Neues deutsches IT-Sicherheitsgesetz Was bedeutet das für die Kunden? Wie können wir helfen?

Transkript

1 Plant Security Services Neues deutsches IT-Sicherheitsgesetz Was bedeutet das für die Kunden? Wie können wir helfen? siemens.com

2 Die Lage der IT-Sicherheit in Deutschland 2014 Bedrohung Gesetz Betroffene Gesetz im Bundestag beschlossen Quelle: Bericht zur Lage der IT-Sicherheit in Deutschland 2014 Quelle: Quelle: Bundesministerium des Innern: Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie) ( ) Seite

3 Heutige Herausforderungen der Kunden und Ziel des Gesetzes Herausforderungen der Kunden Das IT-Sicherheitsniveau bei kritischen Infrastrukturen und Infrastrukturbetreibern ist heute sehr unterschiedlich Vorgaben Risikomanagement Übergreifende Sicherheitskonzepte Audits Informationsaustausch Ziel des Gesetzes Einhaltung eines Mindestniveau an IT-Sicherheit Verfügbarkeit Integrität Vertraulichkeit Authentizität Den Nachweis der Erfüllung durch Sicherheitsaudits Audits 2 Jahre* Defizite im Bereich IT-Sicherheit sind abzubauen um ein gefordertes Mindest-Niveau / Grundschutz zu erreichen Meldung von IT-Sicherheitsvorfälle an BSI Die Einrichtung und Aufrechterhaltung von Verfahren für die Meldung erheblicher IT-Sicherheitsvorfälle an das BSI Das Betreiben einer Kontaktstelle 6 Monate* * Zeit zur Umsetzung nach Inkrafttreten der Gesetzlichen Vorgaben Seite

4 Siemens Konzept unterstützt den Kunden bei der Erfüllung des Gesetzes Bedarfsgerechter Ansatz für den langfristigen Schutz Ihres industriellen Automatisierungssystems (ICS). Bewerten Information über den Sicherheitsstatus und Entwicklung eines Security- Fahrplans Realisieren Planen, entwickeln und umsetzen eines ganzheitlichen Industrial Security Programms Betreiben Durchgängige Sicherheit durch proaktiven Schutz Cyber-Security Operation Center (C-SOC) Geplant ab 2016 Seite

5 Siemens Plant Security Services Portfolioübersicht als Basis für die gesetzlichen Anforderungen Unser Portfolio deckt alle Anforderungen bezüglich Security Assessment, Implementation und Managed Services ab Die Einrichtung und Aufrechterhaltung von Verfahren für die Meldung erheblicher IT-Sicherheitsvorfälle an das BSI Den Nachweis der Erfüllung durch Sicherheitsaudits Das Betreiben einer Kontaktstelle Die Einhaltung eines Mindestniveaus an IT-Sicherheit Cyber-Security Operation Center (C-SOC) Geplant ab 2016 Seite

6 Siemens Plant Security Services Bündelung basiert auf den gesetzlichen Anforderungen Planen: Überprüfung des IST-Zustands der Anlage hinsichtlich industrieller Sicherheit Durchführen: Implementierung der identifizierten Maßnahmen zur Risikominderung Prüfen: Validierung der Maßnahmen durch kontinuierliche Überwachung Handeln: Verbesserung der Sicherheit durch regelmäßige/ereignisabhängige Überprüfung des IST-Zustands Handeln: Instandhalten und Verbessern Planen: Festlegung eines Prozesses Prüfen: Überwachen und Überprüfen Durchführen: Umsetzung und Durchführen Seite

7 Planen Assessment Überprüfung des IST-Zustands der Anlage hinsichtlich industrieller Sicherheit Security Assessment entsprechend IEC 62443, ISO & BSI Grund Schutz Was liefern wir? Menschen Bewertung des Sensibilisierungsgrads sowie die Ausgangsqualifikation bezogen auf industrielle Sicherheit Security Assessment für PCS7 und WIN CC Prozesse Bewertung der Wirksamkeit Ihrer sicherheitsrelevanten, organisatorischen Prozesse Assess Security Assessment für Plants Den Nachweis der Erfüllung durch Sicherheitsaudits Technik Überprüfung des IST-Zustands ihrer installierten Basis und Netzwerkarchitektur zur Erkennung von Sicherheitslücken Security Consulting & Auditierung Seite

8 Durchführen Implement Implementierung der identifizierten Maßnahmen zur Risikominderung (1 von 2) Implementierung von Maßnahmen für die Einhaltung eines IT-Mindestniveaus Was liefern wir? Anlagensicherheit Prozesse und Arbeitsanweisungen Schulungen Netzwerkplanung (incl. Perimeternetz) Einrichtung Firewalls System-Härtung Netzwerksicherheit Netzwerksegmentierung: Security-Zellen und DMZ Kontrollierte Schnittstellen mit Firewalls VPNs Implement Patchmanagement Virenscan / Whitelisting Die Einhaltung eines Mindestniveaus an IT-Sicherheit Systemintegrität Systemhärtung Benutzerverwaltung Patch-Management Virenschutz Whitelisting Remotezugriff Benutzerverwaltung Training Seite

9 Durchführen Implement Implementierung der identifizierten Maßnahmen zur Risikominderung (2 von 2) Kundenanlage Implementierungselemente Schulungen & Prozesse Sicherheitszellen und DMZ Firewalls und VPN Systemhärtung Benutzerverwaltung Patch Management Malware-Erkennung und -Vermeidung Seite

10 Prüfen Manage Validierung der Maßnahmen durch kontinuierliche Überwachung Kontinuierliche Überwachung Services Manage Security Menschen Aufrechterhaltung des Ausbildungsstandes der Mitarbeiter entsprechend der sich ändernden Bedrohungslage Zyklische Kontrolle der Sec. Maßnahmen Prozesse Überprüfung der Wirksamkeit der eingesetzten Prozesse, Arbeitsanweisungen und Richtlinien Überwachung der Einhaltung gesetzter Vorgaben Assess Automatische Zyklische Kontrolle Netzwerk Security Monitoring Die Einrichtung und Aufrechterhaltung von Verfahren für die Meldung erheblicher IT-Sicherheitsvorfälle an das BSI Technik Überwachung des Sicherheitszustands Überprüfung der Wirksamkeit der implementierten technischen Mechanismen On-Demand Incident Handling Das Betreiben einer Kontaktstelle Cyber-Security Operation Center (C-SOC) Seite

11 Handeln Re-Assessment Regelmäßige Überprüfung des IST-Zustands Regelmäßige Wiederholung des Security Assessments entsprechend IEC 62443, ISO & BSI Grund Schutz Was liefern wir? Menschen Bewertung des Sensibilisierungsgrads sowie die notwendige, spezifische Qualifikation bezugnehmend auf das zuvor durchgeführte Assessment Security Assessment für PCS7 und WIN CC Prozesse Bewertung der Wirksamkeit Ihrer sicherheitsrelevanten, organisatorischen Prozesse in Bezug auf Veränderungen in den Anforderungen vom Anlagenbetrieb Assess Security Assessment für Plants Den Nachweis der Erfüllung durch Sicherheitsaudits Technik Überprüfung der Änderungen in ihrer installierten Basis und Netzwerkarchitektur bezugnehmend auf das zuvor durchgeführte Assessment zur Erkennung von Sicherheitslücken Security Consulting & Auditierung Seite

12 Vielen Dank. Die Digital Factory Division der Siemens AG siemens.com