IT-Grundschutz-Profile:

Größe: px

Ab Seite anzeigen:

Download "IT-Grundschutz-Profile:"

Pia Hoch
vor 6 Jahren
Abrufe

1 it-sa, IT-Grundschutz-Tag IT-Grundschutz-Profile: IT-Security für kleine Unternehmen machbar machen

2 Vorstellung Ihre Ansprechpartnerin Sarah Fluchs Seite 2

3 Agenda 1. Problemstellung 2. IT-Grundschutz-Pilotprofil 3. Fazit & Ausblick Seite 3

4 Agenda 1. Problemstellung 2. IT-Grundschutz-Pilotprofil 3. Fazit & Ausblick Seite 4

5 Problemstellung Anteil KMU (<500 Mitarbeiter), die eine Erhöhung der Cyber-Bedrohungslage feststellen: 66% sich bei der ISMS-Zertifizierung nicht gut aufgestellt sehen: 2016: 57% 2015: 72% höchstens 3 IT-Sicherheits-Fachkräfte beschäftigen: 70% Quelle: PwC (2017): Im Visier der Cybergangster. So gefährdet ist die Informationssicherheit im deutschen Mittelstand Seite 5

6 Problemstellung Wie wird IT-Security für KMU machbar? Ein machbares Konzept erfordert vom Unternehmen 1. Möglichst wenig Security-Fachkenntnis 2. Möglichst wenig Zeitaufwand Seite 6

7 Quelle: BSI IT-Grundschutz-Profile Problemstellung IT-Grundschutz für KMU machbar? 1. Möglichst wenig Security-Fachkenntnis: Maßnahmenvorgabe nach dem Baukastenprinzip In der Regel keine Risikoanalyse notwendig Seite 7

8 Quelle: BSI IT-Grundschutz-Profile Problemstellung IT-Grundschutz für KMU machbar? 1. Möglichst wenig Security-Fachkenntnis: Maßnahmenvorgabe nach dem Baukastenprinzip In der Regel keine Risikoanalyse notwendig Aber: IT-Grundschutz-Modellierung setzt Dokumentation voraus: Asset List Netzplan Seite 8

9 Problemstellung Wie wird IT-Security für KMU machbar? Ein machbares Konzept erfordert vom Unternehmen 1. Möglichst wenig Security-Fachkenntnis 2. Möglichst wenig Zeitaufwand 3. Möglichst wenig bereits vorhandene Dokumentation Seite 9

10 Problemstellung IT-Grundschutz für KMU machbar? 2. Möglichst wenig Zeitaufwand: Einfinden in die IT-Grundschutz-Methodik Modellieren der eigenen IT-Infrastruktur Quelle: BSI (2016): Standard Seite 10 Quelle: BSI (2017): Struktur der Modernisierung

11 Problemstellung Idee der IT-Grundschutz-Profile Quelle: BSI 1. Gruppe ähnlicher Unternehmen 2. Referenzunternehmen 3. Profil = IT-Grundschutz angewendet auf das Referenzunternehmen Seite 11

12 Problemstellung IT Grundschutz für KMU machbar? 2. Möglichst wenig Zeitaufwand: Reduziert durch IT-Grundschutz-Profile Quelle: BSI Seite 12

13 Agenda 1. Problemstellung 2. IT-Grundschutz-Pilotprofil 3. Fazit & Ausblick Seite 13

14 Pilotprofil Ein Profil, zwei Ziele IT-Grundschutz- Profil Als Profil für die Wasserwirtschaft Als Pilotprofil In Zusammenarbeit mit der Wasser-/ Abwasserbranche (B3S W/A) Vorlage für anderen Branchen Seite 14

15 Erinnerung: Problemstellung Wie wird IT-Security für KMU machbar? Ein machbares Konzept erfordert vom Unternehmen 1. Möglichst wenig Security-Fachkenntnis 2. Möglichst wenig Zeitaufwand 3. Möglichst wenig bereits vorhandene Dokumentation Ziel: Profil muss Dokumentation schaffen Seite 15

Pilotprofil Profil schafft Dokumentation: Zielobjekt-Maßnahmen- Tabelle (Asset List) Netzplan Leitstand HMI Engineering-WS Historian Web Server Control Server WAN VPN Modem Router FW VPN

16 Pilotprofil Profil schafft Dokumentation: Zielobjekt-Maßnahmen- Tabelle (Asset List) Netzplan Leitstand HMI Engineering-WS Historian Web Server Control Server WAN VPN Modem Router FW VPN Modem Router FW Office-IT- Leitstand Office-IT- Externe HMI Engineering-WS Historian Web Server Control Server Verteilte SPS Feldgeräte Mobilgerät Lokale SPS Feldgeräte Seite 16

17 Pilotprofil Profil schafft Dokumentation = Profil gibt Standardarchitektur vor? Leitstand HMI Engineering-WS Historian Web Server Control Server WAN VPN Modem Router FW VPN Modem Router FW Office-IT- Leitstand Office-IT- Externe HMI Engineering-WS Historian Web Server Control Server? Verteilte SPS Feldgeräte Mobilgerät Lokale SPS Feldgeräte Seite 17

18 Pilotprofil Profil schafft Dokumentation in Interaktion mit dem Anwender: Leitstand HMI Engineering-WS Historian Web Server Control Server WAN VPN Modem Router FW VPN Modem Router FW Office-IT- Leitstand Office-IT- Externe HMI Engineering-WS Historian Web Server Control Server Intuitiv?! Verteilte SPS Mobilgerät Lokale SPS Feldgeräte Feldgeräte 1. Standardarchitektur als Startpunkt 2. Anpassung durch Profilanwender Seite 18

19 Pilotprofil Startarchitektur Wasserwirtschaft Leitstand Verteilt: Kanalnetz, Rohrnetz HMI Engineering-WS Historian Web Server Control Server WAN VPN Modem Router FW VPN Modem Router FW Leitstand Office-IT- Externe HMI Engineering-WS Historian Konzentriert: Kläranlage, Wasserwerk Office-IT- Web Server Control Server Verteilte SPS Mobilgerät Lokale SPS Feldgeräte Feldgeräte Seite 19

20 Pilotprofil Anwendungsfälle: Intuitive Beschreibung von Abweichungen Anwendungsfallgruppen: AR (Architektur) NM (Netzmanagement) UA (Benutzerzugriff) PA (Programmzugriff) PLC (SPS-Programmierung und Wartung) Anwendungsfälle (Beispiel): AR1: Dediziertes ICS-Netz AR2: Gemeinsames WAN AR3: Gemeinsames LAN Seite 20

21 Pilotprofil Anwendungsfälle: Intuitive Beschreibung von Abweichungen Anwendungsfallgruppen: AR (Architektur) NM (Netzmanagement) UA (Benutzerzugriff) PA (Programmzugriff) PLC (SPS-Programmierung und Wartung) = 5 Unterprofile Seite 21

22 Pilotprofil Beispiel: Zielobjektliste im Unterprofil AR Seite 22

23 Pilotprofil Zielobjekt-Maßnahmen-Tabelle befüllen: aus Zielobjektliste Seite 23

24 Pilotprofil Beispiel: Anwendungsfälle im Unterprofil AR AR1: Dediziertes ICS-Netz HMI Engineering-WS Historian Control Server Web Server VPN Modem Router Firewall WAN VPN Modem Router Firewall HMI Engineering-WS Historian Control Server Web Server Verteilte SPS Feldgeräte Lokale SPS Feldgeräte Seite 24

25 Pilotprofil Beispiel: Anwendungsfälle im Unterprofil AR AR2: Gemeinsames WAN HMI Engineering-WS Historian Control Server Web Server VPN Modem Router Firewall WAN Office-IT- VPN Modem Router Firewall Office-IT- HMI Engineering-WS Historian Control Server Web Server Verteilte SPS Feldgeräte Lokale SPS Feldgeräte Seite 25

26 Pilotprofil Beispiel: Anwendungsfälle im Unterprofil AR AR3: Gemeinsames LAN HMI Engineering-WS Historian Control Server Web Server Office-IT- VPN Modem Router Firewall WAN VPN Modem Router Firewall Office-IT- HMI Engineering-WS Historian Control Server Web Server Verteilte SPS Lokale SPS Feldgeräte Feldgeräte Seite 26

27 Pilotprofil Zielobjekt-Maßnahmen-Tabelle befüllen: aus Anwendungsfallbeschreibungen und Netzplänen Seite 27

28 Pilotprofil Zielobjekt-Maßnahmen-Tabelle befüllen: IT-Grundschutz Assets Seite 28

VPN Modem Router FW Office-IT- Office-IT- Externe Leitstand Engineering-WS Verteilte SPS

29 Pilotprofil Profilanwendung fertig! Leitstand HMI Engineering-WS Historian Web Server Control Server VPN Modem Router FW WAN VPN Modem Router FW Office-IT- Office-IT- Externe Leitstand Engineering-WS Verteilte SPS Lokale SPS Mobilgerät Feldgeräte Feldgeräte HMI Historian Web Server Control Server branchenspezifische Hilfen für die Risikoanalyse Seite 29

30 Agenda 1. Problemstellung 2. IT-Grundschutz-Pilotprofil 3. Fazit & Ausblick Seite 30

31 Fazit & Ausblick IT-Security für KMU machbar machen? Anwendung der IT-Grundschutz-Profile erfordert 1. Wenig Security-Fachkenntnis Basis: IT-Grundschutz Risikoanalyse nur in Ausnahmefällen branchenspezifische Hilfestellungen für die Risikoanalyse 2. Wenig Zeitaufwand Grundidee der Profile: Anwendern die Modellierung abnehmen gute Passgenauigkeit der Modellierung durch Wahl eines homogenen Geltungsbereichs 3. Wenig bereits vorhandene Dokumentation Profil schafft Dokumentation Intuitive Anpassung an den Anwender durch Anwendungsfälle Seite 31

32 Download IT-Grundschutz-Profile Noch Fragen? Pilotprofil: Diplomarbeiten/Fluchs_Profil_Wasser.html Masterarbeit: Diplomarbeiten/Fluchs_MA_Profil.html Kontakt Sarah Fluchs Seite 32

Ähnliche Dokumente

Neues vom IT-Grundschutz: Ausblick und Modernisierung

Neues vom IT-Grundschutz: Ausblick und Modernisierung Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz it-sa Agenda Weiterentwicklung