Informationssicherheit als Chance Compliance (KRITIS) durch praktikable Lösungsansätze schaffen

Transkript

1 Informationssicherheit als Chance Compliance (KRITIS) durch praktikable Lösungsansätze schaffen Andreas Altena Arwid Zang Christian Hofmann Sollence GmbH greenhats GmbH greenhats GmbH 02. Februar 2018 Digitalisierung im Gesundheitswesen

2 Digitalisierung in Zahlen Euro geschätzter volkswirtschaftlicher Schaden durch CyberCrime in Deutschland pro Jahr. 2017, McAffee-Report Schadprogramme greifen jeden Tag Computer weltweit an. 2017, av-test.org infizierte Computer in 150 Ländern innerhalb weniger Tage durch WannaCry. Mai 2017, Europol Dollar volkswirtschaftlicher Schaden durch Mydoom. Februar 2004, chip.de 2

3 Specialty. Figures represent a percentage of all relevant responses. 141 respondents. More than one risk selected. Risikoentwicklung bei Unternehmen isks by region in 2017: Europe Top 10 business risks 2016 Rank Trend - 1 Business interruption (incl. supply chain disruption, and vulnerability) 35% 1 (53%) 2 Cyber incidents (cyber crime, IT failure, data breaches, etc.) 32% 3 (40%) 3 Market developments (volatility, intensified competition/new entrants, M&A, market stagnation, market fluctuation) 32% 2 (52%) 4 Changes in legislation and regulation (goverment change, economic sanctions, protectionism, etc.) 28% 4 (39%) - 5 Macroeconomic developments (austerity programs, commodity price increase, deflation, inflation) 23% 5 (31%) - 6 Natural catastrophes (e.g. storm, flood, earthquake) 21% 6 (31%) - 7 Political risks and violence (war, terrorism, etc.) 16% 10 (17%) 8 Fire, explosion 15% 8 (22%) 9 Loss of reputation or brand value 12% 7 (29%) 10 New technologies (e.g impact of increasing interconnectivity, nanotechnology, artificial intelligence, 3D printing, drones, etc.) 12% 9 (19%) - Quelle: Allianz Risk Barometer 2017, Region Europa Specialty. Figures represent a percentage of all relevant responses. 516 respondents. More than one risk selected. 3

4 Informationen sind das Öl des 21. Jahrhunderts, und Analyse ist der Verbrennungsmotor, der damit läuft. Peter Sondergaard, Senior Vice President Gartner Inc. (2010) 4

5 Was macht Sie als Ziel attraktiv? 5

6 IT-Sicherheit aus den Augen von Hackern Bild des Hackers Modefigur vs. Realität Jeder kann Hacker sein oder werden 6

7 IT-Sicherheit aus den Augen von Hackern Begriff Hacking Manipulation von Systemen durch nicht vorhergesehene Nutzung bestehender Funktionen Bedeutet, dass Möglichkeiten begrenzt sind aber vielfältig 7

8 IT-Sicherheit aus den Augen von Hackern Password policy Wie sieht ein sicheres Passwort aus? Welches ist sicher? DiesesIstBestimmtSicher!? Lehoangduong Manfred1976 ;shl;ovhugd;76 Passwörter selbst gestalten kreativ sein! :-) Wechseln? Ja. Zu oft? Nein. 8

9 IT-Sicherheit aus den Augen von Hackern Physische Sicherheit Unternehmen infiltrieren wie geht das? Zugehörigkeit vortäuschen Warnwesten Wer hat Zugriff? Putzkräfte Mitarbeiter Praktikanten Wie greift man an? Zugriff auf Endgeräte und / oder Server (Serverraum) Lan-Dosen (bei den Druckern) USB-Sticks 9

10 IT-Sicherheit aus den Augen von Hackern Im Netzwerk Worauf liegt der Fokus? Übernahme des Domain-Administrators Auslesen des Kennwortes über lokales Konto Veraltete Geräte (ohne Support) XP-Geräte / Produktion / spezielle Hardware Schwache Systeme Drucker / SmartHome / NFC-Karten WLAN Angriff auf Gäste (man-in-the-middle) Deauthentifizieren von Geräten Firewalls 10

11 Was sind die gesetzlichen Anforderungen? 11

12 Anforderungen IT-SiG, KRITIS & Co. Digitale Agenda Deutschland IT-SiG (Artikelgesetz) BSIG Sonstige Gesetze BSI-KritisV (V1) BSI-KritisV (V2) Branchenstandards Betreiber, z. B. Kliniken Sonstige Unternehmen 12

13 Die Sektoren und Branchen von KRITIS Direkt zur ausführlichen Erläuterung (Quelle): 13

14 Anforderungen BSIG 8a und 8b 8a (1)... Angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme, Komponenten und Prozesse (Stand der Technik) 8a (2)... branchenspezifische Sicherheitsstandards... 8a (3) Mindestens alle zwei Jahre Erfüllung dieser Anforderungen auf geeignete Weise nachweisen Aufstellung der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel an das BSI übermitteln... Das BSI kann Anforderungen an Ausgestaltung des Verfahrens stellen... 8b (4)... Betreiber müssen IT-Störungen an das BSI melden... 14

15 BSI-KritisV: 6 Gesundheit die stationäre medizinische Versorgung; 2. die Versorgung mit unmittelbar lebenserhaltenden Medizinprodukten, die Verbrauchsgüter sind; 3. die Versorgung mit verschreibungspflichtigen Arzneimitteln und Blut- und Plasmakonzentraten zur Anwendung im oder am menschlichen Körper; 4. die Laboratoriumsdiagnostik. Tip für weiterführende Informationen: 15

16 BSI-KritisV: 6, Anhang 5, Teil 3 16

17 BSI-KritisV: 6, Anhang 5, Teil 3 17

18 Zeitpunkte für Umsetzungen / Nachweise KRITIS? Dann Meldestelle einrichten für BSI nach IT-SiG! Korb 1 / Sektoren: - IT und TK - Energie - Ernährung - Wasser DS-GVO Artikel 32 fordert ISMS! Korb 2 / Sektoren: - Finanz- und Versicherungswesen - Transport und Verkehr - Gesundheit Korb 2 / Sektoren: Verordnung im Juni 2017 in Kraft getreten Ende 2017 Mai 2018 Juni

19 Wie können Lösungen aussehen? 19

20 Mögliche Lösung (Orientierung) ISO/IEC ISO ISO/IEC ISO ISO/IEC Vorgaben durch das BSI 20

21 Beispiele/ Anlaufstellen hpi-vdb.de/vulndb (Selbstdiagnose und technische Schwachstellen) sec.hpi.uni-potsdam.de (Check für geraubte Identitäten) sicherheitstacho.eu (Übersicht zu Honeypots und Angriffe bei der Telekom) hisz.rsoe.hu (Katastrophenticker) donottrack-doc.com (Interaktive Serie über Das Geschäft mit Daten) ics-radar.shodan.io (Übersicht zu ungeschützten Industriesteuerungen) sollence.de (Informationen zu aktuellen Ereignissen) greenhats.de (Kostenloser Sicherheitscheck) 21

22 So erreichen Sie uns: Sollence GmbH Robert-Reichling-Straße Krefeld T mail@sollence.de sollence.de