Workshop 8 Informationssicherheit kritischer Infrastrukturen: Wie schützen wir unsere moderne Gesellschaft?

Transkript

1 Workshop 8 Informationssicherheit kritischer Infrastrukturen: Wie schützen wir unsere moderne Gesellschaft? ver.di Digitalisierungskongress 2018 Jan Feldhaus / Teamleiter Managementsysteme / DVGW CERT GmbH

2 Themen Gesetzliche Rahmenbedingungen Was sind kritische Infrastrukturen? Was bedeutet Informationssicherheit für kritische Infrastrukturen? Was ist Informationssicherheitsmanagement? Welche Auswirkungen haben Informationssicherheitsmanagementsysteme auf die Ressourcen? Wie steht es um Kosten und Nutzen, um Risiken und Chancen?

3 Verletzlichkeitsparadoxon Der Umstand, dass sich mit zunehmender Robustheit und geringerer Störanfälligkeit ein durchaus trügerisches Gefühl von Sicherheit entwickelt und die Auswirkungen eines Dennoch-Störfalls überproportional hoch sind, wird als Verletzlichkeitsparadoxon bezeichnet. (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe)

4 Gesetzliche Rahmenbedingungen

5 Gesetzliche Rahmenbedingungen Evolution des Bewusstseins USA: Bereits 1996 Critical Infrastructure Protection Program EU: 2004 European Programme for Critical Infrastructure Protection (EPCIP) EU: Direktive EU COM (2006) 786 D: 2009 Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie) vom Bundesministerium des Inneren D: 2009 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik D: 2011 Cybersicherheitsstrategie für Deutschland D: 2015 IT-Sicherheitsgesetz (IT-SiG) EU: 2016 NIS-Richtlinie D: 2016: Cybersicherheitsstrategie 2016 D: 2016/2017 BSI-Kritisverordnung (BSI-KritisV)

6 Gesetzliche Rahmenbedingungen Das IT-SiG umfasst Änderungen an: BSI-Gesetz (BSIG) Atomgesetz (AtG) Energiewirtschaftsgesetz (EnWG) Telemediengesetz (TMG) Telekommunikationsgesetz (TKG) Bundesbesoldungsgesetz (BBG) Bundeskriminalamtgesetz (BKAG)

7 Gesetzliche Rahmenbedingungen 8a BSIG Sicherheit in der Informationstechnik Kritischer Infrastrukturen (1) angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme, Komponenten oder Prozesse. Dabei soll der Stand der Technik eingehalten werden. (2) branchenspezifische Sicherheitsstandards (3) mindestens alle zwei Jahre die Erfüllung dieser Anforderungen auf geeignete Weise nachweisen (4) Aufstellung der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel an das BSI übermitteln (5) das BSI kann Anforderungen an Ausgestaltung des Verfahrens stellen ver.di-digitalisierungskongress Jan Feldhaus DVGW CERT GmbH

8 Was sind kritische Infrastrukturen?

9 Was sind kritische Infrastrukturen Die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) definiert wer Betreiber Kritischer Infrastruktur im Sinne des BSIG ist. Bewertung erfolgt aufgrund einer Methodik: 1. Welche Dienstleistung ist wegen ihrer Bedeutung kritisch? 2. Welche Anlagen werden für die Erbringung kritischer Dienstleistungen benötigt? 3. Ab welchem Versorgungsgrad ist die Anlage für die kritische Dienstleistung kritisch? Schwellenwerte (Einwohnereinheiten) nicht die Größe des Versorgungsgebiets

10 Was sind kritische Infrastrukturen Korb 1 ( ) Korb 2 ( ) Sektor Lebensmittel ( 4 BSI- KritisV) Lebensmittelversorgung Sektor Energie ( 2 BSI-KritisV) Stromversorgung Gasversorgung Kraftstoff- und Heizölversorgung Fernwärmeversorgung Die Netzgebundene Energieversorgung ist über das EnWG geregelt. Die Vorgaben und Kotrollen werden von der BNetzA geregelt. Medizinische Versorgung / Pflege Sicherung von Finanzen und Finanzflüssen Sektor IT & TK ( 5 BSI-KritisV) Sprach- und Datenübertragung Datenspeicherung und -verarbeitung Sektor Wasser ( 3 BSI-KritisV) Trinkwasserversorgung Abwasserbeseitigung Personen- und Güterverkehr

11 Was sind kritische Infrastrukturen Wie hoch sind die Schwellenwerte der kritischen Infrastrukturen in den Sektoren Energie und Wasser? Festlegung Regelschwellwerte: versorgte Personen / Jahr Strom: Gas: Erzeugung: 420 MW Netz: GWh/Jahr Erzeugung / Förderung: 5190 GWh/Jahr Netz: 5190 GWh/Jahr Wasser: Gewinnung / Aufbereitung: 22 Mio m 3 /Jahr Abwasser: Verteilung: 22 Mio m 3 /Jahr Einwohner Einwohnergleichwerte

12 Was bedeutet Informationssicherheit für kritische Infrastrukturen?

13 Was bedeutet Informationssicherheit? Informationssicherheit was ist das? Informationssicherheit hat den Schutz von Informationen als Ziel. Dabei können Informationen sowohl auf Papier, in Rechnern oder auch in Köpfen gespeichert sein. IT-Sicherheit beschäftigt sich an erster Stelle mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung. Der Begriff "Informationssicherheit" statt IT-Sicherheit ist daher umfassender und wird zunehmend verwendet. Da aber in der Literatur noch überwiegend der Begriff "IT-Sicherheit" zu finden ist, wird er auch in dieser sowie in anderen Publikationen des IT-Grundschutzes weiterhin verwendet, allerdings werden die Texte sukzessive stärker auf die Betrachtung von Informationssicherheit ausgerichtet. ( / Stand )

14 Was bedeutet Informationssicherheit? Gewährleistung der Versorgungssicherheit Schutz der informationstechnischen Systeme, Komponenten, Prozesse und Daten Materielle, personelle und organisatorische Maßnahmen Ganzheitliche Betrachtung der angestrebten Schutzziele (Sicherheitskonzept) Sicherheitskonzept Orginäre IT-Sicherheit Physischer Zugriffsschutz Zutrittskonzept Brandschutz usw. Berücksichtigung notwendiger Schutzmaßnahmen Planung und Erstellung Beschaffung Beauftragung von Dienstleistungen

15 Was bedeutet Informationssicherheit? Verfügbarkeit Ausfälle/Ausfallzeiten der informationstechnischen Systeme, Komponenten oder Prozesse zu vermeiden und ein Zugriff auf die relevanten Daten jederzeit zu ermöglichen Integrität unautorisierte Modifikation der informationstechnischen Systeme, Komponenten oder Prozesse und ihrer Daten zu verhindern Authentizität Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit der Daten und ihrer Herkunft zu gewährleisten Vertraulichkeit Informationen vor unbefugter Preisgabe zu schützen

16 Was bedeutet Informationssicherheit? Risiken für die Informationssicherheit Irrtum Unachtsamkeit Identitätsdiebstahl Social Engineering Informationssicherheit Hacking Wirtschaftsspionage Malware

17 Was bedeutet Informationssicherheit? Problemstellungen in der Informationssicherheit Wer kommuniziert mit wem Cloud-Nutzung Schatten-IT Kein Hacking geplantes Vorgehen Fehlender Soll-Ist Vergleich Nutzung sozialer Netzwerke Fehlende Regelungen Nutzung privater Geräte Unzureichende Dokumentation

18 Was ist Informationssicherheitsmanagement?

19 Was ist Informationssicherheitsmanagement? Organisatorische Anforderungen Sicherstellung das Stand der Technik (für IT-Systeme) erreicht und aufrechterhalten wird Verantwortung für Informationssicherheit liegt bei der obersten Leitung der Organisation Festlegen von Verantwortlichkeiten und Befugnissen innerhalb der Organisation Organisation nach der Top-Down-Methode Überwachung der Einhaltung unterliegt der obersten Leitung Zwingend erforderlich sind Verfahren zur Steuerung, Kontrolle und Verbesserung der Informationssicherheit

20 Was ist Informationssicherheitsmanagement? Dokumentation der Assets Festlegen des Geltungsbereichs IT-Komponenten, Systeme sowie Prozesse Beschreibung Verwendungszweck, Schnittstellen und Aufstellungsort Aufbau der Dokumentation muss eindeutige Identifizierung und Lokalisierung der Systeme ermöglichen z.b. generischer Netzplan mit IT Systemen

21 Was ist Informationssicherheitsmanagement? Grundsätzliches Identifizierung der (mit der IT verbundenen) Risiken beim Betrieb der Anlagen und den Schutz der kritischen Dienstleistung (kdl) Ermittlung geeigneter Maßnahmen zur Vermeidung bzw. Minderung von Risiken

22 Was ist Informationssicherheitsmanagement? Risikoanalyse Ermittlung der Eintrittswahrscheinlichkeiten von Gefährdungen Spezifisch für jede Anlage zu definieren, d.h. nicht nur allgemein für die Organisation Risiken im Hinblick auf Einschränkung, Gefährdung bzw. Ausfall einer Anlage betrachten Es wird nicht die Schadenshöhe ermittelt, sondern der Einschränkungsgrad des Anlagenbetriebs bei Eintritt einer möglichen Störung Oberstes Ziel ist immer der Schutz der kritischen Dienstleistung und deren Bereitstellung.

23 Was ist Informationssicherheitsmanagement? Risikobewertung Risikobestimmung aus Eintrittswahrscheinlichkeit und Einschränkungsgrad Kriterien der Risikoakzeptanz sind nur begrenzt frei definierbar Für kritische Infrastrukturen gilt: Akzeptanz eines Risikos, das eine mittlere oder hohe Eintrittswahrscheinlichkeit hat und zum Ausfall einer Anlage führt, ist nicht zulässig! Regeln der Risikoakzeptanz und Ergebnisse der Risikobewertung sind zu begründen und revisionssicher zu dokumentieren Verantwortung für die Risikobehandlung bleibt beim Betreiber, auch im Fall von Outsourcing Zusätzliche Risiken die mit dem Outsourcing verbunden sind, müssen entsprechend berücksichtigt werden

24 Was ist Informationssicherheitsmanagement? Festlegung von Maßnahmen Für Maßnahmen die sich auf eine Kritische Infrastruktur im Sinne BSI-KritisV beziehen, ist grundsätzlich der vollständige Maßnahmensatz anzuwenden Maßnahmen die nicht durchgeführt werden, sind dokumentiert zu begründen Begründungen die eine höhere Risikoakzeptanz (Ausfall Anlagenbetrieb) anzeigen, sind nicht zulässig Umsetzung von Maßnahmen Für jede Maßnahme sind Zuständigkeiten, Verantwortlichkeiten und Fristen für die Implementierung festzulegen Festlegungen sind entsprechend zu dokumentieren Inhaltlich korrekte, vollständige sowie fristgerechte Umsetzung ist nachzuverfolgen und zu dokumentieren

25 Was ist Informationssicherheitsmanagement? Überwachung Messen und bewerten von Kennzahlen Bewerten von Zielen und Maßnahmen sowie ableiten neuer Ziele und Maßnahmen Interne Überwachung (z.b. interne Audits) Bewertung des Informationsmanagements durch die oberste Leitung (z.b. Managementbericht / -review)

26 Was ist Informationssicherheitsmanagement? - Verantwortung des Top-Managements - Politik + Ziele festlegen - Rollen, Verantwortlichkeiten und Befugnisse - Ressourcen zur Verfügung stellen - Bewertung durch das Top- Management - Management-Review - Ableitung neuer Ziele - Verwirklichung und Betrieb - Maßnahmen und Verantwortlichkeiten festlegen und umsetzen - Kommunikation innerhalb der Organisation - Überprüfen - Analysieren - Korrektur- und Vorbeugemaßnahmen - Interne Audits

27 Was ist Informationssicherheitsmanagement? Zertifizierung von Informationssicherheitsmanagementsystemen (ISMS) DIN EN ISO/IEC IT-Sicherheitskatalog gemäß 11 EnWG ISO Zertifizierung auf Basis von IT-Grundschutz gemäß BSI Datenschutzgrundschutzverordnung (DGSVO) Bestätigungen gegenüber dem BSI nach 8a BSI-G Keine Zertifizierung Ein Zertifiziertes ISMS kann als Grundlage für den Nachweis verwendet werden Prüfgrundlagen für das Nachweisverfahren sind z.b. Die Orientierungshilfe zum Nachweisverfahren des BSI Branchenspezifische Sicherheitsstandards (B3S)

28 Welche Auswirkungen haben Informationssicherheitsmanagementsysteme auf Ressourcen?

29 Welche Ressourcen werden benötigt? Benötigte Ressourcen Personal Verantwortliche für die Umsetzung und Aufrechterhaltung des Systems 24/7 Meldestelle für das BSI Infrastruktur Sicherungssysteme (z.b. Zugangssysteme, Schließsysteme) EDV-Technik Finanzen Kosten für die Meldung von Sicherheitsvorfällen an das BSI Rücklagen um den Stand der Technik aufrechtzuerhalten Der Ressourcenaufwand ist abhängig von der Organisation und kann somit nicht grundlegend beziffert werden.

30 Welche Ressourcen werden benötigt? 24/7 Meldestelle für das BSI Dauerhafte Erreichbarkeit muss gewährleistet sein, über z.b. Bereitschaftsdienst Leitstelle Kommunikation Innerhalb der Organisation (in beide Richtungen) mit dem BSI (in beide Richtungen) Dokumentierte Informationen Prozesse/Verfahrensabläufe wie bei Meldungen an und vom BSI vorgegangen werden soll Dokumentation der Meldungen

31 Wie steht es um Kosten und Nutzen, um Risiken und Chancen?

32 Kosten und Nutze / Risiken und Chancen Der Gesetzgeber beziffert die Kosten wie folgt Die Verpflichtung zur Einhaltung eines Mindestniveaus an IT-Sicherheit wird dort zu Mehrkosten führen, wo kein hinreichendes IT-Sicherheitsniveau vorhanden ist. (Erläuterungen zum Entwurf des IT-Sicherheitsgesetz) Der Aufwand und damit die Kosten für eine Zertifizierung oder für ein Audit hängen stark von dem gewählten Zertifizierungsverfahren sowie von den jeweiligen Gegebenheiten im Unternehmen ab. (Erläuterungen zum Entwurf des IT-Sicherheitsgesetz) Auch die Verpflichtung zum Betreiben einer Kontaktstelle wird dort zu einem Mehraufwand führen, wo noch keine entsprechende Kontaktstelle vorhanden ist. Die Kosten hierfür hängen von der konkreten Ausgestaltung der Erreichbarkeit durch den Betreiber der Kritischen Infrastruktur ab. (Erläuterungen zum Entwurf des IT-Sicherheitsgesetz)

33 Kosten und Nutze / Risiken und Chancen Der Gesetzgeber beziffert die Kosten wie folgt Da relevante IT-Sicherheitsvorfälle von den Betreibern auch ohne die im Gesetz vorgesehene Meldepflicht untersucht, bewältigt und dokumentiert werden müssen, fällt bei den Bürokratiekosten nur insoweit ein Mehraufwand an, als die Bearbeitung über die ohnehin im Rahmen einer systematischen Bearbeitung relevanten Vorfälle hinausgeht. Auf Grund von Angaben aus der Wirtschaft auf der Grundlage von Berechnungen nach dem Standardkostenmodell werden die Kosten für die Bearbeitung einer Meldung derzeit mit 660 Euro pro Meldung beziffert. (Erläuterungen zum Entwurf des IT-Sicherheitsgesetz)

34 Kosten und Nutze / Risiken und Chancen Die Kosten die durch die gesetzliche Pflicht oder freiwillige Einführung eines ISMS sind immer Abhängig von den vorhandenen Gegebenheiten innerhalb einer Organisation und können daher nicht pauschal beziffert werden. Aber Kosten entstehen i.d.r. durch zusätzliches Personal Investitionen in die Infrastruktur eventuelle notwendige Beratung, Prüfung und Nachweisverfahren

35 Kosten und Nutze / Risiken und Chancen Die Einführung eines ISMS birgt grundsätzlich kein Risiko. Aber Risiken die bei der Einführung eines ISMS auftreten können sind die Organisation bestimmt den Geltungsbereich des ISMS falsch (zu groß / zu klein) Wirtschaftliche Faktoren werden über den Schutz der kritischen Dienstleistung gestellt es wird zu wenig getan (z.b. fehlende Risikoanalyse, den geplanten Maßnahmen wird kein Verantwortlicher zugewiesen, fehlende Notfallplanung) es wird zu viel getan (z.b. unnötige Sicherheitsausstattung) Anwendung des Stand der Entwicklung und nicht des Stand der Technik. (Können Kinderkrankheiten ausgeschlossen werden?)

36 Kosten und Nutze / Risiken und Chancen Es gilt: Wer nichts tut hat schon verloren. Daher, mit der Einführung eines ISMS ergeben sich für jede Organisation Chancen und Nutzen, denn die Organisation hinterfragt sich regelmäßig selbst innerhalb der Organisation wird ein Bewusstsein für den Umgang mit Informationen geschaffen es bietet Schutz vor Angriffen durch Dritte und eine Notfallplanung wird aufgebaut eine relative Rechtssicherheit Schulung der Mitarbeiter

37 Fazit ver.di-digitalisierungskongress Jan Feldhaus DVGW CERT GmbH

38 Fazit Besser gestern als heute! Unabhängig von der Größe der Organisationen, müssen sich diese auf die moderne Welt einrichten, d.h. nicht nur auf Soziale Medien und wie man sich dort präsentiert. Genauso wichtig, wenn nicht wichtiger ist, dass sich die Organisationen für die Gefahren wappnen, die mit der Digitalisierung einhergehen.

39 Vielen Dank für Ihre Aufmerksamkeit DVGW CERT GmbH Jan Feldhaus (Teamleiter Managementsysteme) Josef-Wirmer-Straße Bonn Tel / feldhaus@dvgw-cert.cm Die DVGW CERT GmbH bietet Zertifizierungsverfahren nach DIN EN ISO/IEC Zertifizierungsverfahren nach IT-Sicherheitskatalog gemäß 11 EnWG Prüfungsverfahren gemäß 8a BSI-KritisV (Allgemein und auf Grundlage des B3S-Wasser/Abwasser) Zertifizierung Smart-Meter-Gateway-Administration gemäß BSI

40 Vielen Dank ver.di-digitalisierungskongress Jan Feldhaus DVGW CERT GmbH