Kritische Infrastrukturen, Cybersicherheit: gestern, heute, morgen!

Transkript

1 Kritische Infrastrukturen, Cybersicherheit: gestern, heute, morgen! Informationsveranstaltung: IT-Aufsicht bei Banken 29. Oktober 2013 Dr. Jens Gampe

2 Agenda Einführung Nationaler Plan zum Schutz Kritischer IT-Infrastrukturen EPSKI-Richtlinie Cybersicherheitsstrategie Entwurf eines IT-Sicherheitsgesetzes NIS-Richtlinienentwurf UP Kritis /Allianz für Cybersicherheit BA 58 - Informationsveranstaltung: IT-Aufsicht bei Banken Seite 2

3 Begriffsbestimmung Cyber-Sicherheit erweitert das Aktionsfeld der klassischen IT- Sicherheit auf den gesamten Cyber-Raum. Dieser umfasst sämtliche mit dem Internet und vergleichbaren Netzen verbundene Informationstechnik und schließt darauf basierende Kommunikation, Anwendungen, Prozesse und verarbeitete Informationen mit ein. Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. BA 58 - Informationsveranstaltung: IT-Aufsicht bei Banken Seite 3

4 Finanzsektor = Kritische Infrastruktur umfasst Banken, Versicherungen, Börsen, Finanzdienstleister Basis für das Funktionieren der Wirtschaftskreisläufe und für die Stabilität von Staat und Gesellschaft als Vertrauensträger in der Wirtschaft nimmt er eine Schlüsselstellung in der wirtschaftlichen, sozialen und damit auch inneren Sicherheit ein ist in außerordentlich hohem Maße abhängig von der Zuverlässigkeit anderer Sektoren IKT Hardware, Software, Provider, Energie Strom, Diesel, Transport Bargeldversorgung BA 58 - Informationsveranstaltung: IT-Aufsicht bei Banken Seite 4

5 Warum IT-Aufsicht? IT ist kein Bankgeschäft - aber kein Bankgeschäft funktioniert gestern heute ohne IT BA 58 - Informationsveranstaltung: IT-Aufsicht bei Banken Seite 5

6 Warum IT-Aufsicht? Generalermächtigung ( 6 Abs. 2 KWG) Die Bundesanstalt hat Missständen im Kredit- und Finanzdienstleistungswesen entgegenzuwirken, welche die Sicherheit der den Instituten anvertrauten Vermögenswerte gefährden, die ordnungsmäßige Durchführung der Bankgeschäfte oder Finanzdienstleistungen beeinträchtigen (hier IT-Focus) oder erhebliche Nachteile für die Gesamtwirtschaft herbeiführen können. BA 58 - Informationsveranstaltung: IT-Aufsicht bei Banken Seite 6

7 Chronologie EPSKI-Richtlinie NIS-Richtlinienentwurf Nationaler Plan zum Schutz der Informationsinfrastrukturen (NPSI) Cyber-Sicherheitsstrategie für Deutschland UP Kritis Allianz für Cybersicherheit Fortschreibung UP Kritis Bundes- Sonderlage IT Lükex 2011 IT-Sicherheit in Deutschland Eltville BA 58 - Informationsveranstaltung: IT-Aufsicht bei Banken Seite 7

8 Nationaler Plan zum Schutz der Informationsinfrastrukturen (NPSI, 2005) 2005: Beschluss des Bundeskabinettes / KRITIS-Strategie am von der Bundesregierung beschlossen Schutz Kritischer Infrastrukturen hat eine hohe Bedeutung für die öffentliche Sicherheit in Deutschland Kritische Infrastrukturen sind die Lebensadern unserer Gesellschaft z.b. Energie, Telekommunikation, Finanzsektor circa 80 % der Einrichtungen Kritischer Infrastrukturen ausschließlich von privaten bzw. privatisierten Unternehmen betrieben diese sind verantwortlich für Sicherheit und Zuverlässigkeit Folgen eines Ausfalls sind umso größer, je komplexer und je stärker vernetzt die Systeme untereinander sind Dreiklang von Prävention, Reaktion und Nachhaltigkeit BA 58 - Informationsveranstaltung: IT-Aufsicht bei Banken Seite 8

9 Europäisches Programm für den Schutz kritischer Infrastrukturen (12/2008) Juni 2004 Europäischer Rat beauftragte die Kommission mit der Ausarbeitung einer umfassenden Strategie für den Schutz kritischer Infrastrukturen Ziel des EPSKI war die Verbesserung des Schutzes Kritischer Infrastrukturen in der EU Terroristische Handlungen und sonstige Straftaten sowie Natur- und sonstige Katastrophen Infrastrukturen, die für die Gemeinschaft von größter Bedeutung sind und deren (Zer-)Störung Auswirkungen auf zwei oder mehr Mitgliedstaaten oder auf einen anderen Mitgliedstaat, als den, in welchem sie sich befinden, hätte. BA 58 - Informationsveranstaltung: IT-Aufsicht bei Banken Seite 9

10 EPSKI-Richtlinie (2008) RICHTLINIE 2008/114/EG DES RATES ( ) 21 Erwägungsgründe / 14 Artikel; u.a.: Ziel Maßnahmen: Verbesserung des Schutzes von EKI durch Entwicklung gemeinsamer Methoden für die Ermittlung und Klassifizierung von Risiken, Bedrohungen und Schwachstellen, die in Bezug auf Infrastrukturanlagen bestehen Austausch von Informationen über EKI sollte in einem Klima des Vertrauens und der Sicherheit erfolgen Bereiche Verkehr und Energie (derzeit eingefroren ) BA 58 - Informationsveranstaltung: IT-Aufsicht bei Banken Seite 10

11 Cyber-Sicherheitsstrategie für Deutschland (2011) Im Februar 2011 vom Bundeskabinett beschlossen Ziel: Cyber-Sicherheit auf einem der Bedeutung und der Schutzwürdigkeit der vernetzen Informationsinfrastrukturen angemessenen Niveau zu gewährleisten, ohne die Chancen und den Nutzen des Cyber-Raums zu beeinträchtigen setzt vorrangig auf präventive und reaktive Schutzmaßnahmen erfordert eng verzahntes Vorgehen aller Akteure in Staat, Wirtschaft und Forschung BA 58 - Informationsveranstaltung: IT-Aufsicht bei Banken Seite 11

12 Cyber-Sicherheitsstrategie für Deutschland Umsetzung durch: Stärkung der IT-Sicherheit in der öffentlichen Verwaltung (UP Bund), Einsatz verlässlicher und vertrauenswürdiger Informationstechnologie, wirksame Kriminalitätsbekämpfung auch im Cyber-Raum, effektives Zusammenwirken für Cyber-Sicherheit in Europa und weltweit BA 58 - Informationsveranstaltung: IT-Aufsicht bei Banken Seite 12

13 Cyber-Sicherheitsstrategie für Deutschland Gremien: CyberSicherheitsrat (Betrachtung der präventiven Instrumente und der übergreifenden Politikansätze für Cyber-Sicherheit auf einer politisch-strategischen Ebene zwischen Staat und Wirtschaft) Mitglieder: BMI, BMF, BMJ, BMWi, BMBF, BMVg, AA, BKAmt Vertreter der Länder Baden-Württemberg und Hessen Vertreter von BDI, BITKOM und DIHK sowie des Übertragungsnetzbetreibers Amprion (assoziiert) anlassbezogen Wissenschaftsvertreter BA 58 - Informationsveranstaltung: IT-Aufsicht bei Banken Seite 13

14 Cyber-Sicherheitsstrategie für Deutschland Gremien: Nationales Cyber-Abwehrzentrum (Optimierung der operativen Zusammenarbeit der relevanten staatlichen Stellen und bessere Koordinierung der Schutz- und Abwehrmaßnahmen gegen IT-Vorfälle) Zeitraum April 2011 bis März 2013: rund 900 nationale und internationale IT-Sicherheitsvorfälle bewertet insb. kriminell motivierte Gewinnerzielungsabsicht und Hacktivismus BA 58 - Informationsveranstaltung: IT-Aufsicht bei Banken Seite 14

15 Cyber-Bedrohung für deutsche Unternehmen? Befragung unter 305 deutschen Unternehmen mit mehr als 100 Mitarbeitern BA 58 - Informationsveranstaltung: IT-Aufsicht bei Banken Seite 15

16 NIS-Richtlinienentwurf (COM (2013) 48 ) Ziel: Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit (NIS) in der EU festlegen. Schaffung eines Kooperationsmechanismus zwischen den Mitgliedstaaten Festlegung von Sicherheitsvorschriften für Marktteilnehmer und öffentliche Verwaltungen Mindestharmonisierung Viele Anforderungen richten sich an die Mitgliedsstaaten selbst derzeit Konsultationsphase abgeschlossen; Parlamentsbefassung BA 58 - Informationsveranstaltung: IT-Aufsicht bei Banken Seite 16

17 Entwurf eines IT-Sicherheitsgesetzes 1. Pflicht zur Erfüllung von Mindestanforderungen an IT-Sicherheit für Betreiber kritischer Infrastrukturen 2. Pflicht zur Meldung erheblicher IT-Sicherheitsvorfälle für Betreiber kritischer Infrastrukturen 3. Pflicht zur Erfüllung von Mindestanforderungen an IT-Sicherheit für Telekommunikationsanbieter 4. Pflicht zur Meldung erheblicher IT-Sicherheitsvorfälle für Telekommunikationsanbieter 5. Verpflichtung der Telekommunikationsanbieter zur Information der Nutzer über Schadprogramme und zur Bereitstellung technischer Hilfsmittel für ihre Erkennung und Beseitigung 6. Pflicht zur Erfüllung von Mindestanforderungen an IT-Sicherheit für Telemediendiensteanbieter 7. Jährliche Berichtspflicht des BSI 8. Aufgabe und Befugnis des BSI zur Untersuchung von Hard- und Softwarekomponenten zur Förderung der IT-Sicherheit des Bundes und der Kritischen Infrastrukturen und Befugnis zur Veröffentlichung der hierbei erzielten Ergebnisse BA 58 - Informationsveranstaltung: IT-Aufsicht bei Banken Seite 17

18 Entwurf eines IT-Sicherheitsgesetzes BSI-Gesetz: neuer 8a 1. Betreiber kritischer Infrastrukturen sind verpflichtet, binnen zwei Jahren nach Inkrafttreten der Rechtsverordnung angemessene Vorkehrungen zum Schutz kritischer Infrastrukturen umzusetzen. Dabei ist der Stand der Technik zu berücksichtigen. 2. Betreiber kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards erarbeiten. 3. Durchführung von Sicherheitsaudits mindestens alle zwei Jahre durch anerkannte Auditoren. 4. Übermittlung einer Aufstellung der durchgeführten Sicherheitsaudits einschließlich der aufgedeckten Sicherheitsmängel an das BSI mindestens alle zwei Jahre. Soweit aus oder auf Grund von Rechtsvorschriften des Bundes weitergehende Anforderungen an die informationstechnischen Systeme, Komponenten oder Prozesse kritischer Infrastrukturen anzuwenden sind, finden die Absätze 1 bis 4 keine Anwendung! BA 58 - Informationsveranstaltung: IT-Aufsicht bei Banken Seite 18

19 Entwurf eines IT-Sicherheitsgesetzes BSI-Gesetz: neuer 8a 1. BSI ist zentrale Meldestelle für Betreiber von kritischer IKT 2. Das Bundesamt hat zur Wahrnehmung dieser Aufgabe 1. zu sammeln und auszuwerten, 2. potentielle Auswirkungen auf die Verfügbarkeit zu analysieren, 3. das Lagebild kontinuierlich fortzuschreiben und 4. die Betreiber kritischer Infrastrukturen und die zuständigen Aufsichtsbehörden unverzüglich bzgl. 1 bis 3 zu unterrichten. 3. Benennung von Warn- und Alarmierungskontakten binnen eines Jahres nach Inkrafttreten der Rechtsverordnung durch die Betreiber. 4. Betreiber haben über die Warn- und Alarmierungskontakte schwerwiegende Beeinträchtigungen unverzüglich an das BSI zu melden. Soweit aus oder auf Grund von Rechtsvorschriften des Bundes bereits Anforderungen im Sinne der Absätze 3 und 4 bestehen, finden die Absätze 3 und 4 keine Anwendung. Meldungen zu erheblichen IT-Sicherheitsvorfällen im Sinne von Absatz 4 sind unverzüglich an das Bundesamt weiterzuleiten. BA 58 - Informationsveranstaltung: IT-Aufsicht bei Banken Seite 19

20 UP Kritis (seit 2005) Der Umsetzungsplan KRITIS (UP KRITIS) wurde erstellt, um die im "Nationalen Plan zum Schutz der Informationsinfrastrukturen (NPSI)" vorgestellten Ziele "Prävention, Reaktion und Nachhaltigkeit" mittels konkreter Maßnahmen und Empfehlungen für den Bereich der Kritischen Infrastrukturen auszugestalten. BA 58 - Informationsveranstaltung: IT-Aufsicht bei Banken Seite 20

21 UP Kritis Ziel des UP KRITIS: die Versorgung mit Dienstleistungen Kritischer Infrastrukturen in Deutschland aufrechtzuerhalten. Maßnahmen: Förderung der Robustheit von IKT-Komponenten in kritischen Prozessen Austausch über aktuelle Vorkommnisse Gemeinsame Einschätzung und Bewertung der Cyber-Sicherheitslage Erarbeitung gemeinsamer Dokumente und Positionen Auf- und Ausbau von Krisenmanagementstrukturen Koordinierte Krisenreaktion und -bewältigung Durchführung von Notfall- und Krisenübungen Gemeinsames Handeln gegenüber Dritten Teilnehmer: ca. 40 Unternehmen/Verbände aus Kritis-Sektoren BA 58 - Informationsveranstaltung: IT-Aufsicht bei Banken Seite 21

22 UP Kritis Struktur 2006: Plenum als übergeordnete Vollversammlung AG 1: Notfall- und Krisenübungen AG 2: Krisenreaktion und bewältigung AG 3: Aufrechterhaltung kritischer Infrastrukturdienstleistungen AG 4: Nationale und internationale Zusammenarbeit BA 58 - Informationsveranstaltung: IT-Aufsicht bei Banken Seite 22

23 UP Kritis AG 1 AG 2 Plenum BA 58 - Informationsveranstaltung: IT-Aufsicht bei Banken Seite 23

24 UP Kritis Neue Struktur (2013): BAK Banken in 08/2013 gegründet IT/Cyber-Sicherheit (Vernetzung, vertrauensvoller Informationsaustausch und Entwicklung gemeinsamer Positionen und Dokumente (Rahmenwerke)) TAK Fortschreibung (des UP Kritis) TAK Kritis-Regulierung (Regulierungsvorhaben begleiten) TAK Übung Eltville 2013 (beendet) TAK Operativer Informationsaustausch (Info-Strukturen verbessern) BA 58 - Informationsveranstaltung: IT-Aufsicht bei Banken Seite 24

25 Allianz für Cybersicherheit (2012) ist eine Initiative des BSI (in Zusammenarbeit mit BITKOM gegründet) Ziel: aktuelle und valide Informationen flächendeckend bereitzustellen derzeit mehr als 340 teilnehmende Institutionen, über 40 aktive Partner und mehr als 25 Multiplikatoren (Stand 09/2013) BA 58 - Informationsveranstaltung: IT-Aufsicht bei Banken Seite 25

26 Zusammenfassung gute IT-Infrastruktur kostet Geld schlechte IT-Infrastruktur kostet mehr Geld + Reputation verantwortlich für die (ausgelagerte) IKT-Infrastruktur einer Bank ist stets die Geschäftsleitung ( 25a KWG) es gibt keine 100 %ige Cybersicherheit BA 58 - Informationsveranstaltung: IT-Aufsicht bei Banken Seite 26

27 Danke für Ihre Aufmerksamkeit! Fragen? Kontakt: Dr. Jens Gampe Bundesanstalt für Finanzdienstleistungsaufsicht Telefon: 0228/ BA 58 - Informationsveranstaltung: IT-Aufsicht bei Banken Seite 27