19. Jahresfachkonferenz Datenschutz und Datensicherheit IT-Sicherheitsgesetz was nun? Was bedeutet das für Betreiber Kritischer Infrastrukturen? Michael Böttcher Berliner Wasserbetriebe IT-Sicherheitsingenieur Wasserversorgung 1. Vorstellung des Umfeldes Die Berliner Wasserbetriebe in Zahlen Trinkwasserversorgung 210 Mio. m³ Wasserverkauf 7.900 km Rohrnetz 9 Wasserwerke 700 Brunnen Abwasserentsorgung Wirtschaftliche Kennziffern 244,9 Mio. m³ Reinigungsleistung: 9.700 km Kanalnetz 1.200 km Druckleitungen 6 Klärwerke 158 Pumpwerke 1.153,9 Mrd. Umsatz 92,1 Mio. Jahresüberschuss 240,9 Mio. Investitionen 4.355 Beschäftigte Zahlen des Geschäftsjahres 2016 01.06.2017 IT-Sicherheitsgesetz was nun? 2 1
1. Vorstellung des Umfeldes Trinkwasserversorgung in Berlin 3,5 Mio. Einwohner Berlins 0,4 Mio. Bürger im Umland Q[1]: Wasserwerk 1.100.000 m³/d naturnah Klärwerk und ohne Desinfektion 50 Mitarbeiter Schichtbetrieb Wasserschutzgebiet strategisch relevante Pumpwerke Druckzonengrenze Tegel Beelitzhof Friedrichshagen 01.06.2017 IT-Sicherheitsgesetz was nun? 3 1. Vorstellung des Umfeldes Leitsystemverbundsystem Wasserversorgung Tegel Zentrale Technische Kennzahlen SCADA Verbund aller Werke 55 Server, 88 Clients 21 Router, 44 Switche Wasserwerk 47 WAN-Leitungen Klärwerk 1006 Netzwerksports 437 Wasserschutzgebiet Netzwerksdevices 372 strategisch SPS n relevante Pumpwerke 21 Druckzonengrenze vernetzte Standorte 3 permanent besetzte Warten 180 000 Datenpunkte 15 000 langzeitarchivierte Beelitzhof Friedrichshagen 01.06.2017 IT-Sicherheitsgesetz was nun? 4 2
1. Vorstellung des Umfeldes Sicherheit benötigt Organisation Unternehmenssicherheit Personelle Sicherheit Physische Sicherheit Betriebs- Sicherheit IT- Sicherheit Krisenschutz Katastrophenschutz Grundschutz Anwendungen Krisenmanagement Objektschutz Brandschutz Perimeter- & Gebäudeschutz Sicherheitsleitstand & Gefahrenmanagementsystem Rohr- & Kanalnetz Wasserversorgung / Abwasserentsorgung Prozessleittechnik Notfallmanagement / Funkleitzentrale Informationstechnologie & Cybersicherheit Datensicherheit Zutrittsmanagement Kommunikations- & Netztechnologie Datenschutz Krisenstab Ereignismanagement Koordination & Maßnahmen Kommunikation Kommunikationstechnik Sicherheitsstrategie Konzepte & Policies & Standards Risikomanagement Sicherheitsbewusstsein Sicherheitsorganisation 01.06.2017 IT-Sicherheitsgesetz was nun? 5 IT Sicherheitsgesetz Regelungsbestandteile Schlagwort BSIG Beschreibung Standards 8a Abs. 1 Meldepflicht 8b Abs. 3 Erreichbarkeit 8b Abs. 3 Im BSIG Verweis auf Stand der Technik. Ausgestaltung durch DVGW im Rahmen UP- Kritis. Umsetzung innerhalb von 2 Jahren. Meldung von erheblichen Störungen an das Bundesamt für Sicherheit in der Informationstechnik. Jederzeit erreichbare Kontaktstelle ist einzurichten. Audits 8a Abs. 3 Mindestens alle 2 Jahre Nachweis der Erfüllung durch Audits, Prüfungen oder Zertifizierungen. Unterstützung 3 Abs. 3 BSI kann auf Ersuchen beraten und unterstützen 01.06.2017 IT-Sicherheitsgesetz was nun? 6 3
Was kommt? 01.06.2017 IT-Sicherheitsgesetz was nun? 7 Sicherheitszonen und DMZ-Technologie 1=externer Bereich 5 4 3 2 1 Fachabteilung Senat Handwerte Smart -Meter Gateway DWH -DB2 360 DMP, 24 Desten Arbeitsplatz Konzernnetz Blackberry mit VPN 2=Internet DMZ 3=Konzernnetz 4=Service DMZ 5=Leitsystemverbundsystem SCADA-Systeme Archiv-Systeme 6 Brunnen Aufbereitung Verteilung Hilfs- Prozesse 6=Automatisierungs- Feldebene 01.06.2017 IT-Sicherheitsgesetz was nun? 8 4
Netzsicherheit abgesicherte Fernzugänge Kapselung / DMZ-Technologie an Netzübergängen Firewalls Netzwerkssegmentierung Überwachung des Netzwerksverkehrs Autorisierung der Netzwerksteilnehmer NAC aktive Port-Security Prozessfingerabdrucküberwachung netzinterner Honeypot als Alarmanlage zukünftig: größtenteils Dark Fiber (LWL) Netztrennung durch Multiplexing Ring-Topologie / doppelte Hauseinführung / Redundanz 01.06.2017 IT-Sicherheitsgesetz was nun? 9 Netz- und Systemsicherheit: Monitoring Überwachung der Netzwerksteilnehmer Überwachung des Konnektivitätsstatus Überwachung der Fernzugänge Überwachung der Firewall-Konfiguration Autorisierung der Netzwerksteilnehmer aktive Port-Security automatische Alarmierung und Blockierung Überwachung des Netzwerksfingerabdruckes Netzwerk- Management - Überwachung WAN / LAN -Zugangsüberwachung -Zugangsteuerung Sicherheitsmanagement -Zugangsüberwachung -Zugriffsüberwachung Systemmanagement -Hardware -Betriebssysteme -Software Prozessfingerabdruck -Netflow -Leittechnikprozesse Überwachung des Prozessfingerabdrucküberwachung aktive Alarmierung und Eskalation auf Prozessebene Überwachung Zugang und Zugriff Schaltschranktürüberwachung und Logins / Anwenden von Benutzerrechten 01.06.2017 IT-Sicherheitsgesetz was nun? 10 5
Systemsicherheit automatisierte Überwachung der laufenden Prozesse und der Netzwerksverkehrsrohdaten zur Detektion von Anomalien. verbindliche Nutzung eines Test und Entwicklungslabors für Signatur und Patchmanagement sowie Qualitätssicherung in der Entwicklung verbindliche Anforderungen an externe Dienstleister externer Auszug des Sicherheitskonzeptes als verbindlicher Angebotsbestandteil Systemhärtung Nutzung eines Schwachstellenscanners Versionierung mit Online Soll Ist vergleich SPS Programme Sperrung von Wechseldatenträgern z.b. USB Sticks (Stuxnet) Download von Dateien nur über separates Netzwerk mit Virenprüfung 01.06.2017 IT-Sicherheitsgesetz was nun? 11 Zugang & Zugriff: Defense in Depth Deklaration von Zutrittsberechtigungen nach dem Sicherheitszonen ( Zwiebel) Prinzip Elektronisches Schließsystem Überwachung der Liegenschaften über Brand und Einbruchsmeldeanlagen Für hochsensible Bereiche Türkontakte und Bewegungsmelder Leittechnikschaltschränke mit Türmelder versehen personenbezogene Benutzerverwaltung Überwachung von Logins und der Anwendung von Benutzerrechten 01.06.2017 IT-Sicherheitsgesetz was nun? 12 6
Plan B als Pflicht Tanknotstrom unabhängige Bedienebene Katastrophenschutz Redundanzen in Datenwegen und technischen Systemen und Abhängigkeiten von externen Strukturen berücksichtigen 01.06.2017 IT-Sicherheitsgesetz was nun? 13 SINA=BSI zertifizierte Ferneinwahl Fernzugriffe auf die Leittechnik ausschließlich in Eigenregie der BWB Seit 2013 Nutzung von SINA (Ablösung von ISDN) Nutzung bei Rufbereitschaft und externen Dienstleistern für Zugriff auf Leitsystem Wasserversorgung Leit- und Informationssystem Abwasserentsorgung Online-Managementfunktion bietet aktive Freischaltung für Fernzugriffe Möglichkeit der Soforttrennung in Gefahrensituationen 01.06.2017 IT-Sicherheitsgesetz was nun? 14 7
sichere Remoteeinbindungen unsere Vorbereitung auf Industrie 4.0 Aufbau Druckmesspunkt SPS UMTS Router SINA Box R Ethernet Modem Internet-Router DSL Anschluss SIM-Karte mit großem Datenvolumen! P,V,KVZ-Tür SINA Box L3 Werksautomatisierung P,V,KVZ-Tür Wasserwerk 01.06.2017 IT-Sicherheitsgesetz was nun? 15 3. Meldepflicht IT Sicherheitsgesetz Regelungsbestandteile Schlagwort BSIG Beschreibung Standards 8a Abs. 1 Meldepflicht 8b Abs. 3 Erreichbarkeit 8b Abs. 3 Im BSIG Verweis auf Stand der Technik. Ausgestaltung durch DVGW im Rahmen UP- Kritis. Umsetzung innerhalb von 2 Jahren. Meldung von erheblichen Störungen an das Bundesamt für Sicherheit in der Informationstechnik. Jederzeit erreichbare Kontaktstelle ist einzurichten. Audits 8a Abs. 3 Mindestens alle 2 Jahre Nachweis der Erfüllung durch Audits, Prüfungen oder Zertifizierungen. Unterstützung 3 Abs. 3 BSI kann auf Ersuchen beraten und unterstützen 01.06.2017 IT-Sicherheitsgesetz was nun? 16 8
3. Meldepflicht anlagenbezogene meldepflichtige Anlagen Friedrichshagen Tegel Beelitzhof Wuhlheide Kaulsdorf Stolpe Spandau Kladow Tiefwerder LSW LISA LKW Waßmannsdorf Ruhleben Schönerlinde Wansdorf Stahnsdorf Münchehofe 17 3. Meldepflicht Grundprinzip Erstmeldung mit Filterfunktion 01.06.2017 IT-Sicherheitsgesetz was nun? 18 9
3. Meldepflicht Erstmeldung - Abhängig der Geschäftszeiten IT-Sicherheitsvorfall im System IT IT-Sicherheitsvorfall im System LISA IT-Sicherheitsvorfall im System LKW IT-Sicherheitsvorfall im System LSW Sicherheitsorganisation IT Sicherheitsorganisation AE Sicherheitsorganisation WV Meldeformular dauerbesetzte Meldestelle 01.06.2017 IT-Sicherheitsgesetz was nun? 19 3. Meldepflicht Vereinfachte Fragen zur Feststellung der Meldepflicht Welche Anlage(n) bzw. Systeme sind Betroffen? LISA LKW... Textfeld HPW Chab KW Ruh... HPW Köp KW Mün... Hält die Störung noch an? Ja Nein Der Vorfall führt(e) zum vollständigen Ausfall der Anlage oder Systems: zu einer Beeinträchtigung der Anlage oder Systems mit Auswirkung auf die Entsorung in Menge oder Qualität. hätte zu einer Beeinträchtigung oder einem Ausfall führen können. hatte in keinerlei Hinsicht Auswirkungen auf die Abwasserentsorgung. im Moment nicht absehbar. Textfeld BSI Meldung! BSI Meldung! BSI Meldung? Interne Meldung 01.06.2017 IT-Sicherheitsgesetz was nun? 20 10
3. Meldepflicht Anfragen und Warnungen vom BSI IT AE WV TS Cyber Security Arbeitsgruppe Executive Ebene dauerbesetzte Meldestelle 01.06.2017 IT-Sicherheitsgesetz was nun? 21 4. Vorbereitung auf die Zertifizierung IT Sicherheitsgesetz Regelungsbestandteile Schlagwort BSIG Beschreibung Standards 8a Abs. 1 Meldepflicht 8b Abs. 3 Erreichbarkeit 8b Abs. 3 Im BSIG Verweis auf Stand der Technik. Ausgestaltung durch DVGW im Rahmen UP- Kritis. Umsetzung innerhalb von 2 Jahren. Meldung von erheblichen Störungen an das Bundesamt für Sicherheit in der Informationstechnik. Jederzeit erreichbare Kontaktstelle ist einzurichten. Audits 8a Abs. 3 Mindestens alle 2 Jahre Nachweis der Erfüllung durch Audits, Prüfungen oder Zertifizierungen. Unterstützung 3 Abs. 3 BSI kann auf Ersuchen beraten und unterstützen 01.06.2017 IT-Sicherheitsgesetz was nun? 22 11
4. Vorbereitung auf die Zertifizierung bisherige Prüfschritte Überprüfung der Sicherheit des LSW durch die Innenrevision Internes Security-Audit über KRITIS-Standortcheck externes KRITIS-Testat internes Security Audit über LARS 01.06.2017 IT-Sicherheitsgesetz was nun? 23 4. Vorbereitung auf die Zertifizierung Managementreport Leitsystem Wasserwerke (LSW) Ziel Verfügbarkeit / Incidents Status Darstellung der wesentlichen Kennzahlen des Leitsystems Wasserwerke (LSW) über den Berichtszeitraum. Verfügbarkeit Incidents aktuell Incidents Vorjahr Incidents Entwicklung 100 % *** *** - 23 % Berichtsjahr Ergebnis Status Details Incidents Anzahl Stunden Störungen in der Regelarbeitszeit *** Bereitschaftseinsätze intern WV ** Bereitschaftseinsätze intern BWB (IT/IH) */* Bereitschaftseinsätze extern * * Werksnotbesetzungen 0 0 Besondere / sicherheitsrelevante Ereignisse: - Störungen in der Werksautomatik ZPW ***********. - Ausfall der Aufbereitung WW ******* nach E-Prüfung. - Nicht zugelassene Programmiersprache im WW ************. Umsetzung von Maßnahmen: - Umstellung der Bedienclients auf Windows 7 wurde abgeschlossen LSW für Bedienclients. - Umstellung der Server auf Windows 2008 R2 abgeschlossen Kosten geplante Maßnahmen Summe - Abschluss der Umstellung der Server auf Windows 2008 R2. - USV Versorgung für die Bereichsleitebenen der Werke. _************************************************************. - Erstellung eines Prototypen für die Erneuerung des LSW. T Abweichung Ersatzteile (LSW und IH) ** 0 Personalkosten (LSW-WV) *** Support-/Rahmenverträge extern *** +** Rufbereitschaft LSW-WV (ohne MA LSW) *** 0 Rufbereitschaft extern ** 0 Abschreibung LSW II *** Einsparung (92 PJ a 45 T ) **** Bilanz 2.964 % 01.06.2017 IT-Sicherheitsgesetz was nun? 24 12
4. Vorbereitung auf die Zertifizierung Weg und Methode Der kritische Pfad Schutzbedarf ermitteln Prozesstransparenz herstellen Risikomanagement einführen Benutzerberechtigungskonzepte erarbeiten Anforderungen / Leitlinie definieren Sicherheitskonzepte entwickeln Zugänge und Zugriffe absichern Systeme und Daten schützen Abhängigkeiten von einzelnen Komponenten minimieren Notfall und Wiederanlaufpläne definieren Awareness schaffen Sicherheitsniveau prüfen lassen Sicherheit als Prozess implementieren 01.06.2017 IT-Sicherheitsgesetz was nun? 25 Vielen Dank für Ihre Aufmerksamkeit noch Fragen? 01.06.2017 IT-Sicherheitsgesetz was nun? 26 13