IT-Sicherheit in der Wasserwirtschaft eine unsichtbare Gefahr?

Transkript

1 IT-Sicherheit in der Wasserwirtschaft eine unsichtbare Gefahr? Augsburg Daniel Fricke Leiter IT

2 DVGW Service & Consult GmbH IT-Dienstleistungen - Betreuung der Infrastruktur und der Programme des DVGW e.v. - Web-Hosting (Codevergabe, Lastflussmeldungen..) Veranstaltungen - Informations- und Fortbildungsveranstaltungen TSM-Prüfungen - Organisation der Prüfungen in den Sparten G, W, S und I Beratungen - QM-System (ISO 9001) - Energiemanagementsystem (ISO 50001) - Informationssicherheitssystem (SMIT, ISO 27001) - TSM-Beratung/Vorprüfung

3 Agenda Datenschutz & Datensicherheit (Unterschiede und Abhängigkeiten) Überblick über Gefährdungen (welche Gefahren drohen über welche Pfade Beispiele) Mögliche Vorgehensweisen (BSI Grundschutz, ISO/IEC 27001, )

4 Datenschutz Datenschutz: soll den Einzelnen davor schützen, das er in seinem Persönlichkeitsrecht beeinträchtigt wird bezieht sich nicht auf Unternehmensdaten gilt nur bei Einsatz von Datenverarbeitungsanlagen Personenbezogene Daten: sind Daten die einen Personenbezug herstellen besonders schützenswert sind z.b. Gesundheitsdaten Religiöse Daten Gewerkschaftszugehörigkeit

5 Datensicherheit Datensicherheit: Vertraulichkeit (englisch: confidentiality) Integrität (englisch: integrity) Verfügbarkeit (englisch: availability) Authentizität Verbindlichkeit Zurechenbarkeit (Identität) (Anonymität)

6 Gesetzliche Vorgaben Datenschutz Bundesdatenschutzgesetz (BDSG) Landesdatenschutzgesetze Landesbehörden Kommunen EG-Datenschutzrichtlinie 95/46/EG Ergänzung Rahmenbeschluss 2008/977/JI in Überarbeitung seit 2012

7 Gesetzliche Vorgaben Datensicherheit Handelsgesetzbuch (HGB) Grundsätze ordnungsgemäßer Buchführung (GoB) Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) Energiewirtschaftsgesetz 11 Abs. 1a EnWG zukünftig: IT-Sicherheitsgesetz Reglung für Betreiber von kritischen Infrastrukturen

8 Kritische Infrastrukturen 9 Bereiche (gem. BMI): Energie: Elektrizität, Gas, Mineralöl Informationstechnik und Telekommunikation Transport und Verkehr: Luft-, Seeschiff-, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik Gesundheit: Medizinische Versorgung, Arzneimittel, Impfstoffe, Labore Wasser: Öffentliche Wasserversorgung, Öffentliche Abwasserbeseitigung Ernährung: Ernährungswirtschaft, Lebensmittelhandel Finanz- und Versicherungswesen: Banken, Börsen, Versicherungen, Finanzdienstleister Staat und Verwaltung: Regierung und Verwaltung, Parlament, Justizeinrichtungen, Notfall-/ Rettungswesen einschließlich Katastrophenschutz Medien und Kultur: Rundfunk (Fernsehen und Radio), gedruckte und elektronische Presse, Kulturgut, symbolträchtige Bauwerke Quelle: Definition Kritische Infrastrukturen nach Bundesministerium des Inneren (BMI)

9 KRITIS-Meilensteine Nationaler Plan zum Schutz der Informationsinfrastrukturen (BMI) Billigung des Umsetzungsplans KRITIS durch das Bundeskabinett Eröffnung Cyber-Abwehrzentrum BMI-Diskussionspapier IT-Schutz kritischer Infrastrukturen in Deutschland Referentenentwurf Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme ter Referentenentwurf IT-Sicherheitsgesetz

10 KRITIS-Meilensteine überarbeiteter Referentenentwurf an Verbände Abgabetermin Stellungnahme der Verbände Anhörung der Verbände beim BMI Gesetzentwurf des BMI im Bundesrat

11 Gesetzentwurf IT-SiG Entwurf Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG) vom Schutz von IT-Systemen, insbesondere KRITIS Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die ausführende Behörde richtet eine zentrale Meldestelle ein muss branchenspezifische Standards genehmigen Festlegung Betreiber Kritischer Infrastrukturen Meldepflicht bei erheblichen IT-Sicherheitsvorfällen Berücksichtigung Stand der Technik Überprüfung der IT-Sicherheit durch Sicherheitsaudits alle zwei Jahre Zwei Jahre verpflichtender Umsetzungszeitraum für Betreiber

12 Was bedeutet Informationssicherheit im VU? Datenschutz Personenbezogene Daten Datensicherheit Infrastruktursicherheit z.b. Zugangskontrollen Firewalls Diebstahl von Rechnern Geschäftsrelevante Daten z.b. Firmendaten Kundendaten Kritische Infrastrukturen (KRITIS) Compliance Einhaltung von Gesetzen und Regelungen

13 Agenda Datenschutz & Datensicherheit (Unterschiede und Abhängigkeiten) Überblick über Gefährdungen (welche Gefahren drohen über welche Pfade Beispiele) Mögliche Vorgehensweisen (BSI Grundschutz, ISO/IEC 27001, )

14 Gefährdungen in Unternehmen Top Gefährdungen: 1. Malware Oberbegriff für Schadsoftware 2. Benutzer Nachlässigkeit und Irrtum Mangelndes Bewusstsein (Awareness) Verbreitungswege: (Anhänge / Links Drive by Downloads ) Mobile Endgeräte Mobile Datenträger Quelle: <kes> 30. Jahrgang / Nr. 5, Oktober 2014

15 Bedrohungsarten / Malware Viren Verändern Dateien und nisten sich dort ein Werden durch Benutzer verbreitet Würmer Verbreiten sich selbstständig Trojaner Fernsteuerungsfunktion (oft getarnt in nützlicher Software) Spyware Sendet Informationen über den infizierten Rechner an Dritte Backdoor Öffnet einen infizierten Rechner für weitere Schadprogramme Rootkits Verstecken andere Schadprogramme Exploit Schwachstelle bzw. deren Ausnutzung Zero-Day-Exploit Schwachstelle die sofort nach bekanntwerden ausgenutzt wird

16 SCADA-Angriffe Angriffe auf SCADA-Systeme STUXNET Nov. 2011, Wasserwerk in Illinois zerstörte Pumpe Nov. 2011, Wasserwerk in Texas Screenshots Mai 2013, c t-artikel SCADA = Supervisory Control and Data Acquisition

17 STUXNET-Verlauf Datum Ereignis 20. Nov Der Trojaner Zlob nutzt zum ersten Mal die LNK-Lücke (MS10-046) aus, die später von Stuxnet verwendet werden wird. 25. Jan Der Stuxnet-Treiber wird mit einem Zertifikat von Realtek signiert. April 2010 Eine Stuxnet-Variante verwendet erstmals Remotecode-Ausführung durch die Windows-Shell (MS10-046). 13. Juli 2010 Symantec fügt eine Erkennung des Trojaners unter dem Namen W32.Temphid ein. 16. Juli 2010 Microsoft veröffentlicht das Security Advisory Vulnerability in Windows Shell Could Allow Remote Code Execution. VeriSign widerruft das Realtek-Zertifikat. 17. Juli 2010 ESET findet eine Stuxnet-Version mit einem Treiberzertifikat von JMicron. 19. Juli 2010 Siemens berichtet über Untersuchungen zur Infektion seiner SCADA-Anlagen. Symantec benennt die Erkennung in W32.Stuxnet um. 22. Juli 2010 VeriSign widerruft das Zertifikat von JMicron. 02. Aug Microsoft veröffentlicht Patch MS gegen den Shortcut-Exploit. 06. Aug Symantec beschreibt die Funktion von Stuxnet als SPS-Rootkit. 22. Aug Symantec kann keine neu infizierten IP-Adressen aus dem Iran mehr feststellen. 14. Sep Microsoft veröffentlicht den Print-Spooler-Patch MS Laut Siemens sollen weltweit 14 Anlagen betroffen sein. Schäden hätten jedoch nicht festgestellt werden können. 26. Sep Der Iran bestätigt Angriffe durch Stuxnet. Es sollen Computer befallen worden sein, dabei seien aber keine ernsthaften Schäden aufgetreten. Diese Aussage wird allerdings kurz darauf vom Außenministerium widerrufen. Dagegen wird dem Westen Cyber-Propaganda vorgeworfen. 30. Sep Das W32.Stuxnet Dossier wird auf der Virus Bulletin Conference 2010 vorgestellt. Die Nachrichtenagentur Xinhua berichtet von sechs Millionen befallenen Computern und fast tausend betroffenen Anlagensteuerungen in China. 02. Okt Siemens wurden bisher 15 befallene Anlagen gemeldet. Davon haben fünf ihren Standort in Deutschland, die übrigen in Westeuropa, den USA und Asien. Bei allen Anlagen sollen keine Schäden aufgetreten sein und das Virus konnte erfolgreich entfernt werden. 12. Okt Microsoft schließt mit Patch MS eine Lücke zur Privileg-Eskalation beim Laden von Tastaturbelegungen im Kernel. 14. Dez Microsoft schließt mit Patch MS eine Lücke zur Privileg-Eskalation durch Benutzung des Task-Schedulers. 11. Mär Bisher haben 24 Siemens-Kunden von einer Infektion berichtet. Es gab in keinem Fall Auswirkungen auf die Anlagen.

18 SCADA-Angriffe US-Wasserwerke Quelle:

19 Gefahr im Kraftwerk Artikel in c t 11/2013 ( ) Fazit der c t: [ ] In dieser Branche ticken die Uhren offensichtlich etwas anders, wodurch der Berührungspunkt mit dem schnelllebigen Internet zu einem ernsthaften Problem wird. [ ].

20 Werkzeuge: Metasploit Framework Metasploit ist ein freies Open Source Projekt Werkzeug zur Entwicklung und Ausführung von Angriffen auf Rechnersysteme Shodan Suchmaschine für anfällige Systeme Quellen:

21 Innere Gefährdungen Gefährdung durch Verhalten der Mitarbeiter Arbeitsplatzschutz vernachlässigen Unsichere Passwörter verwenden Fremdsoftware installieren Verwendung mobiler Endgeräte BYOD Bring Your Own Device von unsicherer Umgebung einloggen Dienstleister / Arbeitnehmerüberlassung Mitarbeiter-Wechsel Gefährdung durch IT-Systeme Einspielung Sicherheitsupdates Unzureichend geschützte Systeme

22 Agenda Datenschutz & Datensicherheit (Unterschiede und Abhängigkeiten) Überblick über Gefährdungen (welche Gefahren drohen über welche Pfade Beispiele) Mögliche Vorgehensweisen (BSI Grundschutz, ISO/IEC 27001, )

23 Mögliche Vorgehensweisen Derzeit gibt es drei mögliche Wege: BSI Grundschutz ISO/IEC Eigenes System mit entsprechender Nachweispflicht der Wirksamkeit IT-SiG zeigt weiteren Weg auf: Branchenlösungen Branchenlösungen werden auf Antrag hin durch das BSI geprüft und freigegeben

24 BSI-Grundschutz Ziele des BSI-Grundschutz: Vertraulichkeit Integrität Verfügbarkeit Arbeitshilfen: BSI Standard Managementsysteme für Informationssicherheit BSI Standard Grundschutz Vorgehensweise BSI Standard Risikoanalyse auf der Basis von IT- Grundschutz BSI Standard Notfallmanagement IT-Grundschutz-Katalog (über 4000 Seiten)

25 Grundprinzip ISO Systematisch Prozessorientiert PDCA-Verfahren KVP ständige Verbesserung Überprüfungen / Audits Fakten-basierte Entscheidungsfindung Einbeziehung von Menschen (Mitarbeiter, Kunden, usw.) CIA-Prinzip Confidentiality Vertraulichkeit Integrity Integrität Availibilty Verfügbarkeit Managementsystem Ein System zum Festlegen von Firmenpolitik und Zielen, sowie zum Erreichen dieser Ziele.

26 Vergleich BSI-Grundschutz ISO/IEC Familie BSI Grundschutz ISO/IEC Familie PDCA-Verfahren CIA-Prinzip Verfahrensanweisungen Möglichkeit zur Zertifizierung Pflegeaufwand Fazit: BSI sehr detailliert, dadurch Probleme bei Aktualität ISO generisch, überall anwendbar

27 SMIT Mögliche Branchenlösung? Vorgehensweise analog zum TSM Selbstauskunft Begehung Vor-Ort Befragung IT-Verantwortliche Mitarbeiter (Anwender) Auswertung Abschlussbericht mit Handlungsbedarfen

28 Erfassung und Befragungen - Strukturierter Fragenkatalog - Gliederung in folgende Bereiche: - Organisation - Infrastruktur Verwaltung - Infrastruktur Technik - Wartung und Instandhaltung - Worst-Case-Szenarien - Mitarbeiterbefragung Befragung IT- und Prozess-Mitarbeiter Auswahl der befragten Mitarbeiter nach Kernprozessen Befragung durch 2 Experten Begehungen typischer Stationen

29 Beispiel: Detail-Auswertung Verwaltung IT-Infrastruktur Absicherung Allgemein Netzwerk LAN Endgeräte Netzwerk WAN Software Netzwerk WLAN Virtualisierung Telefonanlage Speichersysteme Server allgemein Archivsystem Fileserver Terminalserver server Webserver Datenbankserver ERP-System

30 Fazit Informationssicherheit ist die ganzheitliche Betrachtung aller Teilbausteine ist ein ständiger Prozess und kein Meilenstein den man erreicht und dann abhaken kann Gefährdungen gibt es im Unternehmen und von externen Stellen Managementsysteme nicht warten bis das IT-Sicherheitsgesetz verabschiedet ist, starten Sie jetzt!!

31 Zu guter Letzt Vielen Dank für Ihre Aufmerksamkeit! DVGW Service & Consult GmbH Josef-Wirmer-Str Bonn Kontaktdaten: Daniel Fricke Thomas Schmidt +49 (0) 228 / (0) 228 / fricke@dvgw-sc.de Noch Fragen? Sprechen Sie uns einfach an! schmidt@dvgw-sc.de