IT Sicherheit in Kritischen Infrastrukturen

Transkript

1 IT Sicherheit in Kritischen Infrastrukturen Forschungsansätze zur ganzheitlichen Risikobewertung Dipl. oec. Michael Sparenberg Institut für Internet-Sicherheit if(is) Westfälische Hochschule Gelsenkirchen

2 Kritische Infrastruktuuren Ø Begriffsdefinition KRITIS (BSI) Ø Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Ø Sektorengliederung Kritischer Infrastrukturen (BMI) Ø Energie Ø Informationstechnik und Telekommunikation Ø Transport und Verkehr Ø Gesundheit Ø Wasser Ø Ernährung Ø Finanz- und Versicherungswesen Ø Staat und Verwaltung Ø Medien und Kultur

3 Fokus Energiewirtschaft Ø Wesentliche Merkmale der Energiewirtschaft Ø Grundversorgungsbereich Ø Höchste Stabilitätsanforderungen Ø Maximaler Schutzbedarf Ø Rechtliche Rahmenbedingungen: Energiewende Ø Energiekonzept der Bundesregierung (2010), EU Klima- und Energierahmen 2030: Ø Bis 2022: alle Kernkraftwerke in Deutschland abgeschaltet Ø Bis 2050: 80% der Stromversorgung aus erneuerbaren Energien (EE) Ø Bis 2050: klimaschädliche Treibhausgase um 80 bis 95% reduziert Bochum,

4 Rahmenbedingungen Ø Implikationen Ø Reduktion grundlastfähiger Kapazitäten (Kernkraft, Kohle) Ø Höherer Anteil von Energieerzeugungsanlagen mit volatilem Output (PV, Wind) Ø Begrenzte Speichermöglichkeiten für erneuerbare Energie Ø Höherer Bedarf an Transmissionskapazitäten Ø Zunehmende Dezentralisierung der Energieerzeugung

5 Rahmenbedingungen Ø Rechtliche Rahmenbedingungen: IT-Sicherheitsgesetz Ø Einhaltung bestimmter IT-Sicherheitsstandards verankert Ø Verpflichtung privater Betreiber zur Meldung von IT- Sicherheitsvorfällen Ø Ergänzende IT-Regelungen im Umsetzungsplan KRITIS Ø Implikationen Ø Obligatorisches Risikomanagement Ø Höhere Transparenzanforderungen Ø Technische und organisatorische Anpassungen

6 Auswirkungen Ø Konsequenzen der veränderten Rahmenbedingungen Ø Höherer Mess- und Regelbedarf in Energieversorgungsnetzen Ø Teilweise Öffnung vormals geschlossener Systeme / Übertragungswege Ø Vermehrter Einsatz von IT-Komponenten in Produktionsumgebungen Ø Neuartige Angriffsvektoren und komplexere Sicherheitsrisiken Ø Schmalere Zeitfenster für Korrektureingriffe Fazit: -> Ø Höhere Anforderungen an Qualität, Umfang und Verfügbarkeit entscheidungsrelevanter Daten

7 Forschungsbereich KRITIS Ø Pilotprojekt: IT-Sicherheit in der Energiewirtschaft Ø Stadtwerke Aachen AG - STAWAG Ø Institut für Internet-Sicherheit if(is) Ø Zielvorgaben Ø Ganzheitliche Bewertung IT-spezifischer Risiken in Produktionsumgebungen der Energiewirtschaft Ø Komplementäre Ausrichtung zu ISM-Systemen Ø Proaktive Sicherheitsfeatures (Simulation, Prognose)

8 Forschungsbereich KRITIS Ø Lösungsansatz Ø Zentrale Inventarisierung der IT-Infrastruktur (Transparenzanforderungen) Ø Ganzheitliche Risikobewertung im Wirkungskontext der Einsatzumgebung Ø Kontinuierliche Bereitstellung entscheidungsrelevanter Daten Ø Aktuelles Lagebild der IT-Sicherheit

9 Features Ø IT Asset Management Ø Zentrale Datenverwaltung aller IT-Objekte Ø Strukturvisualisierung (Verbundobjekte, Komponenten, Netzwerke) Ø Modellierung technisch-organisatorischer Abhängigkeiten (Wirkungskontext) Ø Kartenansicht (Geolocation, Clustering)

10 Features Ø Risk Assessment Ø Aktuelles Sicherheits-Lagebild (Dashboard der wichtigsten Kennzahlen) Ø Analysefunktionen und Kennzahlendatenbank Ø Darstellung akuter Sicherheitsvorfälle und betroffener Objekte Ø Simulation von Schwachstellen und Störfällen

11 Features Ø Incident Handling Ø Darstellung des Handlungsbedarfs in Verbindung mit Sicherheitsvorfällen Ø Unterstützung / Priorisierung der Einsatzplanung (Workforce Management) Ø Protokollierung aller sicherheitsrelevanten Ereignisse Ø Vollständige Dokumentation der Sicherungsmaßnahmen

12 Forschungsbereich KRITIS Ø Weiterentwicklung Ø Verbesserung der Datenverfügbarkeit (Spezifikationen) Ø Datenpool zum Incident Handling (Best Practices, Guidelines) Ø Praxisgerechte Ausgestaltung der Rahmenbedingungen in KRITIS-Bereichen Ø Erfahrungsaustausch und Dialogforum für Wirtschaft und Wissenschaft

13 Kooperationsmodell Forschungsförderung und Projektpartnerschaft Ø Optionen zur Mitwirkung Ø Zugriff auf Spezifikationen industrieller Hardware-Komponenten Ø Anonymisierte Statistiken zu Sicherheitsvorfällen und Gegenmaßnahmen Ø Gemeinsame Entwicklung von Simulationen und Datenmodellen Ø Neue Lösungskonzepte und Funktionserweiterungen Ø Anwendungstransfer in vergleichbare IT-Umgebungen (Industrie 4.0) Ø Beteiligung an Projektkonsortien und Anträgen zur Forschungsförderung Ø

14 Gibt es noch Fragen? Autor: Dipl.oec. Michael Sparenberg Institut für Internet-Sicherheit if(is) Westfälische Hochschule Gelsenkirchen Vielen Dank für Ihre Aufmerksamkeit!