IT Sicherheit - Gibt es die überhaupt noch?

Transkript

1 IT Sicherheit - Gibt es die überhaupt noch? ( oder wie schützt man kritische Infrastrukturen) Christian Cichowski CIO Wupperverband CIO Wupperverband Christian Cichowski

2 Der Wupperverband 814 km² Fläche in einem der regenreichsten Gebiete Deutschlands Einzugsgebiet Einw. Betrieb von 11 Kläranlagen 129 Mio. m³ Abwasser Betrieb von 10 Talsperren Schlammverbrennungsanlage Betrieb von 88 HRB / RÜB km Flusslauf 400 Mitarbeiter Umsatz 110 Millionen CIO Wupperverband Christian Cichowski

3 Gliederung Gefährdungslage IT Sicherheitsgesetz und KRITIS Angriffsszenarien Risikomanagement Umsetzung IT Grundschutz Kostenbetrachtung CIO Wupperverband Christian Cichowski

4 Gefährdungslage CIO Wupperverband Christian Cichowski

5 Gefährdungslage Control the church bells via internet? CIO Wupperverband Christian Cichowski

6 Gefährdungslage Nicht technische Schwachstellen Social Engineering Physische Sicherheitslöcher Arbeitsweisen Sonstiges Technische Schwachstellen Netzwerkinfrastruktur Betriebssysteme Firewalls Web- und Datenbanksysteme Mobile Systeme CIO Wupperverband Christian Cichowski

7 Gefährdungslage Klassische IT - PC, Notebook, Server Netzwerk- und (TK) -Router, Mobiltelefone, Tablets, Gebäudetechnik - Medientechnik Prozessleittechnik - Steuerungen, Controller, Zähler, CIO Wupperverband Christian Cichowski

8 Gefährdungslage Leittechnik- und Automatisierungssysteme werden oft nicht als IT-Systeme verstanden Nutzung von Standard-IT-Technologien ist nicht immer offensichtlich Kleiner Anwenderkreis, individuelle Entwicklungen IT-Sicherheit ist meist kein Designziel Ursprünglich vorhandene Isolation der Prozess- und Leitsystemnetze ist nicht mehr gegeben Lange Nutzungszeit und Entwicklungszyklen Häufig Nutzung unsicherer Netzwerkstrukturen ohne Authentisierung CIO Wupperverband Christian Cichowski

9 Gliederung Sicherheitslücken Gefährdungslage IT Sicherheitsgesetz und KRITIS Angriffsszenarien Risikomanagement Umsetzung IT Grundschutz Kostenbetrachtung CIO Wupperverband Christian Cichowski

10 ITSiG IT Sicherheitsgesetz November 2009 Februar 2011 Juli 2012 März 2013 IT-Sicherheit im Koalitionsvertrag Cyber Sicherheitsstrategie UP KRITIS 1. Referentenentwurf ITSiG Stärkung der IT-Sicherheit im öffentlichen und nichtöffentlichen Bereich, insb. Schutz kritischer IT-Systeme Bündelung von Kompetenzen beim Bundes-CIO BSI als zentrale Cyber- Sicherheitsbehörde weiter ausbauen Unbilliger Abwälzung von IT- Risiken auf die Endanwender vorbeugen CIO Wupperverband Christian Cichowski

11 ITSiG IT Sicherheitsgesetz Gesetzliche Pflicht zur Einhaltung von org. + techn. Mindestniveau an IT- Sicherheit für KRITIS, Stand der Technik Erarbeitung von Branchenstandards in den (z.b. Energie, Wasser) Durchführung von Sicherheitsaudits alle 2 Jahre Meldung der Mängel an BSI, ggf. unverzügliche Mängelbeseitigung Meldungspflicht für erhebliche IT-Vorfälle CIO Wupperverband Christian Cichowski

12 KRITIS Kritische Infrastrukturen Wesentliche Bedeutung der KRITIS für das Funktionieren der modernen Gesellschaft Kein ausreichender Schutz durch komplett freiwillige Initiativen Neue Bedrohungslage durch Cyber Angriffe. Dynamische Bedrohungslage aufgrund neuer komplexer Technologien sowie zunehmender Vernetzung Entwicklung von Branchenstandards CIO Wupperverband Christian Cichowski

14 Interne Schnittstellen Externe Schnittstellen Angriffsszenarien SPS Steuerung Die Steuerungen werden aus Unwissenheit oder Bequemlichkeit tausendfach leichtfertig mit dem Internet verbunden und lassen sich dann leicht aufspüren. Standardpasswörter werden dabei selten geändert! CIO Wupperverband Christian Cichowski

15 Angriffsszenarien Gefälschter HotSpot Neuer WLAN HotSpot Zuhause Kanal 10 Notebook privat WLAN Drucker Smartphone Auto auf dem Parkplatz vorm Haus Hacker Notebook Mobiler Router Störsender für Kanal 5 WLAN HotSpot Zuhause Kanal 5 DSL Router Internet CIO Wupperverband Christian Cichowski

16 Angriffsszenarien Mobilsystem Angriffe auf mobile System hier: Fingerprint iphone 5S CIO Wupperverband Christian Cichowski

18 Risikomanagement IT Risiken Verlust der Vertraulichkeit von Informationen Mit personenbezogenen Daten muss vertraulich umgegangen werden. Die ungewollte Offenlegung von internen vertraulichen Informationen kann Schäden nach sich ziehen. Verlust der Integrität (Korrektheit von Informationen) Mit personenbezogenen Daten muss vertraulich umgegangen werden. Die ungewollte Offenlegung von internen vertraulichen Informationen kann Schäden nach sich ziehen. Verlust der Verfügbarkeit von Hard- und Software (Informationen) Wenn grundlegende Informationen nicht vorhanden sind, können Aufgaben ohne diese nicht weitergeführt werden. Läuft ein IT-System nicht, können z.b. Steuerungsprozesse still stehen. CIO Wupperverband Christian Cichowski

19 Risikomanagement Bewertung CIO Wupperverband Christian Cichowski

21 KVP = Kontinuierlicher Verbesserungsprozess Umsetzung IT Grundschutz IT-Verbund B1 - Übergreifende Aspekte B2 - Infrastruktur B3 - IT-Systeme B4 Netze B5 - Anwendungen Strukturanalyse Analyse des Ist-Zustands Feststellung des Schutzbedarfs Objekte identifizieren und beschreiben Feststellung des Schutzbedarfs der Objekte Modellierung des Verbundes (Auswahl der Maßnahmen) Verbund und Objekte mit Bausteinen nachbilden Ergänzende Sicherheitsanalyse Zusätzliche Maßnahmen definieren ca. 90 % Risikoanalyse (ca. 10%) Z.B. für besondere Objekte (SAN, Firewall ) Konsolidierung der Maßnahmen Zusammenfassung der Maßnahmen Basis-Sicherheitscheck Prüfung, ob Objekte hinreichend geschützt sind Realisierung der Maßnahmen Umsetzung der Maßnahmen CIO Wupperverband Christian Cichowski

22 IT Grundschutz - Strukturanalyse CIO Wupperverband Christian Cichowski

23 IT Grundschutz - Strukturanalyse CIO Wupperverband Christian Cichowski

24 IT Grundschutz Bildung von Verbünden IT Verbund Hauptverwaltung IT Verbund Klärwerke I IT Verbund Klärwerke II IT Verbund Talsperren IT Verbund Kanalbetrieb IT Verbund Hochwasserschutz Umsetzung von Maßnahmen für jeden Verbund gem. der BSI Bausteine: B1 Übergreifende Aspekt (z.b. Virenschutz, Datensicherungskonzept ) B2 Infrastruktur (z.b. Serverraum, Notebook, Häuslicher Arbeitsplatz ) B3 IT-Systeme (z.b. Server, Router, Firewall, Mobilsysteme, ) B4 Netze (z.b. Heterogene Netze, VPN, WLAN ) B5 Anwendungen (z.b. Datenbanken, , Active Directory ) CIO Wupperverband Christian Cichowski

25 IT Grundschutz - Maßnahmenumsetzung IT Verbund - Übergreifende Aspekte B1.x Hauptverwaltung Infrastruktur - Gebäude (B 2.1) Verwaltungsgebäude Lichtenplatzer Maßnahmen für Baustein Serverraum B 2.4 (Auszug) Planung und Konzeption M 1.3 (A) Angepasste Aufteilung der Stromkreise M 1.7 (A) Handfeuerlöscher M 1.10 (C) Verwendung von Sicherheitstüren und -fenstern M 1.24 (C) Vermeidung von wasserführenden Leitungen M 1.27 (B) Klimatisierung M 1.28 (B) Lokale unterbrechungsfreie Stromversorgung M 1.31 (Z) Fernanzeige von Störungen Infrastruktur - Serverraum (B 2.4) Serverraum Keller IT-System - Windows Server (B ) Server HVWINTS21 Netze Heteregones Netz (B 4.1) Netzwerk Hauptverwaltung Anwendung - Datenbank (B 5.7) Greengate Instandhaltung Mitarbeiter Herr Martin Maßnahmen für Baustein Server B (Auszug) Vorsätzliche Handlungen G 5.1 Manipulation oder Zerstörung von Geräten oder Zubehör G 5.2 Manipulation an Informationen oder Software G 5.7 Abhören von Leitungen G 5.9 Unberechtigte IT-Nutzung G 5.15 Neugierige Mitarbeiter G 5.18 Systematisches Ausprobieren von Passwörtern Maßnahmen für Baustein Datenbank B 5.7 (Auszug) Betrieb M 2.31 (A) Dokumentation der Benutzer und Rechteprofile M 2.34 (A) Dokumentation der Veränderungen am System M (C) Aufteilung von Administrationstätigkeiten Notfallvorsorge M 6.48 (A) Verhaltensregeln nach Verlust der Datenbankintegrität M 6.49 (A) Datensicherung einer Datenbank M 6.51 (B) Wiederherstellung einer Datenbank CIO Wupperverband Christian Cichowski

27 IT Sicherheit - Kostenbetrachtung Angemessene Sicherheit Vertretbare Kosten Ausreichende Funktionalität CIO Wupperverband Christian Cichowski

28 IT Sicherheit - Kostenbetrachtung Welche IT Ausfälle und Angriffe sind in der Praxis vorstellbar? Welche Auswirkungen vorstellbarer Angriffe gibt es auf die Betreiber von KRITIS? Wie ist Stand der Technik und der Grad an Implementierung von IT Sicherheit in diesen Prozessen? Welche Schnittstellen existieren? Welche Reaktionszeiten und Konvergenzwirkungen aus anderen Sparten werden erwartet? Lost your password? 5$ CIO Wupperverband Christian Cichowski

29 Kostenbetrachtung - Instandhaltung CIO Wupperverband Christian Cichowski

30 Kostenbetrachtung - Instandhaltung CIO Wupperverband Christian Cichowski

31 Kostenbetrachtung - Instandhaltung Sachkosten für 150 Anwender Investition ,- auf 4 Jahre Nutzungszeit : 3.375,- Betriebskosten pro Jahr : 5.200, ,- Entspricht je Anwender und Jahr 57,- Personalkosten für 150 Anwender Inv. Personalkosten: 25,4 x 8 x 50,- / 4 Jahre : 2.540,- Jährl. Personalkosten: 18,5 PT x 8 x 50,- : 7.400, ,- Entspricht je Anwender und Jahr 66,- CIO Wupperverband Christian Cichowski

32 IT Sicherheit - Kostenbetrachtung Angemessene Sicherheit Branchenspezifisch Vertretbare Kosten Ausreichende Funktionalität CIO Wupperverband Christian Cichowski

33 Kosten IT Sicherheit - Kostenbetrachtung 100 % Kostengünstige Erhöhung der IT Sicherheit durch - Sensibilisierung der Mitarbeiter - Festlegung von Passwortrichtlinien - Etablierung der 2 Faktor Authentifizierung - Bildschirmschoner automatisch aktivieren. 15 % 0 % 50 % 100 % Sicherheit CIO Wupperverband Christian Cichowski

34 Fazit und Diskussion Notwendigkeit der Einbindung bisher als unkritisch angesehene Systeme in IT-Sicherheitskonzepte (SPS, PLS) Reduzierung der Risiken durch Umsetzung von BSI Grundschutz Maßnahmen Schulung von Mitarbeitern -> Sensibilisierung für IT Sicherheit -> Bildung von IT-Security-Awareness ITSiG sowie eine Meldepflicht von Sicherheitslücken für Hersteller und Betreiber kritischer Infrastrukturen ist grundsätzlich zu begrüßen CIO Wupperverband Christian Cichowski

35 IT Sicherheit - Gibt es die überhaupt noch? ( oder wie schützt man kritische Infrastrukturen) Christian Cichowski CIO Wupperverband CIO Wupperverband Christian Cichowski