Security is a process, not a product Bruce Schneier Kapsch BusinessCom Return on Security Investment Thomas Mann Kapsch Group CISO
05.10.2016 Return on Security Investment www.kapsch.net 2
05.10.2016 Return on Security Investment www.kapsch.net 2
05.10.2016 Return on Security Investment www.kapsch.net 4
Der Angriff auf das ukrainische Stromnetz Geben Sie Ihren Untertitel ein. Gut trainiertes Hackerteam mit monatelanger Vorbereitungsphase Sorgfältiges und unauffälliges Auskundschaften des Betreibers Backdoor durch Phishing E-Mail VPN Zugangsdaten zum SCADA-Netzwerk Deaktivierung der USV der Kontrollzentren Ausschalten der Leistungsschalter 30 Umspannwerke / 230.000 Haushalte betroffen (bis zu 6 Stunden Ausfallzeit) Überschreiben der Firmware (Serial-to-Ethernet Converter) zwischen Kontrollzentrum und Umspannwerken Nach 2 Monaten noch immer nicht komplett erholt Firmware von kritischen Geräten bei 16 Umspannwerken überschrieben 05.10.2016 Return on Security Investment www.kapsch.net 5
Aktuelle Situation Die Anzahl an Angriffen steigt Immer mehr Sektoren sind an IT gesteuerte Prozesse gebunden und werden zu potenziellen Zielen Angreifer sind unberechenbar Gut ausgebildet Hoch motiviert Prävention wird letztendlich versagen Medienberichte Persönliche Erfahrungen 05.10.2016 Return on Security Investment www.kapsch.net 4
05.10.2016 Return on Security Investment www.kapsch.net 7
05.10.2016 Return on Security Investment www.kapsch.net 8
05.10.2016 Return on Security Investment www.kapsch.net 9
Internet of Things Search Engine 05.10.2016 Return on Security Investment www.kapsch.net 8
Ausbreitung Schadsoftware im Industriellen Umfeld 05.10.2016 Return on Security Investment www.kapsch.net 8
Der Wunsch nach Sicherheit 05.10.2016 Return on Security Investment www.kapsch.net 9
Return on Security Investment 05.10.2016 Return on Security Investment www.kapsch.net 10
Organisation der Informationssicherheit 05.10.2016 Return on Security Investment www.kapsch.net 11
Security Incident Management SIR TEAM 05.10.2016 Return on Security Investment www.kapsch.net 11
Schwachstellen Management Andere Kunden 05.10.2016 Return on Security Investment www.kapsch.net 14
Das Reifegradmodell der Informationssicherheit 05.10.2016 Return on Security Investment www.kapsch.net 11
Ein ISMS nach ISO 27001:2013 05.10.2016 Return on Security Investment www.kapsch.net 12
Ein ISMS nach ISO 27001:2013 05.10.2016 Return on Security Investment www.kapsch.net 13
Die Balance zwischen Risiko und Aufwand 05.10.2016 Return on Security Investment www.kapsch.net 14
Definition der Information Security Policies Informationssicherheitspolitik Management Commitment Risikoklassen Datenklassen Rollen und Funktionen 05.10.2016 Return on Security Investment www.kapsch.net 14
Die Business Impact Analyse Auswirkung auf den Geschäftsprozess des Fachbereichs mittel gering hoch Business Impact / Auswirkung Finanz und Controlling Forschung & Entwicklung Produktion Eintrittswahrscheinlichkeit / Häufigkeit ERP System E-Mail CAD ERP Server Datenbank Server Basisdienste und IT-Prozesse Archiv-server Client Services Hardware Betriebssystem Rechenzentrum Incident Mgmt. Change Mgmt DNS LAN WAN DNS Server Das schwächste Glied bestimmt die Zugfestigkeit der gesamten Kette! Gebäude Stromversorgung Betriebs-system Hardware Rechen-zentrum 05.10.2016 Return on Security Investment www.kapsch.net 14
Ergebnisse der BIA I) Modellierung des Geltungsbereichs II) Strukturierte Interviews mit den Prozessverantwortlichen - betrachtet werden die Kriterien Verfügbarkeit (mit unterschiedlichen Zeithorizonten) Vertraulichkeit Integrität Rechtskonformität - Interviews sind szenarienbasiert - Klassifikation der potentiellen Schäden gemäß den Bedrohungsklassen Unbedeutend Gering Mittel Hoch Sehr hoch Bedrohungsklassen: unbedeutend, gering, mittel, hoch, sehr hoch 05.10.2016 Return on Security Investment www.kapsch.net 14
Methodik der Risikoanalyse I) Aufbauend auf Stufe 2 erfolgt die Analyse und Modellierung der zu Grunde liegenden IT- Infrastruktur und IT-Prozesse II) Bewertung der modellierten IT-Infrastruktur und IT- Prozesse anhand umfangreicher, mitgelieferter Fragenkataloge 05.10.2016 Return on Security Investment www.kapsch.net 14
Ergebnisse der Risikoanalyse 05.10.2016 Return on Security Investment www.kapsch.net 14
Die Ziel- bzw. Planabweichung analysieren SOLL-IST Analyse basierend auf Policy, Anforderung aus dem Geltungsbereich und dem IST-Wert der Risikoanalyse Dies klicken Sie auf den Platzhaltertext und geben Sie Ihren Text ein. Verbesserungsvorschläge identifizieren GAP-Analyse Vergleich der IST-Erfüllung Maßnahmen definieren mit dem höchsten Impact zuerst zielorientiert Kosten/Nutzen abwiegen 05.10.2016 Return on Security Investment www.kapsch.net 14
PDCA Stetige Optimierung des Systems Ausgangssituation Optimierter IST-Zustand Umsetzung der Maßnahme 1 Umsetzung der Maßnahme 5 Umsetzung der Maßnahme 2 Umsetzung der Maßnahme 4 Umsetzung der Maßnahme 3 05.10.2016 Return on Security Investment www.kapsch.net 14
Return on Security Investment-ROSI SCHADENS-Verteilung Compound-Funktion Maximum Forseeable Loss MFL Most Likely Case 50% VERLUST-Verteilung HÄUFIGKEITS-Verteilung Ratingkennzahl Best Case 5% Worst Case 95% 05.10.2016 Return on Security Investment www.kapsch.net 14
Key Performance Indicators Dashboard 05.10.2016 Return on Security Investment www.kapsch.net 14
Vielen Dank für Ihre Aufmerksamkeit. Ing. Thomas Mann SPcM CMC CISA Kapsch Group Chief Information Security Officer (CISO) Kapsch BusinessCom Kapsch BusinessCom AG Wienerbergstraße 53 1120 Wien, Österreich Phone: +43 50 811 5587 E-Mail: thomas.mann@kapsch.net www.kapsch.net Hinweis: Der Inhalt dieser Präsentation ist geistiges Eigentum der Kapsch AG. Alle Rechte hinsichtlich des Kopierens, der Vervielfältigung, Änderung, Nutzung, Veröffentlichung oder Weitergabe des Inhalts an Dritte bleiben vorbehalten. Vorgenanntes ist ohne vorausgehende schriftliche Genehmigung der Kapsch AG ausdrücklich untersagt. Bei Produkt- und Firmennamen kann es sich um eingetragene Markennamen oder geschützte Marken Dritter handeln. Diese werden in der Präsentation lediglich zum Zweck der Verdeutlichung und zum Vorteil des jeweiligen rechtmäßigen Eigentümers ohne eine Absicht der Verletzung der Eigentumsrechte verwendet.