Auswirkungen des IT-Sicherheitsgesetzes für KRITIS in der Wirtschaft

Transkript

1 Sicherheitskooperation Cybercrime am 23. und in Hannover Auswirkungen des IT-Sicherheitsgesetzes für KRITIS in der Wirtschaft Stefan Menge Freies Institut für IT-Sicherheit e. V. (IFIT) Freies Institut für IT-Sicherheit e. V. (IFIT) 1

2 Über uns IFIT e.v. wurde am in Bremen gegründet Hervorgegangen aus dem 2004 erstmals veranstalteten Bremer Security-Forum (bereits 35 BremSec-Foren durchgeführt) Unabhängiges Kompetenznetzwerk zur IT-Sicherheit Kooperationspartner: Multiplikator der Allianz für Cyber-Sicherheit (Bundesamt für Sicherheit in der Informationstechnik und BITKOM) ebusiness-lotse Metropolregion Bremen-Oldenburg Gesellschaft für Datenschutz und Datensicherheit e.v. Forschungsverbund IS-Bremen (Universität + Hochschule Bremen) Förderverein Wirtschaft pro Metropolregion e. V. im Nordwesten Freies Institut für IT-Sicherheit e. V. (IFIT) 2

3 Unsere Aufgaben Unterstützung bei der Bewältigung von IT-Sicherheitsanforderungen à als Anlaufstelle zu IT- und Informationssicherheit (IFIT-Sicherheitstelefon) à durch Vermittlung von Spezialisten, Auditoren und Sachverständige Organisation von Informationsveranstaltungen (z. B. Security Days) und Erfahrungsaustauschen in regionalen, fachspezifischen Arbeitsgemeinschaften (Bremer Security-Forum BremSec, Security Days, IHK Netzwerk "Cybersicherheit in OL) Initiierung von Projekten zur Steigerung des IT-Sicherheitsniveaus der Mitgliedsunternehmen und einrichtungen (u.a. als Bindeglied zwischen Hochschulen und Wirtschaft) Freies Institut für IT-Sicherheit e. V. (IFIT) 3

4 Ein Auszug unserer Mitglieder im IFIT Freies Institut für IT-Sicherheit e. V. (IFIT) 4

5 Agenda 1. Struktur und Inhalte zum IT-Sicherheitsgesetz 2. Erste branchenspezifische Umsetzungsvorgaben in der Energiewirtschaft 3. Heutiger Status im KMU-Umfeld unter dem Fokus vernetzter Automatisierungsanlagen 4. Ein pragmatischer Ansatz Freies Institut für IT-Sicherheit e. V. (IFIT) 5

6 Welche Gesetze wurden geändert? BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) TMG (Telemediengesetz) TKG (Telekommunikationsgesetz) EnWG (Energiewirtschaftsgesetz) AtG (Atomgesetz) AWG (Außenwirtschaftsgesetz) BKAG (Gesetz über das Bundeskriminalamt und die Zusammenarbeit des Bundes und der Länder in kriminalpolizeilichen Angelegenheiten) Freies Institut für IT-Sicherheit e. V. (IFIT) 6

7 Wer ist bei KRITIS betroffen? Gesetzliche Änderungen für Betreiber kritischer Infrastrukturen Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die 1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und 2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach 10 Absatz 1 näher bestimmt. Betroffen sind auch Dienstleister für Betreiber kritischer Infrastrukturen (mittelbar) Freies Institut für IT-Sicherheit e. V. (IFIT) 7

8 Änderungen im BSI-Gesetz in Bezug auf KRITIS Kernanforderungen ( 8 BSIG) Mindeststandards für IT-Sicherheit sind eigenverantwortlich festzulegen Standards müssen regelmäßig dem Stand der Technik angepasst werden angemessene organisatorische und technische Vorkehrungen zwei Jahre nach Inkrafttreten der Rechtsverordnung à gilt auch für externe Dienstleister branchenspezifische Sicherheitsstandards können vorgeschlagen werden à Anerkennung durch das BSI Nachweis durch Sicherheitsaudits, Prüfungen oder Zertifizierungen (alle zwei Jahre) Festlegung einer Kontaktperson (ggf. externe Stelle) Freies Institut für IT-Sicherheit e. V. (IFIT) 8

9 Agenda 1. Struktur und Inhalte zum IT-Sicherheitsgesetz 2. Erste branchenspezifische Umsetzungsvorgaben in der Energiewirtschaft 3. Heutiger Status im KMU-Umfeld unter dem Fokus vernetzter Automatisierungsanlagen 4. Ein pragmatischer Ansatz Freies Institut für IT-Sicherheit e. V. (IFIT) 9

10 Wie geht es weiter? IT-Sicherheitsgesetz (BMI) Rechtsverordnung (BMI) seit 25. Juli 2015 Ende 2015? branchenspezifische Sicherheitsstandards Freies Institut für IT-Sicherheit e. V. (IFIT) 10

11 Was bietet bereits heute eine Orientierung? IT-Sicherheitsgesetz (BMI) seit 25. Juli 2015 Änderung des Energiewirtschaftsgesetzes (BMI) IT-Sicherheitskatalog (Bundesnetzagentur) August 2015 Freies Institut für IT-Sicherheit e. V. (IFIT) 11

12 Grundlagen IT-Sicherheitskatalog der Bundesnetzagentur Nach 11 Absatz 1a Energiewirtschaftsgesetz (EnWG) von der Bundesnetzagentur im Benehmen mit dem BSI erstellt Katalog von Sicherheitsanforderungen zum Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme Sicherheit = technische Anlagensicherheit + Versorgungssicherheit Kernforderung ist die Einführung eines Informationssicherheits- Managementsystems gemäß DIN ISO/IEC sowie die Zertifizierung (bis 31. Januar 2018) unabhängig von der Größe oder der Anzahl der angeschlossenen Kunden Stand der Technik ist zu beachten Freies Institut für IT-Sicherheit e. V. (IFIT) 12

13 Inhalte des IT-Sicherheitskatalog Sicherheitsanforderungen Aufbau eines Informationssicherheits-Managementsystem (ISMS) gem. Anforderungen der DIN ISO/IEC Kontinuierliches Überprüfen auf Wirksamkeit ( P-D-C-A ) Berücksichtigen der DIN ISO/IEC und DIN ISO/IEC TR Gewährleisten des ordnungsgemäßen Betrieb der betroffenen IKT- Systeme u. a. durch Erkennen von Störungen (auch Cyberangriffen) Erstellen einer Übersicht (Netzstrukturplan) über die betroffenen Anwendungen, Systeme und Komponenten und deren Verbindungen ( Leitsystem/ Systembetrieb, Übertragungstechnik/ Kommunikation, Sekundär-, Automatisierungs- und Fernwirktechnik ) Basis bildet eine Risikoeinschätzung und -behandlung gemäß ISO/ IEC (Standard: hoch, mäßig ist zu begründen) Ansprechpartner IT-Sicherheit benennen (bis 30. November 2015) Freies Institut für IT-Sicherheit e. V. (IFIT) 13

14 Agenda 1. Struktur und Inhalte zum IT-Sicherheitsgesetz 2. Erste branchenspezifische Umsetzungsvorgaben in der Energiewirtschaft 3. Heutiger Status im KMU-Umfeld unter dem Fokus vernetzter Automatisierungsanlagen 4. Ein pragmatischer Ansatz Freies Institut für IT-Sicherheit e. V. (IFIT) 14

15 Status im Bereich Produktions-/Automatisierungsanlagen Quelle: Spiegel Online, Freies Institut für IT-Sicherheit e. V. (IFIT) 15

16 Ein Beispiel: KRITIS in der Abwasserwirtschaft Quelle: Freies Institut für IT-Sicherheit e. V. (IFIT) 16

17 Übergreifende Aspekte aus der Praxis Mittelständische KRITIS-Betreiber in Deutschland sind meist noch im passiv-modus, leben häufig im Zustand einer gefühlten IT-Sicherheit, sind in Sachen IT-Sicherheit häufig das schwächste Glied in der Kette, trennen organisatorisch die Bereiche Büro-IT und Produktions-IT mit geringer Kommunikation, betrachten Funktionale ( Safety ) und IT-Sicherheit ( Security ) getrennt, setzen Hersteller, Planer und Integratoren ein, die sich nicht für die IT-Sicherheit im Betrieb verantwortlich fühlen, haben wenig bis keine aktuelle Dokumentation (Bestand, Richtlinien, Netzplan ). Freies Institut für IT-Sicherheit e. V. (IFIT) 17

18 Technischer Status im Bereich Automatisierungsanlagen Produktions-IT ist anders: Ø Echtzeitfähigkeit Ø Embedded Betriebssysteme Ø Langer Lebenszyklus Laptops und USB-Sticks sind im Einsatz, Smartphones und Tablets halten Einzug (Internet-Konnektivität) VPN Zugänge mit einfacher Authentisierung Fernadministration über TeamViewer Rudimentäres Patchmanagement Keine Abschaltung von Diensten Hoher Standort-übergreifender Vernetzungsgrad mit flacher Netzhierarchie Internet-Zugriff über das Leitsystem Keine Erfassung und Auswertung der Verbindungen und Logfiles Freies Institut für IT-Sicherheit e. V. (IFIT) 18

19 Agenda 1. Struktur und Inhalte zum IT-Sicherheitsgesetz 2. Erste branchenspezifische Umsetzungsvorgaben in der Energiewirtschaft 3. Heutiger Status im KMU-Umfeld unter dem Fokus vernetzter Automatisierungsanlagen 4. Ein pragmatischer Ansatz Freies Institut für IT-Sicherheit e. V. (IFIT) 19

20 Anspruch und Wirklichkeit KMU sind i. d. R. noch weit von der gesetzlich geforderten IT- Sicherheit entfernt. Vorgaben sollen innerhalb von zwei Jahren umgesetzt werden. Das entspricht erfahrungsgemäß der Zeitdauer zur Vorplanung, Aufbau und Zertifizierung eines ISMS. ICS-Security-Kompendium des BSI bildet gute Basis für die flächendeckende Erhöhung der IT-Sicherheit, ist aber auch noch für den Einstieg von KMU zu komplex. Auch der Einsatz von Standard-IT-Komponenten bedeutet nicht die 1:1-Projektion der IT-Sicherheit aus der Büro-IT in die Produktions- IT (neue Themen: Feldbus-Systeme, OPC [UA], SCADA, Safety,...). Freies Institut für IT-Sicherheit e. V. (IFIT) 20

21 Ein pragmatischer Ansatz als ersten iterativen Schritt zu einem ISMS! l l l Heute: unbekannte Risiken Management-Aussage veröffentlichen Verantwortlicher für Produktionssicherheit benennen Budget einstellen Erkennen und Beobachten der Unternehmenswerte bekannte Risiken Risiken ermitteln und bewerten Netzwerk-Sicherheit Perimeter / Firewalls Defense in Depth Systemhärtungen Patchen White Listing Benutzer und Berechtigungen Anti Spam Anti Virus Intrusion Detection Awareness Vor Notfällen vorsorgen bewusst getragene Restrisiken Sicherheitsmaßnahmen etablieren minimierte Risiken Freies Institut für IT-Sicherheit e. V. (IFIT) 21

22 Fazit Die Bedeutung von Compliance und die Awareness im Bereich KMU nimmt stark zu. Risiken bewerten und Restrisiken bewusst tragen. Vollständige Sicherheit gibt es nicht, aber je frühzeitiger eine Störung / Angriff erkannt wird, desto größer ist die Handlungsfähigkeit! Ø Das Netz beobachten und übersichtlich visualisieren. Ø Informationen automatisiert einsammeln und korrelieren (z. B. Logfiles, Performancedaten). Ø Bei Auffälligkeiten einen Security-Experten hinzuziehen. Fangen Sie schon heute an, denn 2 Jahre sind schnell um! Freies Institut für IT-Sicherheit e. V. (IFIT) 22

23 Kontaktdaten Nutzen Sie das IFIT als kompetenten und unabhängigen Ansprechpartner zur IT-Sicherheit Stefan Menge Freies Institut für IT-Sicherheit e. V. (IFIT) Karl-Grunert-Str Bremen Freies Institut für IT-Sicherheit e. V. (IFIT) 23