Risiko Datensicherheit - End-to-End-Verschlüsselung von Anwendungsdaten
19. Jahresfachkonferenz Datenschutz und Datensicherheit IT ... · SIM-Karte mit großem...
13
01.06.2017 1 19. Jahresfachkonferenz Datenschutz und Datensicherheit Was bedeutet das für Betreiber Kritischer Infrastrukturen? Michael Böttcher Berliner Wasserbetriebe IT-Sicherheitsingenieur Wasserversorgung IT-Sicherheitsgesetz was nun? 210 Mio. m³ Wasserverkauf 7.900 km Rohrnetz 9 Wasserwerke 700 Brunnen Trinkwasser- versorgung 244,9 Mio. m³ Reinigungsleistung: 9.700 km Kanalnetz 1.200 km Druckleitungen 6 Klärwerke 158 Pumpwerke Abwasserentsorgung 1.153,9 Mrd. € Umsatz 92,1 Mio. € Jahresüberschuss 240,9 Mio. € Investitionen 4.355 Beschäftigte Wirtschaftliche Kennziffern Zahlen des Geschäftsjahres 2016 2 Die Berliner Wasserbetriebe in Zahlen 1. Vorstellung des Umfeldes 01.06.2017 IT-Sicherheitsgesetz was nun?
Transcript of 19. Jahresfachkonferenz Datenschutz und Datensicherheit IT ... · SIM-Karte mit großem...
01.06.2017
1
19. JahresfachkonferenzDatenschutz und Datensicherheit
Was bedeutet das für Betreiber Kritischer Infrastrukturen?
Michael BöttcherBerliner Wasserbetriebe IT-Sicherheitsingenieur Wasserversorgung
IT-Sicherheitsgesetz was nun?
210 Mio. m³ Wasserverkauf
7.900 km Rohrnetz
9 Wasserwerke
700 Brunnen
Trinkwasser-versorgung
244,9 Mio. m³
Reinigungsleistung: 9.700 km
Kanalnetz
1.200 km Druckleitungen
6 Klärwerke
158 Pumpwerke
Abwasserentsorgung
1.153,9 Mrd. € Umsatz
92,1 Mio. € Jahresüberschuss
240,9 Mio. € Investitionen
4.355 BeschäftigteWirtschaftliche Kennziffern
Zahlen des Geschäftsjahres 2016
2
Die Berliner Wasserbetriebe in Zahlen1. Vorstellung des Umfeldes
01.06.2017 IT-Sicherheitsgesetz was nun?
01.06.2017
2
Trinkwasserversorgung in Berlin
strategisch relevante Pumpwerke
Druckzonengrenze
Beelitzhof
Friedrichshagen
Wasserwerk
Klärwerk
Wasserschutzgebiet
Tegel
� 3,5 Mio. Einwohner Berlins� 0,4 Mio. Bürger im Umland � Q[1]: 1.100.000 m³/d� naturnah und ohne Desinfektion� 50 Mitarbeiter Schichtbetrieb
1. Vorstellung des Umfeldes
01.06.2017 IT-Sicherheitsgesetz was nun? 3
strategisch relevante Pumpwerke
Druckzonengrenze
Beelitzhof
Friedrichshagen
Wasserwerk
Klärwerk
Wasserschutzgebiet
Tegel
� SCADA – Verbund aller Werke� 55 Server, 88 Clients� 21 Router, 44 Switche� 47 WAN-Leitungen� 1006 Netzwerksports� 437 Netzwerksdevices� 372 SPS‘n� 21 vernetzte Standorte� 3 permanent besetzte Warten� 180 000 Datenpunkte� 15 000 langzeitarchivierte
Zentrale
Technische Kennzahlen
Leitsystemverbundsystem Wasserversorgung
1. Vorstellung des Umfeldes
01.06.2017 IT-Sicherheitsgesetz was nun? 4
01.06.2017
3
Unternehmenssicherheit
Personelle Sicherheit
PhysischeSicherheit
Betriebs-Sicherheit
IT-Sicherheit
Krisen-schutz
Katastrophen-schutz
Zutritts-management
Objektschutz
Brandschutz
Perimeter- & Gebäudeschutz
Rohr- & Kanalnetz
Wasserversorgung / Abwasserentsorgung
Prozessleittechnik
Notfallmanagement / Funkleitzentrale
Datensicherheit
Kommunikations-& Netztechnologie
Datenschutz
Krisenstab
Kommunikation
Kommunikationstechnik
Grundschutz Anwendungen
SicherheitsstrategieKonzepte & Policies & Standards
Risikomanagement SicherheitsbewusstseinSicherheitsorganisation
Informationstechnologie& Cybersicherheit
Sicherheitsleitstand &Gefahrenmanagementsystem
Krisenmanagement
Ereignismanagement �Koordination & Maßnahmen
5
Sicherheit benötigt Organisation
IT-Sicherheitsgesetz was nun?
1. Vorstellung des Umfeldes
01.06.2017
IT Sicherheitsgesetz Regelungsbestandteile
Schlagwort BSIG Beschreibung
Standards §8a Abs. 1Im BSIG Verweis auf „Stand der Technik“. Ausgestaltung durch DVGW im Rahmen UP-Kritis. Umsetzung innerhalb von 2 Jahren.
Meldepflicht §8b Abs. 3Meldung von erheblichen Störungen an das Bundesamt für Sicherheit in der Informationstechnik.
Erreichbarkeit §8b Abs. 3Jederzeit erreichbare Kontaktstelle ist einzurichten.
Audits §8a Abs. 3Mindestens alle 2 Jahre Nachweis der Erfüllung durch Audits, Prüfungen oder Zertifizierungen.
Unterstützung §3 Abs. 3 BSI kann auf Ersuchen beraten und unterstützen
2. Branchenstandards
01.06.2017 IT-Sicherheitsgesetz was nun? 6
01.06.2017
4
2. BranchenstandardsWas kommt ?
01.06.2017 IT-Sicherheitsgesetz was nun? 7
Sicherheitszonen und DMZ-Technologie
Brunnen Aufbereitung VerteilungHilfs-Prozesse
DWH -DB2Fachabteilung
Handwerte
Archiv-Systeme
Senat
2. Branchenstandards
Smart
-Meter Gateway
54
32
1
2=Internet DMZ
3=Konzernnetz
4=Service DMZ
5=Leitsystemverbundsystem
6=Automatisierungs-Feldebene6
Arbeitsplatz
Konzernnetz
360 DMP, 24 Desten
SCADA-Systeme
1=externer Bereich
Blackberry
mit VPN
01.06.2017 IT-Sicherheitsgesetz was nun? 8
01.06.2017
5
� abgesicherte Fernzugänge
� Kapselung / DMZ-Technologie an Netzübergängen
� Firewalls
� Netzwerkssegmentierung
� Überwachung des Netzwerksverkehrs
� Autorisierung der Netzwerksteilnehmer
� NAC aktive Port-Security
� Prozessfingerabdrucküberwachung
� netzinterner Honeypot als Alarmanlage
zukünftig:
� größtenteils Dark Fiber (LWL) Netztrennung durch Multiplexing
� Ring-Topologie / doppelte Hauseinführung / Redundanz
Netzsicherheit
2. Branchenstandards
01.06.2017 IT-Sicherheitsgesetz was nun? 9
Netz- und Systemsicherheit: Monitoring
Überwachung der Netzwerksteilnehmer
Überwachung des Konnektivitätsstatus
Überwachung der Fernzugänge
Überwachung der Firewall-Konfiguration
Autorisierung der Netzwerksteilnehmer
aktive Port-Security
automatische Alarmierung und Blockierung
Überwachung des Netzwerksfingerabdruckes
Überwachung des Prozessfingerabdrucküberwachung
aktive Alarmierung und Eskalation auf Prozessebene
Überwachung Zugang und Zugriff
Schaltschranktürüberwachung und Logins / Anwenden von Benutzerrechten
Netzwerk-Management
- ÜberwachungWAN / LAN
-Zugangsüberwachung-Zugangsteuerung
Sicherheitsmanagement-Zugangsüberwachung-Zugriffsüberwachung
Systemmanagement-Hardware
-Betriebssysteme-Software
Prozess-fingerabdruck
-Netflow-Leittechnikprozesse
2. Branchenstandards
01.06.2017 IT-Sicherheitsgesetz was nun? 10
01.06.2017
6
� automatisierte Überwachung der laufenden Prozesse und der Netzwerksverkehrsrohdaten zur Detektion von Anomalien.
� verbindliche Nutzung eines Test und Entwicklungslaborsfür Signatur und Patchmanagement sowie Qualitätssicherung in der Entwicklung
� verbindliche Anforderungen an externe Dienstleisterexterner Auszug des Sicherheitskonzeptes als verbindlicher Angebotsbestandteil
� Systemhärtung
� Nutzung eines Schwachstellenscanners
� Versionierung mit Online Soll Ist vergleich SPS Programme
� Sperrung von Wechseldatenträgern z.B. USB Sticks (Stuxnet)
� Download von Dateien nur über separates Netzwerk mit Virenprüfung
2. BranchenstandardsSystemsicherheit
01.06.2017 IT-Sicherheitsgesetz was nun? 11
Zugang & Zugriff: Defense in Depth
� Deklaration von Zutrittsberechtigungen nach dem Sicherheitszonen ( Zwiebel) Prinzip
� Elektronisches Schließsystem
� Überwachung der Liegenschaften über Brand und Einbruchsmeldeanlagen
� Für hochsensible BereicheTürkontakte und Bewegungsmelder
� Leittechnikschaltschränke mit Türmelder versehen
� personenbezogene Benutzerverwaltung
� Überwachung von Logins und der Anwendung von Benutzerrechten
2. Branchenstandards
01.06.2017 IT-Sicherheitsgesetz was nun? 12
01.06.2017
7
2. Branchenstandards
„Plan B“ als Pflicht
Tanknotstrom
unabhängigeBedienebene
Katastrophenschutz
Redundanzen in Datenwegen und technischen Systemen und Abhängigkeiten von externen Strukturen berücksichtigen
01.06.2017 IT-Sicherheitsgesetz was nun? 13
� Fernzugriffe auf die Leittechnik ausschließlich in Eigenregie der BWB
� Seit 2013 – Nutzung von SINA (Ablösung von ISDN)
� Nutzung bei Rufbereitschaft und externen Dienstleistern für Zugriff auf
– Leitsystem Wasserversorgung
– Leit- und Informationssystem Abwasserentsorgung
� Online-Managementfunktion bietet
– aktive Freischaltung für Fernzugriffe
– Möglichkeit der Soforttrennung in Gefahrensituationen
2. BranchenstandardsSINA=BSI zertifizierte Ferneinwahl
01.06.2017 IT-Sicherheitsgesetz was nun? 14
01.06.2017
8
AufbauSPS
EthernetModemSINA
Box RUMTS Router
P,V,KVZ-Tür
SINA Box L3
P,V,KVZ-Tür
Internet-Router
DSL Anschluss
Werks-automatisierung
Druckmesspunkt
Wasserwerk
SIM-Karte mit großem Datenvolumen!
2. Branchenstandardssichere Remoteeinbindungen unsere Vorbereitung auf Industrie 4.0
01.06.2017 IT-Sicherheitsgesetz was nun? 15
IT Sicherheitsgesetz Regelungsbestandteile
Schlagwort BSIG Beschreibung
Standards §8a Abs. 1Im BSIG Verweis auf „Stand der Technik“. Ausgestaltung durch DVGW im Rahmen UP-Kritis. Umsetzung innerhalb von 2 Jahren.
Meldepflicht §8b Abs. 3Meldung von erheblichen Störungen an das Bundesamt für Sicherheit in der Informationstechnik.
Erreichbarkeit §8b Abs. 3Jederzeit erreichbare Kontaktstelle ist einzurichten.
Audits §8a Abs. 3Mindestens alle 2 Jahre Nachweis der Erfüllung durch Audits, Prüfungen oder Zertifizierungen.
Unterstützung §3 Abs. 3 BSI kann auf Ersuchen beraten und unterstützen
3. Meldepflicht
01.06.2017 IT-Sicherheitsgesetz was nun? 16
01.06.2017
9
17
anlagenbezogene meldepflichtige Anlagen
Tegel
SpandauStolpe Kladow
Friedrichshagen
KaulsdorfWuhlheide
Beelitzhof
Tiefwerder
Waßmannsdorf
Wansdorf
Ruhleben
Stahnsdorf
Schönerlinde
Münchehofe
LISA LKWLSW
3. Meldepflicht
Grundprinzip Erstmeldung mit Filterfunktion3. Meldepflicht
01.06.2017 IT-Sicherheitsgesetz was nun? 18
01.06.2017
10
Erstmeldung - Abhängig der Geschäftszeiten
IT-Sicherheitsvorfallim System
LISA
IT-Sicherheitsvorfall im System
LKW
IT-Sicherheitsvorfallim System
LSW
IT-Sicherheitsvorfallim System
IT
Sicherheits-organisation IT
Sicherheits-organisation AE
Sicherheits-organisation WV
dauerbesetzteMeldestelle
Meldeformular
3. Meldepflicht
01.06.2017 IT-Sicherheitsgesetz was nun? 19
Der Vorfall
BSI Meldung!
Welche Anlage(n) bzw. Systeme sind Betroffen?
Hält die Störung noch an?
Vereinfachte Fragen zur Feststellung der Meldepflicht
BSI Meldung?Interne
Meldung
BSI Meldung!
3. Meldepflicht
01.06.2017 IT-Sicherheitsgesetz was nun? 20
führt(e) zum vollständigen Ausfall der Anlage oder Systems:
zu einer Beeinträchtigung der Anlage oder Systems mit Auswirkung auf die Entsorung in Menge oder Qualität.
hätte zu einer Beeinträchtigung oder einem Ausfall führen können.
hatte in keinerlei Hinsicht Auswirkungen auf die Abwasserentsorgung.
LISA LKW
KW Ruh
KW Mün ......HPW Chab
HPW Köp
........Textfeld
........
Ja Nein
Textfeldim Moment nicht absehbar.
01.06.2017
11
Executive EbeneCyber Security Arbeitsgruppe
IT AE WV TS
Anfragen und Warnungen vom BSI
3. Meldepflicht
dauerbesetzteMeldestelle
01.06.2017 IT-Sicherheitsgesetz was nun? 21
IT Sicherheitsgesetz Regelungsbestandteile
Schlagwort BSIG Beschreibung
Standards §8a Abs. 1Im BSIG Verweis auf „Stand der Technik“. Ausgestaltung durch DVGW im Rahmen UP-Kritis. Umsetzung innerhalb von 2 Jahren.
Meldepflicht §8b Abs. 3Meldung von erheblichen Störungen an das Bundesamt für Sicherheit in der Informationstechnik.
Erreichbarkeit §8b Abs. 3Jederzeit erreichbare Kontaktstelle ist einzurichten.
Audits §8a Abs. 3Mindestens alle 2 Jahre Nachweis der Erfüllung durch Audits, Prüfungen oder Zertifizierungen.
Unterstützung §3 Abs. 3 BSI kann auf Ersuchen beraten und unterstützen
4. Vorbereitung auf die Zertifizierung
01.06.2017 IT-Sicherheitsgesetz was nun? 22
01.06.2017
12
23
bisherige Prüfschritte
� Überprüfung der Sicherheit des LSW durch die Innenrevision
� Internes Security-Audit über KRITIS-Standortcheck
� externes KRITIS-Testat
� internes Security Audit über LARS
4. Vorbereitung auf die Zertifizierung
01.06.2017 IT-Sicherheitsgesetz was nun?
Berichtsjahr
Ergebnis
DetailsStatus
Ziel
Besondere / sicherheitsrelevante Ereignisse:
Darstellung der wesentlichen Kennzahlen desLeitsystems Wasserwerke (LSW) über den Berichtszeitraum.
- Störungen in der Werksautomatik ZPW ***********.- Ausfall der Aufbereitung WW ******* nach E-Prüfung.- Nicht zugelassene Programmiersprache im WW ************.
geplante Maßnahmen
- Abschluss der Umstellung der Server auf Windows 2008 R2.- USV Versorgung für die Bereichsleitebenen der Werke._************************************************************.- Erstellung eines Prototypen für die Erneuerung des LSW.
Verfügbarkeit / Incidents Status
Verfügbarkeit Incidents aktuell
IncidentsVorjahr
IncidentsEntwicklung
100 % *** *** - 23 %
Managementreport Leitsystem Wasserwerke (LSW)
Incidents Anzahl Stunden
� Störungen in der Regelarbeitszeit ***
� Bereitschaftseinsätze intern WV **
� Bereitschaftseinsätze intern BWB (IT/IH) */*
� Bereitschaftseinsätze extern * *
� Werksnotbesetzungen 0 0
Umsetzung von Maßnahmen:
- Umstellung der Bedienclients auf Windows 7 wurde abgeschlossenLSW für Bedienclients.
- Umstellung der Server auf Windows 2008 R2 abgeschlossen
Kosten Summe
T€
Abweichung
%
� Ersatzteile (LSW und IH) ** 0
� Personalkosten (LSW-WV) ***
� Support-/Rahmenverträge extern *** +**
� Rufbereitschaft LSW-WV (ohne MA LSW) *** 0
� Rufbereitschaft extern ** 0
� Abschreibung LSW II ***
� Einsparung (92 PJ a 45 T€) ****
� Bilanz 2.964
4. Vorbereitung auf die Zertifizierung
01.06.2017 IT-Sicherheitsgesetz was nun? 24
01.06.2017
13
Weg und Methode Der „kritische Pfad“
Schutzbedarf ermitteln
Prozesstransparenz herstellen
Risikomanagement einführen
Benutzerberechtigungskonzepte erarbeiten
Anforderungen / Leitlinie definieren
Sicherheitskonzepte entwickeln
Zugänge und Zugriffe absichern
Systeme und Daten schützen
Abhängigkeiten von einzelnen Komponenten minimieren
Notfall und Wiederanlaufpläne definieren
Awareness schaffen
Sicherheitsniveau prüfen lassen
Sicherheit als Prozess implementieren
4. Vorbereitung auf die Zertifizierung
01.06.2017 IT-Sicherheitsgesetz was nun? 25
…noch Fragen?…noch Fragen?…noch Fragen?…noch Fragen?
Vielen Dank für Ihre Aufmerksamkeit
01.06.2017 IT-Sicherheitsgesetz was nun? 26
