Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht

Transkript

1 Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht Jörg Kehrmann Datenschutz- und IT-Sicherheitsbeauftragter der Wuppertaler Stadtwerke VKU Landesgruppe Saarland

2 Der Konzern WSW Wuppertaler Stadtwerke Gründung: 1948 Mitarbeiteranzahl: rund Neuausrichtung in 2007: Gründung von 3 Gesellschaften Geschäftsfelder: Energieversorgung, Energiedienstleistungen, Wasserversorgung/Abwasserentsorgung und ÖPNV u.a. 3 Kraftwerke, 3 Talsperren, 1 Wasserwerk, 2 Busbetriebshöfe 2

3 Die heutige Anteilseignerstruktur des WSW-Konzerns *Der Ennepe-Ruhr-Kreis hält 0,61 % an der WSW Wuppertaler Stadtwerke GmbH. 3

4 Agenda Informationssicherheit in kritischen Infrastrukturen Unterschiedliche Anforderungen Business-/Leittechnik- Sicherheit Unterstützung durch ein ISMS (Informationssicherheitsmanagement System) Best Practice nach ISO 2700x ein Widerspruch? Zusammenfassung der mehrjährigen Erfahrungen nach Implementierung eines ISMS und Schwierigkeiten beim Betrieb eines solchen Systems Datenschutz im Smart Metering 4

6 Kritische Infrastrukturen Einrichtungen mit wichtiger Bedeutung für das Gemeinwesen Basisschutzkonzept erstellt in 2005 (potenzielle Gefährdungen und Empfehlungen) Beteiligte: Sicherheitsexperten der Wirtschaft, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), Bundeskriminalamt (BKA) und Bundesministerium des Inneren (BMI) Leitfaden Schutz kritischer Infrastrukturen Risiko- und Krisenmanagement aus 2008 in 2011 aktualisiert ( Nationale Strategie zum Schutz kritischer Infrastrukturen (2009) IT-Sicherheitsgesetz/IT-Sicherheitskataloge (2015) 6

7 Unterschiedliche Anforderungen Business-/Leittechnik-Sicherheit Zwei unterschiedliche Ausprägungen des deutschen Wortes IT-Sicherheit im Englischen: Business-Anforderungen an IT und Compliance Security Nicht-Authorisierte Nutzung von Daten wird verhindert Leittechnik-Anforderungen Safety Die Funktionssicherheit steht im Vordergrund 7

8 Unterschiedliche Anforderungen Business-/Leittechnik-Sicherheit Business-Anforderungen an IT und Compliance Vertraulichkeit Integrität Verfügbarkeit Datensicherheit z.b. Kundendaten Die Geschäftsprozesse müssen funktionieren Leittechnik-Anforderungen Verfügbarkeit Integrität Die Produktion/die Maschine muss laufen 8

9 Unterschiedliche Betreuung/Verantwortung Business Betreuung meisten durch zentrale IT oder Dienstleister Oftmals Geregelte Prozesse und Dokumentationen Mehrere Personen sind involviert 9

10 Unterschiedliche Betreuung/Verantwortung Leittechnik Betreuung meistens durch Ingenieure, Techniker vor Ort oder Dienstleister Know-How-Träger sehr verantwortungsbewusst, aber kein Fokus auf IT-Sicherheit Oftmals Wenig Dokumentation Nur eine Person involviert 10

11 Rückblick auf Vorfälle 2005 im Münsterland Fünftägiger Stromausfall 2005, 2007, und 2009 in Brasilien Cyberangriffe auf SCADA-Systeme (Leittechnik-Systeme) 2006 im Emsland Dreitägiger Stromausfall 2006 im Iran Stuxnet-Wurm 2013 in Österreich Kreisläuferproblem, beinahe Komplettausfall des Stromnetzes durch Überlastung von Leittechnikkomponenten 2015 in Deutschland Cyber-Attacke auf den deutschen Bundestag 11

12 Rückblick auf Stuxnet Uran-Zentrifugen des Stuxnet-Angriffs, keine Anomalien sichtbar in der Leitechnik 12

14 Erste Schritte zur Einführung eines ISMS Projekt in 2005 gestartet mit den Zielen: Aufbau und Betrieb eines ISMS Schutzbedarfsfeststellungen der Systeme und Daten IT-Strukturanalyse Erstellung von Richtlinien Strukturierte Feststellung und Dokumentation von Risiken und Festlegungen von Maßnahmen 14

15 Umsetzung I (2005/2006) Aufbau eines ISMS in Anlehnung an die ISO auf Basis IT-Grundschutz Prozessbeschreibung IT-Sicherheitsprozess 26 Seiten Erstellung eines Handbuches Risikomanagement Datensicherheit Abgrenzung: nur Betrachtung der Business-IT Anforderungen 15

16 Umsetzung II (2005/2006) Aufnahme von Systemen und Klassifizierung der Kritikalität (Schutzbedarffeststellungen) Interviews Excel-Tabellen Risikobetrachtungen Benennung eines IT-Sicherheitsbeauftragten Randbedingung: kein zusätzliches Personal Zusammenlegung der beiden Rollen in einer Person Datenschutzbeauftragter / IT-Sicherheitsbeauftragter 16

18 Best Practice I Nutzung der Kataloge des BSI Nutzung der ISO und ISO Fokus: Was ist sinnvoll und was passt zu unserer IT-Infrastruktur? Nutzung der Controls aus den Normen Durchführung von Pentests Einbeziehung eines Informationssicherheits-Dienstleisters (Coaching-Prinzip) Strukturierte Dokumentation und Überarbeitung von Auftragsdatenverarbeitungen (auch Fernwartungsverträge) Komplette Überarbeitung des internen Netzwerkes 18

19 Best Practice II Implementierung einer Asset-Datenbank Erstellung von Richtlinien nach dem Top-Down-Prinzip Hauptpolicy Themenspezifische Policies Überarbeitung des SAP-Berechtigungskonzeptes und Einführung eines Tools Durchführung einer Awarenesskampagne 19

21 Erfahrungen Start mit externer Projektleitung war sinnvoll Ressourcen (monetär, personell und zeitlich) müssen ausreichend zur Verfügung stehen Die Organisation der IT-Sicherheit ist wichtig Klare Festlegung der Verantwortlichkeiten Klare Festlegung der Zuständigkeiten Bekenntnis der Geschäftsführung zur Informationssicherheit Mitbetrachtung der Leittechnik-IT-Sicherheit im ISMS Nur ein ISMS für Business und Leittechnik Schnittstellen der Business-IT zur Leittechnik-IT Betrachtung der externen Schnittstellen zur Leittechnik Kontrolle der Informationen zu Systemen im Internet ( Shodan-Software ) 21

22 Schwierigkeiten Unterschätzung des Aufwandes Keine klaren Festlegungen der Verantwortlichkeiten Nur Betrachtung der Systeme und nicht der Prozesse Leittechnik wurde nicht mit behandelt 22

23 IT-Sicherheitsgesetz Informations- und Kommunikationstechnologie in fast allen Prozessen eines Unternehmens Cyber-Kriminalität nimmt zu Schutz der kritischen Infrastrukturen Informationsbeschaffung durch hochqualifizierte Hacker Schaffung eines Mindest-Sicherheitsstandards Zertifizierung der Informationssicherheit nach ISO auf Basis IT-Grundschutz 23

24 ISO und BSI IT-Grundschutz IT-Grundschutz Kataloge des BSI: Nationaler Standard Pauschalisierte Gefährdungen Konkrete Maßnahmenempfehlungen ISO 27001:2013 Internationaler Standard Beschreibung Aufbau eines ISMS Kaum konkrete technische Hinweise Ausprägung ist gestaltbar Die Anforderungen der ISO-Norm können mit Standardmaßnahmen aus den IT-Grundschutzkatalogen abgebildet werden 24

25 Fazit der gemachten Erfahrungen Informationssicherheit ist nicht von einer Zertifizierung abhängig Nutzung der Grundschutzkataloge und der ISO 2700x ist sinnvoll Ganzheitliche Betrachtung der Informationssicherheit (Business und Leittechnik) ist notwendig Hilfreich: Erstellung einer Übersicht der Assets und Regelungen Erstellung einer Übersicht der Schnittstellen Business-/ Leittechnik Wichtig: Übersicht aller Internet-Schnittstellen!! Transparente Verantwortlichkeiten der Beteiligten Zusammenarbeit Informationssicherheit, Datenschutz und IT Analyse/Behandlung von Risiken Identifikation der Risiko-Owner Hieraus Ableitung von angemessenen Maßnahmen oder bewusste Akzeptanz des Risikos 25

26 Zusammenhang IT-Sicherheitsgesetz, IT-Sicherheitskatalog, Smart Metering IT-Sicherheitsgesetz => Artikelgesetz Artikelgesetz => ändert oder erweitert bestehende Gesetze IT-Sicherheitsgesetz (BSI) verweist auf den IT-Sicherheitskatalog der BNetzA Die noch fehlende Rechtsverordnung spezifiziert die betroffenen Unternehmen Geltungsbereich: IT-Sicherheitsgesetz u.a. für Netz- und Energieanlagenbetreiber NICHT für Smart Metering!!! Anforderungen an Messsysteme => 21e EnWG 26

28 Datenschutz im Smart Metering Datenschutz: Recht auf informationelle Selbstbestimmung Schutzgegenstand: personenbezogene Daten => Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person Gebot der Zweckbindung Datenschutz im Smart Metering => 21g, 21 h EnWG ergänzt durch 21i Abs. 1 Nr. 4 EnWG Personenbezogene Daten: Daten können durch Zählpunktbezeichnungen auf den Verbraucher bezogen werden halt/technikundorganisation/inhalt/smart_metering Datenschutz_ bei_elektronischen_energiez hlern/datenschutzgerechtes_smart_ Metering.pdf 28

29 Fazit Zusammenspiel Informationssicherheit, Datenschutz, Business-IT, Prozessleittechnik Datenschutz ohne Informationssicherheit gibt es nicht Ganzheitliche Betrachtung des gesamten Themengebietes Empfehlung: kostenfreie Teilnahme an UP-KRITIS (Umsetzungsplan KRITIS) 29

30 So sollte es nicht sein. 30

31 Vielen Dank für die Aufmerksamkeit! Jörg Kehrmann WSW Wuppertaler Stadtwerke GmbH Datenschutz und IT-Sicherheit 31