Illusion IT-Sicherheit Informationssicherheit für Energieversorger Warum IT-Sicherheit heute nicht mehr ausreichend ist

Transkript

1 Illusion IT-Sicherheit Informationssicherheit für Energieversorger Warum IT-Sicherheit heute nicht mehr ausreichend ist TÜV Süd Sec-IT GmbH & BTC AG 22. Oktober 2014

2 Agenda 1. Energiesysteme der Zukunft & Cyber Threats 2. Warum IT-Sicherheit nicht ausreichend ist 3. ISO und ISMS-Zertifizierung 4. IT-Sicherheitskatalog BNetzA 5. Kurzaudit vor einer ISMS-Implementierung Illusion IT-Sicherheit, NWF Energie Oktober 2014, TÜV Süd Sec-IT & BTC AG - öffentlich 2

3 Energiesysteme der Zukunft & Cyber Threats

4 Ein Blick auf das Energiesystem der Zukunft KÜHLHAUS Hintergrundgraphik: E-Energy Illusion IT-Sicherheit, NWF Energie Oktober 2014, TÜV Süd Sec-IT & BTC AG - öffentlich 4

5 Cyber Threats im zunehmend intelligenten Netz KÜHLHAUS Hintergrundgraphik: E-Energy Illusion IT-Sicherheit, NWF Energie Oktober 2014, TÜV Süd Sec-IT & BTC AG - öffentlich 5

6 Sicherheit im Smart Grid?! Beispiele aus den Nachrichten KÜHLHAUS Hintergrundgraphik: E-Energy Illusion IT-Sicherheit, NWF Energie Oktober 2014, TÜV Süd Sec-IT & BTC AG - öffentlich 6

7 Sicherheit im Smart Grid?! Prominente (fiktive) Beispiele Stirb Langsam 4.0 Blackout Quelle: movie-infos.net Quelle: otto.de Bisherige Stromausfälle dauerten höchstens einige Tage, einige verursachten jedoch geschätzte Kosten von mehreren Mrd. US-Dollar. Für den Fall eines mehrwöchigen Stromausfalls sind die Schäden zu erwarten, die um Größenordnungen höher liegen. Illusion IT-Sicherheit, NWF Energie Oktober 2014, TÜV Süd Sec-IT & BTC AG - öffentlich Quelle: Bericht Gefährdung und Verletzbarkeit moderner Gesellschaften des Büros für Technikfolgen-Abschätzung beim Bundestag (November 2010) 7

8 TÜV SÜD Management von Informationssicherheit Rainer Seidlitz TÜV SÜD Sec-IT GmbH

9 Einige Fakten zu Informationen Glaubwürdigkeit Informationen IT- Daten Verantwortung Beständigkeit Unleugbarkeit Verfügbarkeit Unversehrtheit Vertraulichkeit Information ist mehr als nur elektronisch gespeichert oder verarbeitet Informationssicherheit umfasst mehr als nur IT-Sicherheit Sicherheit bedeutet mehr als nur Vertraulichkeit im geschäftlichen Umfeld ist in der Regel die Verfügbarkeit wichtiger Management ist mehr als nur technische Systeme und Werkzeuge TÜV SÜD Management Service GmbH 9

10 Grundwerte der Informationssicherheit Informationen sind stets dann verfügbar, wenn sie benötigt werden Verfügbarkeit Informationen Vertraulichkeit Integrität Schutz vor unbefugter Preisgabe von Informationen TÜV SÜD Management Service GmbH Quelle: Informationen sind vollständig und unverändert 10

11 Management vs. Technologie Informationssicherheit ist Technologie 20% Management 80 % 80 % Management IS-Policy, IS-Verantwortlichkeiten, IS-Awareness IT-Security Bewusstsein & -Training, Reporting, Business Continuity Planung, Prozesse, etc. Management oder technische Aufgabe? Informationssicherheit ist Managementaufgabe und unternehmerische Herausforderung, sie kann nicht auf technische Prozeduren beschränkt werden. 20 % Technologie Systeme, Tools, Firewalls Architektur etc. TÜV SÜD Management Service GmbH 11

12 Management von Informationssicherheit In Anlehnung an ISO Management System PDCA-Zyklus Management Verantwortung Risikomanagement Management System beruht auf dem Basiskonzept der ISO 9001 Dokumentation Identifizierung Training Management Review Interne Audits Bewertung Umsetzung der Maßnahmen Assets Spezielle ISO Aspekte, die durch Controls dargestellt werden 12 TÜV SÜD Management Service GmbH

13 Umsetzung Schritt 1 Der Geltungsbereich 1 Definition des Geltungsbereiches (Scope) sowie der Grenzen des ISMS Der Geltungsbereich für das Unternehmen ist z.b.: + + TÜV SÜD Management Service GmbH 13

14 Schritt 2 - Problemstellung Muss sich das Unternehmen eine Armee anschaffen und sich mit der höchsten Sicherheit ausstatten? TÜV SÜD Management Service GmbH 14

15 Schritt 2 Die Security Policy 2 Definition der Informationssicherheits- Politik (Security Policy) Zu Beachten ist: Die Security Policy muss vom Management bestätigt sein. Jedes Unternehmen muss für sich definieren, welchen Grad an Sicherheit es benötigt. TÜV SÜD Management Service GmbH 15

16 Schritt 3 - Problemstellung Welche relevanten Werte, die die Unversehrtheit einer Information beeinflussen, besitzt das Unternehmen? Technische Systeme (z.b. SAP) Informationen (z.b. Preise, Kundendaten etc.) + führen Gespräche TÜV SÜD Management Service GmbH Personen benutzen PCs oder Laptops erstellen Dokumente 16

17 Schritt 3 Die Bestimmung der Werte 3 Bestimmung der Informationswerte (Assets) Zu Beachten ist: Begrenzen Sie sich nicht nur auf die technischen Systeme, betrachten Sie auch Personen, Dokumente etc. Jedes Unternehmen muss für sich definieren, was die wesentlichen Informationswerte sind und wie diese zu Kategorisieren sind, z.b. vertraulich, streng vertraulich Zugriff für alle Mitarbeiter, nur für Führungskräfte etc. TÜV SÜD Management Service GmbH 17

18 Schritt 4- Problemstellung Welche Bedrohungen wirken auf meine Assets? Überflutung Erdbeben Brand Cyberattacken Aber sind das alle Möglichen Risiken? Ausfall der Kühlgeräte + + TÜV SÜD Management Service GmbH 18

19 Schritt 4 Risikomanagement 4 Identifizierung von Risiken Identifiziertes Risiko Grad der akzeptierten Risiken Maßnahme notwendig Risiko tragbar TÜV SÜD Management Service GmbH 19

20 Schritt 5 Auswahl von Controls 5 Einleiten von Sicherheitsmaßnahmen (Controls) Ausgehend von den identifizierten Risiken müssen Maßnahmen ergriffen werden. Die ISO liefert im Anhang A der Norm Maßnahmen mit, die berücksichtigt werden sollten. Dieses ist aber keine Verpflichtung. Ausgehend von der Risikobetrachtung können Controls ausgeschlossen werden. TÜV SÜD Management Service GmbH 20

21 Die Schritte im Überblick 1 Definition des Geltungsbereiches (Scope) sowie der Grenzen des ISMS Dabei sollte der Fokus nicht nur auf die technischen Aspekte, sondern auch auf die Personen gesetzt werden 2 Definition der IS-Politik Eigene Geschäftsprozesse 5 Sicherheitsmaßnahmen auswählen 3 4 Bestimmen der Assets Identifizierung der Risiken und Bedrohungen auf die Assets TÜV SÜD Management Service GmbH 21

22 Die Controls der ISO A.5 Security policy A.6 Organization of information security A.7 Asset management A.8 Human resources security A.9 Physical & environmental security A.11 Access control A.10 Communications & operations management A.12 Information systems acquisition, development & maintenance A.13 Information security incident management A.14 Business continuity management A.15 Compliance TÜV SÜD Management Service GmbH 22

23 Kritische Erfolgsfaktoren Informationssicherheits Policy, -Ziele und Maßnahmen müssen sich auf die Geschäftsziele beziehen Vorgehen und Vorgehensmodell in Übereinstimmung mit der Unternehmenskultur Unterstützung und Zustimmung vom Management aus allen Hierarchieebenen gutes Verständnis von Risiko-Bewertung und -Management Training aller Betroffenen Kenntnis der Informationssicherheits Policy Schulung von Managern, Mitarbeitern und Anderen TÜV SÜD Management Service GmbH 23

24 Kritische Erfolgsfaktoren Budgets für Informationssicherheits Management Aktivitäten bereitstellen realistische Kosten einplanen vernünftiges Problem-Bewusstsein herbeiführen Erziehung im Schulungsplan aufnehmen wirksamen Prozess für Informationssicherheits-Vorfälle einrichten klare Anforderungen vorgeben Effizienz und Verbesserung des Informationssicherheits- Management managen Aufbau eines Kennzahlen-Systems TÜV SÜD Management Service GmbH 24

25 IT-Sicherheitskatalog BNetzA

26 Herausforderung: Umsetzung des IT-Sicherheitskataloges für Netzbetreiber Netzbetreiber müssen sicherstellen, dass ihre IKT* vor möglichen Bedrohungen geschützt ist! Ein angemessener Schutz wird vermutet, wenn die Vorgaben des IT-Sicherheitskataloges vom Netzbetreiber eingehalten werden! Netzbetreiber müssen ein Informationssicherheits-Managementsystem (ISMS) einführen und zertifizieren lassen! Netzbetreiber sind verpflichtet, einen geeigneten IT-Sicherheitsbeauftragten als Ansprechpartner für die BNetzA zu stellen! * Informations- & Kommunikationstechnologie Illusion IT-Sicherheit, NWF Energie Oktober 2014, TÜV Süd Sec-IT & BTC AG - öffentlich 26

27 IT-Sicherheitskatalog: Roadmap EnWG Novelle 2011 Aufnahme des Absatzes 1a in den 11 des EnWG; Erarbeitung und Verabschiedung eines Sicherheitskataloges Auszug 11 Abs. 1a EnWG: Der Betrieb eines Frist sicheren für Energieversorgungsnetzes Benennung umfasst IT- insbesondere auch einen angemessenen Stellungnahmen Schutz gegen Bedrohungen Sicherheitsbeauftragter für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen. Die Regulierungsbehörde Ende der Frist erstellt für hierzu im Benehmen Benennung mit dem Bundesamt eines für Sicherheit in der Informationstechnik Stellungnahmen einen zum Katalog von Sicherheitsanforderungen offiziellen IT-Sicherheits-unbeauftragten eines Energieversorgungsnetzes durch den wird veröffentlicht diesen. Ein Katalog angemessener direkt bei der Schutz des Betriebs vermutet, Bundesnetzagentur wenn dieser Katalog der Sicherheitsanforderungen Netzbetreiber eingehalten und dies vom Betreiber dokumentiert worden ist. Die Einhaltung kann von der Regulierungsbehörde überprüft werden Dezember Monate Ende der Frist für Stellungnahmen zum Katalog direkt bei der Bundesnetzagentur Ende Monate Entwurf Sicherheitskatalog Die Bundesnetzagentur veröffentlicht den ersten Entwurf für den Sicherheitskatalog und startet einen Konsultationsprozess Geplante Verabschiedung des Sicherheitskataloges Die Bundesnetzagentur plant die Verabschiedung des Katalogs in Q Stichtag: Umsetzung aller Anforderungen Alle Anforderungen des Sicherheitskataloges müssen durch den Netzbetreiber umgesetzt worden sein Illusion IT-Sicherheit, NWF Energie Oktober 2014, TÜV Süd Sec-IT & BTC AG - öffentlich 27

28 Kurzaudit vor einer ISMS-Implementierung

29 Vorgehensmodell ISMS-Implementierung (Beispiel) Zertifikatserteilung Orientierungsphase Planungsphase Umsetzungsphase Zertifizierung ISMS Übergabe Berufung eines fachkundigen Sicherheitsbeauftragten IS-Leitlinie & Werte festlegen Risikobewertung & Maßnahmenentwicklung Begleitung Maßnahmenumsetzung & Sensibilisierung Begleitung Zertifizierung Berufung Mitarbeiter als Sicherheitsbeauftragten ISMS-Beratung durch Spezialisten Schulung und Coaching eines Mitarbeiters zum ISO Auditor Illusion IT-Sicherheit, NWF Energie Oktober 2014, TÜV Süd Sec-IT & BTC AG - öffentlich 29

30 Kurzaudit vor einer ISMS-Implementierung Zertifikatserteilung Kurzaudit Cyber-Sicherheits-Check Orientierungsphase Planungsphase Umsetzungsphase Schritt 1 Bestimmung aktuelle Sicherheitslage Zertifizierung Vorbereitung Berufung Cyber-Sicherheits-Check eines fachkundigen Sicherheitsbeauftragten (CSC) mit Schwerpunkt IT-Sicherheitskatalog BNetzA IS-Leitlinie & Werte Durchführung festlegen Vor-Ort-Beurteilung (Kurzaudit) Schritt 2 Bewertung und Handlungsempfehlung Risikobewertung & Berichtserstellung und Bewertung Maßnahmenentwicklung der aktuellen Sicherheitslage Erstellung von Handlungsempfehlungen Begleitung Maßnahmenumsetzung & Sensibilisierung Schritt 3 Abschlusspräsentation und nächste Schritte Begleitung Vorstellung der Prüfergebnisse und Handlungsempfehlungen Zertifizierung Abstimmung nächster Schritte Geschätzter Schulung Gesamtaufwand: und Coaching eines ca. Mitarbeiters 7 PT zum ISO Auditor ISMS Übergabe Berufung Mitarbeiter als Sicherheitsbeauftragten ISMS-Beratung durch Spezialisten Illusion IT-Sicherheit, NWF Energie Oktober 2014, TÜV Süd Sec-IT & BTC AG - öffentlich 30

31 Cyber-Sicherheits-Check Zielsetzung des Cyber-Sicherheits-Checks Was ist der Cyber-Sicherheits-Check? Kurzaudit zur Bewertung der der Sicherheitsorganisation in einer gesamten Institution Basis ist BSI-Leitfaden Cyber-Sicherheits-Check Durchführung von Cyber-Security Practitioner Anpassung an die Unternehmensbedürfnisse Einschränkung der geprüften Abteilungen oder der Prüfungstiefe Von eintägigen bis zu mehrwöchigen Audits ist der Umfang flexibel Ziele des Cyber-Sicherheits-Checks Unabhängige und objektive Beurteilung der Sicherheitslage Orientierung am tatsächlichen Risiko für das Unternehmen Vor-Ort- Prüfung der vorhandenen Sicherheitsmaßnahmen (Stichproben) Illusion IT-Sicherheit, NWF Energie Oktober 2014, TÜV Süd Sec-IT & BTC AG - öffentlich 31

32 Vielen Dank für Ihre Aufmerksamkeit. Christian Bruns Berater Informationssicherheit +49 (0) (0) Rainer Seidlitz Prokurist TÜV Süd Sec-IT GmbH +49 (0) Illusion IT-Sicherheit, NWF Energie Oktober 2014, TÜV Süd Sec-IT & BTC AG - öffentlich 32

33 Die Standorte der BTC AG Hauptsitz: Escherweg Oldenburg Fon: + 49 (0) 441/ Fax: + 49 (0) 441/ office-ol@btc-ag.com Kurfürstendamm Berlin Fon: + 49 (0) Fax: + 49 (0) office-b@btc-ag.com Am Weser-Terminal Bremen Fon: +49 (0) Fax: +49 (0) office-hb@btc-ag.com Bartholomäusweg Gütersloh Fon: +49 (0) Fax: +49 (0) office-gt@btc-ag.com Buchardstraße Hamburg Fon: +49 (0) Fax: +49 (0) office-hh@btc-ag.com Klostergasse Leipzig Fon: +49 (0) Fax: +49 (0) office-l@btc-ag.com Wilh.-Th.-Römheld-Str Mainz Fon: + 49 (0) Fax: + 49 (0) office-mz@btc-ag.com Türkenstraße München Fon: +49 (0) Fax: +49 (0) office-m@btc-ag.com An der Alten Ziegelei Münster Fon: +49 (0) Fax: +49 (0) office-ms@btc-ag.com Heinz-Nixdorf-Straße Neckarsulm Fon: +49 (0) Fax: +49 (0) office-nsu@btc-ag.com Çayiryolu 1, Partaş Center Kat: Içerenköy, Istanbul Türkei Fon: +90 (216) Fax: +90 (216) office-ist@btc-ag.com ul. Małe Garbary Poznań Polen Fon: +48 (0) Fax: +48 (0) biuro-poz@btc-ag.com Hasebe Build.11F, Sendagi, Bunkyo-Ku, Tokyo Japan Fon: +81 (3) Fax: +81 (3) Info.OSCJapan@btc-es.de Bäulerstraße 20 CH-8152 Glattbrugg Schweiz Fon: +41 (0) Fax: +41 (0) office-zh@btc-ag.com Illusion IT-Sicherheit, NWF Energie Oktober 2014, TÜV Süd Sec-IT & BTC AG - öffentlich 33