Implementierung des IT-Sicherheitskatalogs - Ein Praxisbericht -

Transkript

1 Implementierung des IT-Sicherheitskatalogs - Ein Praxisbericht - Matthias Hofherr, atsec information security GmbH Guido Müller, Stadtwerke Bayreuth Energie und Wasser GmbH

2 Anforderungen IT-Sicherheitskatalog IT-Sicherheitskatalog ist der branchenspezifische Sicherheitsstandard für Strom und Gas Schutzziele: Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten Sicherstellung der Integrität der verarbeiteten Informationen und Systeme Gewährleistung der Vertraulichkeit der mit den Systemen verarbeiteten Informationen Geltungsbereich alle für den sicheren Netzbetrieb notwendigen Systeme à Leitsystem, Übertragungs-, Sekundär-, Kommunikationstechnik Benennung Ansprechpartner IT-Sicherheit Umsetzungsfrist bis Einführung eines ISMS* gem. ISO Zertifizierung ISMS und Nachweis Umsetzungsfrist bis Erstellung Netzstrukturplan * Informationssicherheitsmanagementsystem

3 Eckdaten der Stadtwerke Bayreuth Stadtwerke Bayreuth Holding GmbH mit Untergesellschaften für Energie & Wasser / Energiehandel sowie Verkehr und Bäder Geschäftsfelder: Strom, Gas, Wasser, Fernwärme, Erneuerbare Energien, Telekommunikation, Nahverkehr, Bäder Konzernweit 400 Beschäftigte Konzernumsatz: 130 Mio. Euro Netzgebiet: Einwohner Wasserabgabe: 5,5 Mio. m³ Transportierte Arbeit Gas: 826 GWh Transportierte Arbeit Strom: 460 GWh Nahverkehr: 8 Mio. Fahrgäste Verbundnetzleitstelle Gas/Wasser/Strom/Fernwärme

4 Aufgaben Verbundleitstelle der Stadtwerke Bayreuth Steuerung und Überwachung der Netze und Anlagen der Stadtwerke Zentrale Störungsannahme und Entstörungssteuerung im Gas-, Wasser-, Strom- und Fernwärmenetz Vorbereitung, Durchführung und Dokumentation von Schalt- und Steuerungshandlungen Störungsanalyse und Einleitung von Maßnahmen zur Wiederherstellung der Energieversorgung Einsatzplanung des Bereitschaftspersonals Daten- und Informationsdrehscheibe im Netzbetrieb Dokumentation und Überwachung des Betriebsgeschehens Die Netzleitstelle ist das Herzstück im Stadtwerke Netz 24 Stunden/Tag und 7 Tage/Woche

5 Ausgangslage der Stadtwerke Bayreuth Fokus Versorgungssicherheit Lange betriebliche Nutzungsdauern und Investitionszyklen Wenig vernetzte Steuerungstechnik in den Versorgungsanlagen Hohe Abhängigkeit von externen Dienstleistern Lange Betriebszugehörigkeiten und hohes Durchschnittsalter der Mitarbeiter im technischen Bereich Netzleitstelle 1990 In der Vergangenheit waren Veränderungen bei Technik und Mitarbeitern eher selten

6 Umfassende Erneuerung der Leit- und Kommunikationstechnik im Prozessnetz Erneuerung des Leitsystems für Strom, Gas, Wasser und Fernwärme durch europaweite Ausschreibung Projektlaufzeit 3 Jahre Umsetzung eines vollredundanten Systems in zwei räumlich getrennten Standorten Mandantenfähig (Dienstleister für andere Versorger) Netzleitstelle heute Neukonzeptionierung Fernwirktechnik Regulatorischen Effizienzvorgaben und technischer Wandel führten in den letzten 15 Jahren zu enormen Veränderungen bei den Stadtwerken.

7 Erneuerung Kommunikationstruktur Schalthaus-Nord Schalthaus-Mitte NEU: LWL-Ring Netzleitstelle Standort Birkenstraße Schalthaus-Glocke Ringförmige Kommunikationsanbindung und die erneuerte Leittechnik verbessern die Ausgangslage für die Implementierung der IT-Sicherheitsanforderungen

8 Wesentliche Meilensteine und Zeitplan November 2015 Januar 2016 April - Juli 2016 August/Septem ber 2016 Juni 1016 Februar 2017 Prüfung der Umsetzungsoptionen, Zusammenstellung internes Projektteam Auswahl Projektbegleiter und Zertifizierungsstelle Ist-Aufnahme, Festlegung Geltungsbereich, Erstellung Netzstrukturplan Erstellung Risikomanagement, Synergien mit Technischem Sicherheitsmanagement Schnittstellen (intern, extern), Richtlinien und Dokumentation März/ April 2017 Interner Audit/ Management Review September/ Oktober 2017 Zertifizierung

9 Herausforderung: Geltungsbereich (Allgemein) Komplette Firma oder nur Teilbereich? Schnittstellenkomplexität vs. allg. Aufwand Interne Schnittstellen OLAs Geltungsbereich von Richtlinien Was passiert hinter der Grenze des Geltungsbereichs (Bsp. Klassifizierung)? Netzwerktrennung Der Klassiker: Büro-IT im Scope? Was machen mit Out-of-Scope Themen im selben Netz? Ausschlüsse Primär: Entwicklung von Software

10 Geltungsbereich Stadtwerke Bayreuth Geltungsbereich bei den Stadtwerken Bayreuth: ca. 30 Mitarbeiter Leitsystem, Übertragungs-, Sekundär-, Kommunikationstechnik für alle Versorgungssparten Interne Schnittstellen Grafische Datenverarbeitung z.b. für Planauskünfte (GIS Daten) Personalabteilung z.b. für Personalbeschaffungsprozesse IT-Abteilung z.b. für Betreuung Austauschlaufwerke, IT-Hardware, Betreuung Infrastruktur... Innere Dienste z.b. Reinigungskräfte und Schließanlage Externe Schnittstellen Leitstellenhersteller z.b. Fernwartungszugriff IT-Dienstleister z.b. Konfiguration Firewall Die Anforderungen des IT-Sicherheitskatalogs wurden bei den Stadtwerken Bayreuth auch auf die Bereiche Wasser und Fernwärme übertragen

11 Herausforderung: Kennzahlen Klassische Herausforderung bei ISO Implementierung Irgendwelche Kennzahlen sind einfach Überblick über Wirksamkeit des gesamten ISMS ist komplexer Neue ISO/IEC 27004:2016 gibt gute Hinweise für Kennzahlen Pragmatischer Ansatz: GQM (Goal Question Metric) Ableitung der Kennzahlen aus den Zielen Ziele Hierarchische Ableitung Kennzahlen für verschiedene Flughöhen Option: Score Cards für verschiedene Bereiche (Strategisch/Taktisch)

12 Herausforderung: Physikalische Sicherheit Ausgangpunkt: Unterschiedlichste Standorte (Größe, Entfernung, Infrastruktur ) Unterschiedlichstes physikalisches Sicherheitsniveau Lösungsansätze: Physikalisches Zonenkonzept Clustern von ähnlichen Standorten Einheitliche Sicherheitsmaßnahmen pro Gruppe definieren Bestandsaufnahme und Risikoanalyse (spezifisch auch ISO/IEC 27019) Maßnahmenplan enthält Aktivitäten zur Beseitigung der Lücken Fazit: Sehr hohes Sicherheitsniveau aller Außenstandorte kaum möglich Schaden bei physikalischem Zugriff minimieren z.b. durch Netzwerk-Separierung Basis für das ISMS: Einheitliche physikalische Sicherheit der Standorte

13 Herausforderung: IT-Sicherheit Leitsysteme und Steueranlagen sind traditionell relativ leicht angreifbar Prinzip Harte Schale, weicher Kern Verbesserung der Sicherheit ist nicht nur Aufgabe der Netzbetreiber Vorgaben aus IT-Sicherheitskatalog liegen aber einseitig bei den Netzbetreibern Konkrete Maßnahmen bei den Stadtwerken Bayreuth: Härtungsrichtlinien für jedes einzelne System => Minimierung der Angriffsoberfläche Getrennte Netzstrukturen und Netztrennung; Zugriffe mit Minimum-Prinzip Minimal notwendige Querverbindungen zwischen den Standorten Erkennung von Angriffen durch zentrales Logging und Log-Analyse Zugriffe von Extern nur temporär, nach expliziter Einzel-Freischaltung und mit 2- Faktor-Authentisierung Aufbau eines Schwachstellen-Managements (Scanner: OpenVAS) Altlasten der IT-Sicherheit müssen durch alternative Maßnahmen abgedeckt werden

14 Kontakt Matthias Hofherr Chief Operating Officer atsec information security GmbH Tel: Steinstraße 70 Fax: München, Germany Mobile:

15 Kontaktdaten Guido Müller Stadtwerke Bayreuth Energie und Wasser GmbH Birkenstraße Bayreuth Telefon: Telefax: stadtwerke-bayreuth.de guido.mueller@stadtwerke-bayreuth.de