IT-Sicherheitsgesetz & IT-Sicherheitskatalog Status Quo und neue Herausforderungen. Referent: Christian Bruns

Transkript

1 IT-Sicherheitsgesetz & IT-Sicherheitskatalog Status Quo und neue Herausforderungen Referent: Christian Bruns 1

2 Agenda Motivation & Cyber Threats Status-quo IT-Sicherheitsgesetz & IT-Sicherheitskatalog Herausforderung IT-Sicherheitskatalog 2

3 Agenda Motivation & Cyber Threats Status-quo IT-Sicherheitsgesetz & IT-Sicherheitskatalog Herausforderung IT-Sicherheitskatalog 3

4 Ein Blick auf das Energiesystem der Zukunft KÜHLHAUS Hintergrundgraphik: E-Energy 4

5 Cyber Threats im zunehmend intelligenten Netz KÜHLHAUS Hintergrundgraphik: E-Energy 5

6 Angriff im Detail: Hackergruppe Dragonfly Zielgruppendefinition Spezialisierung auf Zielgruppe und Analyse der Schwachstellen Verteilung von Schadsoftware Angriff auf Hersteller von Industriesoftware und Manipulation von Updates Abgreifen von Zugangsdaten Mittels Spear Phishing wurden Mitarbeiter in der Zielgruppe ausspioniert Gefahr Angriffswelle diente lediglich der Informationsbeschaffung und Angriffe folgen Auswirkung Sammlung von Zugangsdaten und detaillierten Informationen zu Netzstrukturen und Geräten 6

7 Zwischenfazit Kritische Infrastrukturen werden zunehmend intelligent und um zusätzliche Dingen und Diensten erweitert Sicherheit ist bei zunehmender Komplexität immer schwieriger zu erreichen Gesetzesvorgaben sollen Schutzziele im Bereich der kritischen Infrastrukturen sicherstellen und Mindeststandards zur IT-Sicherheit fördern 7

8 Agenda Motivation & Cyber Threats Status-quo IT-Sicherheitsgesetz & IT-Sicherheitskatalog Herausforderung IT-Sicherheitskatalog 8

9 Betrachtung zukünftiger Sicherheitsanforderungen an KRITIS-Betreiber EU NIS-Richtlinie Technische und organisatorische Maßnahmen zum Risikomanagement unter Berücksichtigung des Standes der Technik (Artikel 14 Nr. 1) Meldung von erheblichen Sicherheitsvorfällen (Artikel 14 Nr. 2) IT-Sicherheitsgesetz Umsetzung und Nachweis von angemessenen organisatorischen und technischen Vorkehrungen maßgeblicher Systeme und Berücksichtigung des Standes der Technik (Artikel 1 Nr. 7, 8a) Einrichtung einer Kontaktstelle für das BSI und Meldung von erheblichen Störungen und potentiell erheblichen Störungen (Artikel 1 Nr 7, 8b) IT-Sicherheitskatalog Implementierung eines ISMS gem. ISO und ordungsgemäße(r) Dokumentation / Betrieb der ITK-Systeme (Abschnitte E.I - E.IV) Risikomanagement im Anwendungsbereich (Abschnitt E.V E.VI) Benennung eines Ansprechpartners IT-Sicherheit mit Auskunftspflichten (Abschnitt E.VII) 9

10 Fristen und Termine IT-Sicherheitskatalog & IT-Sicherheitsgesetz Verabschiedung des IT- Sicherheitsgesetzes Einrichtung einer Kontaktstelle Offizielle Veröffentlichung am im Bundesgesetzblatt 6 Monate nach Inkrafttreten der Rechtsverordnung ist dem BSI eine Kommunikationsstelle zu Benennen Q / Q Monate + 24 Monate Erstellung Rechtsverordnung gem. 10 Abs. 1 BSIG BMI erstellt in Einvernehmen mit weiteren Ministerien nähere Bestimmung der betroffenen Kritischen Infrastrukturen Umsetzung von Vorkehrungen 24 Monate nach Inkrafttreten der Rechtsverordnung haben die KRITIS-Betreiber geeignete Vorkehrungen zur Vermeidung von Störungen zu treffen 10

11 Fristen und Termine IT-Sicherheitskatalog & IT-Sicherheitsgesetz Geplante Verabschiedung des Sicherheitskatalogs Offizielle Veröffentlichung am auf der Webseite der Bundesnetzagentur Stichtag: Umsetzung aller Anforderungen Alle Anforderungen müssen durch den Netzbetreiber umgesetzt und per Zertifikat belegt worden sein Benennung Ansprechpartner BNetzA Benennung eines offiziellen Ansprechpartners durch den Netzbetreiber Richtung BNetzA 11

12 Betroffenheit und Abgrenzung IT-Sicherheitskatalog & IT-Sicherheitsgesetz IT-Sicherheitsgesetz Betroffenheit: Einrichtungen und Anlagen mit hoher Bedeutung für das Funktionieren des Gemeinwesens in den KRITIS-Sektoren (ausgenommen öffentliche Verwaltung) Abgrenzung Betreiber Kritischer Infrastrukturen, die aufgrund von Rechtsvorschriften vergleichbare Anforderungen erfüllen müssen (öffentliche Telekommunikationsnetze/-dienste, Energieversorgungsnetze und Energieanlagen, Betreiber von Kernkraftwerken) Kleinstunternehmen* *gem. Empfehlung 2003/361/EG der Kommission weniger als 10 Mitarbeiter und Umsatz/ Jahresbilanz < 2 Mio. Euro) 12

13 Betroffenheit und Abgrenzung IT-Sicherheitskatalog & IT-Sicherheitsgesetz IT-Sicherheitskatalog Betroffenheit: Alle Systeme die für einen sicheren Netzbetrieb notwendig sind (gilt auch bei Outsourcing) Vorrangig netzsteuerungsdienliche ITK-Systeme, jedoch auch Systeme deren Ausfalls die Netzsicherheit gefährden kann Abgrenzung ITK-Systeme mit mittelbaren / keinen Einfluss auf Netzsteuerung Nicht teil des Energieversorgungsnetzes gem. 3 Nr. 16 EnWG (Kundenanlagen) 13

14 Agenda Motivation & Cyber Threats Status-quo IT-Sicherheitsgesetz & IT-Sicherheitskatalog Herausforderung IT-Sicherheitskatalog 14

15 Herausforderung: Umsetzung IT-Sicherheitskatalog Netzbetreiber müssen sicherstellen, dass ihre IKT* vor möglichen Bedrohungen geschützt ist! Ein angemessener Schutz wird vermutet, wenn die Vorgaben des IT-Sicherheitskataloges vom Netzbetreiber eingehalten werden! Netzbetreiber müssen ein Informationssicherheits-Managementsystem (ISMS) gem. ISO einführen und zertifizieren lassen! Netzbetreiber sind verpflichtet, einen geeigneten Ansprechpartner für die BNetzA bis zum zu stellen! * Informations- & Kommunikationstechnologie 15

16 ISMS-Beispiel: SCADA-System Wert: SCADA-System Risiko: Malware Verantwortung: IT-Abteilung Maßnahme: Antivirensoftware Umsetzung: Dokumentation + Sensibilisierung Verantwortung Maßnahme Sensibilisierung Quelle: theonlineengineer. Quelle: dreamstime Quelle: Spiegel 16

17 Vorgehensmodell ISMS-Implementierung (Schematische Darstellung) Kick off ISMS-Zertifizierung 1. Überwachungsaudit Startphase ISMS-Einführung ISMS-Betrieb Workshop-basierte Einführung Durchführung Regeltätigkeiten Zertifizierung Durchführung Regeltätigkeiten Überwachungsaudit Stellung IT-Sicherheitsbeauftragter Projektstart +12 Monate +24 Monate 17

18 Vorgehensmodell ISMS-Implementierung (Schematische Darstellung) Kick off Kurzaudit Cyber-Sicherheits-Check ISMS-Zertifizierung 1. Überwachungsaudit Startphase ISMS-Einführung Workshop-basierte Einführung Durchführung Regeltätigkeiten ISMS-Betrieb Schritt 1 Bestimmung aktuelle Sicherheitslage Vorbereitung Cyber-Sicherheits-Check (CSC) mit Schwerpunkt IT-Sicherheitskatalog BNetzA Durchführung Vor-Ort-Beurteilung (Kurzaudit) Schritt 2 Bewertung und Handlungsempfehlung Zertifizierung Berichtserstellung und Bewertung der aktuellen Sicherheitslage Erstellung von Handlungsempfehlungen Schritt 3 Abschlusspräsentation und nächste Schritte Vorstellung der Prüfergebnisse und Handlungsempfehlungen Abstimmung nächster Schritte Durchführung Regeltätigkeiten Stellung IT-Sicherheitsbeauftragter Überwachungsaudit Projektstart +12 Monate +24 Monate 18

19 Vorgehensmodell ISMS-Einführung Einführungs- und Betriebsphase Durchführung Regeltätigkeiten Modul 1: Planung Modul 2: Etablierung Modul 3: Betrieb Modul 4: Messung & Prüfung Modul 5: Kontinuierliche Verbesserung 1.1 Verständnis der Organisation 1.2 Soll-Ist-Analyse der Systeme 1.3 Ressourcenplanung und Projektfreigabe 1.4 Definition Geltungsbereich 2.1 ISMS-Organisation 2.2 Dokumentenlenkung 2.3 Entwicklung von Maßnahmen & Regelungen 3.1 Umsetzung von Maßnahmen 3.2 Bearbeitung und Nachverfolgung von Sicherheitsvorfällen 3.3 Eingliederung des ISMS in Geschäftsprozesse 4.1 Überwachung, Messung, Analyse und Bewertung 4.2 Interne Audits 5.1 Behandlung von Fehler und Korrekturmaßnahmen 1.5 Leitlinie Informationssicherheit 1.6 Risikobewertung 2.4 Kommunikation 2.5 Sensibilisierung und Schulung 3.4 Anwendbarkeitserklärung 4.3 Managementbewertung 5.2 Laufende Verbesserung 19

20 Abschließende Worte

21 Abschließende Worte Informationssicherheit ist 20% Technik und 80% Management zukünftig wird sich der Managementanteil noch erhöhen 21

22 Ansprechpartner Christian Bruns Manager Team, Informationssicherheit BTC AG Escherweg 5 D Oldenburg Fon: +49 (0441) Mobil: +49 (0174) christian.bruns@btc-ag.com 22

23 Vielen Dank für Ihre Aufmerksamkeit. BTC Business Technology Consulting AG Escherweg Oldenburg Tel /