Erfahrungen bei der Risikoanalyse von Kritischen Infrastrukturen von KMUs. Clemens Teichmann, Roman Maczkowsky

Ähnliche Dokumente
Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 2.

Die Grundlage für Ihre IT- Sicherheit. BSI ISO IT-Notfallplanung

Projekt Risikoanalyse Krankenhaus IT (RiKrIT)

VEGA Deutschland. Die Lenkung der IT-Sicherheit im Unternehmen IT-Sicherheitskonzepte mehr als ein Papiertiger? A Finmeccanica Company

1. IT-Grundschutz-Tag 2014

Sicherheitsdomänen im Energieinformationsnetz

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

Sicherheitsanalyse von Private Clouds

BSI-Modernisierung Grundschutz: Nicht Alt Nicht Neu Aber Anders. 27. September 2016 Simone Hock & Denny Dittrich

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2013: Mehrseitige IT-Sicherheit & Risikomanagement

Modernisierung IT-Grundschutz Eine neue Chance für Kommunen?!

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Schutz Kritischer Infrastrukturen im Energiesektor: Umsetzung und Zertifizierung des IT-Sicherheitskatalogs für Strom- und Gasnetzbetreiber

ES200 Behördlicher IT-Sicherheitsbeauftragter (mit Zertifizierung)


Cyber-Security in der E-Wirtschaft Rahmenbedingungen und Diskussionsumfeld

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

Automatisierter IT-Grundschutz Hannover

Modernisierung des IT-Grundschutzes

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 1.

Human Centric Innovation

Brandschutzbeauftragter (TÜV )

Software Engineering für kritische Systeme

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

Wichtige Ansatzpunkte im Bereich der it-sicherheit für die Digitalisierung des Mittelstands

ISO / ISO Vorgehen und Anwendung

Bericht aus der AG Modernisierung

Der neue IT-Grundschutz im Kontext der ISO 27001

IBS - Smart Repair. Risiken in Ihrem IT- oder SAP -System? IBS - Smart Repair bietet Ihnen schnelle und kostengünstige Hilfestellung!

Interne Strukturen des DRK

15 Jahre IT-Grundschutz

BSI Grundschutz & ISMS nach ISO 27001

Informationssicherheit in handlichen Päckchen ISIS12

Übersicht über die IT- Sicherheitsstandards

Zertifizierung von elektronischen Dokumentenprozessen und Verfahrensdokumentationen durch VOI CERT und TÜViT

Patch- und Änderungsmanagement

Informationen schützen Ihr Geschäft absichern ConSecur GmbH

Definitionen Schwachstellen und Bedrohungen von IT-Systemen Sicherheitsmanagement Katastrophenmanagement Trends und Entwicklungen bei IT-Bedrohungen

Grundlagen des Datenschutzes und der IT-Sicherheit

Cybersecurity in der Energiewirtschaft Schlüssel zum Erfolg der Digitalisierung

VdS 3473 Informationssicherheit für KMU

Grundlagen des Datenschutzes und der IT-Sicherheit

CS_PORTFOLIO. Informationssicherheits- Managementsystem [ISMS]

Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen

So gestalten Sie Ihr Rechenzentrum KRITIS-konform

DE 098/2008. IT- Sicherheitsleitlinie

(IT) Notfallmanagement im Unternehmen und in der Behörde Planung und Umsetzung gemäß BSI-Standard und ISO 22301

IT-Sicherheit Risiken erkennen und behandeln. Hanau,

IT-Grundschutz nach BSI 100-1/-4

Schnelle systematische Entwicklung von Internet-Anwendungen

IT-Sicherheit im Gesundheitswesen aus Sicht der Hersteller

Inhaltsverzeichnis. Abbildungsverzeichnis. Tabellenverzeichnis. Abkürzungsverzeichnis

Arbeitskreis Sichere Smart Grids Kick-off

BSI Technische Richtlinie

(IT-) Notfallmanagement. gemäß BSI-Standard Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH

GPP Projekte gemeinsam zum Erfolg führen

Neu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter

IT-Sicherheit in der Energiewirtschaft

Risikomanagement kri.scher Geschä3sprozesse

IT-Revision als Chance für das IT- Management

ISO mit oder ohne IT- Grundschutz? Ronny Frankenstein Produkt Manager IT-Grundschutz/ISO Senior Manager HiSolutions AG, Berlin

Smart Grid: Problembereiche und Lösungssystematik

IT-Sicherheit IDS-Fernzugriff gesichert

Grundlagen des Datenschutzes und der IT-Sicherheit (9) Vorlesung im Sommersemester 2005 von Bernhard C. Witt

Der IT-Security Dschungel im Krankenhaus. Ein möglicher Ausweg

IT-Grundschutz-Profile:

Automatisierter IT-Grundschutz

VdS-Richtlinien 3473 Workshop zur LeetCon 2017

INTERNE KONTROLLE IN DER ÖFFENTLICHEN VERWALTUNG

Informationssicherheit

Digitalisierung ein (Ein-)Führungsproblem!?

M U S T E R. (Stand:September 2008/Version:1.0) IS-Prüfplan. zur. Informationssicherheitsrevision auf Basis von IT-Grundschutz

Die Leitstelle als Kritische Infrastruktur

Medizintec. CE-Kennzeichnung. Risikomanagement POSITION. Zweckbestimmung. systemweite Aufgabe. Positionspapier Medizintechnik braucht Cybersicherheit

splone SCADA Audit Leistungsübersicht

NATIONALES IT-SICHERHEITSGESETZ? UNS ALS KOMMUNE BETRIFFT DAS DOCH NICHT!

Prozessmanagement bei der HPA

Bastian Nowak. Warum? Wie? Wer? Wann? Handlungsempfehlungen für Ihre it-sicherheit. Roadshow: "Cybercrime Eine Bedrohung auch für KMUs"

Leitstellenstruktur in Baden-Württemberg Sitzung der Lenkungsgruppe April 2017

Neues vom IT-Grundschutz: Ausblick und Modernisierung

Erfolg durch Wissen. Petershauser Straße 6, D Hohenkammer

Überlegungen zur Effizienz bei der Umsetzung von it-sicherheits-maßnahmen für KMUs

statuscheck im Unternehmen

Der Weg zum Hochwasserrisikomanagement-Plan

Übersicht. Inhalte der DIN EN Ziele der DIN EN Notwenigkeit

ITIL & IT-Sicherheit. Michael Storz CN8

RWE Netzservice PLANUNG, BAU, BETRIEB UND INSTANDHALTUNG VON WASSERVERSORGUNGSANLAGEN UND -NETZEN.

TeleTrusT-Informationstag "Cyber Crime"

Cybersicherheit im Sektor Wasser. Silke Bildhäuser, B.Sc. Bundesamt für Sicherheit in der Informationstechnik

Cyber Security der Brandschutz des 21. Jahrhunderts

Neues deutsches IT-Sicherheitsgesetz Was bedeutet das für die Kunden? Wie können wir helfen?

IT-Sicherheit. Eine wichtige Erfolgsvoraussetzung. Norbert Pohlmann. Vorstand Utimaco Safeware AG. Internet. Security. Mobile/Desktop.

Praxis-WORKSHOP. IT-Sicherheits-Management. Umsetzung des IT-Sicherheits-Prozess MODUL 2. nach BSI Standard 100. Zielgruppen:

Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie -Einrichten eines IT-Sicherheitsmanagements

Industrial IT-Security in der Produktion Praktische Erfahrungen aus der Lebensmittelindustrie

IT-Sicherheit für KMUs

Informationsveranstaltung "Digitalisierung im KMU" Herzlich willkommen. Zusammen erfolgreich.

Security Scan Wireless-LAN. Zielsetzung & Leistungsbeschreibung

BSI IT-Grundschutz in der Praxis

Transkript:

Erfahrungen bei der Risikoanalyse von Kritischen Infrastrukturen von KMUs Clemens Teichmann, Roman Maczkowsky Projektträger:

Agenda Ausgangspunkt und Annahmen Risikoanalysen bei Betreibern Kritischer Infrastrukturen Erfahrungen und Herausforderungen Lösungsansatz

Quelle: Amenaza Quelle: verinice Quelle: BSI IT-Grundschutz Quelle: MEDIA CONSULTA Deutschland GmbH Ausgangspunkt Kritische Infrastrukturen sind zunehmend von IKT durchdrungen werden oft von kleinen und kommunalen Organisationen betrieben weisen sehr heterogenes Sicherheitsniveau auf Risikoanalyse und Bewertung des Sicherheitsniveaus Voraussetzung für effiziente und effektive Maßnahmenauswahl I.d.R. mit generischen Methoden und Werkzeugen Aufwändig und großer Zeitversatz 21.06.2016 Modellbasierte Sicherheitsanalyse von IKT-basierten Kritischen Infrastrukturen 3

Annahmen Heutige Methoden sind sehr aufwändig in Personal und Zeit zu generisch für einfache Anwendbarkeit zu abstrakt in der Abschätzung von Risiken und die dazugehörigen Werkzeuge sind nicht auf die Untersuchungsbereiche Kritische Infrastruktur angepasst mit wenig Hilfestellung für die Anwender ausgestattet schwer in bestehende Werkzeugketten einzubinden nicht an mögliche Sensoren angebunden. 21.06.2016 Modellbasierte Sicherheitsanalyse von IKT-basierten Kritischen Infrastrukturen 4

Zentrale Rettungsleitstelle Gera Zentrale Aufgaben der Rettungsleitstelle Alarmieren und Führen des Rettungsdienstes und der Feuerwehren Vermittlung des Ärztlichen Notdienste, Auskünfte über Bereitschaftsdienste Infrastruktur 5 Leitstellenarbeitsplätze 6 digitale Leitungen Notrufentgegennahme Direkte Drahtverbindung zur Polizei 8 Relaisfunkstellen im Leitstellengebiet Server für Karten- und Einsatzleitsystem Internetzugang 21.06.2016 Modellbasierte Sicherheitsanalyse von IKT-basierten Kritischen Infrastrukturen 5

Quelle: BSI Risikoanalyse mittels BSI IT-Grundschutz Vorgehen 1. Infrastruktur analysieren 2. Schutzbedarfsfeststellung 3. Maßnahmenauswahl 4. Ergänzende Sicherheitsanalyse Bewertung Gefährdung über BadUSB, Schadprogramm (Viren) und Eindringen Festlegung von Wirkungs- und Verhaltensindikatoren Größtes Risiko ist die Nichtverfügbarkeit der Notrufentgegennahme durch alle drei Gefährdungen 21.06.2016 Modellbasierte Sicherheitsanalyse von IKT-basierten Kritischen Infrastrukturen 6

Quelle: BSI Risikoanalyse mittels BSI IT-Grundschutz Vorgehen 1. Infrastruktur analysieren 2. Schutzbedarfsfeststellung 3. Maßnahmenauswahl 4. Ergänzende Sicherheitsanalyse Erfahrung 21.06.2016 Modellbasierte Sicherheitsanalyse von IKT-basierten Kritischen Infrastrukturen 7

Stadtwerk Haßfurt GmbH Zentrale Aufgaben Mehrspartenversorger für Strom, Erdgas, Wasser Erzeugung regenerativer Energien Administration der Netze Infrastruktur Netzleitstelle mit Steuerungssoftware Internes Rechenzentrum Verbindung zu externen Erzeugungsanlagen Internetzugang 21.06.2016 Modellbasierte Sicherheitsanalyse von IKT-basierten Kritischen Infrastrukturen 8

Risikoanalyse mittels Attack Trees Vorgehen 1. Angriffsziele identifizieren und bewerten 2. Angriffsschritte und Unterschritte zu den Zielen identifizieren und bewerten 3. Aggregation der Blattwerte Bewertung Hauptziel: Abschaltung der Stromversorgung Definition von Bedrohungsagenten Ziel vollständig nur über physisch gesicherten Zugriff zu erreichen 21.06.2016 Modellbasierte Sicherheitsanalyse von IKT-basierten Kritischen Infrastrukturen 9

Risikoanalyse mittels Attack Trees Vorgehen 1. Angriffsziele identifizieren und bewerten 2. Angriffsschritte und Unterschritte zu den Zielen identifizieren und bewerten 3. Aggregation der Blattwerte Erfahrungen 21.06.2016 Modellbasierte Sicherheitsanalyse von IKT-basierten Kritischen Infrastrukturen 10

Erfahrungen und Herausforderungen Komplexität der Untersuchungsbereiche und vorhandene Ressourcen sehr unterschiedlich Ausgewählte Methoden bestimmen Ergebnisse (in Aufwand und Tiefe) Schutzbedarfsfeststellung und Angreiferbeschreibungen gut einzuschätzen Hoher Ressourcenaufwand bei der Strukturanalyse (trotz Werkzeugunterstützung) Mangelhafte oder fehlende Dokumentation der Infrastruktur Analyse der Abhängigkeiten zwischen Prozessen und Infrastruktur notwendig Notwendige Kommunikation des Expertenwissens Schwierige Maßnahmenauswahl in wandelnder Infrastruktur 21.06.2016 Modellbasierte Sicherheitsanalyse von IKT-basierten Kritischen Infrastrukturen 11

Lösungsansatz Domänenspezifische Modellierung für Kritische Infrastruktur (Wieder-) Verwendung von Domänenwissen und Methodenunterstützung Templates für die Modellierung kritischer Infrastrukturen Kataloge für allgemeine und domänenspezifische Bedrohungen und Maßnahmen bewerten Sicherheitsbewertung anwenden Untersuchungsgegenstand Betreiberunabhängiges Expertenwissen Struktur Risikoanalyse Domänenwissen Physische Elemente Logische Elemente Gruppierungen Abhängigkeiten Schutzziele Bedrohungen Maßnahmen Bewertungen Klassen von Schutzzielen Klassen von Bedrohungen Klassen von Maßnahmen Abhängigkeiten Metriken 21.06.2016 Modellbasierte Sicherheitsanalyse von IKT-basierten Kritischen Infrastrukturen 12

Kontakt Projektwebsite: www.mosaikprojekt.info Ansprechpartner Clemens Teichmann Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) Tel.: +49 89 32299 86-113 clemens.teichmann@aisec.fraunhofer.de 21.06.2016 Modellbasierte Sicherheitsanalyse von IKT-basierten Kritischen Infrastrukturen 13

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback