Cyber Security im Kontext des IT-Sicherheitsgesetz. Konformität. Angemessenheit. Technologie vs. Governance?

Transkript

1 Cyber Security im Kontext des IT-Sicherheitsgesetz Konformität. Angemessenheit. Technologie vs. Governance?

2 Auf allen Kontinenten zuhause. Kennzahlen 2015 Umsatz in Mio Auslandsanteil (in %) 50,6 EBIT (in %) 5,4 Mitarbeiter (-innen) Auslandsanteil Standorte: Über Ländern 2

3 Umsatz nach Geschäftsbereichen. ICT & Business Solutions Systeme 8% 7% Industrie Service Academy 27% & Life Care 10% Mobilität 24% 24% Produkte 3

4 Die Welt von ICT & Business Solutions. Umsatz 2015: 133 Mio. Geschäftsfelder IT-Services & Cyber Security Telco Solutions & Consulting Weltweite Standorte 4

5 TÜV Rheinland i-sec. Informations- und IT-Sicherheit. Führender unabhängiger Dienstleister für Informationssicherheit in Deutschland Beratungs- und Lösungskompetenz in ganzheitlicher Informationssicherheit von der Steuerungsebene bis ins Rechenzentrum inkl. betriebsunterstützender Leistungen Exzellente Technologie-Expertise, umfassendes Branchen-Know-how, Partnerschaften mit Marktführern International zählen wir im Verbund mit unserer Schwestergesellschaft OpenSky zu den wichtigsten unabhängigen Anbietern Zertifiziert nach ISO und ISO

6 TÜV Rheinland i-sec GmbH. Fakten und Zahlen. Standorte Deutschland Köln (HQ) München Kernbranchen und Sitz unserer Kunden Gelnhausen Saarbrücken Finanzen Automobil Fachliches Kompetenzteam 15 x Sales 20 x Security Engineering 60 x Management Beratung 45 x Professional Service und Betrieb Energiewirtschaft Chemie/Pharma Telekommunikation Int. Mischkonzerne Transport/Logistik Öffentlicher Dienst Handel Deutschland Österreich Schweiz! Projekteinsatz an Tagen in Cyber Security im Kontext des IT-Sicherheitsgesetz

7 Lösungskompetenz. Informations- und IT-Sicherheit. 1 Zielsetzung 2 Steuerung 3 Konzeption 4 Betrieb 5 und Strategie und Planung und Implementierung Prüfung Businessanforderung Strategie Management der Informationssicherheit Datenschutz und Datensicherheit Sichere Architekturen und Prozesse für Netzwerke, Rechenzentren, Mobil Sicherheit im Betrieb Betrieb (MSS) und Support von IT Security Lösungen Sicherheitsaudits Zertifizierung von Prozessen und Diensten Steuerungsprozesse IT Risikomanagement nach ISO und ISMS, BCM und GRC Toolauswahl/ -einführung Anwendungssicherheit APT - Computer Security Incident Response Team (CSIRT) Abkürzungsverzeichnis ISMS = Information Security Management System BCM = Business Continuity Management GRC = Governance, Risk und Compliance APT = Advanced Persistent Threat gezielte Cyberangriffe MSS = Managed Security Services! Branchenlösungen, individuelle Konzepte, professionelle Beratung und stark in der Umsetzung Cyber Security im Kontext des IT-Sicherheitsgesetz

8 Referent. Arne Helemann Funktion: Fachgebiete: Qualifikationen: Principal Consultant - TÜV Rheinland i-sec GmbH ISMS, BCM, IT-Notfallmanagement, IT-GRC Associate member of the bci (AMBCI) Certified ISO 22301:2012 BCM Lead Auditor IT Compliance Manager - ITCM (ISACA ) Zertifizierter betrieblicher Datenschutzbeauftragter Fachkundiger und geprüfter IT-Security-Manager (UDIS) Geprüfter IT-Security-Beauftragter (TÜV, TAR-Zert) Kontakt: Arne.Helemann@i-sec.tuv.com

9 Agenda Update IT-Sicherheitsgesetz Zwischenfazit IT-Sicherheitsgesetz TÜV Rheinland Erfahrungen aus Projekten Lösungsansatz - Aufbau ISMS Praxisbeispiel vom Geschäftsprozess zur Maßnahme 6 Use Cases unserer Partner 9

10 Update. IT-Sicherheitsgesetz I/III. Adressaten und Schwerpunkte des IT-Sicherheitsgesetzes* Allg. Betreiber Kritischer Infrastrukturen Betreiber von Webangeboten Angemessene Absicherung der IT nach Stand der Technik - sofern nicht andere Spezialregelungen bestehen Überprüfung alle zwei Jahre Meldung erheblicher IT-Sicherheitsvorfälle an das BSI Erhöhte Anforderungen an techn. & org. Maßnahmen Schutz der Kundendaten & der genutzten IT-Systeme Telekommunikationsunternehmen Verpflichtung zur Warnung der Kunden, bei Missbrauch von Kundenanschlüssen Hinweispflicht der Provider an die Kunden, wie eine Beseitigung der Störungen erfolgen kann * In Kraft getreten am 25. Juli

11 Update. IT-Sicherheitsgesetz II/III. Meldepflicht Meldepflicht betrifft aktuell Betreiber von Kernkraftwerken und TK-Unternehmen, sowie KRITIS-Betreiber der Sektoren* - Energie - Informationstechnik - Telekommunikation - Ernährung - Wasser * Gem. KRITIS-Verordnung vom 03. Mai Regelungen für die Sektoren Finanzen, Transport und Verkehr sowie Gesundheit folgen im zweiten Teil der Rechtsverordnung. 11

12 Update. IT-Sicherheitsgesetz III/III. Aktueller Stand KRITIS-Verordnung (Erster Teil) ist am 03. Mai 2016 in Kraft getreten - Betroffene Sektoren: - Energie, Informationstechnik, Telekommunikation sowie Ernährung und Wasser - Ziel: Messbare und nachvollziehbare Kriterien, anhand derer Betreiber prüfen können, ob sie unter den Regelungsbereich fallen - Bestimmung des Versorgungsgrades anhand von Schwellenwerten - Regelschwellenwert von versorgten Personen Zweiter Teil der KRITIS-Verordnung wird bis Anfang 2017 erwartet - Finanzen, Transport, Verkehr und Gesundheit Es wird von insgesamt nicht mehr als Betreibern Kritischer Infrastrukturen in den regulierten sieben Sektoren ausgegangen Spezifische Regelungen für Anforderungen und Meldewege sind über Branchenverbände möglich (aktuell z.b. IT-Sicherheitskatalog der BNetzA) 12

13 Herausforderung. Stand der Technik. Stand der Technik "Stand der Technik" ist ein gängiger juristischer Begriff. Die technische Entwicklung ist schneller als die Gesetzgebung. Daher hat es sich in vielen Rechtsbereichen seit vielen Jahren bewährt, in Gesetzen auf den Stand der Technik abzustellen, statt zu versuchen, konkrete technische Anforderungen bereits im Gesetz festzulegen. Was zu einem bestimmten Zeitpunkt Stand der Technik ist, lässt sich zum Beispiel anhand existierender nationaler oder internationaler Standards wie DIN oder ISO- Standards oder anhand erfolgreich in der Praxis erprobter Vorbilder für den jeweiligen Bereich ermitteln. Da sich die notwendigen technischen Maßnahmen je nach konkreter Fallgestaltung unterscheiden können, ist es nicht möglich, den Stand der Technik allgemeingültig und abschließend zu beschreiben. Quelle: BSI, 13

14 Agenda Update IT-Sicherheitsgesetz Zwischenfazit IT-Sicherheitsgesetz TÜV Rheinland Erfahrungen aus Projekten Lösungsansatz - Aufbau ISMS Praxisbeispiel vom Geschäftsprozess zur Maßnahme 6 Use Cases unserer Partner 14

15 Zwischenfazit. IT-Sicherheitsgesetz. Zwischenfazit Der zweite Teil der KRITIS-Verordnung steht noch aus (Erwartet bis Anfang 2017) Unruhe und Verunsicherung bei Unternehmen, - ob man direkt / indirekt unter das Gesetz fällt - in Bezug auf branchenspezifische Lösungen - bezgl. der Überprüfung der Einhaltung der Vorgaben - bezgl. der Meldung von Vorfällen Aktuelle Auswirkung: Viele Unternehmen zögern mit der Umsetzung von Maßnahmen in Bezug auf IT- und Informationssicherheit Vielfach unzureichendes Verständnis für Bedarf nach IT- und Informationssicherheit - Empfinden, dass IT- und Informationssicherheit nur als Compliance-Erfüllung notwendig ist - Notwendigkeit und Mehrwerte von gesteuerter IT- und Informationssicherheit werden vielfach nicht wahrgenommen 15

16 Agenda Update IT-Sicherheitsgesetz Zwischenfazit IT-Sicherheitsgesetz TÜV Rheinland Erfahrungen aus Projekten Lösungsansatz - Aufbau ISMS Praxisbeispiel vom Geschäftsprozess zur Maßnahme 6 Use Cases unserer Partner 16

17 Erfahrungen. TÜV Rheinland. Erfahrungen / Problemstellungen Hohe Unsicherheit in Bezug auf regul. und gesetztl. Anforderungen - Probleme in der Festlegung des Anwendungsbereiches ISMS als reines Werkzeug der Compliance Nachhaltige, strategisch gesteuerte Informationssicherheit oft ein Lippenbekenntnis - Historische Aufteilung von Verantwortlichkeiten (Kompetenzgerangel) - Keine gemeinsame, Unternehmensübergreifende Strategie Zielsetzung - Unzureichende Koordination von Governance, Technik und Managementsystemen Aufbau von ISMS ohne - Wandel in Kultur und Philosophie - angemessene Ausrichtung an Unternehmenszielen und -strategie Immer noch Reduktion von Informationssicherheit auf IT-Sicherheit Notfallmanagement vielfach untergeordnetes Thema 17

18 Agenda Update IT-Sicherheitsgesetz Zwischenfazit IT-Sicherheitsgesetz TÜV Rheinland Erfahrungen aus Projekten Lösungsansatz - Aufbau ISMS Praxisbeispiel vom Geschäftsprozess zur Maßnahme 6 Use Cases unserer Partner 18

19 Lösungsansatz. Aufbau ISMS. Definition Informationssicherheitsmanagementsystem (ISMS) Ein ISMS sichert die Wahrung der - Vertraulichkeit, - Integrität - und Verfügbarkeit - (Authentizität als zusätzliches Sicherheitsziel, gem. IT-Sicherheitsgesetz) von Informationen unter Anwendung eines Risikomanagementprozesses. Ein ISMS ist als Basis für eine gesteuerte Umsetzung der Anforderungen des IT- Sicherheitsgesetz zu sehen Das ISMS ist integraler Teil der Abläufe einer Organisation Durch das ISMS werden techn. und org. Maßnahmen risikoorientiert gesteuert Ein gutes ISMS spiegelt einen ganzheitlichen Ansatz mit max. Nutzen wider 19

20 Kooperationspartner Aufsichtsbehörden Angemessenheit Reputation Wirtschaftlichkeit Dienstleister Anforderungen. Nur IT-Sicherheitsgesetz? Outsourcing ISO Firmenkultur Notfallfähigkeit IT-Sicherheit Risikomanagement Wirtschaftsprüfer Branchenstandards BSI IT-Grundschutz Kunden Lieferanten Risikoorientierung Supply Chain Betriebssicherheit Geschäftsanforderungen Gesetzliche Anforderungen Interne Regularien 20

21 Informationssicherheit. Definition. Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen 1 Informationssicherheit beinhaltet IT-Sicherheit als Leistungsdomäne Informationssicherheit berücksichtigt zusätzlich weitere Themen, z.b. - Strategie, Compliance, Prozesse - Personal Sicherheit, Physische Sicherheit - Business Continuity Management - Risikomanagement - Techn. und org. Maßnahmen Fokus auf Schutzbedarf der Informationen - Vertraulichkeit - Verfügbarkeit - Integrität - Authentizität 1 (ISO/IEC 27001), ggf. Ergänzung der Authentizität gem. IT-Sicherheitsgesetz 21

22 Management der Informationssicherheit. Ein Lösungsansatz. Strategische Ausrichtung Informationssicherheits-Managementsystem (ISMS) Interaktion mit bestehenden Managementsystemen (z.b. QMS, Riskmgmt) Ausrichtung an Unternehmenszielen und -strategie Integration Top-Level Management Anpassung an Firmenkultur und -philosophie Organisatorische und betriebliche Maßnahmen ISMS Prozesse (z.b. Riskmanagement, Management Reviews, Metriken) Betriebsprozesse (standardisieren, dokumentieren) Verfahrens- und Arbeitsanweisungen Sicherheitsbewusstsein schaffen Awareness Technische Maßnahmen Netzwerk Clients Server Gebäudesicherheit! Zielsetzung: GANZHEITLICHE LÖSUNG. Steuerung durch Top-Level Management. 22

23 Ganzheitlicher Ansatz. Der Weg zum Ziel. Organisation Politik Umweltfaktoren IKS HR Governance ISO27001 Branchen standards ISO31000 COSO Gesellschaft BCM RMS ISMS DS CRM Risk Compliance CobiT IT-SiG BS25999 IT-Grundschutz Mensch Information Prozesse Ziele Zeit Technik Wertschöpfung 23

24 Informationssicherheit. Erfolgsfaktoren Top-Level Management Compliance Interaktion Governance Wandel Mind Change Informationssicherheit als Aufgabe des Top-Level Management. Strategische Einbindung. 1 Kenntnis der Anforderungen an das ISMS (Gesetzte, Regularien, Verträge, Erwartungen) 2 Interaktion mit bestehenden Managementsystemen und zwischen Geschäftsbereichen 3 Übergeordnete Koordination und Steuerung von Maßnahmen und Aktivitäten 4 Wandel bestehender Strukturen (org. und kulturell) 5 Ermutigung aller Mitarbeiter zu offenem, risikoorientierten Verhalten 6 24

25 Ein Beispiel. IS Management durch ein ISMS. Organisation ISMS Management Strategien, Planungen, Visionen Management Commitment Bereich Organisation Prozesse, Rollen, Strukturen Security Forum, Policies Fachbereiche Verfahren, Lösungen Technische/Organisatorische Maßnahmen Informationstechnik Prozesse, Kommunikation, Daten Technische/Organisatorische Maßnahmen Infrastruktur-Technik Gebäude, Infrastruktur Technische Maßnahmen! Ca. 80% der Maßnahmen bei der Einführung eines ISMS sind organisatorischer Art! Dienstleistung ISMS-Forderungen Betriebliche Anforderungen 25

26 Agenda Update IT-Sicherheitsgesetz Zwischenfazit IT-Sicherheitsgesetz TÜV Rheinland Erfahrungen aus Projekten Lösungsansatz - Aufbau ISMS Praxisbeispiel vom Geschäftsprozess zur Maßnahme 6 Use Cases unserer Partner 26

27 Praxisbeispiel. Kunde im Energiesektor I/V. Analyse Tätigkeitsfelder. Anforderungen an ein ISMS. 27

28 Praxisbeispiel. Kunde im Energiesektor II/V. 1. Detaillierung. Analyse relevanter Prozesse / Bereiche. 28

29 Praxisbeispiel. Kunde im Energiesektor III/V. 2. Detaillierung. Identifikation Informationen / Systeme. 29

30 Praxisbeispiel. Kunde im Energiesektor IV/V. 3. Detaillierung. Erstellung Übersicht über alle Ebenen. 30

31 Praxisbeispiel. Ableitung von Maßnahmen. Ableitung von techn. und org. Maßnahmen auf Basis von: Internen und externen Anforderungen - Z.B. (Konzern) Richtlinien, Kunden, Partner, Prüfer Vertragl. und regulativen Vorgaben - Z.B. Gesetze, Verträge, Verordnungen Risikomanagement - Z.B. ISMS, Corporate Risk-Management, IT-Risk-Management, BCM, IKS Incident Management - Z.B. Behandelte Vorfälle, identifizierte Schwachstellen Best-Practices - Z.B. Themen, die immer relevant sind und keiner dedizierten Anforderung bedürfen! Viele verschiedene Quellen mit Anforderungen an Maßnahmen Überschneidungen und Widersprüche sind nicht auszuschließen 31

32 Maßnahmenauswahl. Der Weg zum Erfolg. Ganzheitliches Maßnahmenmanagement Identifikation von Handlungsbedarf Definition von Verantwortlichkeiten Abstimmung mit relevanten Bereichen (tech. & org.) Analyse rechtlicher Rahmenbedingungen Definition von Zielen und Bewertungskriterien (Lastenheft) Marktanalyse, inkl. Bewertung gem. Bewertungskritereien Konzeption, inkl. Prozess und Dokumentation Durchführung Proof of Concept Ggf. gesteuerter Roll-Out Fortlaufende Pflege und Überwachung der Maßnahmen / Aktivitäten Optional: - Messung der Effektivität der Maßnahmen / Aktivitäten - Anpassung oder Deaktivierung der Maßnahmen / Aktivitäten 32

33 Agenda Update IT-Sicherheitsgesetz Zwischenfazit IT-Sicherheitsgesetz TÜV Rheinland Erfahrungen aus Projekten Lösungsansatz - Aufbau ISMS Praxisbeispiel vom Geschäftsprozess zur Maßnahme 6 Use Cases unserer Partner 33

34 Projekterfahrung. Handlungsbedarf. Top Themen aus aktuellen Projekten Identifizierung interner und externer Angriffe / Angreifer Partner vor Ort. - Verhaltensorientiert - Korrelation von Sensoren-Daten Revisionssichere Kontrolle und Monitoring - IT-Systeme, Applikationen & Aktivitäten Log Management - Zentral und plattformübergreifend Verschlüsselung & Authentifizierung - On Premise & Cloud-Umgebungen Automation des ISMS (tech. / org.) - GRC-Tools - Qualifiziertes Reporting (techn. Systeme) Vulnerability management Incident Management 34

35 Fragen? Arne Helemann Principal Consultant, Information Security and Application Services TÜV Rheinland i-sec GmbH Am Grauen Stein Köln Tel: Fax:

36 VIELEN DANK FÜR IHRE AUFMERKSAMKEIT! Regelmäßig aktuelle Informationen im Newsletter und unter 36

37 Auf allen Kontinenten zuhause. Kennzahlen 2015 Umsatz in Mio Auslandsanteil (in %) 50,6 EBIT (in %) 5,4 Mitarbeiter (-innen) Auslandsanteil Standorte: Über Ländern 37

38 Umsatz nach Geschäftsbereichen. ICT & Business Solutions Systeme 8% 7% Industrie Service Academy 27% & Life Care 10% Mobilität 24% 24% Produkte 38

39 Die Welt von ICT & Business Solutions. Umsatz 2015: 133 Mio. Geschäftsfelder IT-Services & Cyber Security Telco Solutions & Consulting Weltweite Standorte 39

40 TÜV Rheinland i-sec. Informations- und IT-Sicherheit. Führender unabhängiger Dienstleister für Informationssicherheit in Deutschland Beratungs- und Lösungskompetenz in ganzheitlicher Informationssicherheit von der Steuerungsebene bis ins Rechenzentrum inkl. betriebsunterstützender Leistungen Exzellente Technologie-Expertise, umfassendes Branchen-Know-how, Partnerschaften mit Marktführern International zählen wir im Verbund mit unserer Schwestergesellschaft OpenSky zu den wichtigsten unabhängigen Anbietern Zertifiziert nach ISO und ISO

41 TÜV Rheinland i-sec GmbH. Fakten und Zahlen. Standorte Deutschland Köln (HQ) München Kernbranchen und Sitz unserer Kunden Gelnhausen Saarbrücken Finanzen Automobil Fachliches Kompetenzteam 15 x Sales 20 x Security Engineering 60 x Management Beratung 45 x Professional Service und Betrieb Energiewirtschaft Chemie/Pharma Telekommunikation Int. Mischkonzerne Transport/Logistik Öffentlicher Dienst Handel Deutschland Österreich Schweiz! Projekteinsatz an Tagen in Cyber Security im Kontext des IT-Sicherheitsgesetz

42 Lösungskompetenz. Informations- und IT-Sicherheit. 1 Zielsetzung 2 Steuerung 3 Konzeption 4 Betrieb 5 und Strategie und Planung und Implementierung Prüfung Businessanforderung Strategie Management der Informationssicherheit Datenschutz und Datensicherheit Sichere Architekturen und Prozesse für Netzwerke, Rechenzentren, Mobil Sicherheit im Betrieb Betrieb (MSS) und Support von IT Security Lösungen Sicherheitsaudits Zertifizierung von Prozessen und Diensten Steuerungsprozesse IT Risikomanagement nach ISO und ISMS, BCM und GRC Toolauswahl/ -einführung Anwendungssicherheit APT - Computer Security Incident Response Team (CSIRT) Abkürzungsverzeichnis ISMS = Information Security Management System BCM = Business Continuity Management GRC = Governance, Risk und Compliance APT = Advanced Persistent Threat gezielte Cyberangriffe MSS = Managed Security Services! Branchenlösungen, individuelle Konzepte, professionelle Beratung und stark in der Umsetzung Cyber Security im Kontext des IT-Sicherheitsgesetz