Sichrhitsanfordrungn an Btribr kri<schr Infrastrukturn (KRITIS) COSIRI Managmnt GmbH
Digital Agnda dr Bundsrgirung siht Schutz- anfordrungn bi Btribrn kri<schr Infrastrukturn vor IT- Sichrhitsgstz 1 (Krnpunkt) Wr durch dn Einsatz von IT, Risikn für andr scha:, hat auch di Vrantwortung für dn Schutz vor disn Risikn. J gravirndr dis Risikn für unsr GsllschaD sind, dsto höhr Anfordrungn sind an di rfordrlichn Schutzvorkhrungn zu stlln. Auswirkungn auf Btribr kri<schr Infrastrukturn Konkrt Anfordrungn Einhaltung ins Mindstnivaus an IT- Sichrhit Nachwis dr Erfüllung durch Sichrhitsaudits / ZrQfizirung Einrichtung und Aufrchtrhaltung ins Mldvrfahrns Btribn inr Kontaktstll für das Bundsamt für Sichrhit (BSI) Rlvant Thmn- fldr Vrbssrung dr IT- Sichrhit: Ausrichtung an Mindststandards Mldpflicht bi rhblichn IT- Sichrhitsvorfälln Schutz dr Bürgrinnn und Bürgr in inm sichrn Ntz Notwndig Maßnahmn Organisatorisch Maßnahmn Prozssual Anpassungn Tchnisch Vorkhrungn Transparnz übr di IT- LandschaD im Hinblick auf Sichrhitsaspkt Rglmäßig AudiQrung / ZrQfizirung 1 Qull: Gstzntwurf; IniQaQv KRITIS brücksichqgt auch Mdin und Kultur, Finanz- und Vrsichrungswsn und Staat und Vrwaltung Sichrhit kriqschr Infrastrukturn und Vorstllung COSIRI Managmnt GmbH Sit 2
Wr ist als Btribr kri<schr Infrastrukturn btroffn? 1. SEKTOR ENERGIE Stromvrsorgung (Branch: Elktrizität) Vrsorgung mit Erdgas (Branch: Gas) Vrsorgung mit Minralöl (Branch: Minralöl) 2. SEKTOR INFORMATIONSTECHNIK UND TELEKOMMUNIKATION 3. SEKTOR TRANSPORT UND VERKEHR 4. SEKTOR GESUNDHEIT Mdizinisch Vrsorgung (Branchn: mdizinisch Vrsorgung, Labor) Vrsorgung mit Arznimigln und Mdizinproduktn (Branchn: mdizinisch Vrsorgung, Labor, Arznimigl und Impfstoff) 5. SEKTOR WASSER Trinkwassrvrsorgung (Branch: öffntlich Wassrvrsorgung) AbwassrbsiQgung (Branch: öffntlich AbwassrbsiQgung) 6. SEKTOR ERNÄHRUNG 7. SEKTOR FINANZ UND VERSICHERUNGSWESEN 8. SEKTOR STAAT UND VERWALTUNG Sichrhit kriqschr Infrastrukturn und Vorstllung COSIRI Managmnt GmbH Sit 3
Fünf Fragn zur Sichrhit 1. Wi hoch ist di RisikobritschaD Ihrs Untrnhmns? 2. Wlch Sichrhits- Risikn habn Si und wi ghn Si damit um? Was ist Ihr Handlungsbdarf? 3. Was sind di snsibln Datn Ihrs Untrnhmns? (z.b. Vrbrauchrdatn, intrn Dokumnt, Sturungsdatn) 4. Wo bfindn sich di Datn? 5. Wi wrdn Ihr Datn / Systm gschützt? Sichrhit kriqschr Infrastrukturn und Vorstllung COSIRI Managmnt GmbH Sit 4
Das COSIRI- Framwork Sturung, Sichrhit und Vrtraun untr inm Dach 4.1. Rahmn (xtrn / intrn) 4.2. OrganisaQon 4.3. Prozss 4. Complianc 4.4. Tools 4.5. DokumntaQon & KommunikaQon 5.1. Rahmn 2. Sichrhitsmanagmnt 5.2. OrganisaQon 2.1. Standard- konformität 2.7. Tools 2.9. AudiQrung 2.11. Schnigstlln 3.7. AudiQrung 5.3. Prozss 2.2. Mtrikn und Knnzahln 2.3. Stratgisch Witrntwicklung 2.8. ISMS OrganisaQon 2.10. ISMS Prozss 2.12. DokumntaQon & KommunikaQon 3.8. Risiko- managmnt- prozss 5. NoXall- managmnt 2.4. RporQng 3.1. Standard- konformität 3.3. Stratgisch Witrntwicklung 3.5. Tools 3.9. Schnigstlln 5.4. Notallstratgi 2.5. Datnschutz 2.6. Sichrhitszil & Grundwrt 3.2. Mtrikn & Knnzahln 3.4. RporQng / Mldvrfahrn 3.6. OrganisaQon / Rolln 3. Risikomanagmnt 3.10. DokumntaQon & KommunikaQon 5.5. Notallvorsorg 5.6. Notall- bwälqgung 1.1. OrganisaQon und Grmin 1.2. Prozssland- schad 1.3. Rahmn 1. Untrnhmns- architktur 1.4. Sourcing / Srvics 1.5. Anwndungs- landschad 1.6. IT- Infrastruktur- landschad Sichrhit kriqschr Infrastrukturn und Vorstllung COSIRI Managmnt GmbH Sit 5
Unsr Vorghn für Ihr Sichrhit: Anfordrungsgrcht, prak<sch Managbarkit von Complianc, Sichrhit und Risikn Strukturanalys Abglich Status Quo mit Standards Maßnahmn dfinirn Umstzung Zr<fizirung / Bglitung Erläutrung Informa<onsvrbund: OrganisaQon Prozss IT- Systm Intrn Richtlinin Intrn DfiniQonn und Standards Sourcing Standardkonformität fstlgn (BSI / ISO) GAP- Analys (IST <- > Anfordrungn) Basis: COSIRI- Framwork (untr BrücksichQgung von ISO- Standards, BDSG, BSI, GoBS, CoBIT, ITIL,...) Schätzung, Bwrtung und Fstlgung von Maßnahmn zum Schlißn dr GAPs Erstllung Maßnahmnkatalog Auszug: Anpassung OrganisaQon Rdsign Prozss Auwau DokumntaQon Durchführung Schulungn Einführung Richtlinin und Standards Projktlitung (nach IPMA) Rglmäßig ZrQfizirung Bglitung von Audits (von / bi Drign) Untrstützung bi Sondrthmn / Fragn im laufndn Btrib Ergbnistypn Übrsicht Rgularin (intrn und xtrn) Prozsslandkart AnwndungslandschaD Übrsicht IT- Infrastruktur Risikobwrtung Sourcing- Übrsicht Bwrtung Rlvanz und Risikn aus Strukturanalys Hatmap (Risikn, Schwachstlln, nicht rfüllt Standards) Maßnahmnkatalog BtribswirtschaDlich und risikoorinqrt Bwrtung Umstzungs- notwndigkit Auszug: Umstzungsplan StatusrporQng Schulungskonzpt Arbitsanwisungn und Richtlinin ZrQfikat gm. ISO 27001 PosiQvs Auditrgbnis Erfolgrich Mldung an BSI Grn untrstützn wir auch in Tilaspktn und konkrtn Fragstllungn zu Thmn, wi z.b. Audi<rung von Zulifrrn, Sobwarvaluirungn, IT- Kostnstrukturn, Prozsslandschab, IT- Govrnanc Sichrhit kriqschr Infrastrukturn und Vorstllung COSIRI Managmnt GmbH Sit 6
Mhr als di Erfüllung gstzlichr Anfordrungn - Skundärnutzn als Chanc - Primärnutzn Skundärnutzn Erfüllung gstzlichr Anfordrungn Erfüllung branchnspzifischr, rgulatorischr Anfordrungn Hrstllung Prüfungsfähigkit gm. BSI- Anfordrungn Erhöht Sichrhit für GsllschaD / Kundn / Mitarbitr / Partnr RdukQon Risikn (HaDung) Grundlag für dn Auwau und di Durchführung ins Businss ConQnuity Managmnts Hrstllung Transparnz durch Hatmaps von IT- AnwndungslandschaD IT- InfrastrukturlandschaD ProzsslandschaD => Vrbssrung Sturbarkit und Effizinz (Vrtragsvrhandlungn, Kapazitätsplanung, Einarbitungn, Kostnffizinz,...) Imag PosiQvs Außnbild (durch sichtbar ZrQfizirung) Sichrhit als Untrnhmnswrt MitarbitrmoQvaQon durch nu Hrausfordrungn / Aufgabn Witrntwicklung OrganisaQon => ZukunDsfähigkit Sichrhit kriqschr Infrastrukturn und Vorstllung COSIRI Managmnt GmbH Sit 7
Nächst Schrif: Ini<al Analys zur Ermiflung ds Status Quo 1. Erstbtrachtung Ihrs Untrnhmns im Hinblick auf di Erfüllung ds Sichrhitsgstzs (SiG) Ini<al Chck Durchführung Intrviws mit Vrantwortlichn Grobanalys intrnr Richtlinin Basis Analys Durchführung Intrviws & Workshop Analys bsthndr Prozss und Doku Dtailanalys & Lösungsskizz Durchführung Intrviws & Workshops Analys bsthndr Prozss und Doku Mitarbitr & Managmnt Managmntviw - Status Quo vs. SiG- Erfüllung- Sichrhitsman Sichrhitsmanagmnt agmnt rfüllt vrbssrungsfähig Handlungsbdarf Businss Notall- ConQnuity managmnt Managmnt Fststllung Abdckung SiG* Bnnnung wsntl. Handlungsbdarf Fststllung Abdckung SiG* Maßnahmnkatalog AbschlusspräsntaQon Basis Analys Skizz: ZilorganisaQon & - prozss Providrstur Zulifrr ung BSI IT- Grundschutz Status Quo Datnschutz Datnschutz Risikomanag Risiko- managmnt mnt 2. Gminsam Bwrtung dr Ergbniss und Fstlgung dr umzustzndn Maßnahmn durch Aubraggbr 3. Ausarbitung Projktvorschlag Sichrhit kriqschr Infrastrukturn und Vorstllung COSIRI Managmnt GmbH Sit 8
Di COSIRI Managmnt GmbH Unsr Angbot Expr<s unsrr Bratr Untrstützung in dn Brichn Complianc Notallmanagmnt Sichrhits- Untrnhmnsarchitktur Risikomanagmnt Projktlitung Bratung bi Auwau / Nuausrichtung / Anbitrauswahl / Intrimsmanagmnt / Bglitung Audits / Bglitung Projkt als unabhängig Exprtn Managmntrfahrung mind. 10 Jahr rlvant Brufsrfahrung Untrnhmrischs Dnkn Ausgzichnts Mthodnwissn Erfahrungn aus dm Miglstand bis hin zu intrnaqonaln Großkonzrnn Bratungsansatz Unsr Wrt Vrzicht auf 0815, stagdssn für di jwilign Anfordrungn und Ggbnhitn ds Kundn passnd Lösungn Erzugn von Transparnz, um ralisqsch Zil zu rmöglichn Mitnahm allr Btiligtn, um di NachhalQgkit dr Ergbniss sichrzustlln AuthnQzität wir sthn zu dm, was wir sagn und tun ExprQs fachlichr und mnschlichr Mhrwrt für all unsr Kundn sind das Bstrbn unsrs Tams NachhalQgkit sowohl in unsrn Ergbnissn, wi auch unsrn Kundnbzihungn Sichrhit kriqschr Infrastrukturn und Vorstllung COSIRI Managmnt GmbH Sit 9
Wi könnn wir Si untrstützn Chris<an Kühn Gschäbsführung Mail: Christian.Kuhn@cosiri.d Tlfon: +49 7142 / 966 8801 Mobil: +49 170 / 460 26 74 Hanns Sandkühlr Snior Partnr & Litr Vrtrib Mail: Hanns.Sandkuhlr@cosiri.d Tlfon: +49 6722 / 8782 Mobil: +49 170 / 820 17 00 Sichrhit kriqschr Infrastrukturn und Vorstllung COSIRI Managmnt GmbH Sit 10
Appndix Sichrhit kriqschr Infrastrukturn und Vorstllung COSIRI Managmnt GmbH Sit 11
Auszüg aus dm BSI Lagbricht 2014 - Ausgfilt Angriff und zunhmnd Fokussirung auf Infrastruktur und Industrianlagn - Zntral Bdrohung für Untrnhmn Top10 Ursachn / Angriffsmthodn Nr. (alt) Top 10 2014 1 (2)(3) InfkQon mit SchadsoDwar übr Intrnt und Intrant Einschlusn von SchadsoDwar übr Wchsldatnträgr 2 (6) und xtrn Hardwar 3 (- ) Social Enginring 4 (5) Mnschlichs Fhlvrhaltn und Sabotag 5 (1) Einbruch übr Frnwartungszugäng 6 (- ) Intrnt- vrbundn Sturungskomponntn 7 (10) Tchnischs Fhlvrhaltn und höhr Gwalt 8 (- ) Kompromi~rung von Smartphons im ProdukQonsumfld 9 (- ) Kompromi~rung von Extrant und Cloud- Komponntn 10 (4) DDoS Angriff Angrifr 1. Cybr- Kriminll 2. Nachrichtndinst 3. HackQvismus 4. Innntätr Vorfäll in 2014 (nur KRITIS) 1. Social Enginring bi Großkonzrnn 2. Östrrich: FhlfunkQon in dr Sturung von Enrgintzn 3. USA: IT- ManipulaQon im Hochfrqunz- handl ins US- Hdgfonds Sichrhit kriqschr Infrastrukturn und Vorstllung COSIRI Managmnt GmbH Sit 12
Prssbricht zign Spitz ds Eisbrgs - Dunklziffr ligt bi übr 90% - häufigstr Grund von Angriffn ist Vandalismus - Schlagziln 2014 / 2015 Dutschland im Cybr- Krig Europa ohn Stromvrsorgung? Wnig Klicks, und gnau das kann passirn. [...] wi Ghimdinst an gziltn Angriffn arbitn. 4 Blackout Ein Hackr braucht nur zwi Tag, um di Kontroll übr di Stadtwrk in Eglingn zu übrnhmn. Er zigt: Di Stromntz in Dutschland sind nicht sichr. 8 Pornos im Stadtwrk- Kundncntr 7 Insidr: Oil and gas sctor in far of hackrs as cybr afacks surg 179% 9 War dr Wurm drin? Dr Auslösr für dn großn Stromausfall in dn USA stht so gut wi fst. [...] Blackout war di Ursach für dn Domino- Effkt, durch dn 21 KraDwrk vom Ntz gingn [...] - fst stht, dass di IT- Systm dr Stromvrsorgr vrwundbar sind. 1 Edward Snowdn and th NSA: A Lsson About Insidr Thrats 5 1 His (hgp://m.his.d/ct/arqkl/war- dr- Wurm- drin- 288976.html?from- classic=1) 2 FAZ (hgp://www.faz.nt/aktull/wirtschad/untrnhmn/dr- schadn- durch- hackrangriff- wird- immr- grossr- 13331689.html) 3 Di Wlt (hgp://www.wlt.d/wirtschad/wbwlt/arqcl135542774/hackr- lgn- Hochofn- von- Stahlhrstllr- lahm.html) 4 Strn (hgp://www.strn.d/kultur/dward- snowdn- ndr- zigt- doku- ubr- cybr- krig- in- dutschland- 2165560.html) 5 Businsswk (hgp://www.businsswk.com/arqcls/2013-07- 03/dward- snowdn- and- th- nsa- a- lsson- in- th- insidr- thrat) 6 His (hgp://www.his.d/nwsqckr/mldung/31c3- Wi- man- in- Chmiwrk- hackt- 2507259.html) 7 RP Onlin (hgp://www.rp- onlin.d/panorama/dutschland/pornos- im- stadtwrk- kundncntr- ihr- zuhaus- kann- mhr- aid- 1.4436226) 8 Zit Onlin (hgp://www.zit.d/2014/16/blackout- nrgihackr- stadtwrk- glingn) 9 Arabian Businss (hgp://www.arabianbusinss.com/insidr- oil- gas- sctor- in- far- of- hackrs- as- cybr- agacks- surg- 179- - 576385.html) Sit 13 hm lr la l t s r uf hlh ch a n Sta liß si dustri- o v r n n I t r Tä chof und n Ho wis d ukturn g ch l r st ns n. Anspra r a k r h f c g n a a I rtr ziltn H i Vorg üb iqsch [...] d ählt kr tschland so dr g z l u a g D n g u in sh i n gn anla ls Sparfi rn [...] Mig itarbit M von