bei einem Flächennetzbetreiber

Transkript

1 VDE-Symposium Informationstechnik 2016 Gotha September 2016 Aufbau eines ISMS bei einem Flächennetzbetreiber

2 Vorstellung Ihr Ansprechpartner Heiko Rudolph Seite 2

3 Vorstellung - admeritia Seite 3

4 Vorstellung - Standardisierung Standardisierung Verbände Open Source Projekte Seite 4

5 Nutzen für ein Leittechnik-ISMS IT-Sicherheitskatalog IT-Sicherheitsgesetz BSI-KRITIS Verordnung Seite 5

6 ITSiG für EVUs Welche für Sie relevanten Gesetze ändert das IT-Sicherheitsgesetz? BSI Gesetz Grundlage für BSI-KritisV -> Definiert Unternehmen die als KRITIS im Sinne des Gesetzes gelten (Schwellwerte) -> Inkrafttreten April 2016 ITSiG ENWG 11 Artikel 1 Atomgesetz a) IT-Sicherheitskatalog für Netzbetreiber (unabhängig der BSI-KritisV) -> Veröffentlichung Aug 2015 b) IT-Sicherheitskatalog für Betreiber von Energieanlagen (sofern KRITIS) c) Meldepflicht ggü. BSI für Netz- und Anlagenbetreiber (sofern KRITIS) Seite 7 C

7 BSI KritisV Was legt die BSI-KritisV fest? BSI-KritisV Die BSI-KritisV definiert Schwellwerte für KRITIS-Anlagen, nach denen die Betreiber-Unternehmen als Kritische Infrastruktur im Sinne des Energiewirtschafts- & BSI-Gesetzes gelten. Seite 8 C

8 BSI-KritisV für EVUs Welche für Sie relevanten Gesetze beziehen sich auf die BSI-KritisV? Folgende Vorgaben gelten nur für Unternehmen die unter die BSI-KritisV fallen: BSI-KritisV ENWG 11 Artikel 1 b) IT-Sicherheitskatalog für Betreiber von Energieanlagen c) Meldepflicht ggü. BSI für Netz- und Anlagenbetreiber Seite 9 C

9 BSI-KritisV für EVU Relevante Schwellenwerte - Stromversorgung Sämtliche Ermittlungen von Schwellwerten beziehen sich auf die Versorgung von Personen im Jahr: # Anlagenkategorie Bemessungskriterium Schwellenwert 1. Stromversorgung 1.1 Stromerzeugung Erzeugungsanlage installierte Leistung in MW Dezentrale Energieerzeugungsanlage installierte Leistung in MW Speicheranlage installierte Leistung in MW Anlage von Poolanbietern installierte Leistung in MW Stromübertragung Übertragungsnetz Entnommene Arbeit in GWh/Jahr (über alle Netzebenen) Zentrale Anlagen und Systeme für den Stromhandel Handelsvolumen an der Börse in TWh/Jahr Stromverteilung Verteilernetz Entnommene Arbeit in GWh/Jahr (über alle Netzebenen) 3700 Leistung der angeschlossenen Verbrauchsstelle bzw Messstelle Einspeisung in MW 420 Seite 10

10 Meldepflicht ISMS Aufbau - Flächennetzbetreiber Meldewesen Dem BSI ist eine Kontaktstelle zu melden Binnen sechs Monaten Jederzeit erreichbar Meldung bei einer Gefährdung oder Störung Mit möglichem Ausfall oder einer Beeinträchtigung des Energieversorgungsnetzes Mit Ausfall oder einer Beeinträchtigung des Energieversorgungsnetzes Die Meldungen sind nur vom BSI und der BNetzA einsehbar Meldung von Auditergebnissen Seite 11

11 Meldewesen ISMS Aufbau - Flächennetzbetreiber Meldewesen Seite 12

12 Nutzen für ein Leittechnik-ISMS ISMS-Zertifizierung als Erfüllung der Anforderungen des IT-Sicherheitskatalogs Seite 13

13 Kernforderungen Kernforderung Aufbau ISMS Zertifizierung Seite 14

14 Überblick Projekt ISMS gem. ISO/IEC & ITSK Seite 15

15 ISMS gem. ISO/IEC & ITSK Ausgangs- / Problemlage Berücksichtigung spezifischer Umgebung & Anforderungen durch Anwendung ISO/IEC 27019:2013 Benennung eines Ansprechpartner für IT-Sicherheit (APITS) Einführung eines ISMS gem. DIN ISO 27001: ) IT- Sicherheitskatalog der BNetzA gem. EnWG 11 Abs. 1a IT- Sicherheitskatlog- Zertifizierung (ISMS gem. DIN ISO 27001: ) Seite 16

16 EnWG / IT-Sicherheitskatalog Revision Ressourcen (IT-Expertise) Lebenszyklus der ICS-Komponenten Betriebsregime 24/7/365 Rahmenbedingungen PLT Gewährleistung Errichter Seite 17

17 Probleme mit ISMS-Templates Besonderheiten - OT Modus Operandi Seite 18

18 Grundlage Leittechnik-ISMS ISMS klassisch (BK) ISMS PLT Operative Sicherheit durch technisch wirksames ISMS Seite 19

19 Umsetzung ISMS Aufbau - Flächennetzbetreiber ISMS gem. ISO/IEC & ITSK Der Zertifizierung nachgelagert! Fokus Seite 20

20 ISMS gem. ISO/IEC & ITSK Phasenweise Umsetzung Seite 21

21 Technische Gap Analyse Integriertes ISMS und technisch wirksames ISMS Seite 22

22 ISMS-Operationalisierungen Compliance oder sicherer Betrieb Aufbau ISMS Zertifizierung Operationalisierung Zertifizierung ist der Start, nicht das Ende! Seite 23

23 Problemlage ISMS Aufbau - Flächennetzbetreiber ISMS-Operationalisierungen Wie setzt man das Papierwerk in den Betrieb um? Vorgaben (ISMS) in Betrieb technisch wirksam umsetzen (operationalisieren) Seite 24

24 ISMS-Reifegrad Der Weg zur technischen Wirksamkeit Level 4 Technisch wirksames ISMS Level 1 Loses ISMS orientiertes ISMS Unzertifiziertes ISMS Ad hoc-aktivitäten Undokumentiert ungeplant Level 2 ISMS-Zertifikat Zertifiziertes ISMS Reines Papierwerk Rein reaktiv Geringe Prozessreife Hoher Degradationseffekt Level 3 Operatives ISMS Proaktives ISMS Gute Prozessreife Gute Assurance Mittlere Technical Compliance Hohe Prozessreife Sehr gute Assurance Gute Technical Compliance Schritt für Schritt! Krabbeln, laufen, sprinten! Eins nach dem Anderen! Seite 25

25 Technische Gap Analyse Technische Gap-Analysen anhand von Sicherheitstests Seite 28

26 Grundlage Leittechnik-ISMS Grundlage für die Operationalisierung Faktische technische Gegebenheiten durch Technische Gap Analyse (Security Test) Seite 29

27 Gap-Analyse ISMS Aufbau - Flächennetzbetreiber Erste Schritte Scope definieren OSSTMM- Audit Posture Review Bericht Terminplan Rollen KickOff Basic Assessment Verification Test Risk Assessment Policies & Procedures Maßnahmen-Reviews Gap- Analyse Abweichungen / Fahrplan ISMS Seite 30

28 Scope Netzplan - Netzleittechnik Besonderheiten Flächennetzbetreiber Quelle: Praxisleitfaden IT-Sicherheitskatalog von BITKOM und VKU Stand Seite 31

29 Beispiele aus Sicherheitstests Beispielhafte Auffälligkeiten aus technischen Gap-Analysen Seite 32

30 Gap Analyse (organisatorisch) ISO/IEC 27001, ISO/IEC & ISO/IEC TR 27019:2013 Implementierungsgrad nach Kapiteln Gap-Analyse Gesamt 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Control out of scope Control ist nicht anwendbar Control ist nicht implementiert Control ist implementiert, Schwachstellen identifiziert Control ist implementiert, Optimierungsbedarf vorhanden Control ist implementiert, keine Schwachstellen identifiziert Seite 33

31 Schnittstellen Kritische Schnittstellen Admin <-> PLT-Netz Fernwirkanlage <-> PLT-Netz VPN-Zugänge <-> PLT-Netz BK-Netz <-> PLT-Netz Seite 34

32 Gap Analyse (techn. & organ.) Kritische (häufigste) Sicherheitslücken Zugriffsberechtigungen Standard Logindaten / gespeicherte Passwörter Keine Zugriffsbeschränkung Software Versionsstände veraltete Firmware gravierende Sicherheitslücken vorhanden Firmware ohne Sicherheitsfunktionen (herstellerseitig) Anlagen wurden ohne Sicherheitsaspekte installiert Es gibt nur vereinzelt Härtungsmaßnahmen in Firmware Seite 36

33 Gap Analyse (techn. & organ.) Kritische (häufigste) Sicherheitslücken Fehlendes Monitoring Fehlende Verschlüsselung nicht vorhanden oder nicht wirksam (Open SSL) Unzureichende Netzwerksegmentierung interne Vektoren werden nicht als Bedrohung wahrgenommen Physische Schwachstellen fehlende Zutrittskontrolle zwischen Zonierungen bauliche Mängel bei Absicherung der IT-Infrastruktur Seite 37

34 Schwachstellen - Authorisierung Seite 38

35 Schwachstellen - Authorisierung Seite 39

36 Schwachstellen - Authorisierung Seite 40

37 Schwachstellen - Authorisierung Seite 41

38 Schwachstellen - Physisch Seite 42

39 Schwachstellen - Physisch Seite 43

40 Schwachstellen - Physisch Seite 44

41 Schwachstellen - Physisch Seite 45

42 Schwachstellen - XSS Seite 46

43 Schwachstellen - XSS Seite 47

44 Schwachstellen - XSS Seite 48

45 Schwachstellen - XSS Seite 49

46 Schwachstellen Freigabe public Seite 50

47 Schwachstellen Freigabe public Seite 51

48 Schwachstellen Freigabe public Seite 52

49 Weitere Schwachstellen Seite 53

50 Weitere Schwachstellen Seite 54

51 Weitere Schwachstellen Seite 55

52 Weitere Schwachstellen Seite 56

53 Weitere Schwachstellen Seite 57

54 Weitere Schwachstellen Seite 58

55 Schwachstellen EEG Anlagen Klartextübertragung der Passwörter Identische Zertifikate - herstellerübergreifend Seite 59

56 Schwachstellen PLT Protokolle Bspw. IEC Keine Authentication, keine Encryption Seite 60

57 Schwachstellen Fehlendes Monitoring Durchschnittliche Zeit bis zum Erkennen eines Vorfalls: 227 Tage Seite 61

58 Überblick Projekt ISMS gem. ISO/IEC & ITSK Seite 62

59 Danke Vielen Dank für Ihre Aufmerksamkeit! Seite 63

60 Meldewesen KRITIS Meldewesen als Teil des ISMS ISMS PLT- Security IT-SiG => Incident Management Seite 69