Cybersecurity Einführung eines ... › energy › kundentag › download › ... · • Nach der...
Transcript of Cybersecurity Einführung eines ... › energy › kundentag › download › ... · • Nach der...
Cybersecurity
Einführung eines
Informationssicherheitsmanagementsystem
(ISMS) bei der EnergieSüdwest Netz GmbH
Teamleiter Netzleitwarte / ISB: Thomas Gallion
Cybersecurity /
Einführung eines ISMS
Agenda
1. Informationen über die EnergieSüdwest Netz GmbH
2. ISMS Projekt Initiierung
3. Projektstart
4. Projektverlauf
5. Risikobetrachtung
6. Resultierende Maßnahmen
7. Fazit
Öffentlich Referent: Thomas Gallion Teamleiter Netzleitwarte / ISB 2
Cybersecurity /
Einführung eines ISMS
EnergieSüdwest Netz GmbH
• Die EnergieSüdwest Netz GmbH ist ein Energieversorgungsunternehmen /
Netzbetreiber.
• Der Firmensitz ist in Landau in der Pfalz in Deutschland im Bundesland
Rheinland-Pfalz.
• Die EnergieSüdwest Netz GmbH entstand aus Gründen der
Unbundlinganforderungen.
• Im Ursprung entstand die EnergieSüdwest AG aus den Stadtwerken Landau
in der Pfalz GmbH.
• Wir haben ca. 60 Mitarbeiter, mit dem Netzbetrieb in den 4 Sparten
„Strom/Gas/Wasser und Fernwärme“.
• 50.000 Einwohner mit Strom/Gas/Wasser und Fernwärme
• Jahresumsatz 2015 - ca. 37 Mio €
• Anzahl der Zählpunkte: 61000
• 2015 Verkauf von ca. 260000 MWh Strom und 616000 MWh Gas
Öffentlich Referent: Thomas Gallion Teamleiter Netzleitwarte / ISB 3
Cybersecurity /
Einführung eines ISMS
ISMS Einführung/ Projektinitiierung
• Nachdem die Bundesnetzagentur den vorläufigen IT- Sicherheitskatalog für
Netzbetreiber im Bereich Strom und GAS veröffentlicht hat, haben wir damit
begonnen uns über die Umsetzung Gedanken zu machen.
• Dazu wurden mit verschiedenen Dienstleitern Informationsworkshops
durchgeführt, um uns damit über den Umfang der Anforderungen zu informieren.
• Nach der offiziellen Freigabe des IT- Sicherheitskataloges im Juli 2015 war es
nun an der Zeit in den nächsten Schritt zu gehen. Der IT- Sicherheitskatalog
kommt aus dem Energiewirtschaftsgesetz und betrifft die Betreiber kritischer
Infrastruktur in der Energieversorgung im Bereich Strom und Gas.
• Die ISMS Zertifizierung, auf Basis der ISO 27001, muss bis zum 31.01.2018
erfolgen.
• Nach der Auswertung der Informationsworkshops haben wir uns für den
Dienstleister Siemens als ISMS Beratungspartner entschieden.
Öffentlich Referent: Thomas Gallion Teamleiter Netzleitwarte / ISB 4
Cybersecurity /
Einführung eines ISMS
Öffentlich Referent: Thomas Gallion Teamleiter Netzleitwarte / ISB 5
ISMS Einführung / Projektstart
• Das Projekt ISMS Einführung begann im August 2016 mit einem mehrtägigen
Workshop, in dem die aktuelle IST- Situation erarbeitet und die
grundlegenden Projektziele besprochen und festgelegt wurden.
• Die Geschäftsführung wurde von Anfang mit involviert, da sie die Richtlinien
und Festlegungen tragen muss. Außerdem bestimmt die Geschäftsführung
die Rollen und Verantwortlichkeiten. Mit der Geschäftsführung wurde
festgelegt, dass wir nicht nur Strom und Gas betrachten, sondern alle 4
Sparten und somit auch Wasser und Fernwärme.
• Im Laufe des Projektes haben wir verschiedene Pflicht,- und optionale
Dokumente erstellt. Bei uns sind das mittlerweile 65 Dokumente die initial
und fortwährend mit Informationen gefüllt werden.
• Anbei der Projektplan und ein Ausschnitt der Dokumente auf den nächsten
Seiten.
Cybersecurity /
Einführung eines ISMS
6
ISMS Einführungsprojektplan
Öffentlich Referent: Thomas Gallion Teamleiter Netzleitwarte / ISB
Cybersecurity /
Einführung eines ISMS
Öffentlich Referent: Thomas Gallion Teamleiter Netzleitwarte / ISB 7
ISMS Einführung / Dokumenterstellung
• Erstellung der Pflichtdokumente: Scope Definition (Anwendungsbereich),
Netzstrukturplan, Dokumentenlenkung, Informationssicherheitsleitlinie,
Bewertung der Leistung und ISMS Handbuch.
• Im Scope wurde der Anwendungsbereich festgelegt: Interner Kontext
(Organisation, Prozesse usw.), Externe Kontext (gesetzliche Anforderungen,
Vertragliche Verpflichtungen, Lieferantenbeziehungen, Schnittstellen).
• Die Liste aller Assets, wie im Scope definiert, bildet den Netzstrukturplan.
• Die Dokumentenstruktur und Klassifizierung (Vertraulich, Intern, Öffentlich)
wird in dem Dokument „Dokumentenlenkung“ festgelegt.
• Ziele und Umgang mit der Informationssicherheit im Unternehmen wird in
der Informationssicherheitsleitlinie festgelegt.
• Das ISMS Handbuch geht auf durchzuführende ISMS Maßnahmen, ISMS
Kontext, Aufgabe der Führung, Sicherheitstraining, Betrieb,
Leistungsbewertung und Verbesserung des ISMS ein.
• ISMS Framework und Netzstrukturplan auf den nächsten Seiten
Cybersecurity /
Einführung eines ISMS
Öffentlich Referent: Thomas Gallion Teamleiter Netzleitwarte / ISB 8
ISMS Framework
Cybersecurity /
Einführung eines ISMS
Öffentlich Referent: Thomas Gallion Teamleiter Netzleitwarte / ISB 9
ISMS Einführung / Projektverlauf
Dokumentenausschnitt:
Cybersecurity /
Einführung eines ISMS
Öffentlich Referent: Thomas Gallion Teamleiter Netzleitwarte / ISB 10
ISMS Einführung / Beispiel Netzstrukturplan
Cybersecurity /
Einführung eines ISMS
Öffentlich Referent: Thomas Gallion Teamleiter Netzleitwarte / ISB 11
ISMS Einführung / Beispiel Ausschnitt Netzstrukturplan/ Assetregister
Asset-ID Asset Name
Klassifizierung für die Energieversorgung
(1.Betriebsunterstützung, 2.Wiedraufbau,
3.sicherstellen der funktionelle Sicherheit,
4.Erfüllung regulatorischer Anforderungen)
Risikoasset Gruppe Status Standort
1 Power Spectrum 5 (Server RT1ESW) 1/2/4 1.1.1 aktiv Landau, Industriestr. 18,
2 Power Spectrum 5 (PSOSESW) 1/2/4 1.4.1 aktiv Landau, Industriestr. 18,
3 Aqasys 1/2/4 1.2.1 aktiv Landau, Industriestr. 18,
4 MIP 1/2/4 1.2.2 aktiv Landau, Industriestr. 18,
5 WW Waldrohrbach 1/2/4 3.1.1 aktiv Waldrohbach
6 DE Herxheimweyer 1/2/4 3.1.1 aktiv Herxheimweyer
7 HB Herxheim 1/2/4 3.1.1 aktiv Herxheim
8 HB Impflingen 1/2/4 3.1.1 aktiv Impflingen
9 HB Mörzheim 1/2/4 3.1.1 aktiv Mörzheim
10 WW Rohrbach 1/2/4 3.1.1 aktiv Rohbach
11 DE Hayna 1/2/4 3.1.1 aktiv Hayna
12 SW01-Prozessbus 1/2/3/4 2.2.1 aktiv Landau, Industriestr. 18,
13 SW02-Prozessbus 1/2/3/4 2.2.2 aktiv Landau, Horststr
14 SW03-Prozessbus 1/2/3/4 2.2.2 aktiv Landau, Dresdner Str
15 SW04-Prozessbus 1/2/3/4 2.2.2 aktiv Landau, Brunnen III
Cybersecurity /
Einführung eines ISMS
Öffentlich Referent: Thomas Gallion Teamleiter Netzleitwarte / ISB 12
ISMS Einführung / Erstellung der Dokumente
• Alle weitere Dokumente haben sich während der Projektlaufzeit ergeben und
sind optionale Dokumente, die weiterhin ebenfalls aktualisiert und gepflegt
werden.
• Alle Änderungen an den Dokumenten müssen für den Zertifizierer
nachvollziehbar sein.
• Die Dokumente benötigen interne Abstimmungen mit den entsprechenden
Fachabteilungen. Pflichtdokumente müssen mit der Geschäftsführung
abgestimmt werden.
• Um die Zertifizierungsreife zu erlagen wurden die vom ISMS betroffenen
Mitarbeiter im Umgang mit der Informationssicherheit geschult.
• Eine Abstimmung mit Lieferanten ist ebenfalls erforderlich. Dazu haben wir
Lieferantenvereinbarungen erstellt.
• Anbei auf der nächsten Seite eine Vorlage der Lieferantenvereinbarung.
Cybersecurity /
Einführung eines ISMS
Öffentlich Referent: Thomas Gallion Teamleiter Netzleitwarte / ISB 13
ISMS Einführung / Lieferantenvereinbarung (Ausschnitt) Vereinbarung
zum Fernzugriff auf elektronische Datenverarbeitungsgeräte und speicherprogrammierbare Steuerungen bei EnergieSüdwest Netz
GmbH
Die EnergieSüdwest Netz GmbH bietet ausgewählten Lieferanten die Möglichkeit, für Fernwartung und Fernparametrierung der
Anwenderprogramme, über externe und interne Datennetze auf Datenverarbeitungsgeräte und speicherprogrammierbare Steuerungen der
EnergieSüdwest Netz GmbH zuzugreifen. Dieser Fernzugriff ist an spezielle technische Zugriffswege und Standards gebunden, deren
Einhaltung gegenüber dem IT-Verantwortlichen der EnergieSüdwest Netz GmbH gewährleistet sein muss. Diese Vereinbarung gilt auch für
Netze, die die EnergieSüdwest Netz GmbH als Netzbetreiber oder Betriebsführer bedient. Darüber hinaus verpflichtet sich der Lieferant, für
den ein Fernzugriff eingerichtet ist, aufgrund der vorliegenden, von ihm unterzeichneten Vereinbarung, die folgenden betrieblichen Regeln für
den Fernzugriff einzuhalten und anzuwenden:
1. Die Mitarbeiter des Lieferanten, die für einen Remotezugriff in Frage kommen, sind vorab der EnergieSüdwest Netz GmbH namentlich zu
nennen.
2. Die Datenverarbeitungsgeräte, mit deren Hilfe der Fernzugriff technisch erfolgt, müssen frei von Schadsoftware, Viren, Spähsoftware u. ä.
sein, dies muss durch geeignete Maßnahmen, die dem Stand der Technik entsprechen, erfolgen und ständig aktuell gehalten werden. Der
Lieferant haftet gegenüber der EnergieSüdwest Netz GmbH für Schäden, die durch Nichteinhalten dieser Vorgabe entstehen, bis zur Höhe
der Haftpflichtversicherung. Der Fernzugriffsweg ist gleichwohl gegen Lauschangriffe nach dem Stand der Technik gesichert und mit
Firewalls abgeriegelt.
3. Vor der Einwahl ist rechtzeitig die Abstimmung mit der EnergieSüdwest Netz GmbH (MSR/ Netzleitwarte) und gegebenenfalls mit der
entsprechenden Fachabteilung vorzunehmen.
4. Der Lieferant verpflichtet sich, vor jedem Fernzugriff die EnergieSüdwest Netz GmbH/ Netzleitwarte fernmündlich zu benachrichtigen. Die
Rufnummer der EnergieSüdwest Netz GmbH/ Netzleitwarte lautet 06341289160, außerdem sollte die Rufnummer dem Dienstleister bekannt
sein. Alternativ sind auch die Kontaktdaten die unter Punkt 8 genannt werden, verwendbar.
5. Die Freischaltung des Remotezugangs erfolgt durch die Mitarbeiter der EnergieSüdwest Netz GmbH. Diese schalten dann den
Remotezugang so lange frei, bis der Lieferant seine Arbeiten beendet hat. Der Ein- und Auslogvorgang wird in der Form: Firma, Person,
Datum und Uhrzeit aus Sicherheitsgründen von den MSR Mitarbeitern der EnergieSüdwest Netz GmbH protokolliert und turnusmäßig vom
ISB überprüft. Alle Änderungen sind vom Lieferant, in Form eines Word oder Excel Dokumentes, zu dokumentieren und der EnergieSüdwest
Netz GmbH unaufgefordert zu übergeben.
Cybersecurity /
Einführung eines ISMS
14
ISMS Einführung / Risikobetrachtung
• Aus all den in den Dokumenten gesammelten Informationen auf Basis des
Netzstrukturplan wurde über eine Risikoanalyse das Risiko bewertet und
verschiedene Maßnahmen, die dem Risiko entgegenwirken können, definiert.
• Zusammen mit der Geschäftsführung wurden, in einem Management Review, die
Risiken und die möglichen Maßnahmen bewertet und die weitere
Vorgehensweise geklärt.
• Die Folgen daraus sind verschieden Maßnahmen die wir durchführen müssen
oder das Risiko wird durch die Geschäftsführung akzeptiert.
Öffentlich Referent: Thomas Gallion Teamleiter Netzleitwarte / ISB
Cybersecurity /
Einführung eines ISMS
Referent: Thomas Gallion Teamleiter Netzleitwarte / ISB 15
ISMS Einführung / Eingeführte Maßnahmen- geplante Maßnahmen
1. Physikalischer Schutz
2. Netzwerküberwachung
3. Auslagerung der Systeme in eine DMZ, die nicht in unser LAN gehören
4. Einführung einheitlicher Remotezugänge
5. Erlangung eines fundierten Wissens für den weiteren ISMS Betrieb
6. Erlangung von Transparenz über die aktuelle IT- Infrastruktur
7. Implementierung eines Terminalservers für weitere Leitsysteme
8. Einführung von Lieferantenvereinbarungen
9. VPN Anbindung für interne Kommunikationswege
10.Einführung eines Patch- Management (Focus: Abwehr Wannacry Wurm)
Öffentlich
Cybersecurity /
Einführung eines ISMS
Referent: Thomas Gallion Teamleiter Netzleitwarte / ISB 16
ISMS Einführung / Fazit
Aus dem Projekt ISMS Einführung können wir folgendes Fazit ziehen:
1. Nach anfänglichen Bedenken gegenüber der Dokumentationsmenge und dem
daraus folgendem Aufwand, können wir jetzt nur Positives nennen.
2. Wir haben eine umfangreiche Dokumentation und Transparenz aller unserer
Prozesse und durch die strukturierte Vorgehensweise mit dem Beratungsteam
der Firma Siemens wurden schnelle Erfolge erzielt.
3. Außerdem haben wir immer den Überblick über den aktuellen
Sicherheitszustand unserer Systeme
4. Natürlich stellt die ISMS Einführung einen großen Aufwand dar, für den
Manpower bereitgestellt werden muss.
5. Ein wirksames ISMS fordert eine kontinuierliche Pflege und Weiterentwicklung.
6. Durch die ISMS Einführung haben wir den Schutz unseres Netzbetriebes erhöht
und sind somit gegen CyberSecurity Angriffe wesentlich besser vorbereitet.
„Nach der Zertifizierung ist vor der Zertifizierung“!
Öffentlich
Cybersecurity /
Einführung eines ISMS
Öffentlich Referent: Thomas Gallion Teamleiter Netzleitwarte / ISB 17
Vielen Dank für Ihre Aufmerksamkeit.
Noch Fragen?