Kritische Infrastrukturen im Visier von Cyberkriminellen - Erfahrungen und Handlungsempfehlungen

Transkript

1 Kritische Infrastrukturen im Visier von Cyberkriminellen - Erfahrungen und Handlungsempfehlungen Silke Bildhäuser, B.Sc. Bundesamt für Sicherheit in der Informationstechnik

2 Agenda 1. Die Bedrohungslage Warum ist Cybersicherheit so wichtig? 2. Das IT-Sicherheitsgesetz Pflicht und Chance zugleich 3. Der Branchenspezifischer Sicherheitsstandard Was steht drin und welche Vorteile bietet er? Kritische Infrastrukturen im Visier von Cyberkriminellen Seite 2

3 Erfahrungen - Das Internet ist überall - Ein Großteil des realen Lebens hat sich ins Internet verlagert Die Durchdringung des Internets innerhalb der Kritischen Infrastrukturen nimmt immer weiter zu Internettechnik: komplexer interaktiver immer größerer Kostendruck Sicherheit und Qualität haben oft niedrige Priorität Kritische Infrastrukturen im Visier von Cyberkriminellen Seite 3

4 Erfahrungen - Überall lauern Gefahren - Angriffe auf IT-Systeme nehmen zu Schäden durch Störungen der IT werden immer dramatischer Kriminelle nutzen das Internet als Infrastruktur Nachrichtendienste und Militärs haben das Internet zum Schlachtfeld erklärt Kritische Infrastrukturen im Visier von Cyberkriminellen Seite 4

5 Bedrohungslage - Warum ist Cybersicherheit so wichtig? Jede 40. Website ist infiziert Werkzeuge für Cyber-Angriffe kosten nur 5 USD pro Stunde Gezielte Cyber-Spionage wird im Schnitt nach 243 Tagen entdeckt 1. Manipulierte Werbebanner verbreiten Drive-by-Exploits täglich weltweit. Allein durch den Besuch einer solchen Website kann der Rechner infiziert werden Täglich Angriffe auf die Netze des Bundes, darunter 3-5 gezielte Kritische Infrastrukturen im Visier von Cyberkriminellen Seite 5

6 Cyber-Vorfälle bei KRITIS Shamoon Computer zerstört DoS im Steuerungssystem 2012 Ausfall des Steuerungssystems für das Stromnetz in Österreich BlackEnergy 2013 Angriff auf Umspannwerke in der Ukraine APT28/Sofacy 2014 Angriff auf den Deutschen Bundestag Telekom-Router Router werden breitflächig durch ein MiraiBotnetz angegriffen Heimrouter der Telekom fallen aus 2015 Mirai IoT-Botnetz fährt erste Tbit/s-Attacke 2016 Kritische Infrastrukturen im Visier von Cyberkriminellen Seite 6

7 WannaCry - Wie ein Trojaner weltweit kritischen Infrastrukturen Schaden zufügt? - Windows- Sicherheitslücke wurde ausgenutzt Verbreitung via und/oder Netzwerk Lahmgelegte IT in britischen Krankenhäusern Beeinträchtigungen im Betrieb der deutschen Bahn Funktionsuntüchtige Tankstellen in China Quelle: Kritische Infrastrukturen im Visier von Cyberkriminellen Seite 7

8 WannaCry - Wie ein Trojaner weltweit kritischen Infrastrukturen Schaden zufügt? - Kritische Infrastrukturen im Visier von Cyberkriminellen Seite 8

9 Gegenmaßnahmen - Das IT-Sicherheitsgesetz - Kritische Infrastrukturen im Visier von Cyberkriminellen Seite 9

10 Gegenmaßnahmen - Das IT-Sicherheitsgesetz - SicherheitsSicherheits- && Risiko-Kultur Risiko-Kultur Wirksamkeit Wirksamkeit der der Maßnahmen Maßnahmen Warnungen Warnungen && Lagebilder Lagebilder Betreiber muss angemessene Maßnahmen nach Stand der Technik treffen Branchenspezifische Sicherheitsstandards Auditierungspflicht (alle 2 Jahre) Nachweis gegenüber BSI Bei Sicherheitsmängeln ggf. Einbindung Aufsichtsbehörde BSI: Erstellung/Verteilung von Warnungen & Lagebildern KRITIS-Betreiber: Meldepflicht von (erheblichen) Vorfällen KRITIS-Betreiber: hat Informationsrecht Kritische Infrastrukturen im Visier von Cyberkriminellen Seite 10

11 Das IT-Sicherheitsgesetz - Wer muss sich beim BSI registrieren Alle Betreiber Kritischer Infrastrukturen nach BSI-KritisV Öffentliche Abwasserbeseitigung (Anlagen): Kanalisation, Kläranlage, Leitzentrale Schwellenwert angeschlossene Einwohner bzw. Ausbaugröße in Einwohnerwerten Öffentliche Trinkwasserversorgung (Anlagen): Gewinnungsanlage, Aufbereitungsanlage, Wasserverteilungssystem, Leitzentrale Schwellenwert 22 Mio. m³/jahr Wasseraufkommen Alle Genehmigungsinhaber nach 6,7,9 AtG Alle Betreiber von Energieversorgungsnetzen (Strom, Gas) Kritische Infrastrukturen im Visier von Cyberkriminellen Seite 11

12 Das IT-Sicherheitsgesetz - Informations- und Meldeflüsse - Kritische Infrastrukturen im Visier von Cyberkriminellen Seite 12

13 Branchenspezifischer Sicherheitsstandard - Die Ziele/Vorteile - Den Betreibern Sicherheit in der Interpretation von 8a (1) BSIG geben ("Wann habe ich das richtige Maß erreicht?") Den Betreibern die Umsetzung von 8a (1) BSIG erleichtern ("das Rad nicht neu erfinden") Ein Mindest- Sicherheitsniveau innerhalb der Branchen schaffen Transparenz bzgl. Erwartungen schaffen (durch die Orientierungshilfe B3S) URL: blob=publicationfile Kritische Infrastrukturen im Visier von Cyberkriminellen Seite 13

14 Branchenspezifischer Sicherheitsstandard - Die Zielgruppe - Differenzierung bezüglich KRITIS: Zusätzlich zu den Basis-Maßnahmen werden die Betreiber Kritischer Infrastrukturen aufgefordert noch sogenannte K-Maßnahmen umzusetzen, um dem erhöhten Sicherheitsbedarf gerecht zu werden Kleine, mittlere und große Betreiber beider Branchen (Trinkwasserversorgung und Abwasserbeseitigung) Aktueller Stand: Eignungsfeststellung durch BSI Mitte Juni 2017 Kritische Infrastrukturen im Visier von Cyberkriminellen Seite 14

15 Branchenspezifischer Sicherheitsstandard - Wie ist er aufgebaut und was steht drin? Aufteilung in drei Dokumente: Basiert auf IT-Grundschutz des BSI, ICS-Kompendium und ISO 2700x Kritische Infrastrukturen im Visier von Cyberkriminellen Seite 15

16 Fazit Deutschland ist ein bevorzugtes Ziel für Cyber-Angriffe und e-spionage nahezu jeder Wirtschaftszweig und jedes Unternehmen ist Ziel von Cyber-Attacken, ABER: Nicht alle Angriffe werden entdeckt! Dimension der Cyber-Angriffe in Deutschland ist besorgniserregend Cybersicherheitsangriffe sind keine unvorhersehbaren Überraschungen mehr Kritische Infrastrukturen rücken immer mehr in den Fokus von Cyber-Attacken Kritische Infrastrukturen im Visier von Cyberkriminellen Seite 16

17 Handlungsempfehlungen & Ausblick Unternehmen und Behörden müssen handeln! Viele Angriffe lassen sich durch geeignete (Basis-) Präventionsmaßnahmen verhindern Jeder Betreiber sollte seine IT-Sicherheitsmaßnahmen überdenken/prüfen IT-Sicherheit muss Teil eines ganzheitlichen Risikomanagements sein Umsetzung des B3S oder anderer anerkannter Standards bei den KRITIS-Betreibern Abgestimmte Kooperation einschließlich Informationsaustausch zwischen Behörden, Wirtschaft und zuständigen Behörden (BSI) ist zwingend erforderlich Bei Fragen/Unklarheiten gerne jederzeit ans BSI wenden Kritische Infrastrukturen im Visier von Cyberkriminellen Seite 17

18 KRITIS-Büro Das KRITIS-Büro ist erste Anlaufstelle für Registrierung Kontaktstellen nach IT-SiG Auslegung der BSI-KritisV Fragen zur Umsetzung IT-SiG KRITIS-Büro Bundesamt für Sicherheit in der Informationstechnik Godesberger Allee , Bonn Telefon: +49 (0) Telefax: +49 (0) Kritische Infrastrukturen im Visier von Cyberkriminellen Seite 18

19 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Silke Bildhäuser Dreizehnmorgenweg Bonn Tel: +49 (0) Fax: +49 (0) Kritische Infrastrukturen im Visier von Cyberkriminellen Seite 19