ENERGY Anforderungen an digitale Strukturen in der … · Warum KRITIS und IT-Sicherheit -...
Transcript of ENERGY Anforderungen an digitale Strukturen in der … · Warum KRITIS und IT-Sicherheit -...
DNV GL © 2016 Montag, 22. Januar 2018 SAFER, SMARTER, GREENERDNV GL © 2016 SRL 3.0 TPL-IT
ENERGY
Anforderungen an digitale Strukturen in der Energiewirtschaft
1
Was bedeuten die KRITIS-Standards in der Praxis?
Hamburg, 25. Januar 2018
DNV GL © 2016 Montag, 22. Januar 2018
0. Zu meiner Person
2
Name: Uwe Jacob
Rolle im Unternehmen:
Head of Section Operational Excellence
Principal Consultant Grid Operation and Control / IT
Erfahrung:31 Jahre, davon 25 in der Energiewirtschaft
Dipl.-Ing. Elektrotechnik, Technische Hochschule Leipzig
DNV GL © 2016 Montag, 22. Januar 2018
0. Zum Unternehmen DNV GL
3
2,5 Mrd. €Umsatz (2015)
188 Mio. €EBIT (2015)
5%Investitionen F&E
350Büros
100+Länder
15.000Mitarbeiter (2015)
150+Jahre
DNV GL © 2016 Montag, 22. Januar 2018
Inhalt des Vortrages
4
1. Warum KRITIS und IT-Sicherheit?
2. Wesentliche KRITIS-Standards
3. Herausforderungen bei der Umsetzung in die Praxis
4. Blick in die Zukunft
5. Zusammenfassung
DNV GL © 2016 Montag, 22. Januar 2018
1. Warum KRITIS und IT-Sicherheit?
5
DNV GL © 2016 Montag, 22. Januar 2018
Warum KRITIS und IT-Sicherheit - Digitale Strukturen in der EW.
6
Information ist schon heute ein hohes wirtschaftliches Gut Information als Basis für operative
Entscheidungen ist essentiell Information jederzeit + überall
wird zum Wettbewerbsvorteil
Verfügbarkeit
Ort Schnelligkeit
Dezentrale KommunikationsstrukturenUmfassende Vernetzung
Information
DNV GL © 2016 Montag, 22. Januar 2018
Warum KRITIS und IT-Sicherheit – Stromausfall in der Ukraine.
7
Dezember 2015Cyber-Angriff in der Ukraine betraf 225.000 Stromkunden
Hacker haben Pishing E-Mails an Mitarbeiter in den Büros gesendet
Hacker sammelten Passwörter und Login-Daten und erhielten die Möglichkeit, auf das Kontrollsystem zuzugreifen
Malware (BlackEnergy 3) infizierte die IT Systeme
Hacker haben aus der Ferne angegriffen und in 17 Umspannwerken die Stromversorgung unterbrochen
DNV GL © 2016 Montag, 22. Januar 2018
Warum KRITIS und IT-Sicherheit - Virenangriff auf Saudi Aramco.
8
August 2012Malware-Virus breitete sich aus / zerstörte 30.000 Computer
Die
Fol
gen Zurück zur Arbeit mit
Papierunterlagen
Störung des
Geschäftsbetriebs
System war erst nach
10 Tagen wieder
online
Der
Ang
riff Malware,
Shamoon, auch
bekannt als
Disttrack,
infizierte über
30.000 Computer
DNV GL © 2016 Montag, 22. Januar 2018
Praktische Beispiele für Angriffe auf kritische Infrastrukturen.
Cyber-Angriff mit bösartiger Software auf Steuerungssysteme für Rohrleitung verursacht eine Explosion (1982)
Cyber-Angriff mit dem Stuxnet-Virus auf eine Anreicherungsanlage im Iran, verursachte eine Störung der Anlage und führte zu einem Ausfall von 1 Jahr (2010)
Feuer zerstörte Kontrollstation der Eisenbahngesellschaft und verursacht Störungen im Eisenbahnverkehr (2010)
Cyber-Hacker zielen auf den Energy Sector ab, um Black Energy-Malware zu entwickeln (2014)
Cyber-Attacke auf das Verteilnetz der Ukraine verursacht einen Stromausfall für 200K Kunden (2015)
Ransomware-Infektion des Hollywood Presbyterian Medical Centers in Los Angeles, sperrte Daten im gesamten IT-System, es war kein Zugriff auf E-Mails oder medizinische Aufzeichnungen möglich und einige Patienten mussten verlegt werden (2016)
9
DNV GL © 2016 Montag, 22. Januar 2018
2. Wesentliche KRITIS-Standards
10
Quelle: kritis.bund.de
DNV GL © 2016 Montag, 22. Januar 2018
Vielfältige Anforderungen für den sicheren Betrieb kritischer Infrastrukturen.
11
DIN ISO/IEC 27001
Plan
DoCheck
Act
sehr niedrig mittel hoch sehr
sehr
hoch
hoch
mittel
niedrig
sehr
niedrig
Wahrscheinlichkeit
Konsequenzniedrig hoch
Quelle:kritis.bund.de
ISMS IT-Sicherheitsgesetz
BSI
BSI TR 03109-6
Penetrationstest
Branchenstandards
§8a
Abs
. 1,
2 BSIG
BSI-Gesetz
BSI-KritisV
§11 Abs. 1b EnWG
UP KRITIS
31.01.2018
DNV GL © 2016 Montag, 22. Januar 2018
Etwas Mehr Klarheit - Was für Wen?
12
DNV GL © 2016 Montag, 22. Januar 2018
Kernelemente: IT-Sicherheitsgesetz
“Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“
am 25.07.2015 in Kraft getreten
resultiert aus der 2011 beschlossenen Cyber-Sicherheitsstrategie
Inhalte:
– Meldepflicht von IT-Sicherheitsvorfällen
– Höhere IT-Sicherheitsstandards
– Schutzniveau der IT-Systeme des Bundes
– Stärkung des BSI inkl. Warnbefugnissen
– BKA bundesweit für Cyberdelikte zuständig
Mantelgesetz
– Ändert nur bestehende Gesetze
13
IT-S
iche
rhei
tsge
setz
(ITS
iG)
IT-S
iche
rhei
tsge
setz
(ITS
iG)
BSI-Gesetz (BSIG)BSI-Gesetz (BSIG)
Energiewirtschaftsgesetz (EnWG)
Energiewirtschaftsgesetz (EnWG)
Telekommunikationsgesetz (TKG)
Telekommunikationsgesetz (TKG)
Telemediengesetz (TMG)Telemediengesetz (TMG)
Atomgesetz (AtG)Atomgesetz (AtG)
Bundesbesoldungsgesetz (BBesG)
Bundesbesoldungsgesetz (BBesG)
Bundeskriminalamtgesetz(BKAG)
Bundeskriminalamtgesetz(BKAG)
DNV GL © 2016 Montag, 22. Januar 2018
Kernelemente: IT-Sicherheitskatalog und DIN ISO/IEC 27001
Verordnung:IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz(Stand: August 2015)
Kernelemente:
Schutzziele Risikoanayles und Bewertung ISMS entsprechend ISO/IEC 27001 Stand der Technik
Umsetzung: Zertifizierung bis 31. Januar 2018, keine Einschränkung der Unternehmensgröße
Norm: DIN ISO/IEC 27001 (gültgige Fassung)
14
DNV GL © 2016 Montag, 22. Januar 2018
Kernelemente: Branchenstandards
Branchenstandard:IT-Sicherheit – Branchenstandard Wasser/Abwasser gemäß § 8 Absatz 1,2 BSI-Gesetz(Stand: August 2017)
Kernelemente:
Schutzziele Risikoanayles und Bewertung ISMS entsprechend ISO/IEC 27001 oder Maßnahmen gemäß Sicherheitsleitfaden Betriebliches Kontinuitätsmanagement Stand der Technik
Umsetzung:3. Mai 2018 für KritisV-Unternehmen (22 Mio. m³/Jahr)
15
Quelle: DVGW
Quelle: © Istock.com/AlexBrylov
DNV GL © 2016 Montag, 22. Januar 2018
3. Herausforderungen bei der Umsetzung in die Praxis
16
DNV GL © 2016 Montag, 22. Januar 2018
Herausforderung: Anwendbarkeit und Zuordnung
Mehrsparten-Unternehmen (Strom, Gas, Wasser)
Eigentümer oder Betreiber der KRITIS
„Ausdehnung“ auf Dienstleister / Lieferant
17
DNV GL © 2016 Montag, 22. Januar 2018
Herausforderung: Eindeutigkeit
Einheitliche Auslegung der
Anforderungen (BSI – DAkkS –
BnetzA - Regulierungsbehörde)
Ermittlung der Schwellwerte für
KRITIS-Unternehmen
18
DNV GL © 2016 Montag, 22. Januar 2018
Herausforderung: Gültigkeit, Aktualität
Vorhandene Zertifizierung nach
BSI-G, ISO 27001, TSM, …
Zertifikate vor Überarbeitung
Konformitätsbewertungsprogramm
(2017)
19
Quelle: https://www.datenschutz-cert.de
DNV GL © 2016 Montag, 22. Januar 2018
Herausforderung: Aufwand und Nutzen
ISMS ist nicht (nur) IT und Software
Unterschätzter Aufwand (Zeit, Personal)
Risiken - Aufwand für deren „Beseitigung“
20
Plan
DoCheck
Act
sehr niedrig mittel hoch sehr
sehr
hoch
hoch
mittel
niedrig
sehr
niedrig
Wahrscheinlichkeit
Konsequenzniedrig hoch
DNV GL © 2016 Montag, 22. Januar 2018
4. Blick in die Zukunft
21
DNV GL © 2016 Montag, 22. Januar 2018
IT-Sicherheitskatalog für Energieanlagen (Entwurf)
Verordnung:IT-Sicherheitskatalog gemäß § 11 Absatz 1b Energiewirtschaftsgesetz(Stand: Entwurf Januar 2018)
Kernelemente:
Schutzziele, besondere Schutzziele Risikoanayles und Bewertung ISMS entsprechend ISO/IEC 27001 Stand der Technik
Umsetzung: Zertifizierung innrhalb 1,5 Jahre ab Veröffentlichung, gültig für KritisV-Unternehmen (Anhang1, Teil 3, Nr. 1.1.1/2.1.2
Norm: DIN ISO/IEC 27001 (gültige Fassung)
22
Quelle: BNetzA
DNV GL © 2016 Montag, 22. Januar 2018
Weitere Branchenstandards (B3S) sind in Prüfung.
Sektor Energie:
Verteilung von Fernwärme; eingereicht von BDEW (Bundesverband der Energie- und Wasserwirtschaft e. V.)
Anlage oder Systeme zur Steuerung/Bündelung elektrischer Leistungen; eingereicht vom BDEW (Bundesverband der Energie- und Wasserwirtschaft e. V.)
Sektor IT und TK:
Housing, Hosting und CDN; eingereicht vom BAK Datacenter & Hosting
23
Quelle: BSI
DNV GL © 2016 Montag, 22. Januar 2018
5. Zusammenfassung
24
DNV GL © 2016 Montag, 22. Januar 2018
Zusammenfassung
25
Immer mehr Bereiche sind im Fokus von Cyber-Attacken
Cyber-Attacken werden immer gezielter und erfolgreicher
Digitalisierung und Vernetzung machen die Systeme anfälliger
IT-Sicherheit ist kein Produkt – IT-Sicherheit ist ein Prozess
IT-Sicherheit braucht Klarheit und Abstimmung
IT-Sicherheit erfordert Unterstützung vom Management
DNV GL © 2016 Montag, 22. Januar 2018
Neue Technologien bringen neue Chancen und neue Risiken -es ist wichtig diese zu (er)kennen und zu managen.
26
Vielen Dank für Ihre Aufmerksamkeit© Klaus Schmeh aus "Kryptografie. Verfahren–Protokolle–Infrastrukturen"
DNV GL © 2016 Montag, 22. Januar 2018
SAFER, SMARTER, GREENER
www.dnvgl.com
27
Vielen Dank für Ihre Aufmerksamkeit
Uwe Jacob (Head of Section, Operational Excellence)
E-Mail: [email protected]:+49 351 871-9289