Auswirkungen des IT Sicherheitsgesetztes

Transkript

1 Auswirkungen des IT Sicherheitsgesetztes Eine Übersicht über die Historie bis zur Frage der Zertifizierung

2 Thomas Klein, Dipl. Ing. Management Berater System Management und ITIL Projekte Projekt Management und Organisation Von 2009 bis 2015 Projekt Leiter bei der Rheinbahn AG in Düsseldorf Neubau des Rheinbahn Rechenzentrum und Leiter des Infrastruktur RZs Migration von Prozessrechnersystemen in das RZ Neubau der Leitstelle im Neubau der Verwaltung Einführung und Ausschreibung Betriebshof Management System Geschäftsführer der VisIT Consulting Seite 2

3 VisIT Consulting VisIT Consulting Software Implementierung und Wartung im Großrechnerbereich bei europäischen Banken System Management und ITIL Projekte Seit Juli 2015 RZ Planung - Erweiterungen, Umzüge und Neubau RZ Betriebskonzepte und RZ Notfallplanung Anforderungen aus dem IT Sicherheitsgesetz, BSI Grundschutz HOAI Planung von nachrichtentechnischen Systemen Kleines IT und Beratungsteam mit Partnern im In- und Ausland Seite 3

4 Die Entstehung und Entwicklung in der EU Verabschiedung des Wirtschaftsprogramm Europa 2020 im Juni 2010 Kernziele Bekämpfung von Armut und sozialer Ausgrenzung Bildung Forschung und Entwicklung Beschäftigung Klimawandel und nachhaltiges Energiewirtschaften Umsetzung mittels Grundsatzinitiativen Digitale Agenda im Rahmen der EU Cybersecurity Strategy (Feb. 2013) Ziel eine offene, sichere und gesichertes Internet (Cyberspace) Entwicklung der NIS Initiative (Network and Information Security Directive) Seite 4

5 Die Entstehung und Entwicklung in der EU EU NIS Initiative (Network and Information Security Directive) Entwicklung einer KRITIS Strategie und Umsetzung in Gesetze Entwicklung eines Krisenkoordinationsplan Ansprechpartner festlegen: CERT und KRITIS Behörde und in Deutschland Kooperation des privaten und der öffentlichen Bereiche notwendig Wie melde ich einen Vorfall Art der Kommunikation Setzen von Standards Seite 5

6 Kooperativer Ansatz der Umsetzung Ziel der verbesserten Zusammenarbeit von Staat und Wirtschaft Allianz für Cybersicherheit zwischen dem BSI und bitkom Zunehmende Bedrohung und Attacken auf Behörden, KMU und KRITIS Betreiber Erarbeiten einer Cyber Strategie Informationsangebote für alle bereitstellen Erfahrungsaustausch initiieren Gemeinsame Sicht der Dinge schaffen Erzielen von Synergien Ziel Schutz von kritischer Infrastruktur und erhöhen der Cyber Sicherheit in Deutschland Seite 6

7 Was passierte vor dem IT Sicherheitsgesetz Die Betreiber meldeten nur das was sie für richtig / genehm hielten Kein übergreifende Maßnahmen oder Sanktionen Umsetzung innerhalb der Wirtschaft sehr unterschiedlich Bedeutung und Wahrnehmung Umsetzung von Standards Melden von Vorfällen Seite 7

8 Das IT Sicherheitsgesetz in Deutschland Erster Entwurf im Mai 2013 Zweiter Entwurf im August 2014 Vorentwurf im November 2014 Überarbeitung vom Februar 2015 Inkrafttreten 25. Juli 2015 Es folgt: Erstellen von Rechtsverordnungen Festlegen welche Unternehmen betroffen sind Festgelegt sind mit Inkrafttreten die Betreiber von Kernkraftwerken und die Telekommunikationsunternehmen Seite 8

9 Rolle des BSI Bundesamt für Informationssicherheit Bisherige Aufgabe des BSI Präventive Förderung von der Informations- und Cyber Sicherheit Schutz der IT Systeme des Bundes Erkennen, Schutz und Abwehr von Angriffen BSI Grundschutzkataloge Nach dem IT Sicherheitsgesetz vom Juli 2015 Festlegen der zu den KRITIS gehörenden Unternehmen Genehmigung und Überprüfung von Mindeststandards alle 2 Jahre Zentraler Ansprechpartner Auswertung von Angriffen und Warnung vor drohenden Angriffen Seite 9

10 KRITIS Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Zitat vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe Seite 10

11 Wer gehört zu KRITIS Es wird von Betreibern Kritischer Infrastrukturen in sieben Sektoren ausgegangen Seite 11 Quelle: Bundesamt für Sicherheit in der Informationstechnik

12 Was ist von KRITIS Anwendern zu tun? Meldepflicht von erheblichen Störungen beginnt nach 6 Monaten Ansprechpartner und Meldeprozesse nach dem IT-Sicherheitsgesetz einrichten Einführung von Standards, branchenspezifischen Standards Regelmäßiger Nachweise Festlegen von angemessenen organisatorischen und technischen Maßnahmen zum Schutz der Infrastruktur innerhalb von 2 Jahren Was passiert wenn es die Unternehmen nicht tun? Bußgelder Seite 12

13 Vorschlagen von branchenspezifische Standards Maßnahmen zur Vermeidung von Störungen von informationstechnischen Systemen Verfügbarkeit Integrität Authentizität Vertraulichkeit Wie immer: Einhalten des aktuellen Stands der Technik Maßnahmen dürfen verhältnismäßig sein BSI genehmigt diese Standards Seite 13

14 Nachweis Alle 2 Jahre mit Information an den BSI Prüfungen Zertifizierungen Sicherheitsaudits Aufgedeckte Mängel sind zu melden Seite 14

15 Was wird heute zum IT Sicherheitsgesetz diskutiert Wo sind die konkrete Vorgaben Inhalte und Vorgaben zu den Meldungen Welche Sicherheitsstandards sind gemeint Was müssen wir eigentlich noch alles tun Wie hoch sind die Kosten Frage: Wir sind ja nicht interessant für Hacker etc. Seite 15

16 Zeitachse Melden Sichern der Infrastruktur Nachweise führen IT-Sicherheitsgesetz Rechtsverordnung Nennen einer Kontaktstelle Evaluierung des IT-Sicherheitsgesetzes Nachweise erbringen Seite 16

17 Was ist den wirklich zu tun Organisation Technik Prozesse Seite 17

18 Pragmatisch: Was ist zu tun Wo stehen Sie? IT Sicherheitsstrukturen Kaufmännische IT Infrastruktur IT Mobile IT Wo hilft Ihnen eine Business Impact Analyse? Was sind Ihre kritischen Systeme, Infrastrukturen, Daten und Prozesse Wo sind Ihre Zugriffspunkte von innen und außen Anforderungen der Nutzer und des Managements Welche Services Level und Sicherheit Level sind gefordert Anforderungen an die RZ / RZ Räume Seite 18

19 Pragmatisch: Was ist zu tun? Prozesse Melden und einordnen von Vorfällen Weiterleiten der geforderten Inhalte Maßnahmen initiieren Organisation Verantwortlichkeiten und Zuständigkeiten Personalstärken Technologien Einsatz von Standards wie ISO Erkennen von Vorfällen, erheben der benötigten Inhalte Aufbau / Optimierung des RZ und der RZ Räume Seite 19

20 Systematisch und strukturiert Implementierung auf der Basis ISO Ziele Schutz der vertraulichen Daten Integrität der betrieblichen Daten sicherstellen Verfügbarkeit Ihrer IT-Systeme im Unternehmen sicherstellen und erhöhen Was bietet die Norm Definition der Anforderungen für ein Informationssicherheits-Managementsystems (ISMS) Einführen Umsetzen Aufrecht erhalten Kontinuierliche Verbesserung Beurteilung und Behandlung von Informationssicherheitsrisiken Seite 20

21 Führung Management muss Führung übernehmen und die Verpflichtung zeigen Unternehmenspolitik festlegen Rollen festgelegen Verantwortlichkeiten und Befugnisse festlegen Berichtswesen einführen Seite 21

22 Planung der Informationssicherheit Prozesse der Informationssicherheitsrisiko Beurteilung Prozesse festlegen Risiken identifizieren Risiken analysieren Risiken bewerten Umsetzung Optionen auswählen Maßnahmen festlegen Maßnahmen auf Vollständigkeit prüfen Plan für die formulieren Genehmigung und Akzeptanz für die Umsetzung einholen Seite 22

23 Planung der Informationssicherheit Ziele für die benötigten Funktionen und Ebenen festlegen Mit der eigenen Informationssicherheitspolitik in Einklang stehen Möglichst messbar sein Ziele im Unternehmen vermitteln / ich nenne es Werbung dafür machen Planung zur Erreichung der Ziele bestimmen Was wird getan Ressourcen festlegen Verantwortung festlegen Zeitrahmen für die Umsetzung festlegen Bewertung der Ergebnisse festlegen Seite 23

24 Unterstützung Die personellen Ressourcen unterstützen Kompetenzen im Unternehmen bestimmen, sicherstellen und nachweisen Bewusstsein schaffen Kommunikation etablieren Worüber, wann, mit wem, wer und womit Dokumentierte Informationen Das Erstellen und aktualisieren sicherstellen Lenkung der Informationen festlegen Seite 24

25 Betrieb Betriebliche Planung und Steuerung Prozesse planen, umsetzen und steuern Dokumentation der Umsetzung bereitstellen und verfügbar machen Überwachen von Änderungen Sicherstellen, das ausgelagerte Prozesse bestimmt und gesteuert werden Risikobeurteilungen vornehmen In geplanten Abständen Wenn Änderungen vorgeschlagen werden Wenn Änderungen auftreten Risikobehandlung umsetzen Seite 25

26 Bewertung der Leistung Überwachung, Messung, Analyse und Bewertung Was wird überwacht und gemessen Methode festlegen um eine Vergleichbarkeit und Wiederholbarkeit sicherzustellen Zeiten der Durchführung festlegen Wer führt diese Aufgaben durch Wer analysiert und bewertet die Ergebnisse Internes Audit Anforderungen müssen der Norm und der Organisation entsprechen Auditprogramme auflegen Kriterien und Umfang festlegen Berichtswesen und Ergebnisse aufbewahren Seite 26

27 Erfolgsfaktoren Eine auf die Geschäftsziele abgebildete Informationssicherheitspolitik Unterstützung und Zustimmung vom Management über alle Hierarchie Ebenen PDCA Vorgehensmodell mit der eigenen Unternehmenskultur in Einklang bringen Schulen von Informationssicherheitspolitik Informationspolitik verabreden von oben nach unten und schrittweise definieren Risikobewertung und Risiko Management Budget bereitstellen Prozesse klar definieren, einrichten, überprüfen und verbessern KPI einführen Sie benötigen einen Treiber in Ihrem Unternehmen Seite 27

28 Gegenüberstellung BSI Grundschutz und ISO ISO auf der Basis von IT-Grundschutz Spezifikation der Anforderungen Einführung, Implementieren, Betrieb kontinuierliche Verbesserung ISO Spezifikation der Anforderungen Einführung, Implementieren, Betrieb Verbesserung eines dokumentierten ISMS Umsetzungsempfehlungen aus der Praxis Orientierung an Maßnahmen Konzeption + praktische Umsetzung Mehr als 4000 Seiten Konkrete Maßnahmenempfehlungen mit Umsetzungshilfen Orientierung an Prozessen Prozess- und Konzeptebene 90 Seiten allgemeine Empfehlungen 35 Objects, 114 Maßnahmen (controls) Seite 28

29 Gegenüberstellung BSI Grundschutz und ISO ISO auf der Basis von IT-Grundschutz Es ist Risikoanalyse für einen normalen Schutzbedarf impliziert Eine eigene Risikoanalyse ist nur für den höheren Schutzbedarf erforderlich Migrationspfad durch Testate ISO Komplette Risikoanalyse ist vorgeschrieben Kein Stufenkonzept für die Zertifizierung Einstiegsstufe Aufbaustufe Zertifizierung 3 Jahre Gültigkeit mit jährlichem Überwachungsaudit Seite 29 3 Jahre Gültigkeit mit jährlichem»continuing Assessment Visits«

30 Beispiel Mobile IT Smartphones und Tablets werden immer mehr zu Geräten des Alltags Mobile IT ist nicht so gesichert wie die klassische IT Systeme Es werden immer mehr mobile Apps von Drittanbietern gehackt Auszug aus den Top 10 (Quelle IT-Business vom ) Salesforce Good Reader Microsoft Office Cisco AnyConnect Box Cisco WebEx Skype for Business Seite 30

31 Beispiel Mobile IT Die Mitarbeiter speichern auf dem Smartphone / Tablet ungeschützt? Seite 31 betriebliche Daten und s Speichern sie ggf. auf anderen Consumer Cloud Diensten Social Hacking kommt immer mehr in Mode Welche Consumer Applikationen sollten / werden gesperrt? Dropbox, One Drive, Google Drive, Box, SugarSync, (EFSS Apps) Facebook, Twitter, Whatsapp Skype Quelle: Meist Third Party Anbietern Risiko von gehackter Software Ziel: Einsatz von Business Apps statt Consumer Apps Ziel: Einsatz einer Unternehmens Cloud

32 Beispiel / Auszug für Mobile IT - Aufgaben Wer hat die Kontrolle über das Gerät? Benutzer oder der IT-Administrator? Welche Applikationen sind installiert, darf der Benutzer Apps installieren? Wie kann das Installieren unterbunden werden? Einführen eines Antivirenschutzes WLAN Nutzung VPN Zugänge Datensicherung Verlust des Smartphones und Sperren des Smartphones Passwörter SIM Karte, Smartphone Seite 32

33 Beispiel Rechenzentrum Auszug Betriebsführung und Notfall Management Ein RZ soll nach Jahren genauso wie bei der Inbetriebnahme funktionieren Maximale, konstante und gesicherte Verfügbarkeit Kein Wildwuchs im RZ Zutrittsregelung Sauberkeit, Ordnung und Struktur bleibt erhalten Strukturierter Ein- und Aufbau der IT-Systeme Migrationskonzepte für die Systeme Dokumentation im RZ und der Systeme im RZ Rollen, Aufgaben und Zuständigkeiten Seite 33

34 Fazit Vieles ist heute mit dem IT Sicherheitsgesetz noch nicht festgeschrieben Die Anforderungen an die IT Sicherheit in den Unternehmen steigt Die Prüfungen über alle Bereiche wird intensiviert werden müssen Kostet Geld und geschulte und kompetente (mehr?) Mitarbeiter Die Diskussion darüber ist noch im vollem Gange 2 Jahre für die Umsetzung kann sehr gering sein Zertifizierung nicht zwingend notwendig Seite 34

35 Vielen Dank für Ihre Aufmerksamkeit. Haben Sie noch Fragen? Seite 35