bei einem Flächennetzbetreiber

Ähnliche Dokumente
VKU-PRAXISLEITFADEN IT-SICHERHEITSKATALOG

NATIONALES IT-SICHERHEITSGESETZ? UNS ALS KOMMUNE BETRIFFT DAS DOCH NICHT!

Schutz Kritischer Infrastrukturen. PITS - Public-IT-Security Kongress für IT-Sicherheit bei Behörden Berlin, 13. September 2016

Energiewirtschaft und Digitalisierung

IT-Sicherheit im Energie-Sektor

Zertifizierung gemäß ISO/IEC IT-Sicherheitskatalog nach 11 Abs. 1a EnWG

SC124 Kritische Infrastrukturen gem. ISO u. ISO 27019

Neues deutsches IT-Sicherheitsgesetz Was bedeutet das für die Kunden? Wie können wir helfen?

Cybersecurity in der Energiewirtschaft Schlüssel zum Erfolg der Digitalisierung

Blick über den Tellerand Erfahrungen der EVU

Schutz Kritischer Infrastrukturen im Energiesektor: Umsetzung und Zertifizierung des IT-Sicherheitskatalogs für Strom- und Gasnetzbetreiber

Sicherer Datenaustausch für Unternehmen und Organisationen

ERFAHRUNGSBERICHT: PRÜFUNG NACH 8A (3) BSIG AUS PRÜFER- UND KRANKENHAUSSICHT

Zertifizierung nach ISO unter Berücksichtigung des Konformitätsprogramms der BNetzA

KRITISCHE INFRASTRUKTUREN

Standardisierung und Anforderungen an SMGW Administration

Nürnberg, Kongress SPS/IPC/Drives Technische Sicherheitstests

DVGW-Information. GAS Nr. 22 März Informationssicherheit in der Energieversorgung. in Kooperation mit GAS

Stellungnahme zum Entwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz

Köln, 23. November KISK Detailed RiskTreatment Plan DRTP gemäß IEC 62443

Kritische Infrastruktur in der Wasserwirtschaft Was bedeuten branchenspezifische IT-Sicherheitsstandards für die Wasserversorgungsunternehmen?

Anforderungen an digitale Strukturen in der Energiewirtschaft

Zertifizierung von IT-Standards

DAS IT-SICHERHEITSGESETZ

SICIA SECURITY INDICATORS FOR CRITICAL INFRASTRUCTURE ANALYSIS

Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen

Aktueller Stand der Umsetzung des IT- Sicherheitsgesetz aus Sicht des BSI

Zertifizierung von Netzbetreibern nach IT-Sicherheitskatalog gemäß 11 Abs. 1a EnWG

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun?

IT-Sicherheitsgesetz: Welche neuen Pflichten gelten für Unternehmen?

Wie KRITISCH ist der digitale Energiewandel?

Das IT-Sicherheitsgesetz Pflichten und aktueller Stand Rechtsanwalt Dr. Michael Neupert

Hand in Hand: IT- und Facility-Management

Internet, Datennetze und Smartphone

Regensburg, 18. Oktober 2017 Michael Berger

zurückgezogen DVGW-Information GAS Nr. 22 März 2016 INFORMATION Informationssicherheit in der Energieversorgung in Kooperation mit GAS

IT-Sicherheit in der Energiewirtschaft

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

Cybersicherheit im Sektor Wasser. Silke Bildhäuser, B.Sc. Bundesamt für Sicherheit in der Informationstechnik

DVGW-Information. GAS Nr. 22 März Informationssicherheit in der Energieversorgung. in Kooperation mit

Zukunftskommission Digitale Agenda Neuss - Kritische Infrastruktur

Informationssicherheitsma nagementsystem (ISMS)

Wie KRITISch ist der digitale Energiewandel?

Cloud Security. Compliance in der Cloud sicherstellen. Managed Hosting Cloud Hosting Managed Services

ISO Ihr. Angriffe Alexander Häußler TÜV SÜD Management Service GmbH

IT-Sicherheit für KMUs

IT-Sicherheit im Spannungsfeld

Informationssicherheit-Managementsystems (ISMS) mehr als IT-Sicherheit

IT-Sicherheitsaudits bei KRITIS-Betreibern: Zusätzliche Prüfverfahrens-Kompetenz für 8a (3) BSIG

Rüdiger Gruetz Klinikum Braunschweig Geschäftsbereich IT und Medizintechnik. GMDS-Satellitenveranstaltung

Das neue IT-Sicherheitsgesetz: AktuellerStand in SachenKRITIS

IT-Sicherheitsgesetz und die Umsetzung in der Praxis

IT-Sicherheitsgesetz: Wen betrifft es,

EU DSGVO Umsetzung im Unternehmen:

Damit die Einführung eines ISMS und die ISO Zertifizierung gelingen

Wie beeinflusst das IT-Sicherheitsgesetz perspektivisch die Zertifizierung von Medizinprodukten?

Zertifizierung gemäß ISO/IEC 27001

BSI-KRITERIUM HEBELT MELDEPFLICHT FÜR ENERGIEVERSORGER WIEDER AUS

IT-Sicherheit für Stadtwerke Sind Sie READY für ein zertifiziertes ISMS? Thomas Steinbach Leipzig, 10. Mai 2017

IT-Sicherheitsgesetz & IT-Sicherheitskatalog Status Quo und neue Herausforderungen. Referent: Christian Bruns

Das neue it-sicherheitsgesetz - segen oder fluch? Jens Marschall Deutsche Telekom AG, Group Security Governance

Gesetzlicher Rahmen zum Einspeisemanagement

Die Umsetzung des ITSicherheitsgesetzes aus Sicht des BSI

KRITIS: Auswirkungen der BSI Verordnung auf die Patientensicherheit in Krankenhäusern

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Workshop 8 Informationssicherheit kritischer Infrastrukturen: Wie schützen wir unsere moderne Gesellschaft?

Bundesministerium des Innern. Per an: Berlin, Dortmund, Bayreuth, Stuttgart,

Umsetzung IT-SiG in den Ländern

Kritische Infrastrukturen im Visier von Cyberkriminellen - Erfahrungen und Handlungsempfehlungen

Zertifizierte Sicherheit als Service

Antrag auf Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) gem. ISO/IEC 27001:2013 und Fragebogen

NIS-RL und die Umsetzung im NISG

Organisatorische Maßnahmen zur Einführung eines ISMS nach den Regeln des BNetzA IT-Sicherheitskatalogs

Einführung eines ISMS nach ISO 27001:2013

Auswirkungen des IT-Sicherheitsgesetzes auf den IKT-Sektor

Start-up Session IT-Sicherheitsgesetz: Risikomanagement, Compliance und Governance in einer cloudbasierten Wissensdatenbank umsetzen

SerNet. Governance-Mapping für den KRITIS- Sektor: Finanz- und Versicherungswesen. 22. März Tatjana Anisow. SerNet GmbH, Göttingen - Berlin

Compliance mit der DSGVO Stand der Technik - Wie gehen wir mit Artikel 32 der DSGVO um?

ISMS-Einführung in Kliniken

Food & Beverage Plant Security Services - Produktivität umfassend schützen

Wider den Blackout. Sicherheit für kritische Infrastruktur nach ISO und Dr. Friedrich Neurauter (TINETZ)

IT-Sicherheit im Gesundheitswesen aus Sicht der Hersteller

Ramp Start von OTRS 3.3 zu KIX 17

Fernsteuerung von Erzeugungsanlagen >100 kw

Fernwartung, was kann da schon schiefgehen? Erfahrungsberichte aus dem BSI

Technische Richtlinie Sicheres WLAN (TR-S-WLAN)

Was tun, wenn es ernst wird? Bewältigung von Notfallsituationen. 18 Juli 2017

So gestalten Sie Ihr Rechenzentrum KRITIS-konform

PRE-SCAN KRITIS. Delivering Transformation. Together.

Flächendeckend sicherer -Transport mit BSI TR Internet Security Days 2016, Brühl

Digitalisierung und WEB maximal agil und trotzdem Konkurs?! Chancen nutzen, Risiken begegnen!

PRE-CHECK KRITIS IM GESUNDHEITSSEKTOR. Delivering Transformation. Together.

Zusammenarbeit der Verteilnetzbetreiber: Kaskadierung, VDE-AR-N-4140, etc.

Sicherheit und Compliance in der Cloud: Regulatorische Anforderungen und Good-Practice Frameworks

Eröffnung: Überblick über CIS-Services weltweit Erich Scheiber Geschäftsführung

Informationsrisikomanagement

Transkript:

VDE-Symposium Informationstechnik 2016 Gotha 6.-7. September 2016 Aufbau eines ISMS bei einem Flächennetzbetreiber

Vorstellung Ihr Ansprechpartner Heiko Rudolph heiko.rudolph@admeritia.de +49 2173 20363-0 +49 162 2414691 Seite 2

Vorstellung - admeritia Seite 3

Vorstellung - Standardisierung Standardisierung Verbände Open Source Projekte Seite 4

Nutzen für ein Leittechnik-ISMS IT-Sicherheitskatalog IT-Sicherheitsgesetz BSI-KRITIS Verordnung Seite 5

ITSiG für EVUs Welche für Sie relevanten Gesetze ändert das IT-Sicherheitsgesetz? BSI Gesetz Grundlage für BSI-KritisV -> Definiert Unternehmen die als KRITIS im Sinne des Gesetzes gelten (Schwellwerte) -> Inkrafttreten April 2016 ITSiG ENWG 11 Artikel 1 Atomgesetz a) IT-Sicherheitskatalog für Netzbetreiber (unabhängig der BSI-KritisV) -> Veröffentlichung Aug 2015 b) IT-Sicherheitskatalog für Betreiber von Energieanlagen (sofern KRITIS) c) Meldepflicht ggü. BSI für Netz- und Anlagenbetreiber (sofern KRITIS) Seite 7 C

BSI KritisV Was legt die BSI-KritisV fest? BSI-KritisV Die BSI-KritisV definiert Schwellwerte für KRITIS-Anlagen, nach denen die Betreiber-Unternehmen als Kritische Infrastruktur im Sinne des Energiewirtschafts- & BSI-Gesetzes gelten. Seite 8 C

BSI-KritisV für EVUs Welche für Sie relevanten Gesetze beziehen sich auf die BSI-KritisV? Folgende Vorgaben gelten nur für Unternehmen die unter die BSI-KritisV fallen: BSI-KritisV ENWG 11 Artikel 1 b) IT-Sicherheitskatalog für Betreiber von Energieanlagen c) Meldepflicht ggü. BSI für Netz- und Anlagenbetreiber Seite 9 C

BSI-KritisV für EVU Relevante Schwellenwerte - Stromversorgung Sämtliche Ermittlungen von Schwellwerten beziehen sich auf die Versorgung von 500 000 Personen im Jahr: # Anlagenkategorie Bemessungskriterium Schwellenwert 1. Stromversorgung 1.1 Stromerzeugung 1.1.1 Erzeugungsanlage installierte Leistung in MW 420 1.1.2 Dezentrale Energieerzeugungsanlage installierte Leistung in MW 420 1.1.3 Speicheranlage installierte Leistung in MW 420 1.1.4 Anlage von Poolanbietern installierte Leistung in MW 420 1.2 Stromübertragung 1.2.1 Übertragungsnetz Entnommene Arbeit in GWh/Jahr (über alle Netzebenen) 3 700 Zentrale Anlagen und Systeme für den 1.2.2 Stromhandel Handelsvolumen an der Börse in TWh/Jahr 200 1.3 Stromverteilung 1.3.1 Verteilernetz Entnommene Arbeit in GWh/Jahr (über alle Netzebenen) 3700 Leistung der angeschlossenen Verbrauchsstelle bzw. 1.3.2 Messstelle Einspeisung in MW 420 Seite 10

Meldepflicht ISMS Aufbau - Flächennetzbetreiber Meldewesen Dem BSI ist eine Kontaktstelle zu melden Binnen sechs Monaten Jederzeit erreichbar Meldung bei einer Gefährdung oder Störung Mit möglichem Ausfall oder einer Beeinträchtigung des Energieversorgungsnetzes Mit Ausfall oder einer Beeinträchtigung des Energieversorgungsnetzes Die Meldungen sind nur vom BSI und der BNetzA einsehbar Meldung von Auditergebnissen Seite 11

Meldewesen ISMS Aufbau - Flächennetzbetreiber Meldewesen Seite 12

Nutzen für ein Leittechnik-ISMS ISMS-Zertifizierung als Erfüllung der Anforderungen des IT-Sicherheitskatalogs Seite 13

Kernforderungen Kernforderung Aufbau ISMS Zertifizierung Seite 14

Überblick Projekt ISMS gem. ISO/IEC 27001 & ITSK Seite 15

ISMS gem. ISO/IEC 27001 & ITSK Ausgangs- / Problemlage Berücksichtigung spezifischer Umgebung & Anforderungen durch Anwendung ISO/IEC 27019:2013 Benennung eines Ansprechpartner für IT-Sicherheit (APITS) Einführung eines ISMS gem. DIN ISO 27001:2015-03) IT- Sicherheitskatalog der BNetzA gem. EnWG 11 Abs. 1a IT- Sicherheitskatlog- Zertifizierung (ISMS gem. DIN ISO 27001:2015-03) Seite 16

EnWG / IT-Sicherheitskatalog Revision Ressourcen (IT-Expertise) Lebenszyklus der ICS-Komponenten Betriebsregime 24/7/365 Rahmenbedingungen PLT Gewährleistung Errichter Seite 17

Probleme mit ISMS-Templates Besonderheiten - OT Modus Operandi Seite 18

Grundlage Leittechnik-ISMS ISMS klassisch (BK) ISMS PLT Operative Sicherheit durch technisch wirksames ISMS Seite 19

Umsetzung ISMS Aufbau - Flächennetzbetreiber ISMS gem. ISO/IEC 27001 & ITSK Der Zertifizierung nachgelagert! Fokus Seite 20

ISMS gem. ISO/IEC 27001 & ITSK Phasenweise Umsetzung Seite 21

Technische Gap Analyse Integriertes ISMS und technisch wirksames ISMS Seite 22

ISMS-Operationalisierungen Compliance oder sicherer Betrieb Aufbau ISMS Zertifizierung Operationalisierung Zertifizierung ist der Start, nicht das Ende! Seite 23

Problemlage ISMS Aufbau - Flächennetzbetreiber ISMS-Operationalisierungen Wie setzt man das Papierwerk in den Betrieb um? Vorgaben (ISMS) in Betrieb technisch wirksam umsetzen (operationalisieren) Seite 24

ISMS-Reifegrad Der Weg zur technischen Wirksamkeit Level 4 Technisch wirksames ISMS Level 1 Loses ISMS orientiertes ISMS Unzertifiziertes ISMS Ad hoc-aktivitäten Undokumentiert ungeplant Level 2 ISMS-Zertifikat Zertifiziertes ISMS Reines Papierwerk Rein reaktiv Geringe Prozessreife Hoher Degradationseffekt Level 3 Operatives ISMS Proaktives ISMS Gute Prozessreife Gute Assurance Mittlere Technical Compliance Hohe Prozessreife Sehr gute Assurance Gute Technical Compliance Schritt für Schritt! Krabbeln, laufen, sprinten! Eins nach dem Anderen! Seite 25

Technische Gap Analyse Technische Gap-Analysen anhand von Sicherheitstests Seite 28

Grundlage Leittechnik-ISMS Grundlage für die Operationalisierung Faktische technische Gegebenheiten durch Technische Gap Analyse (Security Test) Seite 29

Gap-Analyse ISMS Aufbau - Flächennetzbetreiber Erste Schritte Scope definieren OSSTMM- Audit Posture Review Bericht Terminplan Rollen KickOff Basic Assessment Verification Test Risk Assessment Policies & Procedures Maßnahmen-Reviews Gap- Analyse Abweichungen 27001 / 27002 Fahrplan ISMS Seite 30

Scope Netzplan - Netzleittechnik Besonderheiten Flächennetzbetreiber Quelle: Praxisleitfaden IT-Sicherheitskatalog von BITKOM und VKU Stand 04.09.2015 Seite 31

Beispiele aus Sicherheitstests Beispielhafte Auffälligkeiten aus technischen Gap-Analysen Seite 32

Gap Analyse (organisatorisch) ISO/IEC 27001, ISO/IEC 27002 & ISO/IEC TR 27019:2013 Implementierungsgrad nach Kapiteln Gap-Analyse Gesamt 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Control out of scope Control ist nicht anwendbar Control ist nicht implementiert Control ist implementiert, Schwachstellen identifiziert Control ist implementiert, Optimierungsbedarf vorhanden Control ist implementiert, keine Schwachstellen identifiziert Seite 33

Schnittstellen Kritische Schnittstellen Admin <-> PLT-Netz Fernwirkanlage <-> PLT-Netz VPN-Zugänge <-> PLT-Netz BK-Netz <-> PLT-Netz Seite 34

Gap Analyse (techn. & organ.) Kritische (häufigste) Sicherheitslücken Zugriffsberechtigungen Standard Logindaten / gespeicherte Passwörter Keine Zugriffsbeschränkung Software Versionsstände veraltete Firmware gravierende Sicherheitslücken vorhanden Firmware ohne Sicherheitsfunktionen (herstellerseitig) Anlagen wurden ohne Sicherheitsaspekte installiert Es gibt nur vereinzelt Härtungsmaßnahmen in Firmware Seite 36

Gap Analyse (techn. & organ.) Kritische (häufigste) Sicherheitslücken Fehlendes Monitoring Fehlende Verschlüsselung nicht vorhanden oder nicht wirksam (Open SSL) Unzureichende Netzwerksegmentierung interne Vektoren werden nicht als Bedrohung wahrgenommen Physische Schwachstellen fehlende Zutrittskontrolle zwischen Zonierungen bauliche Mängel bei Absicherung der IT-Infrastruktur Seite 37

Schwachstellen - Authorisierung Seite 38

Schwachstellen - Authorisierung Seite 39

Schwachstellen - Authorisierung Seite 40

Schwachstellen - Authorisierung Seite 41

Schwachstellen - Physisch Seite 42

Schwachstellen - Physisch Seite 43

Schwachstellen - Physisch Seite 44

Schwachstellen - Physisch Seite 45

Schwachstellen - XSS Seite 46

Schwachstellen - XSS Seite 47

Schwachstellen - XSS Seite 48

Schwachstellen - XSS Seite 49

Schwachstellen Freigabe public Seite 50

Schwachstellen Freigabe public Seite 51

Schwachstellen Freigabe public Seite 52

Weitere Schwachstellen Seite 53

Weitere Schwachstellen Seite 54

Weitere Schwachstellen Seite 55

Weitere Schwachstellen Seite 56

Weitere Schwachstellen Seite 57

Weitere Schwachstellen Seite 58

Schwachstellen EEG Anlagen Klartextübertragung der Passwörter Identische Zertifikate - herstellerübergreifend Seite 59

Schwachstellen PLT Protokolle Bspw. IEC 60870-5-104 Keine Authentication, keine Encryption Seite 60

Schwachstellen Fehlendes Monitoring Durchschnittliche Zeit bis zum Erkennen eines Vorfalls: 227 Tage Seite 61

Überblick Projekt ISMS gem. ISO/IEC 27001 & ITSK Seite 62

Danke Vielen Dank für Ihre Aufmerksamkeit! Seite 63

Meldewesen KRITIS Meldewesen als Teil des ISMS ISMS PLT- Security IT-SiG => Incident Management Seite 69

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback