Vom IT-Sicherheitsgesetz bis zur Informationssicherheit ist es nicht weit

Transkript

1 Vom IT-Sicherheitsgesetz bis zur Informationssicherheit ist es nicht weit Andreas Kirsch, Security Assist GmbH 21. März

2 30 Jahre in der Sparkassenorganisation tätig Zu meiner Person Davon 16 Jahre als Leiter IT-Revision und stellv. Leiter Interne Revision Mandantenprüfungen für 12 Sparkassen durchgeführt Seit 2016 als Management Consultant bei der Firma Security Assist tätig. Beratung & Dienstleistung zu Informationssicherheit Dienstleistung IT-Revision / Datenschutz / ISMS Schulungen / Security-Awareness / BCM / Durchführung von Audit s Qualifikationen Diverse Fachseminare an den Sparkassenakademien T.I.S.P Teletrust Information Security Professional IT-Security Manager Datenschutzauditor (TÜV-Cert) Externer Datenschutzbeauftragter (TÜV-Cert) Security Awareness Koordinator (TÜV-Cert) Cyber-Security Berater (nach VDS 3473) BSI-Multiplikator zum Erwerb der zusätzlichen Prüfverfahrenskompetenz für 8a BSIG 2

3 operativ strategisch Security Assist GmbH Security Assist GmbH Sicherheitsmanagement Business Continuity Management Krisenmanagement Sicherheitsstrategie, -organisation und -prozesse Datenschutz Arbeitssicherheit Informationssicherheit Infrastruktursicherheit Security Awareness Geschäftsfortführung Wiederherstellung Notfallübungen Krisenbewältigung IT-Sicherheit Sicherheitstechnik Personelle Sicherheitsdienstleistungen IT-Compliance IT-Revision Netzwerksicherheit Systemsicherheit Datensicherheit Content Security Gefahrenmeldetechnik Brandschutz Videoüberwachung Zutrittskontrolle Zeiterfassung Mechanische Sicherheit Objektschutz Empfangsdienst Geld- und Wertlogistik Kurier-/Belegguttransporte 3

4 Geschäftsfeld 1 Geschäftsfeld 2 Geschäftsfeld 3 Geschäftsfeld 4 Geschäftsfeld 5 Geschäftsfeld 6 RZ- Sicherheit Sicherheitstechnik Arbeitssicherheit Vorbeugender Brandschutz Hafensicherheit IT- Sicherheit / Datenschutz PSD* Security Assist GmbH Geschäftsfelder RZ-Sicherheit Sicherheitstechnik Sicherheit Arbeitssicherheit / vorbeugender Brandschutz Strategie Hafensicherheit IT-Sicherheit / Datenschutz PSD* Umsetzung Optimierung Prüfung Mensch - Technik - Organisation * Personelle Sicherheitsdienstleistungen 4

5 Was sind Kritische Infrastrukturen? 5

6 Definition auf Bundesebene 2003 Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Quelle: BBK 6

7 KRITIS - Abgrenzung 7

8 Verletzlichkeitsparadoxon und alles hängt von IT ab! Je besser etwas funktioniert, desto gravierender sind die Folgen, wenn etwas ausfällt. 8

9 Die Sektoren Kritischer Infrastrukturen nach KRITISV 9

10 Kritische Dienstleistungen: Korb I + II Stromversorgung, Gasversorgung, Versorgung mit Kraftstoff und Heizöl, Versorgung mit Fernwärme Sprach- und Datenübertragung, Datenspeicherung und -verarbeitung Transport von Gütern, Transport von Personen im Nahbereich, Transport von Personen im Fernbereich Medizinische Versorgung, Versorgung mit Arzneimitteln und Medizinprodukten Trinkwasserversorgung, Abwasserbeseitigung Versorgung mit Lebensmitteln Zahlungsverkehr und Kartenzahlung, Bargeldversorgung, Kreditvergabe, Geld- und Devisenhandel, Wertpapier- und Derivatshandel, Versicherungsleistungen.. 10

11 Schutz Kritischer Infrastrukturen - Schutzbedürfnis - 11

12 Evolution des Bewusstseins zum Thema Kritische Infrastrukturen USA: Bereits 1996 Critical Infrastructure Protection Program EU: 2004 European Programme for Critical Infrastructure Protection (EPCIP) EU: Direktive EU COM (2006) 786 D: 2009 Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie) vom Bundesministerium des Inneren D: 2011 Cybersicherheitsstrategie für Deutschland D: 2015 IT-Sicherheitsgesetz (IT-SiG) EU: 2016 NIS-Richtlinie D: 2016: Cybersicherheitsstrategie 2016 D: 2016/2017 BSI-Kritisverordnung (BSI-KritisV) 12

13 Kritische Infrastrukturen im Sinne des BSIG 2 (10) BSIG Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die 1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und 2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach 10 Absatz 1 [BSI-KritisV] näher bestimmt. 13

14 Das Artikelgesetz IT-SiG Artikelgesetz: Gesetz, das mehrere Gesetzesänderungen aufzeigt. Wird oft bei einer Gruppe von Gesetzesänderungen verwendet. Das IT-SiG umfasst Änderungen an: BSI-Gesetz (BSIG) Atomgesetz (AtG) Energiewirtschaftsgesetz (EnWG) Telemediengesetz (TMG) Telekommunikationsgesetz (TKG) Bundesbesoldungsgesetz (BBG) Bundeskriminalamtgesetz (BKAG) 14

15 Das Artikelgesetz IT-SiG Telekommunikationsgesetz Atom- Schutz gesetz kerntechnischer Anlagen Schutz der Bürger Telemediengesetz BSI-Gesetz Stärkung des BSI Bundesbesoldungsgesetz Energiewirtschaftsgesetz Erweiterung Zuständigkeiten BKA- Gesetz 15

16 Wesentliche Neuregelungen im BSIG Betreiber sind zur Umsetzung von angemessenen Sicherheitsmaßnahmen nach dem Stand der Technik verpflichtet. ( 8a (1) BSIG) Betreiber müssen Umsetzung dieser Maßnahmen regelmäßig nachweisen. ( 8a (3) BSIG) BSI fungiert als zentrale Meldestelle für sicherheitsrelevante Informationen. ( 8b BSIG) Betreiber haben ein Informationsrecht. ( 8b (2) BSIG) Betreiber müssen IT-Störungen an das BSI melden. ( 8b (4) BSIG NIS-Richtlinie wurde bereits im Mai 2017 in der ersten Änderung mit eingearbeitet. 16

17 Gesetzesbegründung des IT-SiG zum Stand der Technik (1) Auf Grund der weitreichenden gesellschaftlichen Auswirkungen ist bei den technischen und organisatorischen Vorkehrungen der Stand der Technik zu berücksichtigen [BSIG: einzuhalten ]. Stand der Technik in diesem Sinne ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen, der die praktische Eignung einer Maßnahme zum Schutz der Funktionsfähigkeit von informationstechnischen Systemen, Komponenten oder Prozessen gegen Beeinträchtigungen der Verfügbarkeit, Authentizität Integrität und Vertraulichkeit gesichert erscheinen lässt. 17

18 Gesetzesbegründung des IT-SiG zum Stand der Technik (2) Bei der Bestimmung des Standes der Technik sind insbesondere einschlägige internationale, europäische und nationale Normen und Standards heranzuziehen, aber auch vergleichbare Verfahren, Einrichtungen und Betriebsweisen, die mit Erfolg in der Praxis erprobt wurden. Die Verpflichtung zur Berücksichtigung des Standes der Technik schließt die Möglichkeit zum Einsatz solcher Vorkehrungen nicht aus, die einen ebenso effektiven Schutz wie die anerkannten Vorkehrungen nach dem Stand der Technik bieten. 18

19 Zeitplan Umsetzung IT-SiG und NIS-RL 19

20 Konsequenzen für den KRITIS-Betreiber Kontaktstelle zur Kommunikation mit dem BSI benennen ( 8b (3) BSIG) Erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit dem Lagezentrum des BSI melden ( 8b (4) BSIG) Angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme, Komponenten oder Prozesse treffen ( 8a (1) BSIG) Gegenüber dem BSI die Umsetzung der o.g. Vorkehrungen nachweisen ( 8a (3) BSIG) Lageprodukte (insbesondere Warnungen) des BSI zur Sicherheit in der IT Kritischer Infrastrukturen empfangen ( 8b (2) BSIG) 20

21 Geltungsbereich und Prüfgegenstand Der Geltungsbereich (Scope) umfasst die informationstechnischen Systeme, Komponenten und Prozesse, Rollen sowie Personen, die für die Funktionsfähigkeit der vom Betreiber betriebenen Kritischen Infrastruktur (gemäß BSI-KritisV) maßgeblich sind, oder auf diese Einfluss haben. Eine geeignete Prüfung muss als Prüfgegenstand diesen Geltungsbereich umfassen. 21

22 Der Geltungsbereich Zum Geltungsbereich gehören immer die Systeme, Komponenten und Prozesse der kritischen Dienstleistung (kdl), die die kdl direkt unterstützen, von denen die kdl indirekt abhängig ist, z.b. bei deren - Ausfall, - Störung, - Angriff, es zu einer Beeinträchtigung der kdl kommen könnte. Zusätzlich sind alle externen Kommunikationsverbindungen, z.b. zu externe Dienstleister oder anderen Netzen zu betrachten. 22

23 Besonderheiten bei 8a BSIG-Prüfungen (1) Berücksichtigung von externen Dienstleistern: Es sind alle externen Schnittstellen und Kommunikationsverbindungen des Betreibers zu betrachten, z.b.: Datenschnittstellen zu externen Dienstleistern Wartung durch Dritte Ausgelagerte Prozesse Schnittstellen zu Kunden / Versorgungsempfängern Partnerunternehmen Versorgung durch Dritte (Energie, Wasser, ) Sonstige Abhängigkeiten Externe Dienstleister unterliegen in Bezug auf die kdl also den gleichen Anforderungen wie Betreiber. Die vertraglichen Bedingungen sollten entsprechend ausgestaltet werden. 23

24 Besonderheiten bei 8a BSIG-Prüfungen (2) Der Schutzbedarf : Der Fokus liegt auf der Verfügbarkeit der kritischen Dienstleistung bzw. der Vermeidung von Versorgungsengpässen, nicht auf wirtschaftlichen Aspekten. 24

25 Besonderheiten bei 8a BSIG-Prüfungen (3) Der All-Gefahren-Ansatz : Behandlung aller relevanten Bedrohungen und Schwachstellen der maßgeblichen Informationstechnik d.h. Systeme, Komponenten oder Prozesse zur Erbringung der kdl. 25

26 Gefährdungen und Maßnahmen Schwachstelle Bedrohung Gefährdungen Maßnahmen organisatorische Maßnahmen technische Maßnahmen 26

27 Schwachstellen und Bedrohungen Für kdl zutreffende Schwachstellen und Bedrohungen müssen identifiziert und Maßnahmen müssen durch Betreiber umgesetzt werden. Anhaltspunkte liefern z.b. gängige Standards wie ISO 27001, ISO 27002, BSI IT-Grundschutz, Branchen-Publikationen 27

28 Rollen und Zuständigkeiten im Nachweisprozess Betreiber prüft beauftragt liefert Nachweis fordert ggf. Prüfbericht bei Mängeln BSI bewertet stimmt Vorgehen ab bei Nachbesserungen Prüfende Stelle benennt Aufsichtsbehörden Prüfteam Quelle: BSI 28

29 Ist eine ISO Zertifizierung ausreichend? Bei einer reinen ISO Zertifizierung ist nicht von vornherein klar, dass Geltungsbereich und Maßnahmen geeignet sind. Deswegen reicht sie alleine nicht aus; wichtige Schutzziele für kritische Dienstleistungen könnten dabei theoretisch unberücksichtigt bleiben. (Quelle: BSI-FAQ) Vorhandene Prüfungen z.b. ISO Prüfungen, können berücksichtigt werden, die letzte Prüfung sollte nicht älter als 1 Jahr sein. Diese Prüfungen ersetzen aber nicht den Nachweis nach 8a BSIG. 29

30 Wie ist mit Dienstleistungen umzugehen, die an Dritte ausgelagert wurden? Der jeweilige Betreiber einer Kritischen Infrastruktur im Sinne des BSIG ist für die Umsetzung des 8a (1) BSIG in der von ihm betriebenen Kritischen Infrastruktur verantwortlich. Lagert er Teile davon an Dritte aus, liegt die Verantwortung für die Umsetzung des 8a (1) BSIG weiterhin bei ihm. Es empfiehlt sich hier, Umsetzungsverpflichtungen in die vertraglichen Vereinbarungen mit dem Dritten aufzunehmen. Gleiches gilt, wenn der Betreiber IT auslagert, die für den Betrieb der Kritischen Infrastruktur erforderlich ist. Der Bezug von sonstigen Dienstleistungen (Einkauf von Strom, Wasser, öffentlicher TK, etc.) gilt nicht als Auslagerung in diesem Sinne, sofern er nicht selbst Teil der kritischen Dienstleistung ist. (Quelle: BSI-FAQ) 30

31 Welcher Standard ist für mein Unternehmen relevant? Wie setze ich die Voraussetzungen um? 31

32 Welcher Standard ist für mein Unternehmen relevant? Wie heißt es immer so schön? Es kommt darauf an. Was für eine Unternehmensform haben Sie? In welcher Branche sind Sie tätig? Sind Sie Betreiber einer kritischen Dienstleistung? Sind Sie externer Dienstleister eines Betreibers einer kritischen Dienstleistung? Was sind Ihre sonstigen branchenspezifischen Treiber für Informationssicherheit? Ohne eine geordnetes Informationssicherheitsmanagement (ISMS) geht es nicht und das funktioniert in den meisten Fällen nur auf Basis eines anerkannten Standards. 32

33 Was gibt es alles auf dem Markt? Standards für die Erstellung, Auditierung und Zertifizierung von Informationssicherheit haben sich seit vielen Jahren etabliert. BSI Standards zum IT-Grundschutz (Konform zu ISO 27001) ISO-Norm (Einführung eines ISMS) und (Best-Practice) ISIS12 (Informations-Sicherheitsmanagement System in 12 Schritten) VDS 3473 (Cyber-Security für kleine und mittlere Unternehmen) Unternehmensspezifische Standards SITB in Sparkassen Forum-ISM in Geno-Banken Sonstige Standards ITIL (IT-Infrastructure Library) ISO (Norm zum IT Service Management ITSM) Cobit (Control Objectives for Information and Related Technology) 33

34 Das Dilemma von KMU, Dienstleister oder Kommunen Welche externen Anforderungen sind gegeben? Welcher Standard ist für mich der richtige Standard? Wie viel Kosten kommen auf mich zu? Habe ich geeignetes Personal zur Umsetzung? Wie schnell lässt sich eine geeignete Umsetzung realisieren? Existierende und markterprobte Standards sind für den Mittelstand in der Regel zu komplex. Insofern werden einfache Verfahren für den Mittelstand benötigt. Man sollte alles so einfach wie möglich sehen - aber auch nicht einfacher. (Albert Einstein) 34

35 Danke für Ihre Aufmerksamkeit 35

36 Visitenkarte Andreas Kirsch Security Assist GmbH Management Consultant Martin-Schmeißer-Weg 12a Dortmund Tel Mobil

37 EXKURS: Informationssicherheitsmanagement Welche Aufgaben hat mein ISMS? Die Formulierung von Sicherheitszielen Die Formulierung des Anwendungsbereiches (Scope) Die Bestimmung der Assets (Werte) Die Risikobeurteilung Die Risikobehandlung Die kontinuierliche Verbesserung (PDCA).. 37

38 Was muss mein ISMS darstellen? Sicherstellung und Aufrechterhaltung von Informationssicherheit Stichwort PDCA Plan Do Check Act Aufgaben im IT-Sicherheitsmanagement Etablierung einer IT-Sicherheitsorganisation Erstellung von IT-Sicherheitskonzepten Angemessene IT-Sicherheitsmaßnahmen zum Umgang mit Risiken Rollen und Verantwortlichkeiten Top-Down-Ansatz muss gewährleistet sein 38

39 Wie muss mein ISMS organisiert sein? Festlegen des ISMS Umsetzung und Durchführung des ISMS Überprüfen des ISMS Verbessern des ISMS 39

40 Warum IT-Sicherheitsmanagement? Quelle: 40

41 IT-Sicherheitsmanagement? T O P - D O W N Quelle: 41

42 Schutzbedarf In der IT-Sicherheit dreht sich alles darum, Unternehmenswerte (Assets) zu schützen. Gegen was genau und in welchem Ausmaß etwas zu schützen ist, beschreibt der Schutzbedarf. Im Zuge einer Schutzbedarfsfeststellung wird dabei der Grad des erforderlichen Schutzes definiert. Schutzziele: Vertraulichkeit Verfügbarkeit Integrität 42

43 Risiko Mit der Berechnung des Risikos für eine mögliche Verletzung eines Schutzziels visualisiert man die Höhe einer Gefährdung und macht sie dadurch erst handhabbar. Der Eintritt eines Risikos verhindert die Erreichung eines Schutzziels und mithilfe der Risikoberechnung wird das Risiko des Eintretens quantifiziert. Wie gehe ich mit Risiken um? Das Risiko kann eliminiert werden. Das Risiko wird akzeptiert und damit getragen. Ein Risiko kann aus dem eigenen Verantwortungsbereich ausgelagert werden. In den häufigsten Fällen wird man ein aufgedecktes Risiko reduzieren wollen. 43

44 ISIS12 3 Fakten ISIS12 (kurz für Informations-Sicherheitsmanagement System in 12 Schritten) ist ein Modell zur Einführung eines Information Security Management System (ISMS). Es beinhaltet eine Untermenge der Forderungen der IT- Grundschutz-Kataloge und der ISO/IEC und soll es auf diese Weise dem Mittelstand einfacher machen, Informationssicherheit systematisch herzustellen. ISIS12 bildet eine unabhängig zertifizierbare Einstiegsstufe in ein ISMS, wobei eine Kompatibilität zu IT-Grundschutz und ISO/IEC und somit die Möglichkeit für ein späteres "Upgrade" gewahrt bleibt 44

45 ISIS in 12 Schritten 45

46 VDS Fakten Die Richtlinien VdS 3473 Cyber-Security für kleine und mittlere Unternehmen (KMU) der VdS Schadenverhütung GmbH enthalten Vorgaben und Hilfestellungen für die Implementierung eines Informationssicherheitsmanagementsystems sowie konkrete Maßnahmen für die organisatorische sowie technische Absicherung von IT-Infrastrukturen. Sie sind speziell für KMU sowie für kleinere und mittlere Organisationen ausgelegt mit der Zielsetzung, ein angemessenes Schutzniveau zu gewährleisten, ohne sie organisatorisch oder finanziell zu überfordern. Die Richtlinien stehen nicht im Widerspruch zu ISO oder IT- Grundschutz, so dass bei Bedarf, z.b. wegen gesetzlichen oder regulatorischen Vorgaben, jederzeit aufgerüstet werden kann. 46

47 VDS

48 Sind Sie Betreiber einer kritischen Infrastruktur? BSIG regelt IT-Sicherheit zum Schutz Kritischer Infrastrukturen Präzisierung der KRITIS- Auswahlkriterien erfolgt in BSI-KritisV Zwei Körbe (Mai 2016 und Juni 2017) Betreiber hat zum Schutz der Kritischen Infrastrukturen die Pflicht zur Umsetzung angemessener Maßnahmen nach Stand der Technik Branchenspezifische Sicherheitsstandards (B3S) können dies präzisieren Betreiber muss Nachweise zur Umsetzung erbringen (Prüfpflicht) Betreiber hat Registrier- und Meldepflicht, BSI hat Informationspflicht 48

49 Aktuelle Prüffelder im Bereich IT-Sicherheit Informationssicherheitsmanagementsystem (ISMS) Welcher Standard wurde festgelegt und umgesetzt? Wie sind die Rollen und Verantwortlichkeiten definiert? Existiert eine IT-Security Policy? Existiert eine IT-Strategie? Wie wird die Aufrechterhaltung des ISMS sichergestellt? Welche IT-Risiken sind definiert worden? Welche Maßnahmen zur Risikoreduzierung wurden vorgenommen? Welche Restrisiken wurden definiert und übernommen?.. 49

50 Aktuelle Prüffelder im Bereich IT-Sicherheit Schutzbedarfsanalyse (SBA) Existiert eine aktuelle Schutzbedarfsanalyse? Existiert eine Informationsklassifizierung? Sind die Schutzbedarfsklassen plausibel und schlüssig? Wie sieht die Risikobehandlung aus? Wird der Schutzbedarf auf Prozesse und/oder Anwendungen durchgeführt? Einbindung in das ISMS? 50