7. IT Sicherheit - gelsenwasser.plus · ISMS & B3S WA ... Identifikation der Assets /...

2017

IT-SICHERHEIT– B3S WASSER/ABWASSER

Uwe Marquardt,

GELSENWASSER AG

23 11

� Implementiert IT-Sicherheitsaspekte für Kritische Infrastrukturen im

� Energiewirtschaftsgesetz (EnWG) für alle Energieanlagen- und -netzbetreiber,

� Telekommunikations- (TKG) und Telemediengesetz (TMG) für die Telekommunikations-/-medienunternehmen,

� Atomgesetz (AtG) für die Betreiber nuklearer Anlagen und

� BSI-Gesetz (BSIG) für alle anderen Kritischen Infrastrukturen

� In Kraft getreten am 25.07.2015

� Erstmalige konkrete Definition der Kritischen Infrastrukturen mittels Rechtsverordnung (BSI-KritisV) gemäß § 10 (1) BSIG

23.11.2017 Wasser im Gespräch – 3.Technischer Erfahrungsaustausch Wasserversorgung 2

IT-SicherheitIT-Sicherheitsgesetz


IT-SicherheitBSI-Kritisverordnung

� Definition Kritische Infrastrukturen in BSI-Kritisverordnung (BSI-KritisV)vom 22.04.2016

� In Kraft getreten am 03.05.2016

� ca. 2.000 Betreiber aus 8 Sektoren betroffen

� insbes. größere Infrastrukturenbzw. Ver- und Entsorger

Wasser

� Kooperatives/gemeinschaftliches Vorgehen der staatlichen (Fach-)Be-hörden (BMI mit BBK & BSI, BMWi mit BNetzA, …) zusammen mit den Unternehmen und ihren (technischen) Verbänden mit dem Ziel einer� Sicherheitspartnerschaft

� UP KRITIS – Branchenarbeitskreise Wasser/Abwasser sowie Gas und Strom (Teilnehmer neben BSI und BBK die Verbände BDEW, VKU, DVGW, DWA, VDE-FNN, … und namhafte Unternehmen der Branchen)


IT-SicherheitKRITIS & UP KRITIS

� Doppelte de-minimis-Regelung

� Kleinstunternehmen gar nicht betroffen

� Konkrete Definition der tatsächlich unter die Regelungen fallenden Kritischen Infrastrukturen erfolgt durch BSI-KritisV

� UP KRITIS – Branchenarbeitskreise Wasser/Abwasser (Teilnehmer neben BSI und BBK die Verbände BDEW, VKU, DVGW, DWA und namhafte Unternehmen der Branchen)

� Ziel: Entwicklung und Festlegung branchenspezifischer IT-Sicher-heitsstandards (B3S) gemäß § 8a (1) BSIG


IT-SicherheitWasser – BSIG & BSI-KritisV

� Keine de-minimis-Regelung für Energieanlagen-/-netzbetreiber

� Erstellung eines IT-Sicherheitskatalogs durch die Bundesnetzagentur (BNetzA) gemäß § 11 (1a) EnWG – Stand August 2015

� Kein kooperativer Ansatz, da UP KRITIS-BAK Gas bzw. Strom nur mittelbar über das Benehmen von BNetzA mit BSI beteiligt!

� Regelungen nur anzuwenden von Betreibern mit einer IT-basierten aktiven Netzsteuerung

� Einführung eines Informationssicherheits-Managementsystem (ISMS) gemäß ISO 27001

� Benennung eines IT-Sicherheitsbeauftragten

� Vorgaben bzgl. Format, Inhalt und Gestaltung der Dokumentation

� Einrichtung von Verfahren zur Meldung von IT-Sicherheitsvorfällen an BSI (und BNetzA)


IT-SicherheitEnergie – EnWG & IT-Sicherheitskatalog der BNetzA

Branchenarbeits-kreis …


IT-SicherheitEnergie – EnWG & IT-Sicherheitskatalog der BNetzA – Übersicht

KRITIS-Strategie

Nationaler Plan zum Schutz der Informationsstrukturen

IT-Sicherheitsgesetz UP KRITIS

IT-SicherheitskatalogElementeIT-Sicherheits-katalog

BNetzAerstellt

Einführung ISMS DokumentationIT-Sicherheits-beauftragten

Branchenarbeits-kreis Wasser &

Abwasser��

…

BSIG

EnWGBranchenarbeits-

kreise Gas / Strom��

� DVGW W-GTK-2-8 IT-Sicherheit

� Wasser/Abwasser

� Gemeinsamer Projektkreis DVGW/DWA

− Mit-/Zuarbeit BAK Wasser/Abwasser

− Implementierung branchenspezifischer Sicherheitsstandard (B3S) im DVGW-/DWA-Regelwerk

� Gas/Strom

� Gemeinsamer Arbeitskreis DVGW/FNN zu Erarbeitung des FNN-/DVGW-Hinweises „Informationssicherheit in der Energieversorgung“ � DVGW-Information Gas Nr. 22


IT-SicherheitUmsetzung in den Branchen

� DVGW W 1060 (M) / DWA-M 1060 „IT-Sicherheit“

� IT-Sicherheitsleitfaden

� (branchenspezifische) Regularien zur Erfüllung der Nachweispflichten aus § 8a (3) BSIG

� Der Branchenstandard kann unabhängig davon angewendet werden,ob eine Anlage „Kritische Infrastruktur“ im Sinne der BSI-KritisV ist oder nicht


IT-SicherheitB3S Wasser/Abwasser – Elemente

� Aspekt des technischen Risikomanagements gemäß DIN EN 15975-2 [DVGW W 1001 (H)]

� Enge Anlehnung an die Systematik von DVGW W 1050 (M) „Objekt-schutz von Wasserversorgungsanlagen“ in Verbindung mit DVGW-Information Wasser Nr. 80 „Leitfaden zur Erstellung eines Objektschutz-konzeptes“

� Inhalte Merkblatt:� Anwendungsbereich� Beschreibung der Grundlagen und Schutzziele� Grundzüge des Branchenstandards� Verankerung des IT-Sicherheits-Leitfadens� Managementsysteme, insbesondere ISMS� Risikoabschätzung� Maßnahmen zur Risikoverminderung� Nachweis der Wirksamkeit


IT-SicherheitB3S Wasser/Abwasser – DVGW W 1060 (M)

� In Anlehnung an AWWA-Leitfaden „Process Control System – Security Guidance for the Water Sector“

� Clusterung der IT-Anwendungen nach Anwendungsfällen (use cases)

� Auf Basis des individuellen Anwendungsfalles erfolgt die Verknüpfung mit den möglichen Gefährdungen und den resultierenden Maßnahmen zur Risikoverminderung aus den BSI-Grundschutzkatalogen & ICS-Security-Kompendium

� Inhalte IT-Sicherheitsleitfaden:� Liste der Anwendungsfälle� Gefährdungskatalog� Maßnahmenkatalog� Zuordnung Gefährdung(en) � Anwendungsfall� Zuordnung Maßnahme(n) � Anwendungsfall

� Handbuch zum IT-Sicherheitsleitfaden


IT-SicherheitB3S Wasser/Abwasser – IT-Sicherheitsleitfaden

� Insgesamt 22 Anwendungsfälle in 6 Kategorien, die die IT-System-konfigurationen/Szenarien für Anlagen der (Ab-)Wasserwirtschaft wiedergeben

� Kategorien der Anwendungsfälle:

� Organisation

� Architektur

� Netzwerkmanagement

� Benutzerzugang

� Programmzugang

� SPS/PLS Programmierung und Wartung



� Maßnahmenunterteilung in Basis- und Standardmaßnahmen (in Anlehnung an modernisierten IT-Grundschutz), sowie in Management-und technische Maßnahmen

� Für Kritische Infrastrukturen nach BSI-KritisV sind die Basis- (A-) und die Standardmaßnahmen (K-Maßnahmen) relevant

� Bei den Maßnahmen werden neben dem BSI IT-Grundschutz die Abschnitte im BSI ICS-Security-Kompendium und der DIN ISO/IEC 27001:2015-03 referenziert

� Die Maßnahmenliste ergibt sich entsprechend der Auswahl der Anwendungsfälle und der Priorisierung der Gefährdungen

� Maßnahmenliste ist Basis für die Umsetzung und das Audit



� Vorteile:

� Individuelle unternehmensspezifische IT-Anwendungsfälle ohne vertieftes Fachwissen leicht zu identifizieren

� Gefährdungen/Risiken und Schutzbedarf direkt ableitbar

� Unmittelbarer Verweis auf die Maßnahmen aus BSI-Grundschutzkatalogen & ICS-Security-Kompendium

− Stand der Technik gewährleistet

− Geringer Pflegebedarf im DVGW/DWA-Regelwerk

� Kompatibel zu den Vorgaben der DIN ISO/IEC 27001



� DIN ISO/IEC 27001 Informationstechnik – IT-Sicherheitsverfahren –Informationssicherheits-Managementsysteme – Anforderungen

� DIN ISO/IEC 27002 Informationstechnik – IT-Sicherheitsverfahren –Leitfaden für das Informationssicherheits-Management

� ISO/IEC TR 27019 / DIN SPEC 27009 Informationstechnik – IT-Sicher-heitsverfahren – Leitfaden für das Informationssicherheitsmanagement von Steuerungssystemen der Energieversorgung auf Grundlage von ISO/IEC 27002


IT-SicherheitISMS – Normen


IT-SicherheitISMS & B3S WA – Gegenüberstellung der Prozessgruppen

Übergeordnetes Schutzziel:Schutz/Sicherstellung der kritischen Dienstleistung Energieversorgung.

Primäre Schutzziele:Der Schutz der informationstechnischen Systeme, Komponenten oder Prozesse verfolgt primär die allgemeinen IT-Schutzziele:• Verfügbarkeit• Integrität• Vertraulichkeit

Scope (nach IT-Si-Kat und BSIG):Alle zentralen und dezentralen Anwendungen, Systeme und Komponenten, die für einen sicheren Netzbetrieb notwendig sind.

Identifikation der Assets / Netzstrukturplan:Erstellung einer Übersicht über die vom Scope betroffenen Anwendungen, Systeme und Komponenten mit den anzutreffenden Haupttechnologien und deren Verbindungen.

Risikoidentifizierung [Abschnitt 6.1.2 c)]:Auf der Grundlage des Netzstrukturplans und unter Berücksichtigung der primären Schutzziele werden die spezifischen Risiken der betroffenen Assets identifiziert.

Risikoanalyse und -bewertung [Abschnitte 6.1.2 d) + e)]:Aufbauend auf der Risikoidentifizierung erfolgt für alle Assets eine Bestimmung des Risikoniveaus (Schadensschwere & Eintrittswahrscheinlichkeit) mit anschließender Risikobewertung mit dem Ziel, die Risiken für die Risikobehandlung zu priorisieren.

Risikobehandlung/Ableitung von Maßnahmen (controls) [Abschnitt 6.1.3]:Bei der Risikobehandlung werden aus den möglichen Behandlungsoptionen durch Abgleich mit dem Maßnahmenkatalog des Anhang A und der ISO/IEC TR 27019 sinnvolle Maßnahmen abgeleitet.

Info

rmat

ions

sich

erhe

itsm

anag

emen

tsys

tem

auf

Gru

ndla

ge d

er IS

O 2

7001

Auswahl relevanter Anwendungsfälle:Auswahl der zutreffenden Anwendungsfälle aus dem Anwendungsfallkatalog, ggf. ergänzt um weitere, anlagenspezifische Anwendungsfälle.

Übergeordnetes Schutzziel:Schutz der für den Betrieb einer Anlage notwendigen oder in den Betrieb einer Anlage eingreifenden IT-Systeme der Wasserver- und Abwasserentsorgung.

Maßnahmen:Auswahl und Priorisierung der durchzuführenden Maßnahmen und Zuweisung der betroffenen IT-Systeme (Anwendungen, Infrastruktur, Komponenten…)

Anwendung der Maßnahmen:Umsetzung der identifizierten Maßnahmen auf die zugeordneten IT-Systeme.

B3S

Wasser/A

bwasser

Primäre Schutzziele:Der Schutz der informationstechnischen Systeme, Komponenten oder Prozesse verfolgt primär die allgemeinen IT-Schutzziele:• Verfügbarkeit• Integrität• Authentizität• Vertraulichkeit

Scope (nach BSIG):Alle zentralen und dezentralen Anwendungen, Systeme und Komponenten, die für einen sicheren Betrieb der relevanten Anlage(n) gem. BSI-KritisV zur Erbringung der kritischen Dienstleistung notwendig sind.

Identifikation der relevanten IT-Systeme:Erstellung einer Liste der vom Scope betroffenen IT-Systeme der Anlage(n).

Anwendung der Maßnahmen:Umsetzung der identifizierten Maßnahmen auf die zugeordneten IT-Systeme.

Mögliche zukünftige Erweiterung der Darstellung der B3S-Anwendungsfälle:Ausweisung der jeweils verfolgten spezifischen Schutzziele.

Gefährdungen (Risiken):Auswahl und Priorisierung der relevanten Gefährdungen (Risiken) auf Basis der Anwendungsfälle.

Kor

resp

ondi

eren

de P

roze

ssgr

uppe

n IS

MS

& B

3S W

A

� Einführung eines ISMS auf Basis DIN ISO/IEC 27001 bei

� GELSENWASSER AG

� GELSENWASSER Energienetze GmbH

� Westfälischen Wasser- und Umweltanalytik GmbH

� Wassergewinnung Essen GmbH

� Projektbegleitung durch Fa. Secunet, Essen

� Elemente:

� Rahmenwerk (ISMS-Politik, -Organisation, etc.)

� Ist/Soll-Abgleich ISMS-Regelwerk + Ergänzung fehlender Inhalte

� Systematische Erfassung aller IT-Assets

� Systematische Risikoanalyse und -bewertung

� Ableitung erforderlicher Sicherheits-Maßnahmen


IT-SicherheitISMS – Umsetzung bei GELSENWASSER

� Aspekte aus DIN ISO/IEC 27001 – Anhang A� Informationssicherheitsrichtlinien� Organisation der Informationssicherheit� Personalsicherheit� Verwaltung der Werte� Zugangssteuerung� Kryptographie� Physische und umgebungsbezogene Sicherheit� Betriebssicherheit� Kommunikationssicherheit� Anschaffung, Entwicklung und Instandhalten von Systemen� Lieferantenbeziehungen� Handhabung von Informationssicherheitsvorfällen� Informationssicherheitsaspekte beim Business Continuity Management� Compliance



� Nachweisführung mittels Risikoanalyse/-bewertung, dass GWN nicht unter den IT-Sicherheitskatalog der BNetzA fällt

� Integration des B3S Wasser/Abwasser

� für Kritische Infrastrukturen Wasserwerk Haltern und nachgelagertes Rohrnetz

� Zertifizierung und Nachweisführung gemäß § 8a (3) BSIG bis Mai 2018



� B3S WA geeignet für alle Trinkwasserver- und Abwasserentsorgungs-unternehmen

� Einfacher Einstieg über Anwendungsfälle in Web-basiertemIT-Sicherheitsleitfaden

� B3S WA in ISMS nach DIN ISO/IEC 27001 integrierbar

23.11.2017 Wasser im Gespräch – 3. Technischer Erfahrungsaustausch Wasserversorgung 20

ZusammenfassungB3S Wasser/Abwasser

Dipl.-Ing. BergbauUwe MarquardtAssetmanagement

GELSENWASSER AGWilly-Brandt-Allee 26 � 45891 GelsenkirchenTelefon: 0209 708-699 � Telefax: 0209 708-728E-Mail: [email protected]

7. IT Sicherheit - gelsenwasser.plus · ISMS & B3S WA ... Identifikation der Assets /...

Documents

Transcript of 7. IT Sicherheit - gelsenwasser.plus · ISMS & B3S WA ... Identifikation der Assets /...