Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) cont. Dr. Reinhold Scheffel und Martin Lang Öffentlich bestellte und vereidigte Sachverständige
1. Zunehmende Digitalisierung, IoT, Internet 4.0, SmartMeter, HomeControl, Industriesteuerungen, SPS, bargeldloses Bezahlen, 2. Sicherheitstechnische Lücken 3. Was ist ein IT-Sicherheitsmindeststandard? 4. Werkzeuge, Unterlagen, Hilfsmittel ISO 27001 5. Vertraulichkeit, Integrität und Verfügbarkeit ISMS 6. Beispiele auf der organisatorischen Seite 7. Beispiele aus der IT 8. Beispiels bei einem Notfall 9. Ein Lösungsansatz 2
1. Zunehmende Digitalisierung Strom, Wasser, Gas, Wärme, IoT, Internet 4.0, SmartMeter, HomeControl, Industriesteuerungen, SPS, bargeldloses Bezahlen, Verkehrslenkung, Öffentlicher Verkehr, Industriebetriebe, Gesundheitswesen, Kraftfahrzeuge, 3
1.1 Strom, Wasser, Gas, Wärme, http://www.brd.nrw.de/planen_bauen/regionalentwicklung/fossile_energien.html Quelle imago Dietrich Rohrleitungsbau GmbH 4
1.2 IoT, Internet 4.0, 5
1.3 SmartMeter Mainova Hager 6
1.4 HomeControl Hager, PC-Welt, yatego 7
1.5 Industriesteuerungen, SPS xn--gunnar-grbel-djb.de 8
1.6 bargeldloses Bezahlen Buytosell.ch Die neuen Bankautomaten der Spar- und Darlehenskasse in Bahnhof Reken. Quelle: Borkener Zeitung. 9
1.7 Verkehrslenkung Verkehrsleitwarte KSTA 10
1.8 Öffentlicher Verkehr 11
1.9 Industriebetriebe lyondellbasell.mediaroom.com voestalpine.com 12
1.10 Gesundheitswesen spiegel.de klinikum.uni-heidelberg.de 13
1.11 Kraftfahrzeuge Bild.de 14
2. Sicherheitstechnische Lücken? Uns späht doch keiner aus! Wir und die NSA, wir sind viel zu unbedeutend! Wir haben keine wichtigen Daten! Wir speichern doch gar nichts Wichtiges Wir machen doch nur ---------------------------------------------------------------------------- Philosophische Lücken Physische Lücken Technische Lücken Logische Lücken Organisatorische Lücken 15
2.1 Sicherheitstechnische Lücken? Philosophische Lücken Das Unternehmen ist Zulieferer für viele andere Es bietet besondere Lösungen Es bietet Lösungsansätze als Alleinstellungsmerkmale Es bietet spezielle Hardware Es bietet spezielle Software (heute Apps) Einzigartige Kundenspezifische Lösung, Programmierung, Datenhaltung, etc. 16
2.2 Sicherheitstechnische Lücken? Physische Lücken Telekommunikationsdienstleistung Datenaufbereitung, Speicherung Lettershop, Datawarehouse Rechenzentrum Wartungsdienstleistung: Firewall Datenleitungsanbindung, Fiber, Luftschnittstelle, Richtfunk WLAN (z.b. Firmen-Campus, Klinik, ) 17
2.3 Sicherheitstechnische Lücken? Technische Lücken Computer/Rechnerwartung Kommunikationstechnik Leitungstechnik (konventionell, Tunnel, Verschlüsselung) Systemlieferant Zutritt Zugriff Personen (Kompetenz) Verfahren bei Einstellung, Trennung 18
2.4 Sicherheitstechnische Lücken? Logische Lücken Verschlüsselungssysteme Weitergabe von Daten Löschung von Daten nach Ende des Verwendungszwecks Backup-Philosophie Systematik Notfallplanung Wiederherstellung von Datenbeständen Welche Daten sind wo, warum? Kann man den Datenabfluss detektieren Auf welchen Systemen gehen Daten aus dem Haus 19
2.5 Sicherheitstechnische Lücken? Organisatorische Lücken Welche Verfahren zum Umgang mit Daten, Rezepten, pbd, Knowhow, sind überhaupt festgelegt? Wie viele haben Zugang und Zugriff auf sensible Daten? Was passiert mit Dokumenten? Vernichtung von Akten geregelt? E-Mail-Verkehr Internetnutzung analysiert ( außer: jeder muss da rein! ) Firmen-Daten -> auf private Systeme -> Firmen-Daten? 20
3. Was ist ein IT-Sicherheitsmindeststandard Der Mindeststandard beschreibt die zu erfüllenden sicherheitstechnischen Anforderungen an eine Produktbzw. Dienstleistungskategorie oder Methoden, um eine angemessene Sicherheit für einen Mindestschutz gegen IT-Sicherheitsbedrohungen zu erreichen. 21
4. Werkzeuge, Unterlagen, Hilfsmittel -> 27001/2 4.1 Werkzeuge Werkzeuge können Normen sein, aber auch unterstützende Softwaresysteme. Wir konzentrieren uns hier heute auf Normen Aus dem Gesetz heraus lernen wir, dass wir uns auf die DIN EN ISO 27001/2 konzentrieren sollen! (Normenkonformität) 22
4. Werkzeuge, Unterlagen, Hilfsmittel -> 27001/2 4.1 Werkzeuge Die Einführung eines Informationssicherheits-Managementsystems stellt für eine Organisation eine strategische Entscheidung dar: Entsprechend legt die Internationale Norm DIN ISO/IEC 27001 die Anforderungen fest für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung. Darüber hinaus beinhaltet die Norm Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation. IT-Risiken minimieren in allen Organisationen Wichtig: Die in DIN ISO/IEC 27001/2 spezifizierten Anforderungen an Informationssicherheits-Managementsysteme (ISMS) sind allgemein gehalten und sollen auf alle Organisationen, ungeachtet ihrer Art und Größe, anwendbar sein. (Quelle: Beuth-Verlag, www.beuth.de) 23
4. Werkzeuge, Unterlagen, Hilfsmittel -> 27001/2 4.2 Unterlagen Erklärung zur Anwendbarkeit Dokument, das die Maßnahmenziele und Maßnahmen beschreibt, die für das ISMS einer Organisation relevant und anwendbar sind. Bemerkung: Maßnahmenziele und Maßnahmen basieren auf den Ergebnissen und Schlussfolgerungen der Risikoeinschätzungs- und Risikobehandlungsprozesse, gesetzlichen oder behördlichen Anforderungen, vertraglichen Verpflichtungen und den Geschäftsanforderungen der Organisation an Informationssicherheit. 24
4. Werkzeuge, Unterlagen, Hilfsmittel -> 27001/2 4.3 Hilfsmittel Quelle: BSI 25
4. Werkzeuge, Unterlagen, Hilfsmittel -> 27001/2 4.3 Hilfsmittel Im Vorfeld steht aus Kostensicht immer eine qualifizierte Recherche Dokumente Personelle Unterstützung Dienstleister 26
6. Beispiele auf organisatorischer Art 6.1 Firewall Fragenstellungen: Wer betreibt das System? Wer konfiguriert, intern, extern, remote,? Passwort, System, kurzfristig, nur ein Passwort? Gibt es ein niedergeschriebenes Verfahren? Wird das Passwort von einem SU oder Admin bei verlassen der Firma geändert? Wie ist bei Defekt der Austausch geregelt? 27
6. Beispiele auf organisatorischer Art 6.2 Backup Fragenstellungen: Wer betreibt das System? Wo liegen die Backup-Daten? Sind Sie bei einem Brand gesichert? Gibt es ein niedergeschriebenes Verfahren? Ist die Wiederherstellung der Daten geregelt? Liegen die Daten im Ausland (Cloud-Thema)? 28
6. Beispiele auf organisatorischer Art 6.3 Wartung / Reparatur Fragenstellungen: Wer? (intern, extern, Verfahren, Kontrolle, Firmware-Update, ) Was passiert mit einem defekten Laptop? Wo bleiben die alten Festplatten? Wie ist der Zutritt geregelt, Beaufsichtigung? (ständige Begleitung) USB-Port gesichert? Bildschirm? (Bildschirmschoner, gegenüber eines Fensters, ausschalten, ) 29
6. Beispiele auf organisatorischer Art 6.4 Fragestellung der Norm (Beispiele) 30
7. Beispiele aus der IT 7.1 Hardware Fragenstellungen: Wo sind die Systeme? (RZ, gesehen, geprüft, zertifiziert) Ist Verfügbarkeit gesichert? (Verträge, Haftung, Dienstleistung) Austauschverfahren beschrieben? Anbindung an die Telekommunikation geregelt? Zutritt (Räume gesichert), Zugriff, Berechtigung? Kompetenz der Personen sichergestellt? 31
7. Beispiele aus der IT 7.2 Software Fragenstellungen: Change-Management? (Versionierungskonzept) Qualitätssicherung? (z.b. Testumgebungen) Dokumentation? Berechtigungskonzept? Trennung der Daten, Mandantenfähigkeit? Kompetenz der Personen sichergestellt? 32
7. Beispiele aus der IT 7.3 Fragestellung der Norm (Beispiele) 33
8. Beispiel Notfallhandbuch 8.1 Notfallhandbuch Fragenstellungen: Auf Papier, elektronisch? Wo befindet sich das Handbuch? Ist die Meldekette geklärt, geregelt, bekannt? Notfallübungen, Brandschutzübungen, Dokumentation Ersatzarbeitsplätze, H-Office, Niederlassung, Wiederanlaufprozeduren festgelegt, beschrieben? Regelung der Kundeninformation? 34
8. Beispiel Notfallhandbuch 8.2 Fragestellung der Norm (Beispiele) 35
9. Maßnahmen und Ziele Sicherheitspolitik Interne Organisation Externe Management von Werten Personalsicherheit Physische und umgebungsbezogene Sicherheit Betriebs- und Kommunikationsm 36
9.Lösungsansatz Entscheidung der Geschäftsführung erforderlich Unterstützung durch Ressourcen, Budget Schaffung von interner Kompetenz (Schulung, ) Unterstützung von externer Seite (Ressourcen, Kosten) Zu Beginn Quick-Check, um Status zu erhalten In Anlehnung an ISO Standard vollständige Risiko-Analyse Priorisierung der kritikalen Aufgabenstellungen Interne Audits durch Externe (Abhängigkeit der Unternehmensgröße) Der Zeitrahmen beträgt 2 Jahre -> Berichte an das BSI Zertifizierung der ISO 27001 (ultima ratio) 37
10. ich habe fertig Sind Sie jetzt auch bereit für Fragen? Vielen Dank für Ihr Interesse (und Geduld!) 38
10. ich habe fertig Sind Sie jetzt auch bereit für Fragen? Vielen Dank für Ihr Interesse (und Geduld!) 39
Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) Kontakt: Scheffel@useconsult.de 0157 52 41 69 78 Lang@useconsult.de 0175 20 313 62 40