Peter Piwecki und Robert Grey, Webinar, 17. Februar 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen

Transkript

1 Peter Piwecki und Robert Grey, Webinar, 17. Februar 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen wissen? February 17, 2015 Slide 1

2 Agenda Aktueller Lagebericht zur IT-Sicherheit in Deutschland Kernforderungen des neuen IT-Sicherheitsgesetzes Zusammenhang zu anderen IT-Sicherheitsrichtlinien Auswirkungen auf Energieversorgungsunternehmen Vorgehensweise bei der Umsetzung von Maßnahmen February 17, 2015 Slide 2

3 Top 5 Bedrohungen auf ICS (gemäß BSI-Bericht) 1 2 Infektion mit Schadsoftware über Internet und Intranet (2 und 3) Einschleusen von Schadsoftware über Wechseldatenträger (6) 3 Social Engineering (neu) 4 5 Menschliches Fehlverhalten und Sabotage (5) Einbruch über Fernwartungszugänge (1) Platzierung aus dem Jahr 2012 in Klammern. Quelle: February 17, 2015 Slide 3

4 Über den Drucker ins Unternehmensnetzwerk Der Angreifer schickt ein mit Malware sowie einem auf den Drucker abgestimmten Exploit präpariertes Dokument per an Mitarbeiter im auszuspähenden Unternehmen Beim Ausdrucken des Dokuments kommt es dann zur Infektion; diese Art des Angriffs ist schon seit mehreren Jahren bekannt In den wenigsten Unternehmen wurden jedoch Firmware-Updates auf Druckern installiert, so dass sich in der Praxis reichlich verwundbare Geräte finden lassen HP LaserJet P2055 Ist die Malware aktiv, baut sie einen Tunnel zu einem Server auf und erwartet von dort weitere Kommandos Da der Drucker ein vollwertiges Betriebssystem mitbringt, kann der Angreifer das Netzwerk scannen February 17, 2015 Slide 4

5 Relevante Normen für Energieversorgungsunternehmen IT-Sicherheitsgesetz Gesetzliche Grundlagen KonTraG 91 EnWG 11 vom BMWi BSI-Gesetz vom BMI ICS Security Kompendium IT-Sicherheitskatalog (Netze) BDEW Whitepaper Maßnahmen IT- Grundschutz DIN ISO/IEC DIN ISO/IEC DIN SPEC Zertifizierung DIN ISO/IEC February 17, 2015 Slide 5

6 BSI als zentrale Informationssicherheitsbehörde BSIG EnWG IT-SK Entwicklung des BSI (unter dem Dach des BMI) hin zur einer nationalen Informationssicherheitsbehörde mit erweiterten Aufgaben und Rechten: Zentrale Anlaufstelle für IT-Sicherheit in Deutschland und für die Zusammenarbeit mit ausländischen Sicherheitsbehörden Sammlung und Auswertung von Informationen über Sicherheitsrisiken und Sicherheitsvorkehrungen Unverzügliche Warnung von Betreibern Kritischer Infrastrukturen, Aufsichtsbehörden des Bundes und der Länder Verbindliche Bestimmung von Kritischen Infrastrukturen durch eine Rechtsverordnung des BMI im Einvernehmen mit anderen Bundesministerien (gemäß 10 Abs. 1 BSI-Gesetz) Quelle: February 17, 2015 Slide 6

7 Schutz von Kritischen Infrastrukturen BSIG EnWG IT-SK Verpflichtungen für Betreiber von Kritischen Infrastrukturen (gemäß 8a bis 8b BSI-Gesetz): Umsetzung von angemessenen organisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen; spätestens 2 Jahre nach Inkrafttreten der Rechtsverordnung Nachweis der Einhaltung von branchenspezifischen Normen durch Sicherheitsaudits, Prüfungen oder Zertifizierungen Ernennung einer Kontaktperson für das BSI; spätestens 6 Monate nach Inkrafttreten der Rechtsverordnung Pseudonymisierte Meldung von erheblichen Störungen (= eingeschränkte Funktionsfähigkeit oder Funktionsverlust) Keine Anwendung von 8a bis 8b auf Kleinstunternehmen sowie auf Betreiber von Energieversorgungsnetzen und Energieanlagen im Sinne des EnWG Quelle: February 17, 2015 Slide 7

8 Schutz von Energieversorgungsnetzen und -anlagen BSIG EnWG Schutz von Telekommunikations- und EDV-Systemen, die für einen sicheren Netzbetrieb notwendig sind ( 11 Abs. 1a EnWG) Kein Spielraum mehr beim Nachweis eines angemessenen Schutzes, da der IT-Sicherheitskatalog als Mindeststandard einzuhalten ist Einführung des Abs. 1b für Betreiber von Energieanlagen: IT-SK Ähnliche Anforderungen wie für Betreiber von Energieversorgungsnetzen, jedoch ein separater Katalog Umsetzung innerhalb von 2 Jahren nach Inkrafttreten der Rechtsverordnung Einführung des Abs. 1c für die pseudonymisierte Meldung von erheblichen Störungen Quelle: February 17, 2015 Slide 8

9 Kernforderungen des IT-Sicherheitskatalogs (Netze) BSIG EnWG IT-SK Einführung eines ISMS (Informationssicherheits- Managementsystem) gemäß DIN ISO/IEC Zertifizierung des ISMS durch eine unabhängige und hierfür akkreditierte Stelle sowie eine Re-Zertifizierung alle 3 Jahre Ernennung eines IT-Sicherheitsbeauftragten als Ansprechpartner für die Bundesnetzagentur innerhalb von 2 Monaten nach Veröffentlichung Umsetzung des IT-Sicherheitskatalogs unabhängig von der Größe oder der Anzahl der angeschlossenen Kunden des Netzbetreibers innerhalb von 12 Monaten nach Veröffentlichung February 17, 2015 Slide 9

10 Sicherheitskategorien im IT-Sicherheitskatalog (Netze) Kategorien im IT-Sicherheitskatalog (Entwurf vom Dezember 2013) DIN ISO/IEC (Stand 2008) DIN SPEC (Stand 2012) I Sicherheitsleitlinie 5 II Organisation der Informationssicherheit , 6.1.7, 6.2.1, 6.2.2, III Management von organisationseigenen Werten , 7.1.2, IV Personalsicherheit , 8.1.2, V Physische und umgebungsbezogene Sicherheit 9 VI Betriebs- und Kommunikationsmanagement 10 VII Zugangskontrolle 11 VIII Beschaffung, Entwicklung und Wartung von Informationssystemen IX Umgang mit Informationssicherheitsvorfällen , 9.1.2, 9.1.7, 9.1.8, 9.1.9, 9.2.1, 9.2.2, , , , , , , , 10.11, , , , , , , X Sicherstellung des Geschäftsbetriebes , 14.2 XI Einhaltung von Vorgaben (Compliance) February 17, 2015 Slide 10

11 Beispiel: Zugangskontrolle (DIN SPEC 27009) 11 Zugangskontrolle 11.3 Benutzerverantwortung Passwortverwendung Umsetzungsrichtlinie für die Energieversorgung Im Prozesssteuerungsumfeld ist es nicht immer möglich, die Nutzung von sicheren Passwörtern zu gewährleisten, z.b.: Altsysteme erlauben oftmals keine individuellen Passwörter bzw. Passwörter mit einer ausreichenden Stärke. Systeme, die in dezentralen Anlagen, wie z.b. Stationen oder in der dezentralen Erzeugung betrieben werden, können häufig nicht an zentrale Verzeichnisdienste angebunden werden, sodass lokale Konten und Passwörter verwendet werden müssen. Hierdurch sind regelmäßige Passwortänderungen in der Regel nicht praktikabel. Daher sollte für die Anwender klar herausgestellt werden, wann die allgemeine Passwortrichtlinie angewandt wird und wo abweichende Passwörter zu verwenden sind. Gerade wenn ein System nur ein Passwort für allgemeine Zugriffe besitzt, sollte das Passwort so sicher wie möglich gewählt werden. Speziell die Standardpasswörter der Hersteller sollten als unsicher und bekannt betrachtet werden. Der Zugriff auf das Passwort sollte nur für die Personen möglich sein, die in den Betrieb des Systems involviert sind. February 17, 2015 Slide 11

12 Schritte zum nachhaltigen Systemschutz Vorgehensweise bei der Umsetzung von Maßnahmen: 1. Unterstützung des Managements sichern 2. Netzstrukturplan erstellen 3. Schutzbedarf ermitteln 4. Risiken erfassen und bewerten 5. Maßnahmen erarbeiten 6. Kosten und Aufwand abschätzen 7. Maßnahmen priorisieren 8. Verantwortlichkeiten festlegen 9. Umsetzung überwachen Betroffenheit des Betreibers 1 Zertifizierung 2 Systemzustand erfassen Komponenten verbessern Regelkonformität kontrollieren System proaktiv schützen System überwachen February 17, 2015 Slide 12

13 Schritte zum nachhaltigen Systemschutz 1 Systemzustand erfassen Eine Momentaufnahme des Systems unter folgenden Sicherheitsaspekten: Physikalische Sicherheit Prozesse und Verantwortlichkeitsbereiche Organisation und Mitarbeiter Zugangsmanagement (z.b. für Wartungsarbeiten) Firewalls und Netzwerkarchitektur Konfiguration von Servern und Workstations Software- und Hardware-Updates (Patch-Management) Antivirus-Software Dokumentation February 17, 2015 Slide 13

14 Schritte zum nachhaltigen Systemschutz 2 Komponenten verbessern Abgeleitet aus der Momentaufnahme bzw. aus der aktuellen Dokumentation werden Maßnahmen für eine sichere Infrastruktur umgesetzt, z.b.: Einführung eines Zonenmodells nach dem Defence-in-Depth-Prinzip Implementierung von Firewalls zwischen den Zonen Sicherstellung eines personifizierten Fernzugriffs Nutzung sicherer Netzwerkprotokolle (z.b. SSH anstatt Telnet) Aktivierung von Log-Mechanismen Ernennung eines IT-Sicherheitsbeauftragten Erstellung einer Backup-Strategie February 17, 2015 Slide 14

15 Schritte zum nachhaltigen Systemschutz 3 System überwachen Automatisierte Systemüberwachung und Protokollierung an einer zentralen Stelle: Hostüberwachung: Ereignis-Logs, Prozesse, Ressourcen, Server und Workstations Geräteüberwachung: Ping, SNMP, Syslog, RTUs, Switche und Router Netzwerküberwachung: TCP/IP-basierte Kommunikationsprotokolle (z.b. IEC , IEC 61850, DNP 3.0, Modbus, ICCP) Überwachung innerhalb eines LAN-Segments February 17, 2015 Slide 15

16 Schritte zum nachhaltigen Systemschutz 4 System proaktiv schützen Systemschutz umfasst folgendes: Zugangsmanagement Antiviren-Software (für Windows) Whitelisting nach dem Need-to-Know-Prinzip Patchmanagement: Security-Updates für Applikationen, Betriebssysteme und Third-Party-Produkte Regelmäßige Durchführung von Awareness- Schulungen für die Mitarbeiter (z.b. einmal pro Jahr) February 17, 2015 Slide 16

17 Schritte zum nachhaltigen Systemschutz 5 Regelkonformität kontrollieren Das Sicherheitsmanagementsystem beinhaltet: Einhaltung von Regelwerken: BDEW Whitepaper, DIN ISO/IEC 27002, DIN SPEC 27009, IT-Grundschutz, ICS Security Kompendium Unternehmenseigene Sicherheitsrichtlinien Asset-Management für Systemkomponenten: Erfassung und Verwaltung relevanter Komponenten Beschaffung, Inbetriebnahme und Service Change-Management: Rückverfolgbarkeit von Software-Änderungen (z.b. Konfiguration bei Betriebssystemen und Applikationen) Systemwiederherstellung (Backup- und Recovery- Konzept) February 17, 2015 Slide 17

18 ABB, Ihr Partner auf dem Weg zur Zertifizierung Portfolio von ABB: Security-Assessment (Fingerprint) und Workshop Sichere Netzwerk- und Gerätekonfiguration Patch-Management (u.a. für Windows) Antiviren- und Whitelisting-Software Lösung für Sicherheitsinformations- und Ereignis-Management (SIEM) Managed-Services für Asset- und Compliance-Management Backup- und Recovery-Support Awareness-Schulungen Betroffenheit des Betreibers 1 Zertifizierung 2 Systemzustand erfassen Komponenten verbessern Regelkonformität kontrollieren System proaktiv schützen System überwachen February 17, 2015 Slide 18

19 Ansprechpartner bei Fragen Peter Piwecki (mobil) Robert Grey (mobil) Kai-Uwe Böhm (mobil) February 17, 2015 Slide 19

20 17. Februar 2015 Slide 20