Cybersecurity Einführung eines ... › energy › kundentag › download › ... · • Nach der...

Cybersecurity

Einführung eines

Informationssicherheitsmanagementsystem

(ISMS) bei der EnergieSüdwest Netz GmbH

Teamleiter Netzleitwarte / ISB: Thomas Gallion

Cybersecurity /

Einführung eines ISMS

Agenda

1. Informationen über die EnergieSüdwest Netz GmbH

2. ISMS Projekt Initiierung

3. Projektstart

4. Projektverlauf

5. Risikobetrachtung

6. Resultierende Maßnahmen

7. Fazit

Öffentlich Referent: Thomas Gallion Teamleiter Netzleitwarte / ISB 2

Cybersecurity /


EnergieSüdwest Netz GmbH

• Die EnergieSüdwest Netz GmbH ist ein Energieversorgungsunternehmen /

Netzbetreiber.

• Der Firmensitz ist in Landau in der Pfalz in Deutschland im Bundesland

Rheinland-Pfalz.

• Die EnergieSüdwest Netz GmbH entstand aus Gründen der

Unbundlinganforderungen.

• Im Ursprung entstand die EnergieSüdwest AG aus den Stadtwerken Landau

in der Pfalz GmbH.

• Wir haben ca. 60 Mitarbeiter, mit dem Netzbetrieb in den 4 Sparten

„Strom/Gas/Wasser und Fernwärme“.

• 50.000 Einwohner mit Strom/Gas/Wasser und Fernwärme

• Jahresumsatz 2015 - ca. 37 Mio €

• Anzahl der Zählpunkte: 61000

• 2015 Verkauf von ca. 260000 MWh Strom und 616000 MWh Gas


Cybersecurity /


ISMS Einführung/ Projektinitiierung

• Nachdem die Bundesnetzagentur den vorläufigen IT- Sicherheitskatalog für

Netzbetreiber im Bereich Strom und GAS veröffentlicht hat, haben wir damit

begonnen uns über die Umsetzung Gedanken zu machen.

• Dazu wurden mit verschiedenen Dienstleitern Informationsworkshops

durchgeführt, um uns damit über den Umfang der Anforderungen zu informieren.

• Nach der offiziellen Freigabe des IT- Sicherheitskataloges im Juli 2015 war es

nun an der Zeit in den nächsten Schritt zu gehen. Der IT- Sicherheitskatalog

kommt aus dem Energiewirtschaftsgesetz und betrifft die Betreiber kritischer

Infrastruktur in der Energieversorgung im Bereich Strom und Gas.

• Die ISMS Zertifizierung, auf Basis der ISO 27001, muss bis zum 31.01.2018

erfolgen.

• Nach der Auswertung der Informationsworkshops haben wir uns für den

Dienstleister Siemens als ISMS Beratungspartner entschieden.


Cybersecurity /



ISMS Einführung / Projektstart

• Das Projekt ISMS Einführung begann im August 2016 mit einem mehrtägigen

Workshop, in dem die aktuelle IST- Situation erarbeitet und die

grundlegenden Projektziele besprochen und festgelegt wurden.

• Die Geschäftsführung wurde von Anfang mit involviert, da sie die Richtlinien

und Festlegungen tragen muss. Außerdem bestimmt die Geschäftsführung

die Rollen und Verantwortlichkeiten. Mit der Geschäftsführung wurde

festgelegt, dass wir nicht nur Strom und Gas betrachten, sondern alle 4

Sparten und somit auch Wasser und Fernwärme.

• Im Laufe des Projektes haben wir verschiedene Pflicht,- und optionale

Dokumente erstellt. Bei uns sind das mittlerweile 65 Dokumente die initial

und fortwährend mit Informationen gefüllt werden.

• Anbei der Projektplan und ein Ausschnitt der Dokumente auf den nächsten

Seiten.

Cybersecurity /


6

ISMS Einführungsprojektplan

Öffentlich Referent: Thomas Gallion Teamleiter Netzleitwarte / ISB

Cybersecurity /



ISMS Einführung / Dokumenterstellung

• Erstellung der Pflichtdokumente: Scope Definition (Anwendungsbereich),

Netzstrukturplan, Dokumentenlenkung, Informationssicherheitsleitlinie,

Bewertung der Leistung und ISMS Handbuch.

• Im Scope wurde der Anwendungsbereich festgelegt: Interner Kontext

(Organisation, Prozesse usw.), Externe Kontext (gesetzliche Anforderungen,

Vertragliche Verpflichtungen, Lieferantenbeziehungen, Schnittstellen).

• Die Liste aller Assets, wie im Scope definiert, bildet den Netzstrukturplan.

• Die Dokumentenstruktur und Klassifizierung (Vertraulich, Intern, Öffentlich)

wird in dem Dokument „Dokumentenlenkung“ festgelegt.

• Ziele und Umgang mit der Informationssicherheit im Unternehmen wird in

der Informationssicherheitsleitlinie festgelegt.

• Das ISMS Handbuch geht auf durchzuführende ISMS Maßnahmen, ISMS

Kontext, Aufgabe der Führung, Sicherheitstraining, Betrieb,

Leistungsbewertung und Verbesserung des ISMS ein.

• ISMS Framework und Netzstrukturplan auf den nächsten Seiten

Cybersecurity /



ISMS Framework

Cybersecurity /



ISMS Einführung / Projektverlauf

Dokumentenausschnitt:

Cybersecurity /



ISMS Einführung / Beispiel Netzstrukturplan

Cybersecurity /



ISMS Einführung / Beispiel Ausschnitt Netzstrukturplan/ Assetregister

Asset-ID Asset Name

Klassifizierung für die Energieversorgung

(1.Betriebsunterstützung, 2.Wiedraufbau,

3.sicherstellen der funktionelle Sicherheit,

4.Erfüllung regulatorischer Anforderungen)

Risikoasset Gruppe Status Standort

1 Power Spectrum 5 (Server RT1ESW) 1/2/4 1.1.1 aktiv Landau, Industriestr. 18,

2 Power Spectrum 5 (PSOSESW) 1/2/4 1.4.1 aktiv Landau, Industriestr. 18,

3 Aqasys 1/2/4 1.2.1 aktiv Landau, Industriestr. 18,

4 MIP 1/2/4 1.2.2 aktiv Landau, Industriestr. 18,

5 WW Waldrohrbach 1/2/4 3.1.1 aktiv Waldrohbach

6 DE Herxheimweyer 1/2/4 3.1.1 aktiv Herxheimweyer

7 HB Herxheim 1/2/4 3.1.1 aktiv Herxheim

8 HB Impflingen 1/2/4 3.1.1 aktiv Impflingen

9 HB Mörzheim 1/2/4 3.1.1 aktiv Mörzheim

10 WW Rohrbach 1/2/4 3.1.1 aktiv Rohbach

11 DE Hayna 1/2/4 3.1.1 aktiv Hayna

12 SW01-Prozessbus 1/2/3/4 2.2.1 aktiv Landau, Industriestr. 18,

13 SW02-Prozessbus 1/2/3/4 2.2.2 aktiv Landau, Horststr

14 SW03-Prozessbus 1/2/3/4 2.2.2 aktiv Landau, Dresdner Str

15 SW04-Prozessbus 1/2/3/4 2.2.2 aktiv Landau, Brunnen III

Cybersecurity /



ISMS Einführung / Erstellung der Dokumente

• Alle weitere Dokumente haben sich während der Projektlaufzeit ergeben und

sind optionale Dokumente, die weiterhin ebenfalls aktualisiert und gepflegt

werden.

• Alle Änderungen an den Dokumenten müssen für den Zertifizierer

nachvollziehbar sein.

• Die Dokumente benötigen interne Abstimmungen mit den entsprechenden

Fachabteilungen. Pflichtdokumente müssen mit der Geschäftsführung

abgestimmt werden.

• Um die Zertifizierungsreife zu erlagen wurden die vom ISMS betroffenen

Mitarbeiter im Umgang mit der Informationssicherheit geschult.

• Eine Abstimmung mit Lieferanten ist ebenfalls erforderlich. Dazu haben wir

Lieferantenvereinbarungen erstellt.

• Anbei auf der nächsten Seite eine Vorlage der Lieferantenvereinbarung.

Cybersecurity /



ISMS Einführung / Lieferantenvereinbarung (Ausschnitt) Vereinbarung

zum Fernzugriff auf elektronische Datenverarbeitungsgeräte und speicherprogrammierbare Steuerungen bei EnergieSüdwest Netz

GmbH

Die EnergieSüdwest Netz GmbH bietet ausgewählten Lieferanten die Möglichkeit, für Fernwartung und Fernparametrierung der

Anwenderprogramme, über externe und interne Datennetze auf Datenverarbeitungsgeräte und speicherprogrammierbare Steuerungen der

EnergieSüdwest Netz GmbH zuzugreifen. Dieser Fernzugriff ist an spezielle technische Zugriffswege und Standards gebunden, deren

Einhaltung gegenüber dem IT-Verantwortlichen der EnergieSüdwest Netz GmbH gewährleistet sein muss. Diese Vereinbarung gilt auch für

Netze, die die EnergieSüdwest Netz GmbH als Netzbetreiber oder Betriebsführer bedient. Darüber hinaus verpflichtet sich der Lieferant, für

den ein Fernzugriff eingerichtet ist, aufgrund der vorliegenden, von ihm unterzeichneten Vereinbarung, die folgenden betrieblichen Regeln für

den Fernzugriff einzuhalten und anzuwenden:

1. Die Mitarbeiter des Lieferanten, die für einen Remotezugriff in Frage kommen, sind vorab der EnergieSüdwest Netz GmbH namentlich zu

nennen.

2. Die Datenverarbeitungsgeräte, mit deren Hilfe der Fernzugriff technisch erfolgt, müssen frei von Schadsoftware, Viren, Spähsoftware u. ä.

sein, dies muss durch geeignete Maßnahmen, die dem Stand der Technik entsprechen, erfolgen und ständig aktuell gehalten werden. Der

Lieferant haftet gegenüber der EnergieSüdwest Netz GmbH für Schäden, die durch Nichteinhalten dieser Vorgabe entstehen, bis zur Höhe

der Haftpflichtversicherung. Der Fernzugriffsweg ist gleichwohl gegen Lauschangriffe nach dem Stand der Technik gesichert und mit

Firewalls abgeriegelt.

3. Vor der Einwahl ist rechtzeitig die Abstimmung mit der EnergieSüdwest Netz GmbH (MSR/ Netzleitwarte) und gegebenenfalls mit der

entsprechenden Fachabteilung vorzunehmen.

4. Der Lieferant verpflichtet sich, vor jedem Fernzugriff die EnergieSüdwest Netz GmbH/ Netzleitwarte fernmündlich zu benachrichtigen. Die

Rufnummer der EnergieSüdwest Netz GmbH/ Netzleitwarte lautet 06341289160, außerdem sollte die Rufnummer dem Dienstleister bekannt

sein. Alternativ sind auch die Kontaktdaten die unter Punkt 8 genannt werden, verwendbar.

5. Die Freischaltung des Remotezugangs erfolgt durch die Mitarbeiter der EnergieSüdwest Netz GmbH. Diese schalten dann den

Remotezugang so lange frei, bis der Lieferant seine Arbeiten beendet hat. Der Ein- und Auslogvorgang wird in der Form: Firma, Person,

Datum und Uhrzeit aus Sicherheitsgründen von den MSR Mitarbeitern der EnergieSüdwest Netz GmbH protokolliert und turnusmäßig vom

ISB überprüft. Alle Änderungen sind vom Lieferant, in Form eines Word oder Excel Dokumentes, zu dokumentieren und der EnergieSüdwest

Netz GmbH unaufgefordert zu übergeben.

Cybersecurity /


14

ISMS Einführung / Risikobetrachtung

• Aus all den in den Dokumenten gesammelten Informationen auf Basis des

Netzstrukturplan wurde über eine Risikoanalyse das Risiko bewertet und

verschiedene Maßnahmen, die dem Risiko entgegenwirken können, definiert.

• Zusammen mit der Geschäftsführung wurden, in einem Management Review, die

Risiken und die möglichen Maßnahmen bewertet und die weitere

Vorgehensweise geklärt.

• Die Folgen daraus sind verschieden Maßnahmen die wir durchführen müssen

oder das Risiko wird durch die Geschäftsführung akzeptiert.

Öffentlich Referent: Thomas Gallion Teamleiter Netzleitwarte / ISB

Cybersecurity /


Referent: Thomas Gallion Teamleiter Netzleitwarte / ISB 15

ISMS Einführung / Eingeführte Maßnahmen- geplante Maßnahmen

1. Physikalischer Schutz

2. Netzwerküberwachung

3. Auslagerung der Systeme in eine DMZ, die nicht in unser LAN gehören

4. Einführung einheitlicher Remotezugänge

5. Erlangung eines fundierten Wissens für den weiteren ISMS Betrieb

6. Erlangung von Transparenz über die aktuelle IT- Infrastruktur

7. Implementierung eines Terminalservers für weitere Leitsysteme

8. Einführung von Lieferantenvereinbarungen

9. VPN Anbindung für interne Kommunikationswege

10.Einführung eines Patch- Management (Focus: Abwehr Wannacry Wurm)

Öffentlich

Cybersecurity /


Referent: Thomas Gallion Teamleiter Netzleitwarte / ISB 16

ISMS Einführung / Fazit

Aus dem Projekt ISMS Einführung können wir folgendes Fazit ziehen:

1. Nach anfänglichen Bedenken gegenüber der Dokumentationsmenge und dem

daraus folgendem Aufwand, können wir jetzt nur Positives nennen.

2. Wir haben eine umfangreiche Dokumentation und Transparenz aller unserer

Prozesse und durch die strukturierte Vorgehensweise mit dem Beratungsteam

der Firma Siemens wurden schnelle Erfolge erzielt.

3. Außerdem haben wir immer den Überblick über den aktuellen

Sicherheitszustand unserer Systeme

4. Natürlich stellt die ISMS Einführung einen großen Aufwand dar, für den

Manpower bereitgestellt werden muss.

5. Ein wirksames ISMS fordert eine kontinuierliche Pflege und Weiterentwicklung.

6. Durch die ISMS Einführung haben wir den Schutz unseres Netzbetriebes erhöht

und sind somit gegen CyberSecurity Angriffe wesentlich besser vorbereitet.

„Nach der Zertifizierung ist vor der Zertifizierung“!

Öffentlich

Cybersecurity /



Vielen Dank für Ihre Aufmerksamkeit.

Noch Fragen?

Cybersecurity Einführung eines ... › energy › kundentag › download › ... · • Nach der...

Documents

Transcript of Cybersecurity Einführung eines ... › energy › kundentag › download › ... · • Nach der...