Compliance Anforderungen an Betreiber von kritischen und nicht-kritischen Infrastrukturen 2.6.2016 – ZENOS Forum Hamburg

08.06.16 Folie 2

Referent

  Dipl.-Math. Frank Schlottke

  Verheiratet, zwei Kinder

  Geschäftsführer Applied Security GmbH

08.06.16 Folie 3

Das Unternehmen

!  Eigenes Produktportfolio und erfahrenes Consultingteam !  Sicherer Datenaustausch für Unternehmen und Organisationen !  Z.B. fideAS file enterprise Sharepoint Verschlüsselung !  Renommierter und langjähriger Kundenstamm !  IT-Security Made in Germany   Hauptsitz in Großwallstadt (nahe Frankfurt/Main)   1998 gegründet   53 Mitarbeiter

apsec-FührenderAnbieterfürsicherenDatenaustausch

08.06.16 Folie 4

Agenda

GesetzlicheundregulatorischeGrundlagen• Wassindkri5scheInfrastrukturen?•  Gesetzefüralle•  Gesetzefürkri5scheInfrastrukturen

AnforderungenundAntworten•  RegistrierungundIden5fika5on•  Authen5sierung•  Dokumenta5on

BeispielWebservicesundSAP• Wasistzutun?

Gesetzliche und regulatorische Grundlagen

08.06.16 Folie 6

Kritische Infrastrukturen

  Definition des Bundesministerium des Inneren: „Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“

08.06.16 Folie 7

Wer ist kritische Infrastruktur?

Energie• Elektrizität• Gas• Mineralöl

Informa5onstechnikundTelekommunika5on• Telekommunika5on• Informa5onstechnik

TransportundVerkehr• LuMfahrt• Seeschifffahrt• Binnenschifffahrt• Schienenverkehr• Straßenverkehr• Logis5k

Gesundheit• MedizinischeVersorgung• ArzneimiPelundImpfstoffe• Labore

Wasser• ÖffentlicheWasserversorgung• ÖffentlicheAbwasserbesei5gung

Ernährung• ErnährungswirtschaM• LebensmiPelhandel

Finanz-undVersicherungswesen• Banken• Börsen• Versicherungen• Finanzdienstleister

StaatundVerwaltung•RegierungundVerwaltung• Parlament• Jus5zeinrichtungen• NoVall-/RePungsweseneinschließlichKatastrophenschutz

MedienundKultur• Rundfunk(FernsehenundRadio),gedruckteundelektronischePresse• Kulturgut• symbolträch5geBauwerke

08.06.16 Folie 8

Gesetzliche und regulatorische Grundlagen

AllgemeineVorschriMen• §9BDSG–SicherheitsmaßnahmenfürpersonenbezogeneDaten

• §87TKG–ErbringergeschäMsmäßigerKommunika5onsdienstemitoderohneGewinnerzielungsabsicht

• §203StGB–Betriebs-oderGeschäMsgeheimnisse

08.06.16 Folie 9

Gesetzliche und regulatorische Grundlagen

AllgemeineHaMung• VertragshaMung–SchädendurchIT-bedingteNicht-ErfüllungeinesVertrages

• DelikthaMung-§§823ff.BGB:VorsätzlicheoderfahrlässigeVerstößegegenSchutzrechte,Schadensersatz

08.06.16 Folie 10

Gesetzliche und regulatorische Grundlagen

PersönlicheHaMung•  §43GmbH-Gesetz–SorgfalteinesordentlichenKaufmanns

•  §93AktG–SorgfalteinesordentlichenundgewissenhaMenGeschäMsleiters

•  §91Abs.2AktG–Erkennungvon„FortbestandderGesellschaMgefährdendeEntwicklungen“,EinrichtungÜberwachungssystem

• Maßstab:„StandderTechnik“inderBranche

08.06.16 Folie 11

Branchenanforderungen

  MA Risk (Mindestanforderung an das Risikomanagement) der BAFin   §3. „…Die Geschäftsleiter werden dieser Verantwortung nur gerecht,

wenn sie die Risiken beurteilen können und die erforderlichen Maßnahmen zu ihrer Begrenzung treffen…“

  §7.3: „…Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept)…“

  §4.3: „…In jedem Institut sind entsprechend Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten   Regelungen zur Aufbau- und Ablauforganisation zu treffen,   Risikosteuerungs- und -controllingprozesse einzurichten und   eine Risikocontrolling-Funktion und eine Compliance-Funktion zu

implementieren….“

08.06.16 Folie 12

Energieversorger

  §11 EnWG: „...Der Betrieb eines sicheren Energieversorgungsnetzes umfasst insbesondere auch einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind…“ BNetzA legte dazu einen IT-Sicherheitskatalog vor   Zertifiziertes ISMS zum 01.02.2018   Netzstrukturplan   Ansprechpartner für Sicherheit gegenüber der BNetzA   Kritische Infrastrukturen: zusätzliche Meldepflichten

Anforderungen und Antworten

08.06.16 Folie 14

Anforderungen

AngemesseneSicherheit

InternesKontrollsystem

SicherheitalsManagementaufgabe

VerschlüsselungundAuthen5sierungalsMiPelderWahl

StateoftheartTechnologiemuss

zumEinsatzkommenStandardsnutzen

08.06.16 Folie 15

Zum Beispiel Authentisierung

UserIDundPasswort

UserIDundEinmalpasswort

UserIDundToken

Fingerabdruck Facebook-LoginSmartcardwiez.B.eGKmitPasswort

08.06.16 Folie 16

Zum Beispiel Registrierung

UserID und Passwort immer gleichwertig?   Per Angabe einer Emailadresse   Per EinmalPIN auf Brief an hinterlegte Adresse   Per Ausweisen mit Personalausweis und persönlichem Erscheinen   Zur Beurteilung der Sicherheit ist es wichtig, den Gesamtprozess

zu betrachten

08.06.16 Folie 17

Zum Beispiel Klare Reports

08.06.16 Folie 18

Werbeblock: SecuriCAD

Webservices und SAP Quelle: http://de.slideshare.net/SAPTechnology/sap-singlesignon2-0overview

08.06.16 Folie 20

Auslöser Single-Sign-On (SSO)

SSOfürSAPundnon-SAPAnwendungen

SichereNetzwerkkommunika5on

SSOfürCloudbasierteAnwendungen

Standardbasiert(X.509,SAML,…)

08.06.16 Folie 21

SAP Business Suite

 SSO basierend auf Kerberos/SPNEGO

 SPNEGO nur für neuere SAP Netweaver Releases

 Token: Kerberos

 Verwendet auch in Active Directory

SAP/WebClient

SAPBusiness

SAPNet-Weaver

08.06.16 Folie 22

SAP und Non-SAP Anwendungen

 SSO basierend auf X.509-Zertifikaten

 MS AD, LDAP, andere Login-Module

 Token: X.509-Zertifkat

SAP/WebClient

SAPBusiness

SAPNet-Weaver

Non-SAPLegacySystems

08.06.16 Folie 23

Cloud und Firmenübergreifend

  SSO und Identity Federation basierend auf SAML   SAML = Security Assertion Markup Language

  MS AD, LDAP, andere Login-Module   Token: SAML

  Empfohlen von SAP für Extranet oder Partnerszenarien

WebClient

CloudAppl.

(Non)-SAPWebAppl.

WebClient

08.06.16 Folie 24

Was wird benötigt?

 Secure Login Client

 Secure Login Server   SAP NetWeaver Java

  X.509-Zertuifikate für User und Server

 Secure Login Library   Kryptographie und Sicherheitsbibliothek

  Identity Provider   Zentraler Dienst auf SAP NetWeaver Java   Stellt SAML 2.0 Assertions für webbasierendes SSO

08.06.16 Folie 25

Quelle:hPps://wiki.scn.sap.com/wiki/display/Security/Single+Sign-On+with+SAML+2.0+and+ABAP+Systems+Suppor5ng+SAP+Logon+Tickets

Beispielkonfiguration

08.06.16 Folie 26

Fragen und Antworten

  Frank Schlottke Applied Security GmbH Einsteinstr. 2a 63811 Großwallstadt www.apsec.de, frank.schlottke@apsec.de

  +49-6022-26338-0