Cyber-Sicherheit als Herausforderung für Staat und Gesellschaft

Transkript

1 Cyber-Sicherheit als Herausforderung für Staat und Gesellschaft 95. AFCEA-Fachveranstaltung: Herausforderung Cyber-Sicherheit /

2 Gliederung des Vortrags Cyber-Sicherheit: Aktuelle Die aktuelle Lage aus behördlicher Sicht Cyber-Risiken für KRITIS und Wirtschaft PPP-Initiativen des BSI: UP KRITIS und Allianz für Cyber-Sicherheit

3 Cyber-Sicherheit: aktuelle Lage Zunahme der IKT-Abhängigkeiten und -Risiken IKT-Abhängigkeiten sind vielschichtig und werden häufig nicht wahrgenommen Neuartigkeit und Dynamik von Cyber-Risiken kompetente und motivierte Angreifer Ausfallrisiko für IT

4 Lageeinschätzung des BSI Schadsoftware verursacht Schäden in Milliardenhöhe kompetente Angreifer Angriffe werden gezielter und professioneller Prozesssteuerung ist ins Visier der Angreifer gerückt hohe Gefährdung durch Irrläufer von Schadsoftware

5 Gliederung des Vortrags Cyber-Sicherheit: Aktuelle Die aktuelle Lage aus behördlicher Sicht Cyber-Risiken für KRITIS und Wirtschaft PPP-Initiativen des BSI: UP KRITIS und Allianz für Cyber-Sicherheit

6 Definition KRITIS Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

7 Kritische Infrastrukturen (KRITIS) Prozesssteuerungs- systeme Krankenhaus- informationssysteme Content-Manage- ment-systeme Warenwirtschafts- systeme Enterprise- Resource-Planning E-Government

8 KRITIS und Cyber... Quelle:

9 Arbeitsteilung und Spezialisierung rough price list for zero-day exploits: Quelle: Symantec Preisliste Crimepack: $400 Phoenix Exploits Kit: $400 Adrenaline: (inkl. 24x7-Support) $3.500 Eleonore Exploits Pack $700 Eleonore Exploits Pack $1.200 YES Exploit System $800 Quelle:

10 Motivation für Cyber-Angriffe

11 Motivation Protest: Anonymous in Schweden

12 Motivation Geld: Ransomware Reveton Quelle: User "Kafeine" auf (CC BY-SA 3.0)

13 Motivation Spionage: Corporate-Trust-Umfrage

14 Corporate-Trust-Umfrage

15 Corporate-Trust-Umfrage

16 Motivation Sabotage: DDoS gegen US-Großbanken

17 Gliederung des Vortrags Cyber-Sicherheit: Aktuelle Die aktuelle Lage aus behördlicher Sicht Cyber-Risiken für KRITIS und Wirtschaft PPP-Initiativen des BSI: UP KRITIS und Allianz für Cyber-Sicherheit

18 Cyber-Sicherheitsstrategie stellt die an die Gefährdungslage angepasste Fortschreibung des NPSI dar hat den NPSI als Dachstrategie des Bundes abgelöst Beitrag zur Gewährleistung der Sicherheit im Cyber-Raum Cyber-Sicherheitsrat Nationales Cyber-Abwehrzentrum Kritische ITInfrastrukturen IT der Bürger IT des Staates Einsatz verlässlicher Informationstechnologie Internationale Zusammenarbeit Abwehr von Cyber-Angriffen Wirksame Kriminalitätsbekämpfung Personalentwicklung der Bundesbehörden

19 Umsetzungsplan KRITIS ( UP KRITIS ) konkretisiert den NPSI für den Bereich KRITIS zielt auf Schutz der IT-Infrastrukturen in Deutschland ab wurde in Kooperation mit der Wirtschaft entwickelt beschreibt eine public private partnership (PPP)

20 Initiativen für Cyber-Sicherheit 20

21 Nationales Cyber-Abwehrzentrum Organisation: Forum für den behördenübergreifenden Austausch von Informationen und Bewertungen drei Kernbehörden: BSI (federführend), BfV, BBK weitere Behörden über Verbindungsbeamte: BKA, BND, Bw Aufgaben u. a.: Lagebilderstellung behördeninterne Empfehlungen Jahresbericht zur Cyber-Sicherheitslage Berichtsbefugnis an BMI (u. a. ggü. Krisenstab) jedoch: im Gegensatz zum Nationalen IT-Lagezentrum und zum CERT-Bund keine operativen Tätigkeiten

22 UP KRITIS (aktuell in Fortschreibung)

23 Entwurf für die künftige Struktur des UP KRITIS CyberSicherheitsrat UP Bund Länder Rat Plenum UPKStab sektorübergreifende Arbeitskreise Branchen-/Sektorarbeitskreise Forum als Konferenz aller Teilnehmer

24 Allianz für Cyber-Sicherheit 24

25 Zielgruppen der Allianz für Cyber-Sicherheit

26 Leistungen der Allianz für Cyber-Sicherheit: Zentraler Informationspool Institutionen im besonderen staatlichem Interesse (KRITIS, spionagegefährdet, dramatische Auswirkungen) Angriffsvektoren, Angriffsanalysen, Schwachstellen, Dienstleistungen Freiwillig registrierte deutsche Unternehmen Lagebilder, Warnungen, Newsletter Teilnehmer der Allianz Empfehlungen, Analysen, Meldestelle, Sensibilisierung 26

27 Leistungen der Allianz für Cyber-Sicherheit: Erfahrungsaustausch z.b. IHKs z.b. Rüstungsfirmen Unterstützung der Forenleiter mit Informationen und Materialien z.b. DAX, MDAX

28 Was bietet die Allianz für Cyber-Sicherheit? Kooperationsbasis zwischen Staat, Wirtschaft, Herstellern und Forschung Zentraler Informationspool Erfahrungsaustausch 28

29 Zusammenwirken des UP KRITIS und der Allianz für Cyber-Sicherheit

30 Meldestelle 5 Minuten für Cyber-Sicherheit in Deutschland Beiträge zum Lagebild Sicherheitsvorfälle und Cyber-Angriffe auf Ihr Unternehmen Online oder per Mail Möglichkeit zur anonymen Abgabe Immer anonymisiert! fließt in BSI-Lagebericht ein Nach Möglichkeit Rückruf zur Eingangsbestätigung und ggf. weiteren Details 30

31 Fazit Zunehmendes Risiko für Cyber-Angriffe: intensivierte IT-Vernetzung und Zunahme der Komplexität Verstärkung der Abhängigkeiten von IT professionelle Angriffsmuster und -vektoren Oft nicht ausreichende Bewältigungskapazität: Fehlende oder nicht umgesetzte IT-Sicherheitsstandards abnehmende Transparenz der IT-Systeme und -Netzwerke Fehlendes kompetentes IT-Fachpersonal Akuter Handlungsbedarf Sensibilisierung für Cyber Umsetzung von Sicherheitsmaßn. in Behörden/Unternehmen Intensive Zusammenarbeit zw. Staat und Wirtschaft 31

32 Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Referatsleiter C 22 Postfach Bonn Fon: Fax: referat-c22@bsi.bund.de