ENERGY Anforderungen an digitale Strukturen in der … · Warum KRITIS und IT-Sicherheit -...

DNV GL © 2016 Montag, 22. Januar 2018 SAFER, SMARTER, GREENERDNV GL © 2016 SRL 3.0 TPL-IT

ENERGY

Anforderungen an digitale Strukturen in der Energiewirtschaft

1

Was bedeuten die KRITIS-Standards in der Praxis?

Hamburg, 25. Januar 2018

DNV GL © 2016 Montag, 22. Januar 2018

0. Zu meiner Person

2

Name: Uwe Jacob

Rolle im Unternehmen:

Head of Section Operational Excellence

Principal Consultant Grid Operation and Control / IT

Erfahrung:31 Jahre, davon 25 in der Energiewirtschaft

Dipl.-Ing. Elektrotechnik, Technische Hochschule Leipzig


0. Zum Unternehmen DNV GL

3

2,5 Mrd. €Umsatz (2015)

188 Mio. €EBIT (2015)

5%Investitionen F&E

350Büros

100+Länder

15.000Mitarbeiter (2015)

150+Jahre


Inhalt des Vortrages

4

1. Warum KRITIS und IT-Sicherheit?

2. Wesentliche KRITIS-Standards

3. Herausforderungen bei der Umsetzung in die Praxis

4. Blick in die Zukunft

5. Zusammenfassung


1. Warum KRITIS und IT-Sicherheit?

5


Warum KRITIS und IT-Sicherheit - Digitale Strukturen in der EW.

6

Information ist schon heute ein hohes wirtschaftliches Gut Information als Basis für operative

Entscheidungen ist essentiell Information jederzeit + überall

wird zum Wettbewerbsvorteil

Verfügbarkeit

Ort Schnelligkeit

Dezentrale KommunikationsstrukturenUmfassende Vernetzung

Information


Warum KRITIS und IT-Sicherheit – Stromausfall in der Ukraine.

7

Dezember 2015Cyber-Angriff in der Ukraine betraf 225.000 Stromkunden

Hacker haben Pishing E-Mails an Mitarbeiter in den Büros gesendet

Hacker sammelten Passwörter und Login-Daten und erhielten die Möglichkeit, auf das Kontrollsystem zuzugreifen

Malware (BlackEnergy 3) infizierte die IT Systeme

Hacker haben aus der Ferne angegriffen und in 17 Umspannwerken die Stromversorgung unterbrochen


Warum KRITIS und IT-Sicherheit - Virenangriff auf Saudi Aramco.

8

August 2012Malware-Virus breitete sich aus / zerstörte 30.000 Computer

Die

Fol

gen Zurück zur Arbeit mit

Papierunterlagen

Störung des

Geschäftsbetriebs

System war erst nach

10 Tagen wieder

online

Der

Ang

riff Malware,

Shamoon, auch

bekannt als

Disttrack,

infizierte über

30.000 Computer


Praktische Beispiele für Angriffe auf kritische Infrastrukturen.

Cyber-Angriff mit bösartiger Software auf Steuerungssysteme für Rohrleitung verursacht eine Explosion (1982)

Cyber-Angriff mit dem Stuxnet-Virus auf eine Anreicherungsanlage im Iran, verursachte eine Störung der Anlage und führte zu einem Ausfall von 1 Jahr (2010)

Feuer zerstörte Kontrollstation der Eisenbahngesellschaft und verursacht Störungen im Eisenbahnverkehr (2010)

Cyber-Hacker zielen auf den Energy Sector ab, um Black Energy-Malware zu entwickeln (2014)

Cyber-Attacke auf das Verteilnetz der Ukraine verursacht einen Stromausfall für 200K Kunden (2015)

Ransomware-Infektion des Hollywood Presbyterian Medical Centers in Los Angeles, sperrte Daten im gesamten IT-System, es war kein Zugriff auf E-Mails oder medizinische Aufzeichnungen möglich und einige Patienten mussten verlegt werden (2016)

9


2. Wesentliche KRITIS-Standards

10

Quelle: kritis.bund.de


Vielfältige Anforderungen für den sicheren Betrieb kritischer Infrastrukturen.

11

DIN ISO/IEC 27001

Plan

DoCheck

Act

sehr niedrig mittel hoch sehr

sehr

hoch

hoch

mittel

niedrig

sehr

niedrig

Wahrscheinlichkeit

Konsequenzniedrig hoch

Quelle:kritis.bund.de

ISMS IT-Sicherheitsgesetz

BSI

BSI TR 03109-6

Penetrationstest

Branchenstandards

§8a

Abs

. 1,

2 BSIG

BSI-Gesetz

BSI-KritisV

§11 Abs. 1b EnWG

UP KRITIS

31.01.2018


Etwas Mehr Klarheit - Was für Wen?

12


Kernelemente: IT-Sicherheitsgesetz

“Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“

am 25.07.2015 in Kraft getreten

resultiert aus der 2011 beschlossenen Cyber-Sicherheitsstrategie

Inhalte:

– Meldepflicht von IT-Sicherheitsvorfällen

– Höhere IT-Sicherheitsstandards

– Schutzniveau der IT-Systeme des Bundes

– Stärkung des BSI inkl. Warnbefugnissen

– BKA bundesweit für Cyberdelikte zuständig

Mantelgesetz

– Ändert nur bestehende Gesetze

13

IT-S

iche

rhei

tsge

setz

(ITS

iG)

IT-S

iche

rhei

tsge

setz

(ITS

iG)

BSI-Gesetz (BSIG)BSI-Gesetz (BSIG)

Energiewirtschaftsgesetz (EnWG)

Energiewirtschaftsgesetz (EnWG)

Telekommunikationsgesetz (TKG)

Telekommunikationsgesetz (TKG)

Telemediengesetz (TMG)Telemediengesetz (TMG)

Atomgesetz (AtG)Atomgesetz (AtG)

Bundesbesoldungsgesetz (BBesG)

Bundesbesoldungsgesetz (BBesG)

Bundeskriminalamtgesetz(BKAG)

Bundeskriminalamtgesetz(BKAG)


Kernelemente: IT-Sicherheitskatalog und DIN ISO/IEC 27001

Verordnung:IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz(Stand: August 2015)

Kernelemente:

Schutzziele Risikoanayles und Bewertung ISMS entsprechend ISO/IEC 27001 Stand der Technik

Umsetzung: Zertifizierung bis 31. Januar 2018, keine Einschränkung der Unternehmensgröße

Norm: DIN ISO/IEC 27001 (gültgige Fassung)

14


Kernelemente: Branchenstandards

Branchenstandard:IT-Sicherheit – Branchenstandard Wasser/Abwasser gemäß § 8 Absatz 1,2 BSI-Gesetz(Stand: August 2017)

Kernelemente:

Schutzziele Risikoanayles und Bewertung ISMS entsprechend ISO/IEC 27001 oder Maßnahmen gemäß Sicherheitsleitfaden Betriebliches Kontinuitätsmanagement Stand der Technik

Umsetzung:3. Mai 2018 für KritisV-Unternehmen (22 Mio. m³/Jahr)

15

Quelle: DVGW

Quelle: © Istock.com/AlexBrylov


3. Herausforderungen bei der Umsetzung in die Praxis

16


Herausforderung: Anwendbarkeit und Zuordnung

Mehrsparten-Unternehmen (Strom, Gas, Wasser)

Eigentümer oder Betreiber der KRITIS

„Ausdehnung“ auf Dienstleister / Lieferant

17


Herausforderung: Eindeutigkeit

Einheitliche Auslegung der

Anforderungen (BSI – DAkkS –

BnetzA - Regulierungsbehörde)

Ermittlung der Schwellwerte für

KRITIS-Unternehmen

18


Herausforderung: Gültigkeit, Aktualität

Vorhandene Zertifizierung nach

BSI-G, ISO 27001, TSM, …

Zertifikate vor Überarbeitung

Konformitätsbewertungsprogramm

(2017)

19

Quelle: https://www.datenschutz-cert.de


Herausforderung: Aufwand und Nutzen

ISMS ist nicht (nur) IT und Software

Unterschätzter Aufwand (Zeit, Personal)

Risiken - Aufwand für deren „Beseitigung“

20

Plan

DoCheck

Act

sehr niedrig mittel hoch sehr

sehr

hoch

hoch

mittel

niedrig

sehr

niedrig

Wahrscheinlichkeit

Konsequenzniedrig hoch


4. Blick in die Zukunft

21


IT-Sicherheitskatalog für Energieanlagen (Entwurf)

Verordnung:IT-Sicherheitskatalog gemäß § 11 Absatz 1b Energiewirtschaftsgesetz(Stand: Entwurf Januar 2018)

Kernelemente:

Schutzziele, besondere Schutzziele Risikoanayles und Bewertung ISMS entsprechend ISO/IEC 27001 Stand der Technik

Umsetzung: Zertifizierung innrhalb 1,5 Jahre ab Veröffentlichung, gültig für KritisV-Unternehmen (Anhang1, Teil 3, Nr. 1.1.1/2.1.2

Norm: DIN ISO/IEC 27001 (gültige Fassung)

22

Quelle: BNetzA


Weitere Branchenstandards (B3S) sind in Prüfung.

Sektor Energie:

Verteilung von Fernwärme; eingereicht von BDEW (Bundesverband der Energie- und Wasserwirtschaft e. V.)

Anlage oder Systeme zur Steuerung/Bündelung elektrischer Leistungen; eingereicht vom BDEW (Bundesverband der Energie- und Wasserwirtschaft e. V.)

Sektor IT und TK:

Housing, Hosting und CDN; eingereicht vom BAK Datacenter & Hosting

23

Quelle: BSI


5. Zusammenfassung

24


Zusammenfassung

25

Immer mehr Bereiche sind im Fokus von Cyber-Attacken

Cyber-Attacken werden immer gezielter und erfolgreicher

Digitalisierung und Vernetzung machen die Systeme anfälliger

IT-Sicherheit ist kein Produkt – IT-Sicherheit ist ein Prozess

IT-Sicherheit braucht Klarheit und Abstimmung

IT-Sicherheit erfordert Unterstützung vom Management


Neue Technologien bringen neue Chancen und neue Risiken -es ist wichtig diese zu (er)kennen und zu managen.

26

Vielen Dank für Ihre Aufmerksamkeit© Klaus Schmeh aus "Kryptografie. Verfahren–Protokolle–Infrastrukturen"


SAFER, SMARTER, GREENER

www.dnvgl.com

27

Vielen Dank für Ihre Aufmerksamkeit

Uwe Jacob (Head of Section, Operational Excellence)

E-Mail: [email protected]:+49 351 871-9289

ENERGY Anforderungen an digitale Strukturen in der … · Warum KRITIS und IT-Sicherheit -...

Documents

Transcript of ENERGY Anforderungen an digitale Strukturen in der … · Warum KRITIS und IT-Sicherheit -...