Angriff auf das zentrale Nervensystem unserer Gesellschaft Dr. Wolfgang Böhmer Ringvorlesung S2 07, R. 109 TU-Darmstadt, Hochschulstr

Transkript

1 Angriff auf das zentrale Nervensystem unserer Gesellschaft Dr. Wolfgang Böhmer Ringvorlesung S2 07, R. 109 TU-Darmstadt, Hochschulstr Die Cybersicherheit Kritischer Infrastrukturen (KRITIS) im Fokus

2 Agenda Angriff auf das zentrale Nervensystem Motivation zur Absicherung der kritischen Infrastrukturen in Deutschland Sektoren und Körbe sowie Zeitplanung zur Umsetzung der Absicherung Skalierung der Absicherung an Hand der Betroffenheitsmenge >500k Personen Was ist ein ISMS gemäß DIN ISO 27001:2013? Abriss der Auswirkung am Beispiel des Energiesektor (Korb 1) Auswirkung auf den Sektor Staat und Verwaltung UP-Bund Abriss der Auswirkung am Beispiel Staat und Verwaltung (UP-Bund) Fazit all rights reserved by KRITIS Consult GmbH 2

3 Quelle: Das Datennetz der Bundesregierung wird nach Auskunft des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) rund 1,8 Millionen mal pro Jahr angegriffen. Etwa jeden zweiten Tag erfolge ein gezielter geheimdienstlicher Cyberangriff auf das Regierungsnetz, erklärt das BSI. Computervirus legt Klinik in Neuss lahm Samstag fällt das Netz des österreichischen Mobilfunkanbieters A1 immer wieder aus. Cyber-Angreifer überlasten 6. Juli 2016, 12:05 Uhr gezielt das System, viele Sicherheitslücke Hacker Kunden reagieren wütend Cyber-Angriffe auf Regierungsnetz "viel setzt sächsischen Innenminister auf erfolgreicher" als Interpol-Fahndungsliste früher Die Cybersicherheit Kritischer Infrastrukturen (KRITIS) im Fokus Atomkraftwerke Gundremmingen: Cyber-Sicherheit im Kernkraftwerk: Wie gefährlich ist ein Computervirus?

4 Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung BSI-KritisV) Auszug Seite1: Bislang oblag die Bewertung, ob Infrastrukturen für die Versorgung der Allgemeinheit mit wichtigen Dienstleistungen als kritisch anzusehen sind, der Einschätzung des jeweiligen Betreibers all rights reserved by KRITIS Consult GmbH 4

5 Das Gesetzgebungsverfahren zum IT-SIG vom Entwurf bis zur Verabschiedung März 2013 Entwurf IT-SiG 17. Dezember 2014 Entwurf von Bundesregierung beschlossen und dem Bundesrat zugeleitet. Am 27. Februar 2015 wurde der Entwurf des IT-SiG dem Bundestag zugleitet. Am wurde das Gesetz in 2. und 3. Lesung im Bundestag verabschiedet Am 24. Juli 2015 wurde das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) im Bundesgesetzblatt veröffentlicht. Das Gesetz trat am Samstag, den 25. Juli 2015 in Kraft* all rights reserved by KRITIS Consult GmbH 5

6 IT-SIG, BSI-Gesetzt und kritische Infrastrukturen...und die Folgen Als Kernbestandteil sehen die neu eingefügten 8a und 8b des BSI-Gesetzes vor, dass informationstechnische Systeme, die für die Funktionsfähigkeit von Kritischen Infrastrukturen maßgeblich sind, von den jeweiligen Betreibern durch die Umsetzung von Mindestsicherheitsstandards abzusichern und erhebliche IT-Vorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden sind. Spiegelbildlich zu den besonderen Pflichten ergeben sich aus den 3 Absatz 3 und 8b Absatz 2 Nummer 4 des BSI- Gesetzes für Betreiber Kritischer Infrastrukturen besondere Rechte all rights reserved by KRITIS Consult GmbH 6

7 Motivation zur Absicherung der kritischen Infrastrukturen in Deutschland Was sind kritische Infrastrukturen im Sinne des Gesetzgebers? Kritische Infrastrukturen* sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Mit anderen Worten, alles was eine moderne digitale Gesellschaft an informationstechnischen Nervensträngen hat, fällt unter diese Definition. Man kann sich darunter etliches vorstellen... *Bundesministerium des Innern: Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie) ( ) all rights reserved by KRITIS Consult GmbH 7

8 Sektoren- und Brancheneinteilung Kritischer Infrastrukturen Liste der Sektoren und Körbe Ende 2015 Korb 1 (Q in Kraft) Energie IKT Ernährung Wasser Mitte 2017 Korb 2 Finanzen Gesundheit Transport / Verkehr Umsetzung je Korb: 6 Monate für Meldestruktr 2 Jahre für Stand der Technik all rights reserved by KRITIS Consult GmbH 8

9 Wer ist betroffen von den Dienstleistern aus den Sektoren? Skalierung der Absicherung an Hand der Betroffenheitsmenge >500k Personen Geregelt in der KRITIS Verordnung ( ) Orientierung an die Menge abzugebende Leistung Schwellwert gilt für Energie und Wasser Regelschwellenwertes von versorgten Personen Trustcenter: Anzahl der personengebunden ausgegebenen Zertifikate Serverfarm: Anzahl der laufenden Instanzen (0 Jahres) 250T Rechenzentrum: vertraglich vereinbarte Leistung 5 MW (0 Jahres) all rights reserved by KRITIS Consult GmbH 9

10 Was ist zu tun? IT-Sicherheitskatalog für Netzbetreiber Kernforderung des vorliegenden Sicherheitskataloges ist die Einführung eines Informations-sicherheits-Managementsystems (ISMS) gemäß DIN ISO/IEC sowie die Zertifizierung dieses Systems durch eine unabhängige hierfür zugelassene Stelle all rights reserved by KRITIS Consult GmbH 10

11 Ein ISMS ist ein Regelkreise zur Zustandserhaltung Es können beliebige Beispiele aus dem Non- IT Bereich Aufgeführt werden Verkehrsfluss zwischen A3 zwischen Hanau und Frankfurter Kreuz Straßenverkehrsordnung ISO (nativ) für die Wertschöpfungskette all rights reserved by KRITIS Consult GmbH 11

12 Ereignisdiskrete Systeme (DES), Regelkreise und Störungen, Rückkoppelung der Wirkung [Def.:] Regelkreise haben die Aufgabe zeitveränderliche Größen eines Prozesses auf vorgegebene Werte zu bringen und trotz Störungen dort zu halten. Störungen d Stellglied / Aktuator (A) / Stellgröße Regelstrecke G v (s) u(k) A u(k) R w(k) Regler (R) Regelabweichung e(k) (-) w(k) M (+) Istwert Messglied (M) K(s) v(k) Sollwert G(s) all rights reserved by KRITIS Consult GmbH 12

13 Informationssicherheit: die drei Schutzziele (Vt, In, Vf) Verfügbarkeit Vertraulichkeit wird der Schutz der Systeme und Daten vor unberechtigtem Zugriff durch Personen oder Prozesse verstanden Integrität zum einen die Richtigkeit und Vollständigkeit der verarbeiteten Daten und zum anderen die korrekte Funktionsweise der Systeme dass die zu schützenden Systeme und Daten auf Verlangen einer berechtigten Einheit zugänglich und nutzbar sind all rights reserved by KRITIS Consult GmbH 13

14 Überblick über die Normenfamilie, Auszug Norm Beschreibung der Norm Status der Norm Eine Einführung und Überblick über die ISMS Familie und Standards sowie einem Glossar der verwendeten Begrifflichkeiten Anforderungen an ein Managementsystem zur Informationssicherheit. Gegen diesen Stand kann eine Zertifizierung durchgeführt werden. (geht auf den BS zurück) Liste der Maßnahmen mit kurzen Erläuterungen und Hinweisen. (geht auf den BS zurück) Publiziert 2009 Publiziert 2013 Publiziert Anweisungen und Hilfestellung zur Implementierung der ISO Publiziert Standard zur Messung des Managementsystems Publiziert Standard zur Etablierung eines Risikomanagementsystems. (steht in enger Verzahnung mit der ISO 27001) Publiziert 2011 Plus weitere Normen, die jedoch zunächst eine untergeordnete Rolle spielen, siehe z.b all rights reserved by KRITIS Consult GmbH 14

15 Korb-1 Umsetzung der Forderungen bis Ex-kurs Sektor Energie all rights reserved by KRITIS Consult GmbH 15

16 KRITISCHE Infrastruktur Sektor ENERGIE dez. Erzeugung Kundenanlagen Netzleitstelle Koppelstellen all rights reserved by KRITIS Consult GmbH 16

17 Energieerzeuger Das Energiesystem im Wandel Bundeswirtschaftsminister Sigmar Gabriel: Informations- und Kommunikationstechnologien sind wichtiger Baustein der Energiewende (Berlin, ) Die volatile Stromerzeugung aus erneuerbaren Energien erfordert es, Netze, Erzeugung und Verbrauch effizient und intelligent miteinander zu verknüpfen. Es besteht die Notwendigkeit einer bedarfs- und verbrauchsorientierten Verknüpfung von Erzeugung und Nachfrage. Intelligente Netze ("Smart Grids") sollen die fluktuierende Stromerzeugung aus erneuerbaren Energien und den Stromverbrauch ausbalancieren. Auf diese Weise erfolgt eine Verschiebung von der bisherigen "verbrauchsorientierten Stromerzeugung" hin zu einem "erzeugungsoptimierten Verbrauch" (Quelle BMWI) all rights reserved by KRITIS Consult GmbH 17

18 Auswirkung am Beispiel des Energiesektor (Korb 1) Energieerzeuger, Verteiler (Stadtwerke) und intelligente Messung (Smart Metering) Anlagen zur Energieerzeugung werden über Netze mit den Verbrauchern gekoppelt, ggf. sind Speichersysteme zwischengeschaltet Begriffsdefinitionen (in Anlehnung an EnWG): Energieanlagen: Anlagen zur Erzeugung, Speicherung, Fortleitung oder Abgabe von Energie Stromversorgungsnetz: Erdkabel- und Freileitungsnetze zur Leistungsübertragung, i.d.r. über verschiedene Spannungsebenen Gasversorgungnetz: Rohrleitungsnetze zum physischen Gastransport, i.d.r. über verschiedene Druckstufen Erzeugung / Förderung Windkraft Transportnetz (ÜNB) Verteilnetz (VNB) Stadtwerke End Verbraucher (Smart Metering) "Forschungsinitiative Energiespeicher" Speicherung* EnWG = Energiewirtschaftsgesetz all rights reserved by KRITIS Consult GmbH 18

19 Korb-2, Erstes Quartal 2017 Sektor Staat und Verwaltung all rights reserved by KRITIS Consult GmbH 19

20 Sektor Staat und Verwaltung (Korb 2) Bandbreite staatlicher Einrichtungen sowohl auf Bundes- als auch auf Landes- und Kommunalebene Der Sektor "Staat und Verwaltung" wird durch den UP BUND abgedeckt. Regierung und Verwaltung Parlament Justizeinrichtungen Notfall-/ Rettungswesen einschließlich Katastrophenschutz Das BSI ist der zentrale IT-Sicherheitsdienstleister des Bundes UP Bund = Umsetzungsplan Bund Drei strategischen Ziele "Prävention, Reaktion und Nachhaltigkeit Flächendeckende Einführung der ISO auf Basis von IT-Grundschutz Prüfung der Umsetzung durch sogenannte Revisionen durch Revisoren Maßnahmen in den zehn strategischen Bereichen 1. Schutz Kritischer Informationsinfrastrukturen Sichere IT-Systeme in Deutschland 3. Stärkung der IT-Sicherheit in der öffentlichen Verwaltung 4....weitere all rights reserved by KRITIS Consult GmbH 20

21 Fazit Die Regierung ist nach einer Findungsphase zu einer gesetzliche Umsetzung gekommen IT-Sicherheitsgesetz, BSI-Gesetz Für die Sektoren im Korb-1 ist eine zwingende Umsetzung eines ISMS bis 2018 vorgegeben Für die Sektoren im Korb-2 wird im Q entschieden, wie die Verordnung zur Umsetzung aussieht all rights reserved by KRITIS Consult GmbH 21

22 Vielen Dank für Ihre Aufmerksamkeit KRITIS Consult GmbH Mu nchner Technologiezentrum Agnes-Pockels-Bogen Mu nchen Mobil: boehmer.wolfgang@kritis-consult.de