Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen wissen? September 24, 2015 Slide 1
Über den Drucker ins Unternehmensnetzwerk Der Angreifer schickt ein mit Malware sowie einem auf den Drucker abgestimmten Exploit präpariertes Dokument per E-Mail an Mitarbeiter im auszuspähenden Unternehmen Beim Ausdrucken des Dokuments kommt es dann zur Infektion; diese Art des Angriffs ist schon seit mehreren Jahren bekannt In den wenigsten Unternehmen wurden jedoch Firmware-Updates auf Druckern installiert, so dass sich in der Praxis reichlich verwundbare Geräte finden lassen HP LaserJet P2055 Ist die Malware aktiv, baut sie einen Tunnel zu einem Server auf und erwartet von dort weitere Kommandos Da der Drucker ein vollwertiges Betriebssystem mitbringt, kann der Angreifer das Netzwerk scannen September 24, 2015 Slide 2
Aufdeckungen von Schwachstellen in Leitsystemen 300 250 240 223 200 172 180 150 100 98 50 0 43 31 28 17 7 7 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 Quelle: https://scadahacker.com/resources.html (Stand: 25. Juni 2015) September 24, 2015 Slide 3
Regulatorischer Rahmen in Deutschland IT-Sicherheitsgesetz (25. Juli 2015) Zielgruppe: Betreiber kritischer Infrastrukturen Ausstehende Rechtsverordnung, die kritische Infrastrukturen anhand von branchenspezifischen Schwellenwerten definiert IT-Sicherheitskatalog gemäß EnWG (12. August 2015) Zielgruppe: Betreiber von Strom- und Gasnetzen (unabhängig von der Größe oder Anzahl der angeschlossenen Kunden) Mindeststandard zum Schutz von TK- und EDV-Systemen, die für einen sicheren Netzbetrieb notwendig sind Wichtige Umsetzungsfristen Benennung einer Kontaktperson für die BNetzA bis zum 30. November 2015 Vorlage des ISMS-Zertifikates (gemäß Katalog) bis zum 31. Januar 2018 September 24, 2015 Slide 4
Relevante Normen für Energieversorgungsunternehmen IT-Sicherheitsgesetz Gesetzliche Grundlagen KonTraG 91 EnWG 11 (vom BMWi) BSI-Gesetz (vom BMI) ICS Security Kompendium IT-Sicherheitskatalog (Netze) BDEW Whitepaper Maßnahmen DIN ISO/IEC 27001 DIN ISO/IEC 27002 DIN ISO/IEC TR 27019 Zertifizierung IT- Grundschutz DIN ISO/IEC 27001 September 24, 2015 Slide 5
Weitere Normen für Energieversorgungsunternehmen DIN EN 50518 Anforderungen an die Planung, Ausführung und Gerätefunktionen für Alarmempfangsstellen in Europa IEC 62443 grundlegende Sicherheitsstandards für industrielle Automatisierungsumgebungen und Kontrollsysteme IEC 62351 technischer Standard zur Definition einer sicheren Kommunikation in Netzführungssysteme BSI-CC-PP-0073 Schutzprofil für die Kommunikationseinheit eines intelligenten Messsystems (Smart Meter Gateway) September 24, 2015 Slide 6
Neuerungen im BSI-Gesetz BSIG EnWG IT-SK Verpflichtungen für Betreiber kritischer Infrastrukturen (gemäß BSI-Gesetz 8a bis 8b) Umsetzung von angemessenen organisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen Nachweis der Einhaltung von branchenspezifischen Normen durch Sicherheitsaudits, Prüfungen oder Zertifizierungen Ernennung einer Kontaktperson für das BSI Anonymisierte Meldung von Störungen Ausnahme: Ausfall bzw. Beeinträchtigung der kritischen Infrastruktur Keine Anwendung von 8a auf Betreiber von Energieversorgungsnetzen und -anlagen im Sinne des EnWG Bußgelder von bis zu 100.000,- bei vorsätzlichen oder fahrlässigen Verstößen September 24, 2015 Slide 7
Neuerungen im Energiewirtschaftsgesetz BSIG EnWG Schutz von Telekommunikations- und EDV-Systemen, die für einen sicheren Netzbetrieb notwendig sind (EnWG 11 Abs. 1a) Kein Spielraum mehr beim Nachweis eines angemessenen Schutzes, da der IT-Sicherheitskatalog als Mindeststandard einzuhalten ist Einführung des Abs. 1b für Betreiber von Energieanlagen IT-SK Schutz von Telekommunikations- und EDV-Systemen, die für einen sicheren Anlagenbetrieb notwendig sind Ähnliche Anforderungen wie für Betreiber von Energieversorgungsnetzen, jedoch separater Katalog Einführung des Abs. 1c für die (anonymisierte) Meldung von erheblichen Störungen September 24, 2015 Slide 8
Kernforderungen des IT-Sicherheitskatalogs (Netze) BSIG EnWG Einführung eines ISMS (Informationssicherheits- Managementsystem) gemäß DIN ISO/IEC 27001 Zertifizierung des ISMS durch eine unabhängige und hierfür akkreditierte Stelle sowie eine Re-Zertifizierung Nennung eines Ansprechpartners an die Bundesnetzagentur Umsetzungsstand der Anforderungen ACT CHECK PLAN DO IT-SK Aufgetretene Sicherheitsvorfälle sowie Art und Umfang der hierdurch hervorgerufenen Auswirkungen Ursache aufgetretener Sicherheitsvorfälle sowie Maßnahmen zu deren Behebung und zukünftigen Vermeidung September 24, 2015 Slide 9
Auf dem Weg zur Zertifizierung Wir unterstützen Betreiber von kritischen Infrastrukturen durch gehärtete Produkte, geschützte Systeme und zuverlässige Dienstleistungen in den Bereichen Netzleittechnik, Stationsleittechnik, Kommunikationstechnik und Fernwirktechnik. Betroffenheit des Betreibers 1 Zertifizierung 2 Systemzustand erfassen 3 4 5 System aktiv schützen Regelkonformität kontrollieren System proaktiv schützen Systemzustand überwachen September 24, 2015 Slide 10
Ansprechpartner bei Fragen Peter Piwecki peter.piwecki@de.abb.com +49 621 381 3471 +49 172 633 1151 (mobil) Robert Grey robert.grey@de.abb.com +49 621 381 3670 +49 170 791 7552 (mobil) Kai-Uwe Böhm kai-uwe.boehm@de.abb.com +49 621 381 8267 +49 172 626 8246 (mobil) September 24, 2015 Slide 11
24. September 2015 Slide 12