Cyber Security im Kontext des IT-Sicherheitsgesetz Konformität. Angemessenheit. Technologie vs. Governance?
Auf allen Kontinenten zuhause. Kennzahlen 2015 Umsatz in Mio. 1.881 Auslandsanteil (in %) 50,6 EBIT (in %) 5,4 Mitarbeiter (-innen) 19.630 Auslandsanteil 11.587 Standorte: Über 500 69Ländern 2
Umsatz nach Geschäftsbereichen. ICT & Business Solutions Systeme 8% 7% Industrie Service Academy 27% & Life Care 10% Mobilität 24% 24% Produkte 3
Die Welt von ICT & Business Solutions. Umsatz 2015: 133 Mio. Geschäftsfelder IT-Services & Cyber Security Telco Solutions & Consulting Weltweite Standorte 4
TÜV Rheinland i-sec. Informations- und IT-Sicherheit. Führender unabhängiger Dienstleister für Informationssicherheit in Deutschland Beratungs- und Lösungskompetenz in ganzheitlicher Informationssicherheit von der Steuerungsebene bis ins Rechenzentrum inkl. betriebsunterstützender Leistungen Exzellente Technologie-Expertise, umfassendes Branchen-Know-how, Partnerschaften mit Marktführern International zählen wir im Verbund mit unserer Schwestergesellschaft OpenSky zu den wichtigsten unabhängigen Anbietern Zertifiziert nach ISO 27001 und ISO 9001 5
TÜV Rheinland i-sec GmbH. Fakten und Zahlen. Standorte Deutschland Köln (HQ) München Kernbranchen und Sitz unserer Kunden Gelnhausen Saarbrücken Finanzen Automobil Fachliches Kompetenzteam 15 x Sales 20 x Security Engineering 60 x Management Beratung 45 x Professional Service und Betrieb Energiewirtschaft Chemie/Pharma Telekommunikation Int. Mischkonzerne Transport/Logistik Öffentlicher Dienst Handel Deutschland Österreich Schweiz! Projekteinsatz an 25.000 Tagen in 2015 6 31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz
Lösungskompetenz. Informations- und IT-Sicherheit. 1 Zielsetzung 2 Steuerung 3 Konzeption 4 Betrieb 5 und Strategie und Planung und Implementierung Prüfung Businessanforderung Strategie Management der Informationssicherheit Datenschutz und Datensicherheit Sichere Architekturen und Prozesse für Netzwerke, Rechenzentren, Mobil Sicherheit im Betrieb Betrieb (MSS) und Support von IT Security Lösungen Sicherheitsaudits Zertifizierung von Prozessen und Diensten Steuerungsprozesse IT Risikomanagement nach ISO 31000 und 27005 ISMS, BCM und GRC Toolauswahl/ -einführung Anwendungssicherheit APT - Computer Security Incident Response Team (CSIRT) Abkürzungsverzeichnis ISMS = Information Security Management System BCM = Business Continuity Management GRC = Governance, Risk und Compliance APT = Advanced Persistent Threat gezielte Cyberangriffe MSS = Managed Security Services! Branchenlösungen, individuelle Konzepte, professionelle Beratung und stark in der Umsetzung. 7 31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz
Referent. Arne Helemann Funktion: Fachgebiete: Qualifikationen: Principal Consultant - TÜV Rheinland i-sec GmbH ISMS, BCM, IT-Notfallmanagement, IT-GRC Associate member of the bci (AMBCI) Certified ISO 22301:2012 BCM Lead Auditor IT Compliance Manager - ITCM (ISACA ) Zertifizierter betrieblicher Datenschutzbeauftragter Fachkundiger und geprüfter IT-Security-Manager (UDIS) Geprüfter IT-Security-Beauftragter (TÜV, TAR-Zert) Kontakt: Arne.Helemann@i-sec.tuv.com +49 174 188 02 56 8
Agenda 1 2 3 4 5 Update IT-Sicherheitsgesetz Zwischenfazit IT-Sicherheitsgesetz TÜV Rheinland Erfahrungen aus Projekten Lösungsansatz - Aufbau ISMS Praxisbeispiel vom Geschäftsprozess zur Maßnahme 6 Use Cases unserer Partner 9
Update. IT-Sicherheitsgesetz I/III. Adressaten und Schwerpunkte des IT-Sicherheitsgesetzes* Allg. Betreiber Kritischer Infrastrukturen Betreiber von Webangeboten Angemessene Absicherung der IT nach Stand der Technik - sofern nicht andere Spezialregelungen bestehen Überprüfung alle zwei Jahre Meldung erheblicher IT-Sicherheitsvorfälle an das BSI Erhöhte Anforderungen an techn. & org. Maßnahmen Schutz der Kundendaten & der genutzten IT-Systeme Telekommunikationsunternehmen Verpflichtung zur Warnung der Kunden, bei Missbrauch von Kundenanschlüssen Hinweispflicht der Provider an die Kunden, wie eine Beseitigung der Störungen erfolgen kann * In Kraft getreten am 25. Juli 2015 10
Update. IT-Sicherheitsgesetz II/III. Meldepflicht Meldepflicht betrifft aktuell Betreiber von Kernkraftwerken und TK-Unternehmen, sowie KRITIS-Betreiber der Sektoren* - Energie - Informationstechnik - Telekommunikation - Ernährung - Wasser * Gem. KRITIS-Verordnung vom 03. Mai 2016. Regelungen für die Sektoren Finanzen, Transport und Verkehr sowie Gesundheit folgen im zweiten Teil der Rechtsverordnung. 11
Update. IT-Sicherheitsgesetz III/III. Aktueller Stand KRITIS-Verordnung (Erster Teil) ist am 03. Mai 2016 in Kraft getreten - Betroffene Sektoren: - Energie, Informationstechnik, Telekommunikation sowie Ernährung und Wasser - Ziel: Messbare und nachvollziehbare Kriterien, anhand derer Betreiber prüfen können, ob sie unter den Regelungsbereich fallen - Bestimmung des Versorgungsgrades anhand von Schwellenwerten - Regelschwellenwert von 500 000 versorgten Personen Zweiter Teil der KRITIS-Verordnung wird bis Anfang 2017 erwartet - Finanzen, Transport, Verkehr und Gesundheit Es wird von insgesamt nicht mehr als 2.000 Betreibern Kritischer Infrastrukturen in den regulierten sieben Sektoren ausgegangen Spezifische Regelungen für Anforderungen und Meldewege sind über Branchenverbände möglich (aktuell z.b. IT-Sicherheitskatalog der BNetzA) 12
Herausforderung. Stand der Technik. Stand der Technik "Stand der Technik" ist ein gängiger juristischer Begriff. Die technische Entwicklung ist schneller als die Gesetzgebung. Daher hat es sich in vielen Rechtsbereichen seit vielen Jahren bewährt, in Gesetzen auf den Stand der Technik abzustellen, statt zu versuchen, konkrete technische Anforderungen bereits im Gesetz festzulegen. Was zu einem bestimmten Zeitpunkt Stand der Technik ist, lässt sich zum Beispiel anhand existierender nationaler oder internationaler Standards wie DIN oder ISO- Standards oder anhand erfolgreich in der Praxis erprobter Vorbilder für den jeweiligen Bereich ermitteln. Da sich die notwendigen technischen Maßnahmen je nach konkreter Fallgestaltung unterscheiden können, ist es nicht möglich, den Stand der Technik allgemeingültig und abschließend zu beschreiben. Quelle: BSI, https://www.bsi.bund.de/de/themen/industrie_kritis/it-sig/faq/faq_it_sig_node.html 13
Agenda 1 2 3 4 5 Update IT-Sicherheitsgesetz Zwischenfazit IT-Sicherheitsgesetz TÜV Rheinland Erfahrungen aus Projekten Lösungsansatz - Aufbau ISMS Praxisbeispiel vom Geschäftsprozess zur Maßnahme 6 Use Cases unserer Partner 14
Zwischenfazit. IT-Sicherheitsgesetz. Zwischenfazit Der zweite Teil der KRITIS-Verordnung steht noch aus (Erwartet bis Anfang 2017) Unruhe und Verunsicherung bei Unternehmen, - ob man direkt / indirekt unter das Gesetz fällt - in Bezug auf branchenspezifische Lösungen - bezgl. der Überprüfung der Einhaltung der Vorgaben - bezgl. der Meldung von Vorfällen Aktuelle Auswirkung: Viele Unternehmen zögern mit der Umsetzung von Maßnahmen in Bezug auf IT- und Informationssicherheit Vielfach unzureichendes Verständnis für Bedarf nach IT- und Informationssicherheit - Empfinden, dass IT- und Informationssicherheit nur als Compliance-Erfüllung notwendig ist - Notwendigkeit und Mehrwerte von gesteuerter IT- und Informationssicherheit werden vielfach nicht wahrgenommen 15
Agenda 1 2 3 4 5 Update IT-Sicherheitsgesetz Zwischenfazit IT-Sicherheitsgesetz TÜV Rheinland Erfahrungen aus Projekten Lösungsansatz - Aufbau ISMS Praxisbeispiel vom Geschäftsprozess zur Maßnahme 6 Use Cases unserer Partner 16
Erfahrungen. TÜV Rheinland. Erfahrungen / Problemstellungen Hohe Unsicherheit in Bezug auf regul. und gesetztl. Anforderungen - Probleme in der Festlegung des Anwendungsbereiches ISMS als reines Werkzeug der Compliance Nachhaltige, strategisch gesteuerte Informationssicherheit oft ein Lippenbekenntnis - Historische Aufteilung von Verantwortlichkeiten (Kompetenzgerangel) - Keine gemeinsame, Unternehmensübergreifende Strategie Zielsetzung - Unzureichende Koordination von Governance, Technik und Managementsystemen Aufbau von ISMS ohne - Wandel in Kultur und Philosophie - angemessene Ausrichtung an Unternehmenszielen und -strategie Immer noch Reduktion von Informationssicherheit auf IT-Sicherheit Notfallmanagement vielfach untergeordnetes Thema 17
Agenda 1 2 3 4 5 Update IT-Sicherheitsgesetz Zwischenfazit IT-Sicherheitsgesetz TÜV Rheinland Erfahrungen aus Projekten Lösungsansatz - Aufbau ISMS Praxisbeispiel vom Geschäftsprozess zur Maßnahme 6 Use Cases unserer Partner 18
Lösungsansatz. Aufbau ISMS. Definition Informationssicherheitsmanagementsystem (ISMS) Ein ISMS sichert die Wahrung der - Vertraulichkeit, - Integrität - und Verfügbarkeit - (Authentizität als zusätzliches Sicherheitsziel, gem. IT-Sicherheitsgesetz) von Informationen unter Anwendung eines Risikomanagementprozesses. Ein ISMS ist als Basis für eine gesteuerte Umsetzung der Anforderungen des IT- Sicherheitsgesetz zu sehen Das ISMS ist integraler Teil der Abläufe einer Organisation Durch das ISMS werden techn. und org. Maßnahmen risikoorientiert gesteuert Ein gutes ISMS spiegelt einen ganzheitlichen Ansatz mit max. Nutzen wider 19
Kooperationspartner Aufsichtsbehörden Angemessenheit Reputation Wirtschaftlichkeit Dienstleister Anforderungen. Nur IT-Sicherheitsgesetz? Outsourcing ISO 27001 Firmenkultur Notfallfähigkeit IT-Sicherheit Risikomanagement Wirtschaftsprüfer Branchenstandards BSI IT-Grundschutz Kunden Lieferanten Risikoorientierung Supply Chain Betriebssicherheit Geschäftsanforderungen Gesetzliche Anforderungen Interne Regularien 20
Informationssicherheit. Definition. Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen 1 Informationssicherheit beinhaltet IT-Sicherheit als Leistungsdomäne Informationssicherheit berücksichtigt zusätzlich weitere Themen, z.b. - Strategie, Compliance, Prozesse - Personal Sicherheit, Physische Sicherheit - Business Continuity Management - Risikomanagement - Techn. und org. Maßnahmen Fokus auf Schutzbedarf der Informationen - Vertraulichkeit - Verfügbarkeit - Integrität - Authentizität 1 (ISO/IEC 27001), ggf. Ergänzung der Authentizität gem. IT-Sicherheitsgesetz 21
Management der Informationssicherheit. Ein Lösungsansatz. Strategische Ausrichtung Informationssicherheits-Managementsystem (ISMS) Interaktion mit bestehenden Managementsystemen (z.b. QMS, Riskmgmt) Ausrichtung an Unternehmenszielen und -strategie Integration Top-Level Management Anpassung an Firmenkultur und -philosophie Organisatorische und betriebliche Maßnahmen ISMS Prozesse (z.b. Riskmanagement, Management Reviews, Metriken) Betriebsprozesse (standardisieren, dokumentieren) Verfahrens- und Arbeitsanweisungen Sicherheitsbewusstsein schaffen Awareness Technische Maßnahmen Netzwerk Clients Server Gebäudesicherheit! Zielsetzung: GANZHEITLICHE LÖSUNG. Steuerung durch Top-Level Management. 22
Ganzheitlicher Ansatz. Der Weg zum Ziel. Organisation Politik Umweltfaktoren IKS HR Governance ISO27001 Branchen standards ISO31000 COSO Gesellschaft BCM RMS ISMS DS CRM Risk Compliance CobiT IT-SiG BS25999 IT-Grundschutz Mensch Information Prozesse Ziele Zeit Technik Wertschöpfung 23
Informationssicherheit. Erfolgsfaktoren Top-Level Management Compliance Interaktion Governance Wandel Mind Change Informationssicherheit als Aufgabe des Top-Level Management. Strategische Einbindung. 1 Kenntnis der Anforderungen an das ISMS (Gesetzte, Regularien, Verträge, Erwartungen) 2 Interaktion mit bestehenden Managementsystemen und zwischen Geschäftsbereichen 3 Übergeordnete Koordination und Steuerung von Maßnahmen und Aktivitäten 4 Wandel bestehender Strukturen (org. und kulturell) 5 Ermutigung aller Mitarbeiter zu offenem, risikoorientierten Verhalten 6 24
Ein Beispiel. IS Management durch ein ISMS. Organisation ISMS Management Strategien, Planungen, Visionen Management Commitment Bereich Organisation Prozesse, Rollen, Strukturen Security Forum, Policies Fachbereiche Verfahren, Lösungen Technische/Organisatorische Maßnahmen Informationstechnik Prozesse, Kommunikation, Daten Technische/Organisatorische Maßnahmen Infrastruktur-Technik Gebäude, Infrastruktur Technische Maßnahmen! Ca. 80% der Maßnahmen bei der Einführung eines ISMS sind organisatorischer Art! Dienstleistung ISMS-Forderungen Betriebliche Anforderungen 25
Agenda 1 2 3 4 5 Update IT-Sicherheitsgesetz Zwischenfazit IT-Sicherheitsgesetz TÜV Rheinland Erfahrungen aus Projekten Lösungsansatz - Aufbau ISMS Praxisbeispiel vom Geschäftsprozess zur Maßnahme 6 Use Cases unserer Partner 26
Praxisbeispiel. Kunde im Energiesektor I/V. Analyse Tätigkeitsfelder. Anforderungen an ein ISMS. 27
Praxisbeispiel. Kunde im Energiesektor II/V. 1. Detaillierung. Analyse relevanter Prozesse / Bereiche. 28
Praxisbeispiel. Kunde im Energiesektor III/V. 2. Detaillierung. Identifikation Informationen / Systeme. 29
Praxisbeispiel. Kunde im Energiesektor IV/V. 3. Detaillierung. Erstellung Übersicht über alle Ebenen. 30
Praxisbeispiel. Ableitung von Maßnahmen. Ableitung von techn. und org. Maßnahmen auf Basis von: Internen und externen Anforderungen - Z.B. (Konzern) Richtlinien, Kunden, Partner, Prüfer Vertragl. und regulativen Vorgaben - Z.B. Gesetze, Verträge, Verordnungen Risikomanagement - Z.B. ISMS, Corporate Risk-Management, IT-Risk-Management, BCM, IKS Incident Management - Z.B. Behandelte Vorfälle, identifizierte Schwachstellen Best-Practices - Z.B. Themen, die immer relevant sind und keiner dedizierten Anforderung bedürfen! Viele verschiedene Quellen mit Anforderungen an Maßnahmen Überschneidungen und Widersprüche sind nicht auszuschließen 31
Maßnahmenauswahl. Der Weg zum Erfolg. Ganzheitliches Maßnahmenmanagement Identifikation von Handlungsbedarf Definition von Verantwortlichkeiten Abstimmung mit relevanten Bereichen (tech. & org.) Analyse rechtlicher Rahmenbedingungen Definition von Zielen und Bewertungskriterien (Lastenheft) Marktanalyse, inkl. Bewertung gem. Bewertungskritereien Konzeption, inkl. Prozess und Dokumentation Durchführung Proof of Concept Ggf. gesteuerter Roll-Out Fortlaufende Pflege und Überwachung der Maßnahmen / Aktivitäten Optional: - Messung der Effektivität der Maßnahmen / Aktivitäten - Anpassung oder Deaktivierung der Maßnahmen / Aktivitäten 32
Agenda 1 2 3 4 5 Update IT-Sicherheitsgesetz Zwischenfazit IT-Sicherheitsgesetz TÜV Rheinland Erfahrungen aus Projekten Lösungsansatz - Aufbau ISMS Praxisbeispiel vom Geschäftsprozess zur Maßnahme 6 Use Cases unserer Partner 33
Projekterfahrung. Handlungsbedarf. Top Themen aus aktuellen Projekten Identifizierung interner und externer Angriffe / Angreifer Partner vor Ort. - Verhaltensorientiert - Korrelation von Sensoren-Daten Revisionssichere Kontrolle und Monitoring - IT-Systeme, Applikationen & Aktivitäten Log Management - Zentral und plattformübergreifend Verschlüsselung & Authentifizierung - On Premise & Cloud-Umgebungen Automation des ISMS (tech. / org.) - GRC-Tools - Qualifiziertes Reporting (techn. Systeme) Vulnerability management Incident Management 34
Fragen? Arne Helemann Principal Consultant, Information Security and Application Services TÜV Rheinland i-sec GmbH Am Grauen Stein 51105 Köln Tel: +49 221 56783 275 Fax: +49 221 806 1580 Arne.helemann@i-sec.tuv.com www.tuv.com/informationssicherheit 35
VIELEN DANK FÜR IHRE AUFMERKSAMKEIT! Regelmäßig aktuelle Informationen im Newsletter und unter www.tuv.com/informationssicherheit 36
Auf allen Kontinenten zuhause. Kennzahlen 2015 Umsatz in Mio. 1.881 Auslandsanteil (in %) 50,6 EBIT (in %) 5,4 Mitarbeiter (-innen) 19.630 Auslandsanteil 11.587 Standorte: Über 500 69Ländern 37
Umsatz nach Geschäftsbereichen. ICT & Business Solutions Systeme 8% 7% Industrie Service Academy 27% & Life Care 10% Mobilität 24% 24% Produkte 38
Die Welt von ICT & Business Solutions. Umsatz 2015: 133 Mio. Geschäftsfelder IT-Services & Cyber Security Telco Solutions & Consulting Weltweite Standorte 39
TÜV Rheinland i-sec. Informations- und IT-Sicherheit. Führender unabhängiger Dienstleister für Informationssicherheit in Deutschland Beratungs- und Lösungskompetenz in ganzheitlicher Informationssicherheit von der Steuerungsebene bis ins Rechenzentrum inkl. betriebsunterstützender Leistungen Exzellente Technologie-Expertise, umfassendes Branchen-Know-how, Partnerschaften mit Marktführern International zählen wir im Verbund mit unserer Schwestergesellschaft OpenSky zu den wichtigsten unabhängigen Anbietern Zertifiziert nach ISO 27001 und ISO 9001 40
TÜV Rheinland i-sec GmbH. Fakten und Zahlen. Standorte Deutschland Köln (HQ) München Kernbranchen und Sitz unserer Kunden Gelnhausen Saarbrücken Finanzen Automobil Fachliches Kompetenzteam 15 x Sales 20 x Security Engineering 60 x Management Beratung 45 x Professional Service und Betrieb Energiewirtschaft Chemie/Pharma Telekommunikation Int. Mischkonzerne Transport/Logistik Öffentlicher Dienst Handel Deutschland Österreich Schweiz! Projekteinsatz an 25.000 Tagen in 2015 41 31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz
Lösungskompetenz. Informations- und IT-Sicherheit. 1 Zielsetzung 2 Steuerung 3 Konzeption 4 Betrieb 5 und Strategie und Planung und Implementierung Prüfung Businessanforderung Strategie Management der Informationssicherheit Datenschutz und Datensicherheit Sichere Architekturen und Prozesse für Netzwerke, Rechenzentren, Mobil Sicherheit im Betrieb Betrieb (MSS) und Support von IT Security Lösungen Sicherheitsaudits Zertifizierung von Prozessen und Diensten Steuerungsprozesse IT Risikomanagement nach ISO 31000 und 27005 ISMS, BCM und GRC Toolauswahl/ -einführung Anwendungssicherheit APT - Computer Security Incident Response Team (CSIRT) Abkürzungsverzeichnis ISMS = Information Security Management System BCM = Business Continuity Management GRC = Governance, Risk und Compliance APT = Advanced Persistent Threat gezielte Cyberangriffe MSS = Managed Security Services! Branchenlösungen, individuelle Konzepte, professionelle Beratung und stark in der Umsetzung. 42 31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz