Auswirkungen des IT Sicherheitsgesetztes

Eine Übersicht über die Historie

bis zur Frage der Zertifizierung

Seite 2Seite 2

Thomas Klein, Dipl. Ing.

Management Berater

System Management und ITIL Projekte

Projekt Management und Organisation

Von 2009 bis 2015 Projekt Leiter bei der Rheinbahn AG in Düsseldorf

Neubau des Rheinbahn Rechenzentrum und Leiter des Infrastruktur RZs

Migration von Prozessrechnersystemen in das RZ

Neubau der Leitstelle im Neubau der Verwaltung

Einführung und Ausschreibung Betriebshof Management System

Geschäftsführer der VisIT Consulting

Seite 3Seite 3

VisIT Consulting

VisIT Consulting

Software Implementierung und Wartung im Großrechnerbereich bei europäischen Banken

System Management und ITIL Projekte

Seit Juli 2015

RZ Planung - Erweiterungen, Umzüge und Neubau

RZ Betriebskonzepte und RZ Notfallplanung

Anforderungen aus dem IT Sicherheitsgesetz, BSI Grundschutz

HOAI Planung von nachrichtentechnischen Systemen

Kleines IT und Beratungsteam mit Partnern im In- und Ausland

Seite 4Seite 4

Die Entstehung und Entwicklung in der EU

Verabschiedung des Wirtschaftsprogramm Europa 2020 im Juni 2010

Kernziele

Bekämpfung von Armut und sozialer Ausgrenzung

Bildung

Forschung und Entwicklung

Beschäftigung

Klimawandel und nachhaltiges Energiewirtschaften

Umsetzung mittels Grundsatzinitiativen

Digitale Agenda im Rahmen der EU Cybersecurity Strategy (Feb. 2013)

Ziel eine offene, sichere und gesichertes Internet (Cyberspace)

Entwicklung der NIS Initiative (Network and Information Security Directive)

Seite 5Seite 5

Die Entstehung und Entwicklung in der EU

EU NIS Initiative (Network and Information Security Directive)

Entwicklung einer KRITIS Strategie und Umsetzung in Gesetze

Entwicklung eines Krisenkoordinationsplan

Ansprechpartner festlegen: CERT und KRITIS – Behörde und in Deutschland

Kooperation des privaten und der öffentlichen Bereiche notwendig

Wie melde ich einen Vorfall

Art der Kommunikation

Setzen von Standards

Seite 6Seite 6

Kooperativer Ansatz der Umsetzung

Ziel der verbesserten Zusammenarbeit von Staat und Wirtschaft

Allianz für Cybersicherheit zwischen dem BSI und bitkom

Zunehmende Bedrohung und Attacken auf Behörden, KMU und KRITIS Betreiber

Erarbeiten einer Cyber Strategie

Informationsangebote für alle bereitstellen

Erfahrungsaustausch initiieren

Gemeinsame Sicht der Dinge schaffen

Erzielen von Synergien

Ziel

Schutz von kritischer Infrastruktur und erhöhen der Cyber Sicherheit in

Deutschland

Seite 7Seite 7

Was passierte vor dem IT Sicherheitsgesetz

Die Betreiber meldeten nur das was sie für richtig / genehm hielten

Kein übergreifende Maßnahmen oder Sanktionen

Umsetzung innerhalb der Wirtschaft sehr unterschiedlich

Bedeutung und Wahrnehmung

Umsetzung von Standards

Melden von Vorfällen

Seite 8Seite 8

Das IT Sicherheitsgesetz in Deutschland

Erster Entwurf im Mai 2013

Zweiter Entwurf im August 2014

Vorentwurf im November 2014

Überarbeitung vom Februar 2015

Inkrafttreten 25. Juli 2015

Es folgt:

Erstellen von Rechtsverordnungen

Festlegen welche Unternehmen betroffen sind

Festgelegt sind mit Inkrafttreten die Betreiber von Kernkraftwerken und die

Telekommunikationsunternehmen

Seite 9Seite 9

Rolle des BSI Bundesamt für Informationssicherheit

Bisherige Aufgabe des BSI

Präventive Förderung von der Informations- und Cyber Sicherheit

Schutz der IT Systeme des Bundes

Erkennen, Schutz und Abwehr von Angriffen

BSI Grundschutzkataloge

Nach dem IT Sicherheitsgesetz vom Juli 2015

Festlegen der zu den KRITIS gehörenden Unternehmen

Genehmigung und Überprüfung von Mindeststandards alle 2 Jahre

Zentraler Ansprechpartner

Auswertung von Angriffen und Warnung vor drohenden Angriffen

Seite 10Seite 10

KRITIS

Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen

mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren

Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe,

erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische

Folgen eintreten würden.

Zitat vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe

Seite 11Seite 11

Wer gehört zu KRITIS

Es wird von 2.000 Betreibern Kritischer Infrastrukturen in sieben Sektoren

ausgegangen

Quelle: Bundesamt für Sicherheit in der Informationstechnik

Seite 12Seite 12

Was ist von KRITIS Anwendern zu tun?

Meldepflicht von erheblichen Störungen beginnt nach 6 Monaten

Ansprechpartner und Meldeprozesse nach dem IT-Sicherheitsgesetz einrichten

Einführung von Standards, branchenspezifischen Standards

Regelmäßiger Nachweise

Festlegen von angemessenen organisatorischen und technischen

Maßnahmen zum Schutz der Infrastruktur innerhalb von 2 Jahren

Was passiert wenn es die Unternehmen nicht tun?

Bußgelder

Seite 13Seite 13

Vorschlagen von branchenspezifische Standards

Maßnahmen zur Vermeidung von Störungen von informationstechnischen

Systemen

Verfügbarkeit

Integrität

Authentizität

Vertraulichkeit

Wie immer: Einhalten des aktuellen Stands der Technik

Maßnahmen dürfen verhältnismäßig sein

BSI genehmigt diese Standards

Seite 14Seite 14

Nachweis

Alle 2 Jahre mit Information an den BSI

Prüfungen

Zertifizierungen

Sicherheitsaudits

Aufgedeckte Mängel sind zu melden

Seite 15Seite 15

Was wird heute zum IT Sicherheitsgesetz diskutiert

Wo sind die konkrete Vorgaben

Inhalte und Vorgaben zu den Meldungen

Welche Sicherheitsstandards sind gemeint

Was müssen wir eigentlich noch alles tun

Wie hoch sind die Kosten

Frage: Wir sind ja nicht interessant für Hacker etc.

Seite 16Seite 16

Zeitachse

25.7.2015 1.3.2016 1.9.2016 1.3.2018 1.3.2020

Nennen einer Kontaktstelle

Rechtsverordnung

IT-Sicherheitsgesetz

Melden

Sichern der Infrastruktur

Nachweise führen

Evaluierung des

IT-Sicherheitsgesetzes

Nachweise erbringen

Seite 17Seite 17

Was ist den wirklich zu tun

Organisation

Prozesse

Technik

Seite 18Seite 18

Pragmatisch: Was ist zu tun

Wo stehen Sie?

IT Sicherheitsstrukturen

Kaufmännische IT

Infrastruktur IT

Mobile IT

Wo hilft Ihnen eine Business Impact Analyse?

Was sind Ihre kritischen Systeme, Infrastrukturen, Daten und Prozesse

Wo sind Ihre Zugriffspunkte von innen und außen

Anforderungen der Nutzer und des Managements

Welche Services Level und Sicherheit Level sind gefordert

Anforderungen an die RZ / RZ Räume

Seite 19Seite 19

Pragmatisch: Was ist zu tun?

Prozesse

Melden und einordnen von Vorfällen

Weiterleiten der geforderten Inhalte

Maßnahmen initiieren

Organisation

Verantwortlichkeiten und Zuständigkeiten

Personalstärken

Technologien

Einsatz von Standards wie ISO 27001

Erkennen von Vorfällen, erheben der benötigten Inhalte

Aufbau / Optimierung des RZ und der RZ Räume

Seite 20Seite 20

Systematisch und strukturiert

Implementierung auf der Basis ISO 27001

Ziele

Schutz der vertraulichen Daten

Integrität der betrieblichen Daten sicherstellen

Verfügbarkeit Ihrer IT-Systeme im Unternehmen sicherstellen und erhöhen

Was bietet die Norm

Definition der Anforderungen für ein Informationssicherheits-Managementsystems (ISMS)

Einführen

Umsetzen

Aufrecht erhalten

Kontinuierliche Verbesserung

Beurteilung und Behandlung von Informationssicherheitsrisiken

.

Seite 21Seite 21

Führung

Management muss Führung übernehmen und die Verpflichtung zeigen

Unternehmenspolitik festlegen

Rollen festgelegen

Verantwortlichkeiten und Befugnisse festlegen

Berichtswesen einführen

Seite 22Seite 22

Planung der Informationssicherheit

Prozesse der Informationssicherheitsrisiko Beurteilung

Prozesse festlegen

Risiken identifizieren

Risiken analysieren

Risiken bewerten

Umsetzung

Optionen auswählen

Maßnahmen festlegen

Maßnahmen auf Vollständigkeit prüfen

Plan für die formulieren

Genehmigung und Akzeptanz für die Umsetzung einholen

Seite 23Seite 23

Planung der Informationssicherheit

Ziele für die benötigten Funktionen und Ebenen festlegen

Mit der eigenen Informationssicherheitspolitik in Einklang stehen

Möglichst messbar sein

Ziele im Unternehmen vermitteln / ich nenne es Werbung dafür machen

Planung zur Erreichung der Ziele bestimmen

Was wird getan

Ressourcen festlegen

Verantwortung festlegen

Zeitrahmen für die Umsetzung festlegen

Bewertung der Ergebnisse festlegen

Seite 24Seite 24

Unterstützung

Die personellen Ressourcen unterstützen

Kompetenzen im Unternehmen bestimmen, sicherstellen und nachweisen

Bewusstsein schaffen

Kommunikation etablieren

Worüber, wann, mit wem, wer und womit

Dokumentierte Informationen

Das Erstellen und aktualisieren sicherstellen

Lenkung der Informationen festlegen

Seite 25Seite 25

Betrieb

Betriebliche Planung und Steuerung

Prozesse planen, umsetzen und steuern

Dokumentation der Umsetzung bereitstellen und verfügbar machen

Überwachen von Änderungen

Sicherstellen, das ausgelagerte Prozesse bestimmt und gesteuert werden

Risikobeurteilungen vornehmen

In geplanten Abständen

Wenn Änderungen vorgeschlagen werden

Wenn Änderungen auftreten

Risikobehandlung umsetzen

Seite 26Seite 26

Bewertung der Leistung

Überwachung, Messung, Analyse und Bewertung

Was wird überwacht und gemessen

Methode festlegen um eine Vergleichbarkeit und Wiederholbarkeit sicherzustellen

Zeiten der Durchführung festlegen

Wer führt diese Aufgaben durch

Wer analysiert und bewertet die Ergebnisse

Internes Audit

Anforderungen müssen der Norm und der Organisation entsprechen

Auditprogramme auflegen

Kriterien und Umfang festlegen

Berichtswesen und Ergebnisse aufbewahren

Seite 27Seite 27

Erfolgsfaktoren

Eine auf die Geschäftsziele abgebildete Informationssicherheitspolitik

Unterstützung und Zustimmung vom Management über alle Hierarchie Ebenen

PDCA Vorgehensmodell mit der eigenen Unternehmenskultur in Einklang bringen

Schulen von Informationssicherheitspolitik

Informationspolitik verabreden von oben nach unten und schrittweise definieren

Risikobewertung und Risiko Management

Budget bereitstellen

Prozesse klar definieren, einrichten, überprüfen und verbessern

KPI einführen

Sie benötigen einen „Treiber“ in Ihrem Unternehmen

Seite 28Seite 28

Gegenüberstellung BSI Grundschutz und ISO 27001

ISO 27001 auf der Basis von

IT-Grundschutz

Spezifikation der Anforderungen

Einführung, Implementieren, Betrieb

kontinuierliche Verbesserung

Umsetzungsempfehlungen aus der Praxis

Orientierung an Maßnahmen

Konzeption + praktische Umsetzung

Mehr als 4000 Seiten

Konkrete Maßnahmenempfehlungen

mit Umsetzungshilfen

ISO 27001

Spezifikation der Anforderungen

Einführung, Implementieren, Betrieb

Verbesserung eines dokumentierten ISMS

Orientierung an Prozessen

Prozess- und Konzeptebene

90 Seiten allgemeine Empfehlungen

35 Objects, 114 Maßnahmen

(controls)

Seite 29Seite 29

Gegenüberstellung BSI Grundschutz und ISO 27001

ISO 27001 auf der Basis von

IT-Grundschutz

Es ist Risikoanalyse für einen

normalen Schutzbedarf impliziert

Eine eigene Risikoanalyse ist nur

für den höheren Schutzbedarf

erforderlich

Migrationspfad durch Testate

Einstiegsstufe

Aufbaustufe

Zertifizierung

3 Jahre Gültigkeit mit jährlichem

Überwachungsaudit

ISO 27001

Komplette Risikoanalyse ist

vorgeschrieben

Kein Stufenkonzept für die

Zertifizierung

3 Jahre Gültigkeit mit jährlichem

»Continuing Assessment Visits«

Seite 30Seite 30

Beispiel Mobile IT

Smartphones und Tablets werden immer mehr zu Geräten des Alltags

Mobile IT ist nicht so gesichert wie die klassische IT Systeme

Es werden immer mehr mobile Apps von Drittanbietern gehackt

Auszug aus den Top 10 (Quelle IT-Business vom 11.11.2015)

Salesforce

Good Reader

Microsoft Office

Cisco AnyConnect

Box

Cisco WebEx

Skype for Business

Seite 31Seite 31

Beispiel Mobile IT

Die Mitarbeiter speichern auf dem Smartphone / Tablet – ungeschützt ?

betriebliche Daten und Emails

Speichern sie ggf. auf anderen Consumer Cloud Diensten

Social Hacking kommt immer mehr in „Mode“

Welche Consumer Applikationen sollten / werden gesperrt?

Dropbox, One Drive, Google Drive, Box, SugarSync, …(EFSS Apps)

Facebook, Twitter, Whatsapp

Skype

Quelle: Meist Third Party Anbietern – Risiko von gehackter Software

Ziel: Einsatz von Business Apps statt Consumer Apps

Ziel: Einsatz einer Unternehmens Cloud

Seite 32Seite 32

Beispiel / Auszug für Mobile IT - Aufgaben

Wer hat die Kontrolle über das Gerät?

Benutzer oder der IT-Administrator?

Welche Applikationen sind installiert, darf der Benutzer Apps installieren?

Wie kann das Installieren unterbunden werden?

Einführen eines Antivirenschutzes

WLAN Nutzung

VPN Zugänge

Datensicherung

Verlust des Smartphones und Sperren des Smartphones

Passwörter SIM Karte, Smartphone

Seite 33Seite 33

Beispiel Rechenzentrum – Auszug

Betriebsführung und Notfall Management

Ein RZ soll nach Jahren genauso wie bei der Inbetriebnahme funktionieren

Maximale, konstante und gesicherte Verfügbarkeit

Kein Wildwuchs im RZ

Zutrittsregelung

Sauberkeit, Ordnung und Struktur bleibt erhalten

Strukturierter Ein- und Aufbau der IT-Systeme

Migrationskonzepte für die Systeme

Dokumentation im RZ und der Systeme im RZ

Rollen, Aufgaben und Zuständigkeiten

Seite 34Seite 34

Fazit

Vieles ist heute mit dem IT Sicherheitsgesetz noch nicht festgeschrieben

Die Anforderungen an die IT Sicherheit in den Unternehmen steigt

Die Prüfungen über alle Bereiche wird intensiviert werden müssen

Kostet Geld und geschulte und kompetente (mehr?) Mitarbeiter

Die Diskussion darüber ist noch im vollem Gange

2 Jahre für die Umsetzung kann sehr gering sein

Zertifizierung nicht zwingend notwendig

Seite 35Seite 35

Vielen Dank für Ihre Aufmerksamkeit.

Haben Sie noch Fragen?