Risk-News Aktuelle Informationen rund ums Risikomanagement

Transkript

1 Enterprise Risk Services 1/2012 Risk-News Aktuelle Informationen rund ums Risikomanagement Liebe Leser, die bekannt gewordenen Cyber-Attacken der letzten Monate zeigen uns deutlich auf, dass die Angreifer keine Industrie und keinen Sektor mehr verschonen: der Bankensektor ist genauso betroffen wie Medienunternehmen, die öffentliche Verwaltung und Technologieunternehmen unabhängig davon, ob es sich hier um einen internationalen Konzern oder ein mittelständisches Unternehmen handelt. Alle Unternehmen sind erklärte Angriffsziele. Industriespionage und Hacker-Attacken sind kein neues Phänomen; während früher Angreifer über das Internet eher idealisierte Ziele verfolgten und teilweise auch nur ihren Spaß haben wollten, stecken heute fast immer knallharte wirtschaftliche Interessen hinter einem Angriff. In den meisten Fällen geht es den häufig sehr professionell organisierten Angreifern darum, bspw. Intellectual Property abzugreifen, Entwicklungsdaten zu kopieren oder an Vertriebs- und Kundeninformationen heranzukommen. Für diese Informationen gibt es einen zwar illegalen, aber weltweiten Markt. Nicht nur aus rechtlicher Sicht, sondern vor allem aus ureigenem Interesse müssen Unternehmen etwas tun, um sich auf solche Angriffe vorzubereiten und die eigenen Kronjuwelen zu schützen. Dr. Hans Röhm In der aktuellen Ausgabe der Risk-News haben wir für Sie eine Themenauswahl zusammengestellt, mit der wir aufzeigen wollen, wie Unternehmen sich auf die geänderte Situation vorbereiten können, und wie Cyber-Security-Maßnahmen geplant und umgesetzt werden können, um weiterhin sichere Geschäfte zu ermöglichen. Ich hoffe, dass Sie für sich neue Impulse für Ihre Arbeit erhalten, und wünsche Ihnen eine spannende Lektüre. Ihr Hans Röhm

2 Cyber Security Peter Wirnsperger Tel: +49 (0) Cyber Security 2011 war das Jahr der Lücken. Die Medien waren voll von Nachrichten über Angriffe auf Netzwerke und gestohlene Daten. Diese Aussage stammt aus der Einleitung zu einem aktuellen Forrester Report. 1 Zunehmende Professionalisierung von Cyber-Kriminellen, neue Technologien beispielsweise BYOD (Bring Your Own Devices), Cloud-Computing sowie integrierte und vernetzte Zusammenarbeit von Geschäftspartnern ziehen neue Bedrohungen und große Herausforderungen nach sich. Striktere Gesetze und die zunehmende Kunden-Awareness beim Thema Datenschutz drängen Unternehmen zum Handeln. Eine neue Bedrohungslage Vor dieser neuen Bedrohungslage ist eine Überarbeitung bisheriger Informationssicherheitsstrategien und -konzepte notwendig. Erfahrungen der letzten Jahre haben gezeigt, dass die Frage, ob ein Angriff erfolgt, nicht vollständig ist. Entscheidend sind genauso Fragen nach wann, wie und weshalb. Maßnahmen dürfen nicht länger ausschließlich auf die Abwehr von Angriffen abzielen, sondern müssen zusätzlich die Zeit nach einer erfolgreichen Attacke in die Planung einbeziehen. Die Konsequenz lautet: Begrenzung des Schadens eines erfolgreichen Angriffs und Abstimmung eines Sicherheitskonzepts mit geeigneten Reaktionen über alle Organisationseinheiten. Mit dem Cyber-Security-Programm stellt Deloitte ein Service-Portfolio bereit, das der neuen Bedrohungslage angepasst ist, das bestehende Maßnahmen einbinden und neu ausrichten kann. Service Cyber Readiness Assessment Wo steht mein Unternehmen, was ist noch zu tun, wo fange ich an? Hat Ihr Unternehmen bereits Maßnahmen gegen Cyber-Bedrohungen getroffen? Kennen Sie Ihre spezifische Bedrohungslage? Sind die getroffenen Maßnahmen angemessen, wirksam und effektiv? Kann man Cyber-Attacken erkennen, eingrenzen und adäquat darauf reagieren? In welchen Bereichen können Sie sich verbessern, um für heute und morgen bereit zu sein? Ein Cyber Readiness Assessment hilft Ihnen, diese Fragen zu klären. Deloittes Cyber Readiness Assessment besteht aus einem vierstufigen Prozess (s. Abbildung), in dessen Mittelpunkt die Durchführung einer Gap-Analyse und ein anschließendes Maturity Rating stehen. Aus den identifizierten Lücken Ihrer Cyber Readiness werden gezielt Maßnahmen (Controls) abgeleitet und priorisiert. Diese Maßnahmen werden in Abstimmung mit anderen strategischen Initiativen Ihres Unternehmens in einen Cyber Transformation Plan gegossen und umgesetzt. Gap-Analyse Deloittes Cyber Security Management Framework bildet den konzeptionellen Rahmen für die Durchführung von Gap-Analysen. Es basiert auf Empfehlungen relevanter Industries Standards (SANS Institute, National Institute of Standards and Technology (NIST), Federal Enterprise Architecture) und unseren eigenen Projekt-Erfahrungen. Cyber Risk Identification & Gap Analysis Maturity Rating Cyber Control Definition & Prioritization Cyber Transformation Plan Development 1 TechRadar For Security & Risk Professionals: Zero Trust Network Threat Mitigation, Q

3 Unter Berücksichtigung Ihrer individuellen Bedrohungslage analysieren wir bestehende Maßnahmen und Prozesse in relevanten Bereichen sogenannte Cyber Security Domains (etwa Governance & Compliance, People, Operations etc.) auf Lücken. Hierzu haben wir den Domains konkrete Control Objectives zugeordnet, anhand derer mögliche Schwachstellen erkannt werden können. Der Domain Operations haben wir z.b. Control Objectives wie Threat Monitoring & Response, Cyber Security Event Monitoring, Cyber Incident & Response Management oder Cyber Resilience Management zugeordnet (s. Abbildung). Maturity Rating Den Reifegrad Ihrer Cyber-Organisation bestimmen wir auf Basis der Ergebnisse der Gap-Analyse. Deloitte verwendet hierzu ein Cyber Maturity Model 2 bestehend aus fünf Reifegraden, von reaktiven gesteuerten (Level 1) bis hin zu risikointelligenten, vorausschauenden und widerstandsfähigen Prozessen (Level 5) (s. Abbildung). Define & Prioritize Improvements Nach der Bestimmung Ihres Model-Reifegrades definieren und priorisieren wir mit Ihnen gezielte Maßnahmen, um Ihr gewünschtes Sicherheitslevel (Goal State) zu erreichen. Kriterien zur Priorisierung können etwa die Wirksamkeit, Komplexität, der Implementierungs-Aufwand, die Relevanz im Hinblick auf die Unternehmensstrategie oder aktuelle externe Ereignisse sein. Domain Level 1 Level 2 Level 3 Level 4 Level 5 Governance & IT-Compliance C G P People C G P Operations C G C Current State G Goal State P Peer State Cyber Security Maturity Level (simplified) P Cyber Threat Level Cyber Terrorism/ Cyber Warfare Advanced Persistent Threats G Conventional Cyber Threats C Level 1: Manual and only reactive Level 2: Tools-based and primarily reactive Level 3: Integrated tools, knowledge exchange Level 4: Proactive and agile Level 5: Resilient. Proactive and mission focused Cyber Readiness Level C Current State G Goal State P Peer State Level 1: Not existent Level 2: Initial or Ad hoc Level 3: Initiative and Repeatable Level 4: Managed and Measureable Level 5: Optimized 2 Entwickelt durch Robert Lentz, vormals DoD CISO und Deputy Assistant Secretary Cyber. 3

4 Transformation Plan Zur Durchführung, Überwachung und Kontrolle der Implementierung der Maßnahmen erstellen wir einen Transformation Plan. Dieser beschreibt im Detail den Weg vom aktuellen Status zum gewünschten Zielzustand. Der Plan basiert auf dem SMART-Prinzip (spezifisch, messbar, erreichbar, realistisch und terminiert) und wird durch uns kontinuierlich überwacht. Assessment vs. Management Mit dem Assessment erstellen wir eine punktuelle Betrachtung der Ist-Situation. Änderungen von Parametern etwa der Bedrohungslage oder geänderte Geschäftsstrategien können jedoch die Effektivität der implementierten Maßnahmen deutlich reduzieren. Deloitte setzt in seinem Cyber-Security-Programm daher gezielt auf einen zyklischen Phasen-Ansatz, bestehend aus Prepare, Aware und Respond. Cyber Readiness Assessment als Teil der Aware-Phase ist daher nicht als ein einmaliges Projekt, sondern als eine regelmäßige Aktivität im Zuge der kontinuierlichen Verbesserung zu verstehen. Die zyklische Durchführung des Assessment bietet nicht nur eine permanente Verbesserung der Schutzmaßnahmen, sondern gibt zudem Aufschluss über die Effektivität der Investitionen in Cyber Security. Top Five Cyber Security Controls Keine verfügbare Technologie ist allein in der Lage, die Bedrohungen für Informationen und Infrastruktur ausreichend zu begrenzen. Um die angemessene Cyber Security zu erhalten, die auch der individuellen Bedrohungslage und strategischen Zielen gerecht wird, müssen neben technischen auch immer organisatorische Maßnahmen umgesetzt werden. Nachfolgend haben wir die aus unserer Sicht wichtigsten Empfehlungen zur Erzielung von Cyber Security zusammengetragen. 1. Cyber-Security-Strategie Cyber-Angriffe etwa Hacking von Webservern oder Malware-Infiltration stellen nicht nur eine Bedrohung für die IT und die Informationen, sondern für das gesamte Unternehmen dar. Cyber Security ist damit eine Aufgabe des Top-Managements. Strategische Ziele und Prioritäten in Bezug auf Cyber Security sollten klar definiert sein. Die Strategie ist die Ausgangsbasis des Bewusstseins für und den Umgang mit Cyber-Risiken. 2. Cyber Readiness Assessment Der erste Schritt auf dem Weg, die adäquate Cyber Readiness zu erreichen, ist das Verständnis der aktuellen Bedrohungs- und Risikolage. Bevor Maßnahmen zur Erhöhung der Sicherheit auf operativer und strategischer Ebene ergriffen werden, sollten Sie sich der tatsächlichen und potenziellen Bedrohungen bewusst werden. Hierzu sind eine umfassende Analyse möglicher Bedrohungsszenarien und eine Bestandsaufnahme der bisher ergriffenen Maßnahmen notwendig. 3. Aktives Monitoring möglicher Bedrohungen und Risiken Eines der größten Risiken besteht durch das Ausnutzen von Schwachstellen unberechtigt genutzter oder nicht ausreichend geschützter Systeme und Software. Konfigurationsmanagement, aktives Monitoring und Frühwarnsysteme sind daher unerlässlich. An erster Stelle zu nennen ist die Implementierung eines Intrusion-Detection-/Prevention-Systems zur Erkennung von unberechtigten Zugriffen auf Netzwerke und IT-Systeme. Eine angemessene Ausgestaltung des Identity and Access Management gehört selbstredend dazu. Unbedingt sollten weiterhin Methoden zur Erkennung von Schadcodes in selbst entwickelter Software und Web-Angeboten eingeführt und umgesetzt werden. 4. Vulnerability Assessments und sichere Konfiguration Die Abfrage eines aktuellen Sicherheitsbildes über im Unternehmensnetz genutzte Systeme und Software sollte zu jedem Zeitpunkt möglich sein. Ein Sicherheitsbild umfasst Informationen wie System-Typ, Software- Version, Patch-Level und relevante bekannte Verwundbarkeiten der genutzten Systeme und Software. Security Images für alle neuen in das Netzwerk eingebrachten Systeme sollten entwickelt und regelmäßig neu beurteilt werden. Um Schwachstellen frühzeitig zu erkennen und zeitnah zu beheben, ist eine regelmäßige Durchführung von toolgestützten Vulnerability Scannings aller Systeme im Netzwerk und im Besonderen der über das Internet erreichbaren Systeme notwendig. 5. Cyber Security Training & Awareness Das dauerhafte Beherrschen von Cyber-Risiken und eine schrittweise Verbesserung bedürfen einer lernenden Organisation. Hierfür werden Mitarbeiter benötigt, die jederzeit sicherheitsbewusst handeln. Sei es für Endbenutzer der Umgang mit Laptops, Smartphones oder Unternehmensinformationen bei der täglichen Arbeit, sei es für IT- und Sicherheitsverantwortliche das richtige System-Operating: Motivation, Sensibilisierung, regelmäßige Kommunikation, Schulung und Training bilden die Eckpfeiler. 4

5 Cyber Security und Compliance Cyber-Angriffe auf geschäftskritische oder sicherheitsrelevante Informationen nehmen zu und reichen vom Diebstahl vertraulicher Datensätze bis zur Sabotage von ganzen Wertschöpfungsketten. Infolgedessen wächst die Bedeutung einer wirksamen Verteidigung gegen Cyber-Angriffe. Gleichzeitig müssen externe und interne Anforderungen eingehalten werden, sodass ein zentraler Aspekt dieser Verteidigung der Aufbau und die Aufrechterhaltung einer wirksamen Compliance-Organisation ist. Eine fehlende oder nicht ausreichende Vorbereitung auf Cyberangriffe würde sonst das zusätzliche Risiko beinhalten, gegen diese regulatorischen Vorgaben oder geltende Industriestandards zu verstoßen. Die Anforderungen an eine Compliance-Organisation sind vielfältig und im Zusammenhang mit Cyber Security nicht immer eindeutig oder sofort transparent. Die Organisation muss in die bestehende Unternehmensstruktur eingebunden und dabei sowohl an den wesentlichen Geschäftsprozessen als auch den unterstützenden Informationssystemen ausgerichtet werden. Als erste Anforderung sticht der Datenschutz hervor, dem besonders hier eine wichtige Funktion zukommt. Weitere Anforderungen, wie beispielsweise PCI DSS oder auch regulatorische Anforderungen aus der Finanzwelt, dem Telekommunikationssektor oder dem Health-Care-Umfeld, spielen eine wichtige Rolle und müssen in die Planung einfließen. Hierbei stehen Dokumentationsanforderungen, Organisationsvorgaben und vor allem Berichtswege bei Eintreten des Ernstfalls im Fokus. Zu unterscheiden sind drei unterschiedliche Ebenen: Die Organisationsebene definiert die regulatorischen sowie internen Anforderungen. Durch die Implementierung von Sicherheitsrichtlinien soll insbesondere das Sicherheitsbewusstsein der Organisation nachhaltig gestärkt und verbessert werden. Die Prozessebene definiert auf der Basis dieser Sicherheitsrichtlinien und auf den Ergebnissen von Risikoanalysen spezifische Kontrollziele, die zur Gewährleistung der regulatorischen sowie internen Anforderungen erreicht werden müssen. Die Informationssystemebene implementiert geeignete technische und organisatorische Maßnahmen zur Umsetzung der Kontrollziele und zur Abdeckung wesentlicher Cyber-Risiken. Diese Maßnahmen werden im Rahmen eines Kontrollframeworks auf der Basis gängiger Standards wie beispielsweise SANS, NIST, ISO oder COBIT umgesetzt und müssen kontinuierlich überwacht werden. Durch den Aufbau der Compliance-Organisation auf diesen drei Ebenen können die Anforderungen von Gesetzen und Regularien eingehalten und die Vertraulichkeit, die Integrität und die Verfügbarkeit von Informationen über die Wertschöpfungskette hinweg sichergestellt werden. Projektbeispiele Am Anfang stand der Penetrationstest Der CISO eines großen, international agierenden Unternehmens erteilte Deloitte den Auftrag, zu testen, ob die Unternehmens-IT auf aktuelle Cyber-Gefahren vorbereitet wäre. Hierzu sollte Deloitte eine Auswahl der aus dem Internet erreichbaren Systeme und Anwendungen auf Herz und Nieren prüfen. Um ein realistisches Bild zu erhalten, war der Test wie ein echter Angriff vorzunehmen und nicht auf eine Sicherheitsanalyse zu beschränken. Es sollte tatsächlich der Versuch unternommen werden, empfindliche Informationen herauszuschleusen. Wie bei jedem Penetrationstest mussten zu Beginn Umfang und Zeiträume festgelegt werden, um trotz des möglichst realistischen Ansatzes nicht den laufenden Betrieb oder die Sicherheit der Systeme zu gefährden. Die Festlegung der Testanforderungen und der Angriffsszenarien fiel umso leichter, als wir uns auf das internationale Deloitte-Netzwerk optimal stützen konnten. Innerhalb kürzester Zeit brachten wir Experten aus Spanien, Indien, Ungarn und Deutschland im Projektteam zusammen, ohne dass eine Reise unternommen werden musste. Hier kam einer der großen Vorteile der geübten Zusammenarbeit im Deloitte-Netzwerk zum Tragen: Weltweit werden einheitliche Arbeits- und Dokumentationsmethoden angewandt, und auch die eingesetzten Tools in unseren Laboren sind international abgestimmt. Cyber Security? Das heißt doch nur Schutz vor Angriffen aus dem Internet Ein klar strukturierter Angriffsplan für alle Teams war notwendig, da ansonsten das Projekt aufgrund der Zeitund Budgetbegrenzungen schnell an seine Grenzen gestoßen wäre. Mit kommerziellen Softwaretools sowie mit von Deloitte selbst entwickelten Programmen und Skripten begannen wir zunächst, im Rahmen klassischer Systemtests die Schwachstellen in Software oder Architektur zu ermitteln. Schnell stellte sich heraus, dass die Sicherheitsbedenken unseres Kunden berechtigt waren, wenngleich grundsätzliche Schutzmaßnahmen sehr gut umgesetzt worden waren. Die Verteidigung ist aber immer nur so stark wie das schwächste Glied in der Kette. Am Ende 5

6 erlangten wir Administrationsrechte auf Systemen, entwendeten Tausende Mitarbeiterdatensätze und erkundeten das interne Netzwerk. Wenn es um die externe Sicherheit von IT-Systemen geht, müssen jedoch auch andere Angriffsmöglichkeiten in Betracht gezogen werden. Ein weiterer Bestandteil des Projektes war es, das Sicherheitsbewusstsein der Mitarbeiter zu überprüfen. Wir verschickten eine gefälschte Phishing- , die eine für dieses Projekt programmierte Schadsoftware enthielt. Vorbei an den Sicherheitsmechanismen konnten wir diese Mail bis zu den Mitarbeitern leiten und so unsere Schadsoftware ausführen lassen. Dies war dann der Ausgangspunkt für weitere Attacken. Sehr viele Mitarbeiter erwiesen sich als zu leichtgläubig und öffneten die mit Schadsoftware versehenen Dateianhänge: Die Quote war mit über 50% erschreckend hoch. Die Resultate des Projekts sprachen für sich, die Folge war eine komplette Über- und Neubearbeitung des Cyber-Security-Programms mithilfe von Deloitte. oder? Eher oder! Denn das Internet ist nur ein möglicher Weg, um in Unternehmensnetzwerke einzudringen. In einem zweiphasigen Projekt für ein anderes Unternehmen ging es hauptsächlich um die interne Sicherheit. An insgesamt elf Standorten in verschiedenen Ländern schlüpften wir in die Rolle einer Person, die Zugang zu den Büros hat. Dies hätte natürlich jemand sein können, dem es gelang, sich einzuschleichen aber auch Berater oder Mitarbeiter mit bösen Absichten können interne Angreifer sein. Manchmal reicht es sogar schon aus, sich nur in der Nähe des Gebäudes zu befinden, in dem eine Firma ihren Sitz hat. Wireless LAN hat sich in den letzten Jahren etabliert, um Geräte an ein Netzwerk anzubinden und um unberechtigt in Netzwerke einzusteigen. Dabei muss noch nicht einmal ein Zugangspunkt der Firma das Einfallstor bilden Mitarbeiter bringen mittlerweile Geräte aus ihrem Privatbesitz mit in die Firma, um den Kabelsalat auf ihrem Schreibtisch zu beseitigen. Dass diese Geräte nicht sicher konfiguriert werden, liegt auf der Hand. Deloitte hat daher Methoden entwickelt, um sämtliche Drahtlosnetzwerke aufzuspüren und diese in einer übersichtlichen Landkarte, unterschieden nach autorisierten und nicht autorisierten Zugangspunkten, darzustellen. Das Ergebnis dieser Projekte Auch wenn die Fragestellungen solcher Projekte recht unterschiedlich sind, sie haben dennoch ein gemeinsames Ziel: die nachhaltige Behebung aller Sicherheitsprobleme, auf verschiedenen Ebenen und in verschiedener Form, um auch für neue Bedrohungen besser aufgestellt zu sein. 6

7 Zertifizierbare Informationssicherheit Hubert Langener Tel: +49 (0) Angriffe auf die Informationstechnik aus dem Internet heraus sind derzeit ein häufiges Thema in den Medien und daher allseits präsent. Dies ist aber nur eine Facette der Informationssicherheit: Nicht vernachlässigt werden sollten beispielsweise der Abfluss von Informationen durch illoyale Mitarbeiter und Dienstleister, Betriebsstörungen durch unklare organisatorische Regelungen oder gar Betriebsunterbrechungen durch Vorfälle im Rechenzentrum. Vor dem Hintergrund der Vielschichtigkeit der Risiken fällt es Unternehmen zunehmend schwerer, ein angemessenes und wirkungsvolles Schutzniveau für ihre Informationstechnik herzustellen und dabei gleichzeitig alle relevanten Risiken zu erfassen. Hinzu kommt, dass sich die Risikolage ständig verändert und die Schutzmaßnahmen regelmäßig angepasst werden müssen. Aufgrund der großen Bedeutung der Informationstechnik für den Geschäftserfolg wenden viele Unternehmen zwischenzeitlich die klassischen Managementmethoden Ziele setzen, Steuern und Kontrollieren auch im Bereich der Informationssicherheit an. Unterstützt werden sie dabei durch den internationalen Standard ISO/IEC (Information Technology Security Techniques Information Security Management Systems Requirements), der hierzu einen weltweit anerkannten Leitfaden liefert. Ganzheitlicher Schutz von Informationen Die Bedeutung der Verfügbarkeit, Vertraulichkeit und Integrität von Informationen ergibt sich unmittelbar aus der Un ter nehmensstrategie. Daher empfiehlt es sich, die Schutzziele für Informationen von der Unternehmensstrategie abzuleiten und mit dieser in Einklang zu bringen. Grundlage ist dabei eine Risiko- und Auswirkungsanalyse, mit der zentrale Parameter wie Schutz be darf von Anwendungen, maximale Wiederanlaufzeiten nach einer Störung oder tolerierbare Aktu ali tätsverluste von Informationen ermittelt werden können. Hieraus ergeben sich dann die konkreten Maßnahmen zum Schutz der Systeme und Anwendungen, von Informationen und Netzwerken sowie der Infrastruktur und der Mitarbeiter. Dabei hat es sich in der Praxis bewährt, sich bei der Auswahl und Umsetzung der Maßnahmen am Lebenszyklus der Infor ma tions technik zu orientieren und zwischen fünf Phasen zu unterscheiden: Planung und Konzeption Beschaffung und Entwicklung Betrieb Aussonderung Notfallvorsorge Um einen wirkungsvollen Schutz herzustellen, reicht es jedoch nicht aus, nur rein technische Maß nah men in Erwägung zu ziehen. Von wesentlicher Bedeutung sind auch deren organisatorische Einbettung in die Unternehmensprozesse und deren übergreifendes Zusammenspiel. Dies gilt auch über Abteilungsgrenzen hinaus und für Prozesse, die zwar nicht in den Bereich der Informationstechnik fallen, aber dennoch unmittelbaren Einfluss auf das erreichbare Schutzniveau haben: Personalbeschaffung, -betreuung und -entwicklung Beschaffung von Material und Dienstleistungen Einhaltung von gesetzlichen und regulatorischen Vorgaben Business Continuity Management Erst dann, wenn Aspekte der Informationssicherheit zu einem inhärenten Bestandteil aller Geschäftsprozesse geworden sind, kann von praktizierter Informationssicherheit gesprochen werden. Um das erreichte Schutzniveau nicht mittelfristig wieder zu verlieren, muss sichergestellt sein, dass die umgesetzten Maßnahmen den sich ständig wandelnden Rahmenbedingungen beispielsweise bei Korrektur der Unternehmensstrategie, neuen technischen Entwicklungen oder Veränderungen der Risikolage angepasst werden. Dies wird durch einen systematischen und kon - tinuierlichen Verbes se rungs pro zess erreicht, der die Schutzmaßnahmen regelmäßig auf den Prüfstand stellt und ggf. neu ausrichtet. Unabhängig davon, dass durch ein Informationssicherheits-Managementsystem die Risikolage des Unternehmens nachhaltig verbessert wird, führen alle Effekte zusammengenommen häufig auch zu einem weiteren Vorteil: der Redu zierung der Kosten im Bereich der Informationstechnik und somit zur Ver besserung der Ertragslage des Unternehmens. Nutzen einer Zertifizierung Durch die Orientierung am internationalen Standard ISO/IEC kann an den Erfahrungen weltweit tätiger und erfolgreicher Unternehmen sowie am aktuellen Stand der Wissenschaft partizipiert werden. Gleichzeitig eröffnet dies dem Unternehmen die Möglichkeit, sich von neutraler Stelle das erfolgreiche Erreichen eines angemessenen und wirkungsvollen Schutzniveaus durch ein Zertifikat bestätigen zu lassen. Mit einem zertifizierten Informationssicher heits-managementsystem (ISMS) beweist ein Unter neh men, dass es sei ne Risiken kennt und geeignete Schutzmaß nahmen 7

8 umgesetzt hat. Für Anteils eig ner, Kunden, Liefe ranten und Mitarbeiter wird sichtbar, welch hohen Stellenwert die Informationssicherheit im Unternehmen besitzt und wie verantwortungsvoll mit anvertrauten Informationen um ge gangen wird. Es ist im Rahmen von Ausschreibungen vermehrt zu beobachten, dass Kunden ihre potenziellen Partner auf Nachweise zur Informationssicherheit ansprechen. Derartige Forderungen sind im Bereich Qualität oder Umwelt schon seit mehreren Jahren üblich und Ausdruck einer verantwortungsvollen Unternehmensführung. Ein Zertifikat erspart dann nicht nur das Ausfüllen von seitenlangen Fragebögen und Selbstauskünften, sondern belegt eindeutig und transparent die Leistungsfähigkeit des Unternehmens. Dies kann ein entscheidender Vorteil gegenüber Wett bewerbern sein. Zertifizierungsverfahren Die Zertifizierung sollte grundsätzlich durch eine sog. akkreditierte Zertifizierungsstelle durchgeführt werden. Nur so ist sichergestellt, dass das Verfahren nach international anerkannten Regeln durchgeführt wird und das Zertifikat die gewünschte Reputation besitzt. Zur Zertifizierung des Informationssicher heits-managementsystems ist im ersten Jahr ein Zertifi zie rungs audit und in den beiden fol genden Jahren jeweils ein Überwachungsaudit durchzuführen. Gegenstand der Audits sind die Anforderungen der Kapitel 4 8 sowie des normativen Anhangs A der ISO/IEC Im Rahmen der Audits überzeugen sich die Auditoren der Zertifizierungsstelle einmal im Jahr vor Ort davon, dass Deloitte Certification Services GmbH Die Deloitte Certification Services GmbH (Deloitte Cert) ist die recht lich eigenständige Zerti fizierungs stelle der Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft mit Sitz in Düsseldorf. Deloitte Cert ist bei der Deutschen Akkreditie rungsstelle GmbH (DAkkS) als Zertifizierungs stelle für Managementsysteme in den Bereichen Qualität (ISO 9001), Umwelt (ISO 14001), Energieeffizienz (EN 16001/ ISO 50001), Arbeits- und Gesundheitsschutz (OHSAS 18001/SCC) und Informations sicherheit (ISO/IEC 27001) akkredi tiert. Gleichzeitig erfüllen unsere Zertifikate die An forderungen des International Ac cre ditation Forum (IAF) und wer den wel tweit anerkannt. Eine Stärke von Deloitte Cert ist die Zertifi zie rung integrierter Management sy steme in den vorstehend genannten Bereichen in Form von kombi nierten Audits. In Zusammenarbeit mit der De loit te & Touche GmbH Wirtschafts prü fungs gesellschaft verbinden wir Audits nach ISO/IEC auch mit Prü fun gen nach SAS 70/ISAE Unsere Auditoren prüfen nicht nur das Erfüllen von Normforde rungen, wir sehen vielmehr das Informationssicherheits-Managementsystem als Instrument eines aktiven Risikomanagements im Sinne einer nachhaltigen Unternehmensführung. Daher geben wir unseren Mandanten auch Hinweise zur Effektivität, Effi zienz, Verlässlichkeit und Comp liance ihrer Prozesse. Auf diese Weise werden Managementsysteme für unsere Man danten zu Assets, deren Wert weit über das reine Zertifikat hinaus geht. das Informationssicher heits-manage mentsystem die Anforderungen des Standards erfüllt, Ziele und Maßnahmen in die tägliche Praxis umgesetzt worden sind, ein angemessenes Schutzniveau erreicht wurde sowie eine kontinuierliche Verbesserung und Weiterentwicklung stattfindet. Nach erfolgreichem Abschluss der Audits stellt die Zertifizierungsstelle das Zertifikat aus. Die Gültigkeit des Zertifikats be trägt drei Jahre und kann dann bei Ablauf durch eine sog. Re-Zertifizierung um weitere drei Jahre verlängert werden. 8

9 Cyber Security in SAP-Systemen Marcus Götz Tel: +49 (0) Jakob Lang Tel: +49 (0) In der letzten Deloitte Global Security Survey 1 wurde festgestellt, dass dem Thema Cyber Security in SAP-Systemlandschaften höchste Priorität beigemessen werden sollte. Sicherheitslücken im SAP-System, dem sämtliche Daten und Angaben zur Unternehmensstruktur und allen Prozessen zu entnehmen sind, können nicht nur finanziellen Schaden, sondern auch enorme Einbußen an Reputation und Vertrauen aufseiten der Kunden und Anteilseigner zur Folge haben. So können durch Hackerangriffe und/ oder ein unzureichendes Berechtigungskonzept sensible Daten eingesehen oder sogar extrahiert werden. Dies kann besonders gravierend sein, wenn beispielsweise vertrauliche Konstruktionszeichnungen in der Automobilindustrie, Rezepte in der Pharmaindustrie oder Kontoinformationen von Bank-Kunden an die Öffentlichkeit gelangen. Zunehmend setzen sich auch im SAP-Umfeld Web-Technologien durch, wie der Zugriff auf SAP-Systeme über Portale oder auch mittels mobiler Endgeräte. Dadurch können bei unzureichender Konfiguration weitere Sicherheitslücken entstehen. Die Abbildung gibt einen Überblick über wichtige Sicherheitskomponenten, die einen unerwünschten Zugriff über RFC-Verbindungen begünstigen und damit die Sicherheit von Unternehmensdaten und -werten im SAP- System gefährden. Software zur Remote-Einwahl Die Software, die zur Einwahl über RFC-Verbindungen benötigt wird, ist im Internet als Freeware verfügbar. Bei unzureichendem Schutz der RFC-Schnittstellen könnten Mitarbeiter mithilfe dieser Software und zusätzlicher Systeminformationen (weiter unten beschrieben) uneingeschränkt auf kritische Unternehmensdaten auf Tabellenebene zugreifen, auch wenn sie nicht über die dafür notwendigen Transaktionsberechtigungen innerhalb des SAP-Systems verfügen. Firmennetzwerk Den unerlaubten Zugriff erleichtern weiterhin unzureichende Sicherheitsmaßnahmen für das Firmennetzwerk, wobei insbesondere Lücken in der Firewall-Konfiguration (offene Ports) und eine mangelhafte Auswertung der Zugriffsprotokolle das Risiko eines erfolgreichen Eindringens erhöhen. Jan Czichos Tel: +49 (0) jczichos@deloitte.de Typisches Bedrohungsszenario Ein typisches Sicherheitsrisiko im SAP-Umfeld ist der Zugriff auf das ERP-System von außerhalb des Firmennetzwerkes über Remote-Function-Call-(RFC-)Verbindungen. Die RFC-Schnittstelle ermöglicht Funktionsaufrufe zwischen zwei SAP-Systemen oder zwischen einem SAPund einem externen System. Die RFC-Bibliotheksfunktionen unterstützen die Programmiersprachen C und Visual Basic (auf Windows-Plattformen). 2 Freie Verfügbarkeit von Software zur Remote-Einwahl Benutzerkonten Alle Installationen werden durch den Softwareanbieter mit den sog. Standardbenutzern (SAP*, DDIC, ) ausgeliefert. Alle Benutzer-IDs und die zugehörigen voreingestellten Passwörter sind bei jeder Auslieferung zunächst gleich und diese Angaben zudem über Internetportale allgemein zugänglich. Bei Kenntnis von Teilen der Systemauthentifizierung (Benutzername und Passwort) werden unbefugte Zugriffe leicht möglich. Unsichere Konfiguration des Firmennetzwerks Unsichere Konfiguration der RFC-Verbindungen im Berechtigungskonzept Unzureichender Schutz von Benutzerkonten Zu geringe Komplexität der Passworteinstellungen in der SAP-Systemkonfiguration 1 Raising the Bar 2011 TMT Global Security Study Key Findings. 2 SAP Help Online Portal. 9

10 Ein weiteres Risiko stellt die Weitergabe von Zugangsdaten oder die Nutzung von Gruppenbenutzern dar. Bei Letzteren sind Zugangsdaten mehreren Anwendern gleichzeitig bekannt, was die Nachvollziehbarkeit von Systemzugriffen erschwert bzw. unmöglich macht. Passwörter In der Systemkonfiguration bietet SAP die Möglichkeit, Eigenschaften von Passwörtern und deren Verwendung bei Anmeldungen vorzugeben. Erfordern die eingerichteten Systemeinstellungen keine hinreichend komplexen Passwörter oder führt die mehrfache Fehleingabe nicht zur Sperrung des Benutzerkontos, können gültige Passwörter mit unverhältnismäßig geringem Aufwand geknackt und so ein nicht-autorisierter Zugriff erlangt werden. Konfiguration der RFC-Verbindungen Ebenfalls in der Systemkonfiguration werden Parametereinstellungen für ein- und ausgehende RFC-Verbindungen festgelegt. Entsprechende Berechtigungsobjekte innerhalb von Zugriffsberechtigungen ermöglichen zugeordneten Benutzern dann, RFC-Verbindungen aufzubauen. Nach erfolgreichem Aufbau einer Verbindung hat der Benutzer nicht nur Zugriff auf Daten, sondern kann diese sogar aus dem System heraus übertragen. SAP Security Healthcheck Als Maßnahme gegen solche und ähnliche Bedrohungen hat Deloitte den SAP Security Healthcheck entwickelt, welcher u.a. eine schnelle und aussagekräftige Bestandsaufnahme des aktuellen Gefährdungsgrades der SAP- Systeme ermöglicht. Der SAP Security Healthcheck beginnt mit einer Ist-Aufnahme der Systemsicherheit, des Rollenkonzeptes und der Notfall- und Administrationsprozesse (strukturiert in vier Säulen siehe Abbildung). Die automatisierte Auswertung der relevanten Systeminformationen erfolgt mittels einer Deloitte-Prüfungssoftware, die auch im Rahmen von Jahresabschlussprüfungen verwendet wird. Darüber hinaus kann bei Bedarf auch ein simulierter Angriff auf ein vorab ausgewähltes Zielsystem durchgeführt werden. Die Ergebnisse der Überprüfung werden durch Deloitte bewertet und in Form von Handlungsempfehlungen mit dem Kunden besprochen. Abhängig vom Grad der Gefährdung erfolgen notwendige Anpassungen entweder kurzfristig (Quick Wins), mittelfristig (Umsetzung in einem Projekt) oder längerfristig (Einplanung im Regelbetrieb). Maßnahmen zur Verbesserung der Cyber Security in SAP-Systemen Unerlaubte Zugriffe von außerhalb können durch verschiedene Maßnahmen auf jede der vier beschriebenen Säulen geschehen. Gestützt werden alle Säulen durch etablierte Sicherheitsrichtlinien, die u.a. verbindliche Vorgaben für die Bewertung von Benutzeranfragen, Umsetzung von Berechtigungsänderungen und Überwachung kritischer Zugriffsrechte schaffen. 1. SAP-Systemsicherheit Optimierung der Parametereinstellungen (speziell für Passwörter, Anmeldeversuche, RFC-Verbindungen und Berechtigungsprüfungen) und Implementierung von Schutzebenen für Standardbenutzer und Berechtigungen. Grundlagen von SAP-Berechtigungskonzepten Zugriffskontrollen und Funktionstrennung (SOD) SAP-Systemsicherheit Definition, Einhaltung und Durchsetzung der Sicherheitsrichtlinien Parametereinstellungen Logging von Tabellenänderungen Rollenkonzept Definition von Rollen und Verantwortlichkeiten Ausgereiftes Rollendesign Wahrung der Funktionstrennung Kontrolle von kritischen Berechtigungen Dokumentation Super-/Notfallbenutzer- Konzept Kontrollierte Handhabung von Berechtigungen in Ausnahmefällen Kontrolle der Nutzung der Ausnahmeberechtigungen Gewährleistung der Nachvollziehbarkeit Prozesse Prozesse zur Verwaltung von Berechtigungen sind dokumentiert, kommuniziert und werden vom Business gelebt. Schlüsselkontrollen (Genehmigung von Zugriffen, SOD Checks) Periodische Kontrollen (Re-Zertifizierung, SOD Management) 10

11 2. Rollenkonzept In diesem Bereich ist vor allem ein transparentes und aufgabenbezogenes Rollenkonzept von großer Wichtigkeit. Die Ausgestaltung der Berechtigungsrollen sollte nach dem Prinzip der minimalen Berechtigung erfolgen. Funktionstrennungsanforderungen, insbesondere im Bereich der Basis-Administration, sind im Konzept zu berücksichtigen. Besonders zu beachten ist die korrekte Ausprägung relevanter Berechtigungsobjekte (z.b. S_RFC) innerhalb von Rollen und Profilen. 3. Super-/Notfallbenutzer-Konzept Bei der Konzeption von Notfallkonzepten sollte auf die Verwendung von SAP-Standardberechtigungen verzichtet werden. Nach der Verwendung von Notfall-Usern müssen in jedem Fall eine Auswertung der Protokollierung hinsichtlich kritischer Zugriffe und die Einleitung von korrektiven Maßnahmen bei Abweichungen erfolgen. 4. Prozesse Überwachungsprozesse minimieren das Risiko, indem Schwachstellen entweder präventiv vermieden oder schnell identifiziert werden, um Gegenmaßnahmen einzuleiten. Speziell die Überwachung der Maßnahmen zu den vorangegangenen Punkten schafft ein stabiles Fundament und unterstützt ein etabliertes Risikoniveau nachhaltig. Weitere Maßnahmen Über den SAP-Router können SAP-Netzwerkverbindungen gezielt und abgesichert aus dem eigenen Netzwerk in ein anderes weitergeleitet werden. Der SAP-Router arbeitet mit SNC (Secure Network Communications). Dabei werden durch zuverlässige Authentifizierung und Verschlüsselung der zu übermittelnden Daten sichere Netzwerkverbindungen hergestellt. Auch für die Infrastruktur- und Middlewarekomponenten der SAP-Landschaft (Portal, Betriebssysteme, Datenbanken etc.) sind geeignete Sicherheitsmaßnahmen umzusetzen, um Schwachstellen zu vermeiden. Abschließende Bemerkungen Bisher bei Unternehmen durchgeführte SAP Security Healthchecks verdeutlichen, dass Cyber Security auch im SAP-Umfeld eine besonders wichtige Rolle spielt, zukünftig sogar immer weiter an Bedeutung gewinnen wird. Deloitte verfügt im Bereich Cyber Security und SAP-Sicherheit über Spezialistenteams, die unsere Kunden bei der Analyse und Bewertung der Risiken, der Bereinigung und dem sicheren Betrieb von SAP-Systemen unterstützen können. Dabei profitieren unsere Kunden nicht nur von unserer Fachkompetenz, sondern auch von unserer strategischen Partnerschaft mit SAP, wodurch wir stets über aktuelle Produktkenntnisse verfügen. Die Bandbreite der Deloitte-Dienstleistungen reicht von der Bewertung der Architektur der Anwendungsumgebung sowie des Designs und der Implementierung von SAP-Berechtigungskonzepten bis hin zu gezielten Entwickler- und Mitarbeiterschulungen. Für Rückfragen und weitere Informationen steht Ihnen Herr Marcus Götz gerne zur Verfügung. 11

12 Cyber Security in Smart Grids Ludwig Einhellig Tel: +49 (0) Patrick Düssel Tel: +49 (0) Infolge der Atomkatastrophe in Fukushima revidierte die Bundesregierung ihr bisheriges Energiekonzept, verstärkt rückten die erneuerbaren Energien in den Fokus. Unter den zahlreichen Gesetzesänderungen, wie beispielsweise dem Erneuerbare-Energien-Gesetz 2012 (EEG), ist auch das Energiewirtschaftsgesetz (EnWG), das die Anforderungen an die Verwendung intelligenter Energiezähler und auch die Beschaffenheit der künftigen Energieverteilsysteme selbst beschreibt. Smart Grids sind intelligente Stromnetze, bei denen neben den Verteilungsleitungen über ein separates Informationsnetz bidirektional System- und Verbrauchsdaten ausgetauscht werden, um eine optimale Übertragung und Verteilung der Elektrizität vom Lieferanten bis zum Verbraucher zu gewährleisten (Abb. 1). Die Vorteile von Smart Grids Ein Smart Grid besteht im Wesentlichen aus vier Funktionsbereichen: Energieerzeugung, Energieübertragung, Energieverteilung und Energieverbrauch. Die Prozesse zur Energieerzeugung, -übertragung und -verteilung werden dezentral durch Energiemanagementsysteme gesteuert. Zur Übermittlung von Mess- und Steuerdaten sowie Tarifinformationen wird parallel zum Energienetz eine Kommunikationsinfrastruktur betrieben, welche die vier Funktionsbereiche miteinander verbindet. Energiedienstleister (z.b. für Rechnungsmanagement oder Messdienstleistungen) und Energiehandel (u.a. Broker, Börsen, Clearinghäuser) erhalten über definierte Schnittstellen Zugriff auf Erzeuger- und Verbraucherdaten. Die Kommunikation der Daten erfolgt dabei nicht nur über proprietäre, sondern zunehmend auch über standardisierte Kommunikationsprotokolle. Diese Daten können dabei sowohl über private als auch über öffentlich zugängliche Netzwerke (z.b. Internet) übertragen werden. Herausforderungen Eine durch Informations- und Kommunikationstechnologie (IKT) unterstützte intelligente Strominfrastruktur ist durch ihre Flexibilität unerlässlich für die Verwirklichung zukunftsfähiger Energie-Szenarien. Durch den vermehrten Einsatz von IKT und die damit verbundene erhöhte Anzahl von Schnittstellen im Energienetz entstehen aber auch neue Sicherheitsrisiken in Bezug auf Netzverfügbarkeit, Systemintegrität und Datenschutz. Der Gesetzgeber hat weitgehend auf Vorgaben, die Kommunikationswege, ihre konkrete operative Ausgestaltung oder ihre technische Einbindung betreffend, verzichtet. Trotz fehlender Standards und Leitlinien, die sich auf ihre Eignung hin kritisch betrachten ließen, ist es bereits durch erste Smart-Meter-Rollouts möglich, ein ausreichend genaues Bild der involvierten Prozesse zu zeichnen, wodurch auch ein entscheidender Punkt unter die Lupe genommen werden kann: die neuen Risiken. Regulatorische Änderungen Zunächst ist wichtig zu wissen, was de lege lata eigentlich gefordert wird: 21 EnWG regelt, über welche Mindestfunktionen ein intelligentes Messsystem (bestehend aus Zähler und Gateway) verfügen muss, einzig die Ausstattung bedarf noch eines detaillierten Branchenkonsenses. Abb. 1 Klassisches Energienetz Smart Grid Kohle Solarenergie Energiespeicher Energieversorger Wasserkraft Kernenergie Energieversorger Kohle Wasserkraft Solarenergie Windenergie Energiespeicher Kernenergie Windenergie Solarenergie Energiespeicher Elektromobilität Windenergie Übertragung/Verteilung von Energie in eine Richtung Bidirektionale Übertragung/Verteilung von Energie und Informationen Energieverbraucher Energiefluss Periodischer Informationsfluss Kontinuierlicher Informationsfluss 12

13 Das Aufkommen intelligenter Zähler konfrontiert die Versorger mit einem neuen Sicherheitsproblem. Gemäß 21 lit. e EnWG haben Messsysteme zur Gewährleistung von Datenschutz, Datensicherheit und Interoperabilität den folgenden Anforderungen zu genügen: Zur Datenerhebung, -verarbeitung, -speicherung, -prüfung und -übermittlung dürfen ausschließlich solche technischen Systeme und Bestandteile eingesetzt werden, die zum einen den Anforderungen von Schutzprofilen entsprechen sowie zum anderen besondere Anforderungen an die Gewährleistung von Interoperabilität erfüllen. Die an der Datenübermittlung beteiligten Stellen haben dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit und Integrität der Daten sowie die Feststellbarkeit der Identität der übermittelnden Stelle gewährleisten. Im Falle der Nutzung allgemein zugänglicher Kommunikationsnetze sind Verschlüsselungsverfahren anzuwenden, die dem jeweiligen Stand der Technik entsprechen. Gemäß 21 lit. g EnWG dürfen die Erhebung, Verarbeitung und Nutzung personenbezogener Daten aus dem Messsystem oder mithilfe des Messsystems ausschließlich durch zum Datenumgang berechtigte Stellen 1 erfolgen und nur geschehen, soweit dies erforderlich ist für 1. das Begründen, inhaltliche Ausgestalten und Ändern eines Vertragsverhältnisses auf Veranlassung des Anschlussnutzers; 2. das Messen des Energieverbrauchs und der Einspeisemenge; 3. die Belieferung mit Energie einschließlich der Abrechnung; 4. das Einspeisen von Energie einschließlich der Abrechnung; 1 Zum Datenumgang berechtigt sind gem. 21 lit. g EnWG der Messstellenbetreiber, der Netzbetreiber und der Lieferant sowie die Stelle, die eine schriftliche Einwilligung des Anschlussnutzers, die den Anforderungen des 4a des Bundesdatenschutzgesetzes genügt, nachweisen kann. Für die Einhaltung datenschutzrechtlicher Vorschriften ist die jeweils zum Datenumgang berechtigte Stelle verantwortlich. 5. die Steuerung von unterbrechbaren Verbrauchseinrichtungen in Niederspannung; 6. die Umsetzung variabler Tarife einschließlich der Verarbeitung von Preis- und Tarifsignalen für Verbrauchseinrichtungen und Speicheranlagen sowie der Veranschaulichung des Energieverbrauchs und der Einspeiseleistung eigener Erzeugungsanlagen; 7. die Ermittlung des Netzzustandes in begründeten und dokumentierten Fällen; 8. das Aufklären oder Unterbinden von Leistungserschleichungen. Offene Baustellen und damit Wegweiser dafür, was noch an zusätzlichen Regelungen zu erwarten ist sind Fragen ob der Einbindung von Energiespeichern im Allgemeinen, Nachtspeicherheizungen und Wärmepumpen sowie Lademodulen von Elektromobilen. Hier existieren noch keine Regelungen anders im Einsatzbereich der erstgenannten Pflichteinbau-Fallgruppen für Strom und Gas. Sicherheit als kritischer Erfolgsfaktor Das Smart Grid stellt per se eine cyberkritische Infrastruktur dar, deren Störung oder Ausfall schwerwiegende wirtschaftliche oder gesellschaftliche Schäden nach sich ziehen kann. Es ist daher ein umfassendes IT-Sicherheitskonzept erforderlich, welches physische, technische sowie administrative Maßnahmen zur kontinuierlichen Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit aufeinander abstimmt und in sich vereint. Die besonderen Eigenschaften einer komplexen und integrierten Lieferkette müssen dabei berücksichtigt werden. Technische Herausforderungen Infrastruktur Smart Grids unterscheiden sich im Wesentlichen von einem klassischen Energienetz darin, dass sie einer dezentralen Struktur folgen und aus einer Vielzahl heterogener, komplex vernetzter und dynamischer Systeme bestehen. Vertikale Geschäftsprozesse in den Unternehmen erschweren die Trennung vertrauenswürdiger Prozesssteuerungsnetze von nicht-vertrauenswürdigen Unternehmensnetzen (z.b. innerbetriebliches Reporting). Um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten für Versorgungs- und Steuerungsprozesse zu gewährleisten, ist die Umsetzung einer effektiven Sicherheitsarchitektur erforderlich, welche geeignete physische, technische und administrative Maßnahmen aufeinander abgestimmt vorsieht. Die Einhaltung von Industriestandards (wie z.b. ANSI/ISA ) sollte berücksichtigt werden. 13

14 Abb. 2 Attacker Sophistication Accidental Discovery Malware Insider Applikationen Interoperabilität ist eine wesentliche Voraussetzung für die Realisierung von Smart Grids. In einem Smart Grid werden Mess- und Verbrauchsdaten über eine gemeinsame Kommunikationsinfrastruktur übertragen. Durch den Einsatz von serviceorientierten Softwarearchitekturen können Erzeuger, Händler, Dienstleister und Verbraucher prozessrelevante Daten in einer heterogenen IT-Landschaft über sog. Web Services übertragen. Die Entwicklung solcher Applikationen erfordert hohe Qualitätssicherungsstandards und die Einhaltung formaler Prozesse der Softwareentwicklung (SDLC 2 ), um sicherheitsrelevante Funktionen bereits im Softwareentwurf zu berücksichtigen und Programmierungsfehler frühzeitig zu erkennen und zu beseitigen. Sofern vorhanden, ist die Umsetzung der Vorgaben aus Schutzprofilen nach ISO und aus speziell für Smart-Grid-Komponenten entwickelten technischen Richtlinien (z.b. BSI TR-03109) bei der Softwareentwicklung zu beachten. Kommunikation Zur Steuerung der Prozesse im Bereich Energieerzeugung, -übertragung und -verteilung kommen sog. SCADA 3 -Netze zum Einsatz, die nicht wie bislang in der Industrieautomation üblich isoliert betrieben werden, sondern Systeme der einzelnen Funktionsbereiche auch beispielsweise über das Internet miteinander verbinden. Die Kommunikation erfolgt dabei nicht nur über proprietäre, sondern zunehmend auch über standardisierte Kommunikationsprotokolle. Es müssen Maßnahmen zur Sicherstellung von Vertraulichkeit und Integrität übertragener sowie gespeicherter Daten bereitgestellt werden. Ein kontinuierliches Vulnerability Management ermöglicht zudem die frühzeitige Identifikation, Bewertung und Korrektur von infrastrukturellen sowie applikationsspezifischen Schwachstellen. Lone Hacker/ Hobbyist Business Partner 'Script kiddy' Disgruntled ex-it Administrator Competitor Disgruntled Customer Disgruntled ex-employee State-sponsored Cyber Warfare Organised Crime Hacker Collectives Cyber Terrorism 'Hacktivism' Compliance Im Gegensatz zum klassischen Energienetz werden die Funktionsbereiche eines Smart Grid von einer Vielzahl unterschiedlicher, potenziell nicht vertrauenswürdiger Geschäftspartner abgewickelt, die prozessrelevante Daten untereinander austauschen. Die Einhaltung einheitlicher Sicherheitsstandards (z.b. gemäß ISO oder BSI 100-1) ist daher für einen sicheren Betrieb des Smart Grid unabdingbar. Darüber hinaus sind die Umsetzung und Gewährleistung von geltenden Datenschutzbestimmungen zwingend notwendig, um Kunden- und Verbrauchsdaten zwischen Geschäftspartnern kooperativ austauschen zu können. Notfallmanagement Aufgrund der hohen Komplexität des Gesamtsystems und der Abhängigkeiten zwischen den Teilsystemen sind Folgeschäden, z.b. hervorgerufen durch sog. Kaskadeneffekte, nur schwer abschätzbar. Maßnahmen zum Notfallmanagement (BCM 4 ), welche systemische Interdependenzen bei der Risikoanalyse berücksichtigen, sind daher zwingend erforderlich. Bedrohungen im Bereich Cyber Security Ein Smart Grid ist einer Vielzahl von Bedrohungen ausgesetzt. Durch die zunehmende Abhängigkeit von Informations- und Kommunikationstechnologien zur Gewährleistung der Versorgungssicherheit im Smart Grid sowie zur Realisierung von Dienstleistungen geht von gezielten Cyber-Angriffen eine besonders große Gefahr aus. Aufgrund der wirtschaftlichen und gesellschaftlichen Bedeutung von Smart Grids ist zu erwarten, dass intelligente Stromnetze in Zukunft weniger durch Hobby -Hacker, sondern vermehrt durch Cyber-Aktivisten, cyberterroristische Vereinigungen, organisierte Kriminalität und ausländische Regierungen 5 angegriffen werden. Diese Angreifer zeichnen sich vor allem durch ein hohes technisches Fachwissen, hohe Motivation, diszipliniertes Verhalten und große finanzielle Ressourcen aus. Angriffe, die sich aus sog. Advanced Persistent Threats (APT) ergeben, erfolgen gezielt, koordiniert und über einen langen Zeitraum (Abb. 2). Obwohl die Manipulation von Smart-Meter-Daten auf der Verbraucherseite (Cyber Fraud) auch eine große Bedrohung darstellt, gehen von gezielten Angriffen auf die Smart-Grid-Infrastruktur weitaus größere Gefahren aus. Auf der nächsten Seite sind einige relevante Angriffe aufgeführt. Attacker Determination 2 Software Development Life Cycle. 3 Supervisory Control and Data Acquisition. 4 Business Continuity Management. 5 Z.B. im Kontext von Cyber-Kriegsführung. 14

15 Denial of Service (DoS) DoS-Angriffe auf Internetgateways beim Verbraucher (z.b. Smart Metering Gateway ) sowie auf interne Netze von Industrieautomationsanlagen können zur Unterbrechung der Stromversorgung führen. Malware Hijacking einzelner Systeme in Industrieautomationsanlagen durch gezielte Installation von Malware kann zur Fremdsteuerung von Prozessen und zum Verlust sensibler Daten führen. Poisoning Poisoning von internen Infrastrukturdiensten (z.b. DNS Cache Poisoning ) kann zur Übernahme von Diensten sowie zur Störung oder zum Ausfall des Prozessbetriebes führen. Exploitation Das Ausnutzen von Softwareschwachstellen kann zur Übernahme und Fremdsteuerung von Systemen in Industrieautomationsanlagen führen. Industrieautomationsanlagen haben in der Regel einen langen kontinuierlichen Betrieb, der auf langen Wartungsintervallen beruht. Nur in großen Zeitabständen können bekannte Schwachstellen durch Anwendung entsprechender Patches beseitigt werden, weshalb sich lange Zeiträume ergeben, in denen Angreifer die Möglichkeit haben, Schwachstellen auszunutzen. Man-in-the-Middle Kommunikationsprotokolle, die in SCADA-Netzen eingesetzt werden, können unter Umständen bei der Übertragung in Netzwerken abgehört, aufgezeichnet, ggf. entschlüsselt, modifiziert und übertragen werden. So kann z.b. ein Angreifer durch gezielte Modifikation von Registerwerten eines Programmable Logic Controller (PLC) ein inkonsistentes Prozessbild auf der Master Terminal Unit (MTU) eines SCADA-Netzes erzeugen und auf den falschen Werten basierend inkorrekte Steueranweisungen an die PLCs verursachen mit dem Ziel, den Prozess in einen undefinierten Zustand überzuführen. Cyber Security für Smart Grids Unternehmen, die innerhalb eines Smart Grid operieren, müssen Risiken verstehen, Bedrohungen identifizieren, Maßnahmen, um bekannte Bedrohungen zu adressieren, umsetzen sowie die Fähigkeit besitzen, zeitnah und effektiv auf Cyber-Bedrohungen zu reagieren. Auf Grundlage einer speziell für Smart Grids entwickelten Risk Map können unternehmensspezifische Herausforderungen und Risikobereiche identifiziert werden. Dadurch ist es möglich, Maßnahmen zur Risikoreduktion zu priorisieren und Prozesse sowie Kontrollen kosteneffektiv in die Gesamtlösung zu integrieren. Ein effektives Informationssicherheits-Managementsystem (ISMS) ist darüber hinaus notwendig, um Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren und kontinuierlich zu verbessern (Abb. 3). Abb. 3 Technische, Prozess- & Governance- Kontrollen 3 Cyber Threat Prevention and Monitoring Präventive und detektive Technologien 2 Cyber Threat Intelligence (CTI) Smart Grid Cyber Security 4 Cyber Incident Response 1 Smart Grid Risk Assessment Availability Integrity Data Protection Regulatory Compliance 2 Entwurf und Implementierung von 3 Entwurf und Implementierung von Anwendungsfällen in Bezug auf physischen, technischen und administrativen 4 Cyber Espionache, APTs, Kontrollen auf Basis Clandestine -Aktivitäten sowie des Risk Assessment Insider-Bedrohungen Beschaffung und Auswertung von Lageinformationen über Cyber- Bedrohungen Benchmarking und Überwachung von Cyber-Aktivitäten Identifikation und Behandlung von Cyber-Vorfällen, Sofortmaßnahmen zur Eindämmung der Bedrohung Analyse von Cyber-Vorfällen (Wer hat was, wann, wie gemacht?) Ableitung von präventiven Maßnahmen zur Vermeidung von identifizierten Cyber-Vorfällen 15

16 Mit der guten alten Zeit des Messwesens dürfte es für immer vorbei sein. Fazit und Ausblick Aufgrund der wirtschaftlichen und gesellschaftlichen Bedeutung stellen Smart Grids in Zukunft ein attraktives Angriffsziel für Hacker dar. Die hohe Komplexität der zugrunde liegenden Kommunikationsinfrastruktur, die Integration einer Vielzahl unterschiedlicher Unternehmen zur Realisierung von Lieferketten und Dienstleistungen, die Nutzung öffentlicher Netzwerke für die Übertragung prozessrelevanter Daten und die zunehmende Konvergenz von proprietären hin zu standardisierten Kommunikationsprotokollen führen zu einer vergrößerten Angriffsfläche, die es einem Angreifer erleichtert, verschiedene Attacken unterschiedlicher Form mit Erfolg durchzuführen. Bislang musste man Energieversorgern in Sachen (Informations-)Sicherheit wenig erklären. Das Aufkommen intelligenter Energiezähler konfrontiert sie nun aber mit neuen Herausforderungen, wobei die anhaltende Datenschutzdebatte den Versorgern erkennbar ungelegen kommt. Das Geschäft mit den Messeinrichtungen lief bislang in stabilen Bahnen und warf für die Messstellenbetreiber garantierte Erlöse ab. Mit der guten alten Zeit des Messwesens dürfte es allerdings für immer vorbei sein. Die Versorger versuchen zwar, einen Großteil der entstehenden Risiken auf die Zählerhersteller abzuwälzen, doch die Endgerätehersteller werden die Messstellenbetreiber mit BSI-konformen Messgeräten nur von kundenseitigen Datenschutzanforderungen freistellen, nicht aber von den generellen Risiken beim Aufsetzen einer föderalen Sicherheitsarchitektur. Bereits jetzt ist absehbar, dass sich Energieverbrauchszähler neben ihrer Funktion als Messgerät immer mehr zu einem Datentresor entwickeln. Mit der Verwendung und dem stetig anwachsenden Zusammenspiel moderner Informations- und Kommunikationstechnologien erwachsen bei der Realisierung von intelligenten Stromnetzen weitere Herausforderungen rund um die Verfügbarkeit, Integrität und Vertraulichkeit von prozessrelevanten sowie kundenspezifischen Daten. Ein ganzheitliches Sicherheitskonzept ist somit notwendig, das sowohl innerbetriebliche als auch zwischenbetriebliche Geschäftsprozesse und Schnittstellen innerhalb einer Lieferkette berücksichtigt, Bedrohungen und Risiken innerhalb eines Unternehmensverbundes identifiziert und diese physisch, technisch und administrativ kontrollieren kann. Wie aktuelle Erfahrungen aus den USA zeigen, kommt es bereits zu ersten Konflikten zwischen den Herstellern von Gateways und Service-Providern, die als Last-Aggregatoren Lastschaltfunktionen in den Haushalten einzelner Energieverbraucher vornehmen müssen: Den Service-Providern ist es derzeit nämlich nicht möglich, die von den Geräteherstellern in den Gateways hinterlegten Schaltwerte zu ändern. Es muss ein tragfähiges Zertifizierungs- und Sicherheitsregime etabliert und Zertifizierungsprozesse müssen definiert werden, die gleichermaßen robust und adaptiv sind. Versorger und Endgerätehersteller sind also gut beraten, aufmerksam die Markterfahrungen zu studieren, die hierzu bereits aus anderen Branchen und anderen Ländern vorliegen. Der Bereich Energy & Resources von Deloitte kann dabei helfen! 16

17 Das könnte Sie auch interessieren Compliance im Wandel Integrated-Compliance- &-Risk-Management als Ansatz für eine gesicherte Zukunft Contract Risk Compliance Mehrwert durch Lizenz- und Vertragsprüfungen Corporate Governance Forum 2/2012 Informationen für Aufsichtsrat und Prüfungsausschuss Deloitte Process Analysis Innovativer Ansatz im Bereich der Datenanalyse Für mehr Informationen Andreas Herzig Tel: +49 (0) Hinweis Bitte schicken Sie eine an wenn Sie Fragen zum Inhalt haben, wenn dieser Newsletter an andere oder weitere Adressen geschickt werden soll oder Sie ihn nicht mehr erhalten wollen. Für weitere Informationen besuchen Sie unsere Webseite auf Die Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft als verantwortliche Stelle i.s.d. BDSG und, soweit gesetzlich zulässig, die mit ihr verbundenen Unternehmen nutzen Ihre Daten im Rahmen individueller Vertragsbeziehungen sowie für eigene Marketingzwecke. Sie können der Verwendung Ihrer Daten für Marketingzwecke jederzeit durch entsprechende Mitteilung an Deloitte, Business Development, Kurfürstendamm 23, Berlin, oder widersprechen, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen. Diese Veröffentlichung enthält ausschließlich allgemeine Informationen und weder die Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft noch Deloitte Touche Tohmatsu Limited ( DTTL ), noch eines der Mitgliedsunternehmen von DTTL oder eines der Tochterunternehmen der vorgenannten Gesellschaften (insgesamt das Deloitte Netzwerk ) erbringen mittels dieser Veröffentlichung professionelle Beratungs- oder Dienstleistungen in den Bereichen Wirtschaftsprüfung, Unternehmensberatung, Finanzen, Investitionen, Recht, Steuern oder in sonstigen Gebieten. Diese Veröffentlichung stellt keinen Ersatz für entsprechende professionelle Beratungs- oder Dienstleistungen dar und sollte auch nicht als Grundlage für Entscheidungen oder Handlung dienen, die Ihre Finanzen oder Ihre geschäftlichen Aktivitäten beeinflussen könnten. Bevor Sie eine Entscheidung treffen oder Handlung vornehmen, die Auswirkungen auf Ihre Finanzen oder Ihre geschäftlichen Aktivitäten haben könnte, sollten Sie einen qualifizierten Berater aufsuchen. Keines der Mitgliedsunternehmen des Deloitte Netzwerks ist verantwortlich für Verluste jedweder Art, die irgendjemand im Vertrauen auf diese Veröffentlichung erlitten hat. Deloitte erbringt Dienstleistungen aus den Bereichen Wirtschaftsprüfung, Steuerberatung, Consulting und Corporate Finance für Unternehmen und Institutionen aus allen Wirtschaftszweigen. Mit einem weltweiten Netzwerk von Mitgliedsgesellschaften in mehr als 150 Ländern verbindet Deloitte herausragende Kompetenz mit erstklassigen Leistungen und steht Kunden so bei der Bewältigung ihrer komplexen unternehmerischen Herausforderungen zur Seite. To be the Standard of Excellence für über Mitarbeiter von Deloitte ist dies gemeinsame Vision und individueller Anspruch zugleich. Deloitte bezieht sich auf Deloitte Touche Tohmatsu Limited, eine private company limited by guarantee (Gesellschaft mit beschränkter Haftung nach britischem Recht), und/oder ihr Netzwerk von Mitgliedsunternehmen. Jedes dieser Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig. Eine detaillierte Beschreibung der rechtlichen Struktur von Deloitte Touche Tohmatsu Limited und ihrer Mitgliedsunternehmen finden Sie auf Deloitte & Touche GmbH Wirtschaftsprüfungsgesellschaft Stand 07/2012