1
Sicherer Datenaustausch für Unternehmen und Organisationen Next-Generation Security und erfahrenes Consultingteam Sichere Speicherung von Daten immer und überall Renommierter und langjähriger Kundenstamm www.apsec.de 2
3
4
Diverse Gesetzesauflagen im Bereich der IT-Sicherheit müssen bis Anfang 2018 umgesetzt werden. Außerdem wird 2018das ISDN-Netzwerkvon der Telekom abgeschaltet. Wer noch Geschäftsprozesse über ISDN laufen hat, wie beispielsweise Krankenhäuser mit FTAM zur Übermittlung von Abrechnungen an die Krankenkassen, muss auch hier eine sichere Alternative zur Datenübertragung suchen. Auch in der Behördenkommunikation ist FTAM über ISDN noch oft anzutreffen. Das IT-Sicherheitsgesetzverlangt von KRITIS-Unternehmen die Einführung eines ISMS (Informationssicherheitsmanagementsystem) bis 2018 -Zu den KRITIS-Unternehmen zählen vor allem Netzbetreiber(Energie, Gas, Wasser, Telekommunikation, IT), sowie die Branchen - Gesundheit -Ernährung - Finanz- und Versicherungswesen - Staat und Verwaltung -Medien - Transport und Verkehr 5
In Kraft seit 25. Juli 2015 Zentral: Änderungen am BSI-Gesetz Adressaten sind grundsätzlich Unternehmen aus den Sektoren der Kritischen Infrastrukturen KRITIS-Verordnung: Kriterien, wann Unternehmen zu KRITIS gezählt werden 6
Fachgesetze der einzelnen Sektoren: Energiebranche: Energiewirtschaftsgesetz Telekommunikationsbranche: Telekommunikations- und Telemediengesetz Für die Betreiber von Energieversorgungsnetzen ist vor allem der 11 EnWG von Bedeutung: Kernforderungen des IT-Sicherheitskatalogs der BNetzA Benennung eines Ansprechpartners für IT- Sicherheit gegenüber der BNetzA(Umsetzung bis 30.11.2015) Einführungund Zertifizierungeines ISMS nach ISO27001unter Einbeziehung des IT-SiKatbis 31.01.2018 Umsetzungspflicht auch dann, wenn der Netzbetreiber nichtunter die KRITIS-Verordnung des Bundes fällt! 7
8
KRITIS-Unternehmen müssensicherheitsvorfälle ans BSI melden Alle zwei Jahre: Audits/ Rezertifizierungendes ISMS ( 8a Abs. 3 BSIG). Auch deren Ergebnisse müssen dem BSI gemeldet werden! 9
IT-SiG-Verstöße: Bußgeldern von bis zu 50.000 EUR Verstöße gegen Nachbesserungs-aufforderungen des BSI: bis zu 100.000 EUR Aber: ISMS sollte vor allem im Eigeninteresse eingeführt werden! 10
Praxisleitfaden von VKU und BITKOM für Energieversorger (94 Seiten, von Praktikern geschrieben) Kostenlos beim BITKOM erhältlich Vieles in dem Leitfaden ist auch auf andere Branchen anwendbar 11
-Laut einer VKU-Umfrage haben bislang nur 6% der Energienetzbetreiber ein ISMS eingeführt -96% aller Befragten gehen von einer Zeit von mindestens einem Jahr aus, bis ein ISMS eingeführt ist -Für eine Zertifizierung fallen üblicherweise weitere 6-12 Monate an Folgerung: wer jetzt noch nichts tut, sollte schleunigst damit anfangen! 12
Grundlage für die Bestimmung des Anwendungsbereiches (Scope) eines ISMS und für die Risikoanalyse Unterscheidung in die Kategorien Leitsystem/Systembetrieb, Übertragungstechnik/Kommunikation und Sekundär-, Automatisierungs-und Fernwirktechnik 13
CyberWizist ein von der EU-Kommission gefördertes Projekt Ziel: Entwicklung und Verbreitung eines Tools zur Visualisierung, Analyseund Simulationvon Netzwerk-Schwachstellen Fokus: Schutz kritischer Infrastrukturen, speziell Energie- und Wasserversorger 14
15
Was macht securicad? -securicadmodelliertund visualisiertnetzwerke. Das Aufstellen eines Netzstrukturplansist auch zentrale Vorgabe des IT-SiKat der BNetzA! -securicadsimuliertcyber-angriffe und deren Auswirkung auf das gesamte Netzwerk -securicadschätzt die ZeitTTC (= time to compromise), wie lange ein Netzwerk Angriffen standhält - securicad kann die Auswirkungen von Änderungen im Netzwerk (z.b. Einbau einer neuen Firewall, Patchen eines Servers) vorhersagen, bevor diese tatsächlich umgesetzt wurden -securicadbezieht auch die Security Awareness der 16
Anwender mit ein -securicadliefert eine Heatmap über Schwachstellen im Netz -securicadenthält bereits mehr als 50 Angriffsvektorenund Abwehrmechanismenund wird ständig erweitert -securicadenthält Komponenten für typische Netze von KRITIS-Betreibern, z.b. SCADA-Systeme (ab Version 2.0) -securicadbasiert auf wissenschaftlicher Forschung an der KTH Stockholm - securicad analysiert Risiken und deren Propagation anhand probabilistischermathematischer Modelle (einer Variante Bayesscher-Netze) -securicadverwendet Dijkstras ShortestPath Algorithm zur Bestimmung der TTC Die EU bezeichnet securicad als disruptive Technologie 16
apsec unterstützt bei der Infrastrukturanalyse. apsecübernimmt die Modellierung des Netzwerkes mit securicad. apsecinterpretiert die Ergebnisse der Angriffssimulationen und gibt Empfehlungen zur Behebung von Schwachstellen. apsecerstellt einen Abschlussreport für das Management. 17
Was definiert den Umfang? Die Größe der Infrastruktur und die Anzahl der Szenarien, die analysiert werden sollen Die Qualität der vom Kunden zur Verfügung gestellten Dokumentation 18
AmEnde eines Projektes erhält der Kunde einen Analysereport als Ergebnis. Dieser enthält die Ergebnisse der Simulation und eine Auswertung der Risiken, ggf. mit Hinweisen zur Verbesserung. Die Ergebnisse der einzelnen Analysen können als Dokumentation für das ordnungsgemäße Risikomanagement dienen und ggf. in ein ISMS überführt werden. Überführung regelmäßiger Reports in ein ISMS ist möglich Dadurch: Nachweis der Einhaltung der Sorgfaltspflicht 19
20
21
22