Etablierung flächendeckender Mindeststandards zur Konfiguration und zum Betrieb von IT-Systemen Meldung, Analyse und Dokumentation von Sicherheitsvorfällen Handlungsbedarf Auswirkungen des IT-SiG identifizieren Erhebung, welche Meldestrukturen und Sicherheitsorganisationen notwendig sind Identifizierung betroffener Betriebsteile und IT-Einheiten Aufbau eines schlanken Umsetzungs- und Bedarfsplan für das IT-SiG Etablierung einer schlanken Sicherheitsorganisation Planung einer auf das IT-SiG fokussierten Sicherheitsorganisation Umsetzung in exakt definiertem Scope mit möglichst wenig Betriebsbeeinträchtigung Selektive Nutzung von Best Practices und Standards wie ISO und BSI IT-Grundschutz Bedarfsweise Aufbau und mögliche Zertifizierungsvorbereitung eines ISMS Untersuchung von Sicherheitsvorfällen und Reaktion/Behandlung Vorbereitung auf das IT-Sicherheitsgesetz Mittelständische Unternehmen 8

9 Zusammenfassung und Ausblick Die Umsetzung und Vorbereitung auf das IT-SiG wird unsere Mandanten in den kommenden Monaten und Jahren beschäftigen. Wir helfen mit unserer Expertise in Cyber-Sicherheit und Kenntnissen der Branchen und federführenden Behörden. Das Team Security Consulting besteht bei KPMG aus über 100 MA und verfügt über starke Expertise in KRITIS und Cyber-Security. Wir sind durch die KRITIS-Studien bereits in engem Kontakt mit den Behörden und Betreibern Kritischer Infrastrukturen. Wir sind am Puls der Zeit von aktuellen KRITIS und IT-SiG Entwicklungen und Änderungen der Ausgangslage. Wir haben langjährige Erfahrungen in der Einführung und Verbesserung von technischer und organisatorischer IT-Sicherheit. Bündelung unser KPMG Kompetenzen in Branchen und Beratungsfeldern aus einer Hand für die Betreiber. 9

10 Ihre Ansprechpartner Für weitere Fragen stehen wir Ihnen jederzeit gerne zur Verfügung. Ihr Kontakt Wilhelm Dolle Partner, Security Consulting Paul Weissmann Manager, Security Consulting Tel Mobile KPMG AG Wirtschaftsprüfungsgesellschaft Klingelhöferstr Berlin