Post on 28-Sep-2020
Auswirkungen des IT Sicherheitsgesetztes
Eine Übersicht über die Historie
bis zur Frage der Zertifizierung
Seite 2Seite 2
Thomas Klein, Dipl. Ing.
Management Berater
System Management und ITIL Projekte
Projekt Management und Organisation
Von 2009 bis 2015 Projekt Leiter bei der Rheinbahn AG in Düsseldorf
Neubau des Rheinbahn Rechenzentrum und Leiter des Infrastruktur RZs
Migration von Prozessrechnersystemen in das RZ
Neubau der Leitstelle im Neubau der Verwaltung
Einführung und Ausschreibung Betriebshof Management System
Geschäftsführer der VisIT Consulting
Seite 3Seite 3
VisIT Consulting
VisIT Consulting
Software Implementierung und Wartung im Großrechnerbereich bei europäischen Banken
System Management und ITIL Projekte
Seit Juli 2015
RZ Planung - Erweiterungen, Umzüge und Neubau
RZ Betriebskonzepte und RZ Notfallplanung
Anforderungen aus dem IT Sicherheitsgesetz, BSI Grundschutz
HOAI Planung von nachrichtentechnischen Systemen
Kleines IT und Beratungsteam mit Partnern im In- und Ausland
Seite 4Seite 4
Die Entstehung und Entwicklung in der EU
Verabschiedung des Wirtschaftsprogramm Europa 2020 im Juni 2010
Kernziele
Bekämpfung von Armut und sozialer Ausgrenzung
Bildung
Forschung und Entwicklung
Beschäftigung
Klimawandel und nachhaltiges Energiewirtschaften
Umsetzung mittels Grundsatzinitiativen
Digitale Agenda im Rahmen der EU Cybersecurity Strategy (Feb. 2013)
Ziel eine offene, sichere und gesichertes Internet (Cyberspace)
Entwicklung der NIS Initiative (Network and Information Security Directive)
Seite 5Seite 5
Die Entstehung und Entwicklung in der EU
EU NIS Initiative (Network and Information Security Directive)
Entwicklung einer KRITIS Strategie und Umsetzung in Gesetze
Entwicklung eines Krisenkoordinationsplan
Ansprechpartner festlegen: CERT und KRITIS – Behörde und in Deutschland
Kooperation des privaten und der öffentlichen Bereiche notwendig
Wie melde ich einen Vorfall
Art der Kommunikation
Setzen von Standards
Seite 6Seite 6
Kooperativer Ansatz der Umsetzung
Ziel der verbesserten Zusammenarbeit von Staat und Wirtschaft
Allianz für Cybersicherheit zwischen dem BSI und bitkom
Zunehmende Bedrohung und Attacken auf Behörden, KMU und KRITIS Betreiber
Erarbeiten einer Cyber Strategie
Informationsangebote für alle bereitstellen
Erfahrungsaustausch initiieren
Gemeinsame Sicht der Dinge schaffen
Erzielen von Synergien
Ziel
Schutz von kritischer Infrastruktur und erhöhen der Cyber Sicherheit in
Deutschland
Seite 7Seite 7
Was passierte vor dem IT Sicherheitsgesetz
Die Betreiber meldeten nur das was sie für richtig / genehm hielten
Kein übergreifende Maßnahmen oder Sanktionen
Umsetzung innerhalb der Wirtschaft sehr unterschiedlich
Bedeutung und Wahrnehmung
Umsetzung von Standards
Melden von Vorfällen
Seite 8Seite 8
Das IT Sicherheitsgesetz in Deutschland
Erster Entwurf im Mai 2013
Zweiter Entwurf im August 2014
Vorentwurf im November 2014
Überarbeitung vom Februar 2015
Inkrafttreten 25. Juli 2015
Es folgt:
Erstellen von Rechtsverordnungen
Festlegen welche Unternehmen betroffen sind
Festgelegt sind mit Inkrafttreten die Betreiber von Kernkraftwerken und die
Telekommunikationsunternehmen
Seite 9Seite 9
Rolle des BSI Bundesamt für Informationssicherheit
Bisherige Aufgabe des BSI
Präventive Förderung von der Informations- und Cyber Sicherheit
Schutz der IT Systeme des Bundes
Erkennen, Schutz und Abwehr von Angriffen
BSI Grundschutzkataloge
Nach dem IT Sicherheitsgesetz vom Juli 2015
Festlegen der zu den KRITIS gehörenden Unternehmen
Genehmigung und Überprüfung von Mindeststandards alle 2 Jahre
Zentraler Ansprechpartner
Auswertung von Angriffen und Warnung vor drohenden Angriffen
Seite 10Seite 10
KRITIS
Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen
mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren
Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe,
erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische
Folgen eintreten würden.
Zitat vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
Seite 11Seite 11
Wer gehört zu KRITIS
Es wird von 2.000 Betreibern Kritischer Infrastrukturen in sieben Sektoren
ausgegangen
Quelle: Bundesamt für Sicherheit in der Informationstechnik
Seite 12Seite 12
Was ist von KRITIS Anwendern zu tun?
Meldepflicht von erheblichen Störungen beginnt nach 6 Monaten
Ansprechpartner und Meldeprozesse nach dem IT-Sicherheitsgesetz einrichten
Einführung von Standards, branchenspezifischen Standards
Regelmäßiger Nachweise
Festlegen von angemessenen organisatorischen und technischen
Maßnahmen zum Schutz der Infrastruktur innerhalb von 2 Jahren
Was passiert wenn es die Unternehmen nicht tun?
Bußgelder
Seite 13Seite 13
Vorschlagen von branchenspezifische Standards
Maßnahmen zur Vermeidung von Störungen von informationstechnischen
Systemen
Verfügbarkeit
Integrität
Authentizität
Vertraulichkeit
Wie immer: Einhalten des aktuellen Stands der Technik
Maßnahmen dürfen verhältnismäßig sein
BSI genehmigt diese Standards
Seite 14Seite 14
Nachweis
Alle 2 Jahre mit Information an den BSI
Prüfungen
Zertifizierungen
Sicherheitsaudits
Aufgedeckte Mängel sind zu melden
Seite 15Seite 15
Was wird heute zum IT Sicherheitsgesetz diskutiert
Wo sind die konkrete Vorgaben
Inhalte und Vorgaben zu den Meldungen
Welche Sicherheitsstandards sind gemeint
Was müssen wir eigentlich noch alles tun
Wie hoch sind die Kosten
Frage: Wir sind ja nicht interessant für Hacker etc.
Seite 16Seite 16
Zeitachse
25.7.2015 1.3.2016 1.9.2016 1.3.2018 1.3.2020
Nennen einer Kontaktstelle
Rechtsverordnung
IT-Sicherheitsgesetz
Melden
Sichern der Infrastruktur
Nachweise führen
Evaluierung des
IT-Sicherheitsgesetzes
Nachweise erbringen
Seite 18Seite 18
Pragmatisch: Was ist zu tun
Wo stehen Sie?
IT Sicherheitsstrukturen
Kaufmännische IT
Infrastruktur IT
Mobile IT
Wo hilft Ihnen eine Business Impact Analyse?
Was sind Ihre kritischen Systeme, Infrastrukturen, Daten und Prozesse
Wo sind Ihre Zugriffspunkte von innen und außen
Anforderungen der Nutzer und des Managements
Welche Services Level und Sicherheit Level sind gefordert
Anforderungen an die RZ / RZ Räume
Seite 19Seite 19
Pragmatisch: Was ist zu tun?
Prozesse
Melden und einordnen von Vorfällen
Weiterleiten der geforderten Inhalte
Maßnahmen initiieren
Organisation
Verantwortlichkeiten und Zuständigkeiten
Personalstärken
Technologien
Einsatz von Standards wie ISO 27001
Erkennen von Vorfällen, erheben der benötigten Inhalte
Aufbau / Optimierung des RZ und der RZ Räume
Seite 20Seite 20
Systematisch und strukturiert
Implementierung auf der Basis ISO 27001
Ziele
Schutz der vertraulichen Daten
Integrität der betrieblichen Daten sicherstellen
Verfügbarkeit Ihrer IT-Systeme im Unternehmen sicherstellen und erhöhen
Was bietet die Norm
Definition der Anforderungen für ein Informationssicherheits-Managementsystems (ISMS)
Einführen
Umsetzen
Aufrecht erhalten
Kontinuierliche Verbesserung
Beurteilung und Behandlung von Informationssicherheitsrisiken
.
Seite 21Seite 21
Führung
Management muss Führung übernehmen und die Verpflichtung zeigen
Unternehmenspolitik festlegen
Rollen festgelegen
Verantwortlichkeiten und Befugnisse festlegen
Berichtswesen einführen
Seite 22Seite 22
Planung der Informationssicherheit
Prozesse der Informationssicherheitsrisiko Beurteilung
Prozesse festlegen
Risiken identifizieren
Risiken analysieren
Risiken bewerten
Umsetzung
Optionen auswählen
Maßnahmen festlegen
Maßnahmen auf Vollständigkeit prüfen
Plan für die formulieren
Genehmigung und Akzeptanz für die Umsetzung einholen
Seite 23Seite 23
Planung der Informationssicherheit
Ziele für die benötigten Funktionen und Ebenen festlegen
Mit der eigenen Informationssicherheitspolitik in Einklang stehen
Möglichst messbar sein
Ziele im Unternehmen vermitteln / ich nenne es Werbung dafür machen
Planung zur Erreichung der Ziele bestimmen
Was wird getan
Ressourcen festlegen
Verantwortung festlegen
Zeitrahmen für die Umsetzung festlegen
Bewertung der Ergebnisse festlegen
Seite 24Seite 24
Unterstützung
Die personellen Ressourcen unterstützen
Kompetenzen im Unternehmen bestimmen, sicherstellen und nachweisen
Bewusstsein schaffen
Kommunikation etablieren
Worüber, wann, mit wem, wer und womit
Dokumentierte Informationen
Das Erstellen und aktualisieren sicherstellen
Lenkung der Informationen festlegen
Seite 25Seite 25
Betrieb
Betriebliche Planung und Steuerung
Prozesse planen, umsetzen und steuern
Dokumentation der Umsetzung bereitstellen und verfügbar machen
Überwachen von Änderungen
Sicherstellen, das ausgelagerte Prozesse bestimmt und gesteuert werden
Risikobeurteilungen vornehmen
In geplanten Abständen
Wenn Änderungen vorgeschlagen werden
Wenn Änderungen auftreten
Risikobehandlung umsetzen
Seite 26Seite 26
Bewertung der Leistung
Überwachung, Messung, Analyse und Bewertung
Was wird überwacht und gemessen
Methode festlegen um eine Vergleichbarkeit und Wiederholbarkeit sicherzustellen
Zeiten der Durchführung festlegen
Wer führt diese Aufgaben durch
Wer analysiert und bewertet die Ergebnisse
Internes Audit
Anforderungen müssen der Norm und der Organisation entsprechen
Auditprogramme auflegen
Kriterien und Umfang festlegen
Berichtswesen und Ergebnisse aufbewahren
Seite 27Seite 27
Erfolgsfaktoren
Eine auf die Geschäftsziele abgebildete Informationssicherheitspolitik
Unterstützung und Zustimmung vom Management über alle Hierarchie Ebenen
PDCA Vorgehensmodell mit der eigenen Unternehmenskultur in Einklang bringen
Schulen von Informationssicherheitspolitik
Informationspolitik verabreden von oben nach unten und schrittweise definieren
Risikobewertung und Risiko Management
Budget bereitstellen
Prozesse klar definieren, einrichten, überprüfen und verbessern
KPI einführen
Sie benötigen einen „Treiber“ in Ihrem Unternehmen
Seite 28Seite 28
Gegenüberstellung BSI Grundschutz und ISO 27001
ISO 27001 auf der Basis von
IT-Grundschutz
Spezifikation der Anforderungen
Einführung, Implementieren, Betrieb
kontinuierliche Verbesserung
Umsetzungsempfehlungen aus der Praxis
Orientierung an Maßnahmen
Konzeption + praktische Umsetzung
Mehr als 4000 Seiten
Konkrete Maßnahmenempfehlungen
mit Umsetzungshilfen
ISO 27001
Spezifikation der Anforderungen
Einführung, Implementieren, Betrieb
Verbesserung eines dokumentierten ISMS
Orientierung an Prozessen
Prozess- und Konzeptebene
90 Seiten allgemeine Empfehlungen
35 Objects, 114 Maßnahmen
(controls)
Seite 29Seite 29
Gegenüberstellung BSI Grundschutz und ISO 27001
ISO 27001 auf der Basis von
IT-Grundschutz
Es ist Risikoanalyse für einen
normalen Schutzbedarf impliziert
Eine eigene Risikoanalyse ist nur
für den höheren Schutzbedarf
erforderlich
Migrationspfad durch Testate
Einstiegsstufe
Aufbaustufe
Zertifizierung
3 Jahre Gültigkeit mit jährlichem
Überwachungsaudit
ISO 27001
Komplette Risikoanalyse ist
vorgeschrieben
Kein Stufenkonzept für die
Zertifizierung
3 Jahre Gültigkeit mit jährlichem
»Continuing Assessment Visits«
Seite 30Seite 30
Beispiel Mobile IT
Smartphones und Tablets werden immer mehr zu Geräten des Alltags
Mobile IT ist nicht so gesichert wie die klassische IT Systeme
Es werden immer mehr mobile Apps von Drittanbietern gehackt
Auszug aus den Top 10 (Quelle IT-Business vom 11.11.2015)
Salesforce
Good Reader
Microsoft Office
Cisco AnyConnect
Box
Cisco WebEx
Skype for Business
Seite 31Seite 31
Beispiel Mobile IT
Die Mitarbeiter speichern auf dem Smartphone / Tablet – ungeschützt ?
betriebliche Daten und Emails
Speichern sie ggf. auf anderen Consumer Cloud Diensten
Social Hacking kommt immer mehr in „Mode“
Welche Consumer Applikationen sollten / werden gesperrt?
Dropbox, One Drive, Google Drive, Box, SugarSync, …(EFSS Apps)
Facebook, Twitter, Whatsapp
Skype
Quelle: Meist Third Party Anbietern – Risiko von gehackter Software
Ziel: Einsatz von Business Apps statt Consumer Apps
Ziel: Einsatz einer Unternehmens Cloud
Seite 32Seite 32
Beispiel / Auszug für Mobile IT - Aufgaben
Wer hat die Kontrolle über das Gerät?
Benutzer oder der IT-Administrator?
Welche Applikationen sind installiert, darf der Benutzer Apps installieren?
Wie kann das Installieren unterbunden werden?
Einführen eines Antivirenschutzes
WLAN Nutzung
VPN Zugänge
Datensicherung
Verlust des Smartphones und Sperren des Smartphones
Passwörter SIM Karte, Smartphone
Seite 33Seite 33
Beispiel Rechenzentrum – Auszug
Betriebsführung und Notfall Management
Ein RZ soll nach Jahren genauso wie bei der Inbetriebnahme funktionieren
Maximale, konstante und gesicherte Verfügbarkeit
Kein Wildwuchs im RZ
Zutrittsregelung
Sauberkeit, Ordnung und Struktur bleibt erhalten
Strukturierter Ein- und Aufbau der IT-Systeme
Migrationskonzepte für die Systeme
Dokumentation im RZ und der Systeme im RZ
Rollen, Aufgaben und Zuständigkeiten
Seite 34Seite 34
Fazit
Vieles ist heute mit dem IT Sicherheitsgesetz noch nicht festgeschrieben
Die Anforderungen an die IT Sicherheit in den Unternehmen steigt
Die Prüfungen über alle Bereiche wird intensiviert werden müssen
Kostet Geld und geschulte und kompetente (mehr?) Mitarbeiter
Die Diskussion darüber ist noch im vollem Gange
2 Jahre für die Umsetzung kann sehr gering sein
Zertifizierung nicht zwingend notwendig