Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen



Ähnliche Dokumente
Peter Piwecki und Robert Grey, Webinar, 17. Februar 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

IT-Sicherheit in der Energiewirtschaft

Informationssicherheit in der Energieversorgung

chancen der digitalisierung Überblick Rechtliche Aspekte des cloudcomputing

2. Forschungstag IT-Sicherheit NRW nrw-units. Informationssicherheit in der Energiewirtschaft

Das IT-Sicherheitsgesetz

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun?

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

G L E I C H B E H A N D L U N G S B E R I C H T. Vorgelegt durch. Susanne Jordan (Gleichbehandlungsbeauftragte) für

First Climate AG IT Consulting und Support. Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG

IT-Sicherheitsgesetz:

Cyber Security in der Stromversorgung

Worum es geht. zertifiziert und grundlegend

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen

Osnabrück,

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Version smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1):

Smart Metering Gas Die nächsten Schritte. Rahmenbedingungen. Ernst Kaiser, RWE Westfalen-Weser-Ems Netzservice GmbH, Dortmund

GPP Projekte gemeinsam zum Erfolg führen

BSI-IGZ zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Seminareinladung - Netzbetrieb & IT -

6. Petersberg-Regulierungs-Konferenz Cybersicherheit und globale Bedrohung Was kann Regulierung leisten?

Sicherer Systembetrieb in der Energiewirtschaft. Worum es geht zertifiziert und grundlegend. Von der Analyse bis zur Zertifizierung.

DAS NEUE IT-SICHERHEITSGESETZ

Normen als Zertifizierungsgrundlagen im Bereich IT-Sicherheit

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

IT-Sicherheit IDS-Fernzugriff gesichert

Bericht. über die Maßnahmen des Gleichbehandlungsprogramms der AggerEnergie GmbH im Jahre 2014

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Datenschutz beim Smart Metering Eine Herausforderung für die Wohnungsunternehmen?

Der einfache Weg zu Sicherheit


MUSTER-IT-SICHERHEITSKONZEPTE DER EKD

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai Burkhard Kesting

Zur Verteilnetzstudie Moderne Verteilnetze für Deutschland vom September 2014 Regulatorische Konsequenzen für Verteilnetzbetreiber

Mindestanforderungen an. Inland ECDIS Geräte im Informationsmodus und vergleichbare Kartenanzeigegeräte. zur Nutzung von Inland AIS Daten

Registrierung von Abschlussprüfern aus Drittländern Formular A (DE)

Entwurf zum IT-Sicherheitsgesetz

Freigegeben durch Dr. Stefan Krempl Vertraulichkeitsstufe Intern + Vertrieb

Die Zukunft der IT-Sicherheit

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

REACH-CLP-Helpdesk. Zulassung in der Lieferkette. Matti Sander, Bundesanstalt für Arbeitsschutz und Arbeitsmedizin

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung

BETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT

Der Schutz von Patientendaten

Egal, ob Sie neu bauen oder renovieren mit DATALIGHT bekommen Sie ein zukunftssicheres Strom- und Datennetz in einem. Und das bedeutet grenzenlose

IT-SUPPORT: STÖRUNGSFREI ARBEITEN. 0,14 /Min. dt. Festnetz. Mobilfunk 0,42 /Min.

IoT + BPM: Neue Carrier-Service- Angebote für den Energie-Sektor. SyroCon Consulting GmbH Bosch Software Innovations GmbH

Echtzeiterkennung von Cyber Angriffen auf SAP-Systeme mit SAP Enterprise Threat Detection und mehr

Vorgelegt durch. den Gleichbehandlungsbeauftragten. für die. Stadtwerkeverbund Hellweg-Lippe Netz GmbH & Co. KG. Stadtwerke Hamm GmbH

Informationssicherheitsmanagement

DATEV eg, Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

Regulatorische Anforderungen an die Entwicklung von Medizinprodukten

M e r k b l a t t. Neues Verbrauchervertragsrecht 2014: Beispiele für Widerrufsbelehrungen

Informationssicherheit Herausforderungen, Folgen, Empfehlungen. Created by: Dr. Thomas Nowey Date:

IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme IPS GmbH

DOKUMENTATION PASY. Patientendaten verwalten

Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer. von Wirtschaft und Gesellschaft.

Delta Audit - Fragenkatalog ISO 9001:2014 DIS

Innovation Forum Digitalisierung. Industrie Smart City Internet of Things Safety&&Security» Internet of Things. » Industrie

ANYWHERE Zugriff von externen Arbeitsplätzen

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

IT Sicherheit für Industrieanlagen unter Berücksichtigung des IT Sicherheitsgesetzes

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Datenschutzaudit DATENSCHUTZ & DATENSICHERHEIT IM UNTERNEHMEN. sicher bedarfsgerecht gesetzeskonform

Daten Monitoring und VPN Fernwartung

SAP Cloud Solutions. Key-User-Support der All for One Steeb

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Technische Richtlinien

Energieaudit oder Energiemanagementsystem? Eine Entscheidungshilfe

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

FAQ 04/2015. Auswirkung der ISO auf 3SE53/3SF13 Positionsschalter.

BREMISCHE BÜRGERSCHAFT Drucksache 18/1264 Landtag 18. Wahlperiode

Häufig gestellte Fragen zum neuen IT-Sicherheitsgesetz

Bericht über die Maßnahmen des Gleichbehandlungsprogramms nach 7a Abs. 5 Satz 3 EnWG

Personal-Vorsorgestiftung der Aluminium-Laufen AG Liesberg Liesberg. Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2014

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Web Application Security

Änderung der ISO/IEC Anpassung an ISO 9001: 2000

Windows Server 2008 (R2): Anwendungsplattform

Auswirkungen des IT-Sicherheitsgesetzes für KRITIS in der Wirtschaft

Pensionskasse der Burkhalter Gruppe Zürich. Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2013

MITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! IT - Sicherheitsforum Erfurt

IT-Sicherheitsgesetz und IT- Sicherheitskatalog Anforderungen an Betreiber kritischer Infrastrukturen

Technische Vorgaben für das Einspeisemanagement aktuelle Fragen zum Einspeisemanagement aus Sicht der BNetzA

Informationssicherheit - Last oder Nutzen für Industrie 4.0

Formular»Fragenkatalog BIM-Server«

Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)

Zuverlässiger IT-Service und Support Wir haben Ihr EDV-System im Griff.

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

OPERATIONAL SERVICES YOUR IT PARTNER

Handbuch. Mit Informationen zur Unterstützung des Risikomanagers. von Medizinischen IT-Netzwerken. zur Umsetzung der DIN EN

EWR GmbH. ppa. Giera. * nur 6 Cent je Gespräch, Mobilfunkpreise max. 42 Cent/Minute

Transkript:

Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen wissen? September 24, 2015 Slide 1

Über den Drucker ins Unternehmensnetzwerk Der Angreifer schickt ein mit Malware sowie einem auf den Drucker abgestimmten Exploit präpariertes Dokument per E-Mail an Mitarbeiter im auszuspähenden Unternehmen Beim Ausdrucken des Dokuments kommt es dann zur Infektion; diese Art des Angriffs ist schon seit mehreren Jahren bekannt In den wenigsten Unternehmen wurden jedoch Firmware-Updates auf Druckern installiert, so dass sich in der Praxis reichlich verwundbare Geräte finden lassen HP LaserJet P2055 Ist die Malware aktiv, baut sie einen Tunnel zu einem Server auf und erwartet von dort weitere Kommandos Da der Drucker ein vollwertiges Betriebssystem mitbringt, kann der Angreifer das Netzwerk scannen September 24, 2015 Slide 2

Aufdeckungen von Schwachstellen in Leitsystemen 300 250 240 223 200 172 180 150 100 98 50 0 43 31 28 17 7 7 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 Quelle: https://scadahacker.com/resources.html (Stand: 25. Juni 2015) September 24, 2015 Slide 3

Regulatorischer Rahmen in Deutschland IT-Sicherheitsgesetz (25. Juli 2015) Zielgruppe: Betreiber kritischer Infrastrukturen Ausstehende Rechtsverordnung, die kritische Infrastrukturen anhand von branchenspezifischen Schwellenwerten definiert IT-Sicherheitskatalog gemäß EnWG (12. August 2015) Zielgruppe: Betreiber von Strom- und Gasnetzen (unabhängig von der Größe oder Anzahl der angeschlossenen Kunden) Mindeststandard zum Schutz von TK- und EDV-Systemen, die für einen sicheren Netzbetrieb notwendig sind Wichtige Umsetzungsfristen Benennung einer Kontaktperson für die BNetzA bis zum 30. November 2015 Vorlage des ISMS-Zertifikates (gemäß Katalog) bis zum 31. Januar 2018 September 24, 2015 Slide 4

Relevante Normen für Energieversorgungsunternehmen IT-Sicherheitsgesetz Gesetzliche Grundlagen KonTraG 91 EnWG 11 (vom BMWi) BSI-Gesetz (vom BMI) ICS Security Kompendium IT-Sicherheitskatalog (Netze) BDEW Whitepaper Maßnahmen DIN ISO/IEC 27001 DIN ISO/IEC 27002 DIN ISO/IEC TR 27019 Zertifizierung IT- Grundschutz DIN ISO/IEC 27001 September 24, 2015 Slide 5

Weitere Normen für Energieversorgungsunternehmen DIN EN 50518 Anforderungen an die Planung, Ausführung und Gerätefunktionen für Alarmempfangsstellen in Europa IEC 62443 grundlegende Sicherheitsstandards für industrielle Automatisierungsumgebungen und Kontrollsysteme IEC 62351 technischer Standard zur Definition einer sicheren Kommunikation in Netzführungssysteme BSI-CC-PP-0073 Schutzprofil für die Kommunikationseinheit eines intelligenten Messsystems (Smart Meter Gateway) September 24, 2015 Slide 6

Neuerungen im BSI-Gesetz BSIG EnWG IT-SK Verpflichtungen für Betreiber kritischer Infrastrukturen (gemäß BSI-Gesetz 8a bis 8b) Umsetzung von angemessenen organisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen Nachweis der Einhaltung von branchenspezifischen Normen durch Sicherheitsaudits, Prüfungen oder Zertifizierungen Ernennung einer Kontaktperson für das BSI Anonymisierte Meldung von Störungen Ausnahme: Ausfall bzw. Beeinträchtigung der kritischen Infrastruktur Keine Anwendung von 8a auf Betreiber von Energieversorgungsnetzen und -anlagen im Sinne des EnWG Bußgelder von bis zu 100.000,- bei vorsätzlichen oder fahrlässigen Verstößen September 24, 2015 Slide 7

Neuerungen im Energiewirtschaftsgesetz BSIG EnWG Schutz von Telekommunikations- und EDV-Systemen, die für einen sicheren Netzbetrieb notwendig sind (EnWG 11 Abs. 1a) Kein Spielraum mehr beim Nachweis eines angemessenen Schutzes, da der IT-Sicherheitskatalog als Mindeststandard einzuhalten ist Einführung des Abs. 1b für Betreiber von Energieanlagen IT-SK Schutz von Telekommunikations- und EDV-Systemen, die für einen sicheren Anlagenbetrieb notwendig sind Ähnliche Anforderungen wie für Betreiber von Energieversorgungsnetzen, jedoch separater Katalog Einführung des Abs. 1c für die (anonymisierte) Meldung von erheblichen Störungen September 24, 2015 Slide 8

Kernforderungen des IT-Sicherheitskatalogs (Netze) BSIG EnWG Einführung eines ISMS (Informationssicherheits- Managementsystem) gemäß DIN ISO/IEC 27001 Zertifizierung des ISMS durch eine unabhängige und hierfür akkreditierte Stelle sowie eine Re-Zertifizierung Nennung eines Ansprechpartners an die Bundesnetzagentur Umsetzungsstand der Anforderungen ACT CHECK PLAN DO IT-SK Aufgetretene Sicherheitsvorfälle sowie Art und Umfang der hierdurch hervorgerufenen Auswirkungen Ursache aufgetretener Sicherheitsvorfälle sowie Maßnahmen zu deren Behebung und zukünftigen Vermeidung September 24, 2015 Slide 9

Auf dem Weg zur Zertifizierung Wir unterstützen Betreiber von kritischen Infrastrukturen durch gehärtete Produkte, geschützte Systeme und zuverlässige Dienstleistungen in den Bereichen Netzleittechnik, Stationsleittechnik, Kommunikationstechnik und Fernwirktechnik. Betroffenheit des Betreibers 1 Zertifizierung 2 Systemzustand erfassen 3 4 5 System aktiv schützen Regelkonformität kontrollieren System proaktiv schützen Systemzustand überwachen September 24, 2015 Slide 10

Ansprechpartner bei Fragen Peter Piwecki peter.piwecki@de.abb.com +49 621 381 3471 +49 172 633 1151 (mobil) Robert Grey robert.grey@de.abb.com +49 621 381 3670 +49 170 791 7552 (mobil) Kai-Uwe Böhm kai-uwe.boehm@de.abb.com +49 621 381 8267 +49 172 626 8246 (mobil) September 24, 2015 Slide 11

24. September 2015 Slide 12

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback