Auf dem richtigen Weg? - DFN-CERT · − ISO 27001 Lead Auditor, BS 25999 Lead Auditor, COBIT...

1© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.

Auf dem richtigen Weg?Das IT-Sicherheitsgesetz zum Schutz kritischer Infrastrukturen—10. Februar 2016


Wer wir sindKurzvorstellung KPMG

Wilhelm Dolle ([email protected])Partner Security Consulting KPMG und Geschäftsführer KPMG Cert GmbH

− 10 Jahre Grundschutzauditor, Mitautor von BSI IT-Grundschutz

− ISO 27001 Lead Auditor, BS 25999 Lead Auditor, COBIT-/PRINCE2-/ITIL-zertifiziert

− Schwerpunkte: IT-Strategie, Risiko- und Sicherheitsanalysen, ISMS, Penetrationstests und digitale Forensik

− langjährige Beschäftigung mit regulatorischen Anforderungen und rechtlichen Rahmenbedingungen von Informationssicherheit und IT-Risikomanagement

Hanna Lurz ([email protected])Senior Associate, Security Consulting KPMG

− Wirtschaftsinformatikerin

− ISO 27001 Lead Auditor

− Schwerpunkte: ISMS, Kritische Infrastrukturen, Security Awareness


Was wir tunKurzvorstellung KPMG


Einführung in KRITIS


KRITIS-Definition in DeutschlandEinführung in KRITIS

Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung

nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen

eintreten würden

“

„Bundesamt für Bevölkerungsschutz und Katastrophenhilfe


KRITIS und das IT-SicherheitsgesetzEinführung in KRITIS

Kritische Infrastrukturen (KRITIS)

— Das BMI legt fest, wer KRITIS ist und somit unter das IT-Sicherheitsgesetz fällt.

— Das Bundesamt für Sicherheit in der Informationstechnik ist verantwortlich für Mindeststandards der IT-Sicherheit.

IT-Sicherheitsgesetz (IT-SiG)

— Ist die nationale Implemen-tierung der EU NIS Richtlinie.

— Kritische Infrastrukturen sollen vor Cyberangriffen geschützt werden.

— KRITIS-Betreiber müssen hierzu verschiedene Anforderungen an Informationssicherheit erfüllen.

— KPMG schätzt die Kosten für Meldungen für die Wirtschaft auf über 1,1 Mrd. Euro.


KRITIS-SektorenEinführung in KRITIS


Am 05.02.2016 hat das Bundesinnenministeriumden Entwurf einer ersten ergänzenden Rechtsverordnung zum IT-Sicherheitsgesetz veröffentlicht. Der Entwurf ist hier verfügbar.

Bestimmung Kritischer InfrastrukturenEinführung in KRITIS

Energie

IKT

Wasser

Ernährung

320 Anlagenz. B. „Leistung Stromerzeugung/-speicherung ≥ 420 MW/Jahr“

30 Anlagen (plus TKG-regulierte Anlagen)z. B. „Datenvolumen eines Content Delivery Networks ≥ 75.000 TByte/Jahr“

230 Anlagenz. B. „Leistung Trinkwassergewinnung/-aufbereitung ≥ 21,9 Mio. m³/Jah“r

70 Anlagenz. B. „Leistung Lagerung/Umschlag von Lebensmitteln ≥ 334.000 t/Jahr“


Das IT-Sicherheitsgesetz


Zeitliche EntwicklungDas IT-Sicherheitsgesetz

25.07.2015 2016 2017 2018 2020

Inkrafttreten des IT-Sicherheitsgesetzes

Verpflichtung zur Einhaltungund zum Nachweis von Sicherheitsstandards und Meldung erheblicher Störungen

Ergänzende Rechtsverordnung

Evaluierung des IT-Sicherheitsgesetzes

und erste Nachweise

Nennung einerKontaktstelle


ZielsetzungDas IT-Sicherheitsgesetz

Thomas de Maizière

… dass das Netz sicherer wird und die digitalen Infrastrukturen Deutschlands künftig zu den sichersten weltweit gehören.

“„


Sektoren im GeltungsbereichDas IT-Sicherheitsgesetz

Gesundheit

IKT Transport und VerkehrEnergie

Finanz- und Versicherungswesen

Wasser

Ernährung

Sozioökonomische Infrastruktur

Technische Infrastruktur


Was ist mit den übrigen Sektoren?Das IT-Sicherheitsgesetz

Staat und Verwaltung Medien und Kultur

Bereits seit 2009 durch UP Bund reguliert:

− verbindliche Sicherheits-leitlinie für Bundesbehörden

− IT-Sicherheitsvorfälle müssen an das BSI gemeldet werden

− regelmäßige IS-Revision

Ist bislang nicht reguliert:

− fällt in den Zuständigkeitsbereich der Länder

− hier muss das IT-Sicherheitsgesetz in entsprechende Landesgesetze umgesetzt werden


Inhalte des GesetzesDas IT-Sicherheitsgesetz

Regelmäßiger NachweisBranchenspezifische Sicherheitsstandards

Meldung erheblicher Störungen

Mögliche Sanktionen Evaluation


MeldepflichtDas IT-Sicherheitsgesetz

− IT-Sicherheitsvorfälle müssen an das BSI oder die BNetzA gemeldet werden.

− Vorfälle und Ereignisse müssen beim Betreiber detektiert, analysiert und bewertet werden.

− Zu melden sind technische Rahmenbedingungen, Ursachen, betroffene Informationstechnik, Art der betroffenen Einrichtung/Anlage und Branche des Betreibers.

− Erfordert Organisation beim Mandanten für interne (IT, Produktion, Betrieb) sowie externe Meldewege (Ansprechpartner/CERT).

Auswirkungen

− Was sind Sicherheitsvorfälle?

− Welche Informationen müssen erfasst und gemeldet werden?

− Was für eine Meldeorganisation ist erforderlich und angemessen?

Fragestellungen

Der Entwurf der Verordnung schätzt den Erfüllungsaufwand der Meldepflicht fürdie Wirtschaft auf jährlich insgesamt 3 Millionen Euro

(660 Euro Aufwand/Meldung * 7 IT-Sicherheitsvorfälle/Anlage * 650 Anlagen).


MindeststandardsDas IT-Sicherheitsgesetz

− IT-Sicherheitsstandards müssen umgesetzt werden und Steuerungsorganisationen (ISMS) implementiert werden.

− Einsatz von IT im Betrieb muss durch geeignete Maßnahmen gesichert werden: ISO 27001 oder BSI IT-Grundschutz.

− Als „angemessen“ gelten Vorkehrungen, „wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.“

− KRITIS-Betreiber und ihre Branchenverbände können branchenspezifische Sicherheitsstandards entwickeln, die durch das BSI genehmigt werden müssen.

Auswirkungen

− Reicht mein aktuelles ISMS und meine Sicherheitsorganisation?

− Welchen Teil meines Betriebs betreffen die IT-Maßnahmen?

− Sind bereits vorhandene Sicherheitsmaßnahmen „angemessen“ und entsprechen diese dem „Stand der Technik“?

− Muss ich zertifiziert werden?

Fragestellungen


NachweisDas IT-Sicherheitsgesetz

− Die umgesetzten Mindeststandards für IT-Sicherheit müssen alle zwei Jahre durch geeignete Maßnahmen nachgewiesen werden.

− Die Ergebnisse der Überprüfung sind dem BSI oder der BNetzA zur Verfügung zu stellen.

− Liegen Sicherheitsmängel vor, kann das BSI die Übermittlung des gesamten Prüfberichts sowie die Beseitigung der Sicherheitsmängel verlangen.

Auswirkungen

− Was und wie wird untersucht?

− Wie bereite ich mich auf die Überprüfung vor?

− Wie kann ich bestehende Audits und Revisionen integrieren und Mehrfachbelastung minimieren?

Fragestellungen


Mögliche SanktionenDas IT-Sicherheitsgesetz

− Wenn KRITIS-Betreiber dem BSI sechs Monate nach Inkrafttreten des IT-Sicherheitsgesetzes keinen Ansprechpartner nennen.

− Wenn KRITIS-Betreiber erhebliche Störungen nicht melden.

− Wenn spätestens zwei Jahre nach Inkrafttreten des IT-Sicherheitsgesetzes keine angemessenen organisatorischen und technischen Maßnahmen zum Schutz ihrer Infrastruktur getroffen wurden.

− Wenn Audit-, Prüfungs- oder Zertifizierungsergebnisse nicht an das BSI übermittelt wurden.

Bußgelder bis 50.000 EUR

− Wenn Sicherheitsmängel „im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes“ nicht beseitigt wurden.

Bußgelder bis 100.000 EUR


Evaluation des GesetzesDas IT-Sicherheitsgesetz

− 4 Jahre nach Inkrafttreten werden Artikel 1 Nummer 2, 7 und 8 des IT-Sicherheitsgesetzes überprüft:

Definition und Festlegung Kritischer Infrastruktur,

Anforderungen an Betreiber Kritischer Infrastruktur,

Zuständigkeiten einzelner Bundesbehörden.

− Die Evaluation findet laut IT-Sicherheitsgesetz „unter Einbeziehung eines wissenschaftlichen Sachverständigen, der im Einvernehmen mit dem Deutschen Bundestag bestellt wird“, statt.Evaluation


Herangehens-weise bei der Umsetzung


Pauschaler Ansatz nicht möglichHerangehensweise bei der Umsetzung

Große Unternehmen und Konzerne

Kleine und mittel-ständische Unternehmen

− vorhandene IT-Sicherheits-strukturen

− Überprüfung auf Compliance mit dem IT-Sicherheitsgesetz

− Ggf. Nachbessern in einzelnen Bereichen

− geringe bis keine IT-Sicherheits-strukturen

− Aufbau eines schlanken Umsetzungs- und Bedarfsplan

− Umsetzung in exakt definiertem Scope mit möglichst wenig Betriebsbeeinträchtigung


Herangehensweise bei der Umsetzung

Vorgehen in vier Schritten

Betroffenheitsanalyse

Branchenstandards

ISMS inkl. Maßnahmen

Meldeorganisation

Zählen die Organisation oder Teile dieser zu KRITIS?

Welche konkreten Prozesse und Anlagen sind betroffen?

Sind sektor- oder branchenspezifischen Merkmale

zu berücksichtigen?

Können daraus branchenspezifische Mindest-standards entwickelt werden?

Ist das ISMS bedarfsgerecht und praktikabel und erfüllt

dennoch alle Anforderungen?

Sind ganzheitliche Prozesse und Sicherheitsmaßnahmen

etabliert?

Werden Sicherheitsvorfälle zeitnah erkannt und

angemessen analysiert?

Sind Meldewege innerhalb der Organisation und mit BSI/BNetzA etabliert?

Mittels Zertifizierung kann der Nachweis erbracht werden, dass alle Anforderungen erfüllt sind. Standards hierzu sind ISO 27001 oder BSI IT-Grundschutz.


Auswirkungen auf öffentliche und wissenschaftliche Einrichtungen

Herangehensweise bei der Umsetzung

Direkter Bezug zu KRITISEinrichtungen, die direkt als

KRITIS identifiziert werden können

z. B. Stadtwerke, Verkehrs-betriebe, Forschungs-

einrichtungen mit Laboren, Universitätskliniken

Indirekter Bezug zu KRITISUnternehmen, die in Liefer- und

Dienstleistungsketten von KRITIS-Betreibern eingebunden sind

z. B. Rechenzentrumsbetreiber für Universitätskliniken

Änderungen des TMG

Technische und organisatorische Vorkehrungen müssen Telemedienangebote gegen unerlaubten Zugriff und Verletzungen des Schutzes personenbezogener Daten absichern


Königs- oder Holzweg?Herangehensweise bei der Umsetzung

Informationssicherheit wird endlich zum ThemaInformationssicherheit wird stärker wahrgenommen und diskutiert.

Das BSI wird in seiner Position gestärkt (Personal, Know-how, Befugnisse).

Das Sicherheitslagebild in Deutschland soll verbessert werden.

In vielen Punkten bleibt das Gesetz allein zu unspezifischHard- und Softwareanbieter werden nicht zu mehr Sicherheit verpflichtet.

Im Fokus steht primär das Schutzziel Verfügbarkeit.

Die konkrete Anwendung in einem internationalen Kontext ist bislang nicht geklärt.

Ohne pragmatische Branchenstandards bleibt das Gesetz lediglich ein „Papiertiger“.


Ihre Fragen

Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie auch in Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und ohne gründliche Analyse der betreffenden Situation.

© 20XX KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.

kpmg.de

kpmg.de/itsicherheitsgesetz

Ihre Ansprechpartner

Wilhelm DollePartner, Security ConsultingT +49 30 [email protected]

KPMG AG WirtschaftsprüfungsgesellschaftKlingelhöferstraße 1810785 Berlin

Hanna LurzSenior Associate, Security ConsultingT +49 511 [email protected]

KPMG AG WirtschaftsprüfungsgesellschaftOsterstraße 4030159 Hannover

Auf dem richtigen Weg? - DFN-CERT · − ISO 27001 Lead Auditor, BS 25999 Lead Auditor, COBIT...

Documents

Transcript of Auf dem richtigen Weg? - DFN-CERT · − ISO 27001 Lead Auditor, BS 25999 Lead Auditor, COBIT...