IT-Sicherheitsgesetz in Theorie und Praxis

IT-Sicherheitsgesetz in Theorie und Praxis

Was Betreiber (wirklich) beachten müssen. Eine interdisziplinäre Fallstudie.

Von: David Pfeil & Dr. Dennis-Kenji Kipker

Übersicht

Übersicht

● Einführung: Hintergrund des Aufsatzes● Fallstudie: Vorgehen & Methodik● Fallstudie: Durchführung● Auswertung: Handlungsempfehlungen● Auswertung: Fazit

Einführung

EinführungVorstellung des Aufsatzes

Quelle: gegen-den-strich.com

Hintergrund

Hintergrund

● Erschienen in Datenschutz und Datensicherheit 12|2016● Entwickelt aus der Bachelorarbeit von David Pfeil

Motivation: IT-Recht als „ungeliebtes Kind“ [BSI 2014b, S. 8]

● Autoren:

David Pfeil

damals Student, mittlerweile Software Entwickler

Dr. Dennis-Kenji Kipker

Wissenschaftlicher GeschäftsführerInstitut für Informations-, Gesundheits- und Medizinrecht (IGMR) Bremen

IT-Sicherheitsgesetz

IT-Sicherheitsgesetz● Deutsche und Europäische Bestrebungen zur

Verbesserung der IT-Sicherheit

● Digitalen Agenda für Europa [vgl. Richtlinie (EU) Nr. 2016/1148]

Cybersicherheitsstrategie

„ Richtlinie […] über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“ (kurz NIS)

● Deutsches IT-Sicherheitsgesetz erstes seiner Art

● Schutz von Kritischen Infrastrukturen

IT-Sicherheitsgesetz 2

Kritische Infrastukturen

● Versorgung der Allgemeinheit in den Sektoren

● Energie, Wasser, IKT1, Eranährung, Transport und Verkehr, Gesundheit, Finanz- und Versicherungswesen (und Netze des Bundes)

● Bei Ausfall: ernste Konsequenzen und Unterversorgung

● Schwellenwerte durch Verordnungen des BMI

1 Informations- und Kommunikationstechnik

IT-Sicherheitsgesetz 3

IT-Mindestsicherheitsstandard

● §8c BSI-Gesetz: Nachweispflicht eines IT-Mindestsicherheitsstandard

● Keine konkrete Vorgabe zur Umsetzung

● Organisatorische und technische Vorkehrungen

● „Stand der Technik“ – Generalklausel / unbestimmter Rechtsbegriff [BMVJ 2008, S. 84 f.]

● Branchenspezifische Sicherheitsstandards

IT-Sicherheitsgesetz 4

Meldepflicht

● §8b BSI-Gesetz: BSI als eine „zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit in der Informationstechnik“

● erhebliche Störungen, die zu „Ausfall oder Beeinträchtigung [...] führen können oder [...] geführt haben“

Zielfragen

Zielfragen

● Kann ein dem „Stand der Technik“ im Sinne des IT SiG ‐entsprechender Mindestsicherheitsstandard durch etablierte Methoden eines Managementsystems für Informationssicherheit (ISMS) realisiert werden?

● Welche zusätzlichen Anforderungen entstehen durch die Verpflichtung sicherheitskritische Vorfälle zu melden und wie kann diesen entsprochen werden?

Fallstudie - Vorgehen & Methodik

FallstudieVorgehen & Methodik

Quelle: www.claybennett.com

Scope

Scope der Untersuchung● Problem: Aktuelle gesetzliche Anforderungen zur IT-

Security sind zahlreichen Betreibern für die Umsetzung zu inkonkret

● Lösung(sansatz): Exemplarische Fallstudie am konkreten Beispiel von KRITIS, welche technisch‐organisatorischen Maßnahmen konkret zur möglichst effektiven Implementierung der Cyber‐Sicherheitsstrategie beitragen können und wo besondere Probleme in der Umsetzung zu verorten sind

● Ableitung von allgemeiner Anforderungen im Hinblick auf §§ 8a, 8b BSIG

Vorgehen

Vorgehen● Sicherheitsaudit: Beispielhafte Untersuchung der IT Organisation ‐

eines Wasserversorgers, erfasst nach § 2 Abs. 10 BSIG

● Maßstab des Audits: Anforderungen der ISO/IEC 2700X, die den international etablierten Standard für ISMS wieder gibt

● ISO 27001 fordert die Bewertung der erbrachten IT‐Sicherheitsleistungen durch Methoden, die zu „vergleichbaren und reproduzierbaren Ergebnissen führen“

● Gerade für das Management eines Unternehmens ist es von hoher Bedeutung die , die Entwicklung von Geschäftsprozessen zu vergleichen und zu bewerten

● Hieraus folgt die Notwendigkeit, die Umsetzung von Maßnahmen im Rahmen eines ISMS durch Kennzahlen abzubilden

ISMS

Managementsysteme für Informationssicherheit

● Ganzheitlicher Ansatz von technischen und organisatorischen Aspekten

● Fortlaufender Prozess von Aufbau, Umsetzung und Kontrolle eines Sicherheitskonzept [vgl. BSI 2014a, S. 108]

● ISO 27001 als international etablierter Standard

● IT-Grundschutz des BSI

Messbarkeit

Messbarkeit

● ISMS nur möglich durch

1. Dokumentation

2. Überwachung und Messung

● von Prozessen

● Messbarkeit durch Kennzahlen

● Reifegradmodell

● ISO-15504: Software Process Improvement and Capability Determination

Reifegradmodell

Reifegradmodell

● Abbildung der Umsetzung eines Prozesses über verschiedene Stufen seines Erfüllungsgrads

● Kriterien, ab wann eine Stufe als erreicht gilt, sind je nach Untersuchungsgegenstand zu definieren und zu dokumentieren

● Anhand eines Zielreifegrads können Maßnahmen zu dessen Erreichen zielgerichtet geplant und eingesetzt werden

● SPICE: Abbildung des Reifegrads über 6 Stufen (Level 0 bis 5)

SPICE

Reifegradstufen nach SPICE

Level Übersetzung Bedeutung

0 Unvollständig Ein Prozess wird nicht durchgeführt oder ist nicht vorhanden.

1 Durchgeführt Der Prozess erfüllt seinen Zweck.

2 Gesteuert Der Prozess wird systematisch geplant und kontrolliert.

3 Etabliert Der Prozess wird über die gesamte Organisation einheitlich durchgeführt.

4 Vorhersagbar Der Prozess wird systematisch gemessen und kontrolliert.

5 Optimiert Es gibt Ziele zur Prozessverbesserung und die Auswirkungen der Optimierung werden gemessen.

Fallstudie - Durchführung

FallstudieDurchführung: IT-Sicherheitsaudit

Filterhalle eines Wasserwerks Quelle: www.stadtwerke-duisburg.de

IT-Sicherheitsaudit

IT-Sicherheitsaudit

Durchführung

1. Durchführung einer initialen Befragung des IT-Verantwortlichen.

2. Begehung der Räumlichkeiten des zentralen Verwaltungsgebäudes.

3. Begehung einer Versorgungsanlage; in diesem Fall exemplarisch eines Wasserwerks.

4. Besprechung und Abschluss des Audits.

Fragenkataloge

5. Fragenkatalog des VDA. 

6. Fragebogen zur Selbstauskunft bei der Auftragsdatenverarbeitung der GGD

Fragenkatalog

VDA Fragenkatalog● Orientierung an den Abschnitten der ISO 27002

   

11 Physical and Environmental Security

   11.1 In wie weit sind Sicherheitszonen für den Schutz von schutzbedürftigen oder kritischen Informationen sowie

informationsverarbeitenden Einrichtungen definiert, abgesichert und überwacht (Zutrittssicherungen)?

  (Referenz zu ISO 27002: Control 11.1.1 und 11.1.2)   

11.2 In wie weit hat das Unternehmen Maßnahmen gegen die Auswirkungen von Naturkatastrophen, vorsätzlichen Angriffen oder Unfällen getroffen?

  (Referenz zu ISO 27002: Control 11.1.4)   

11.3 In wie weit werden Schutzmaßnahmen in Anlieferungs- und Versandbereichen bzgl. des Zutritts unbefugter Personen getroffen?

  (Referenz zu ISO 27002: Control 11.1.6)   

11.4 In wie weit sind Richtlinien und Verfahren für den Gebrauch von Betriebsmitteln, einschließlich ihrer Mitnahme, Entsorgung und Wiederverwendung vorhanden und umgesetzt?

  (Referenz zu ISO 27002: Control 11.2.5, 11.2.6 und 11.2.7)   

Ergebnis

Ergebnisse des VDA KatalogsZielwert Erreicht Abschnitt

3,00 0,67 Allgemeine Informationen3,00 1,00 Informationssicherheitsrichtlinien 3,00 1,67 Organisation der Informationssicherheit 3,50 0,50 Personalsicherheit 2,67 1,33 Verwaltung der Werte 3,20 1,80 Zugangssteuerung 2,00 0,00 Kryptographie 2,67 1,67 Physische und umgebungsbezogene Sicherheit 3,14 1,00 Betriebssicherheit 3,00 1,00 Kommunikationssicherheit 3,00 1,00 Anschaffung, Entwicklung und Instandhalten von Systemen 3,00 1,00 Lieferantenbeziehungen 4,00 0,50 Handhabung von Informationssicherheitsvorfällen 3,00 1,00 IT-Sicherheitsaspekte beim Business Continuity Management 3,33 1,33 Compliance

Ergebnis 2

Beobachtungen der Untersuchung

● Trennung zwischen „Verwaltungs-“ und „Steuersystemen“

● Fehlende oder zu lasche Richtlinien

● Defizite bei der Dokumentation

● Zugriff auf Dokumente nur eingeschränkt möglich

● Gar nicht vorhanden oder veraltet

● Große Defizite der „Awareness“

● Durchschnittlicher Reifegrad: 1,15 von 3,07

● Keine Zertifizierung möglich

Auswertung - Handlungsempfehlungen

Handlungs-empfehlungen

Quelle: www.commitstrip.com

Handlungsempfehlungen 1

Handlungsempfehlungen

● Informationssicherheit zur Vermeidung zivilrechtlicher Haftung, falls durch Betriebsausfall Vermögensschäden Eintreten

● Umfassende Dokumentation der Geschäftsprozesse notwendig

1.Inventarisierung von Assets

2.Abbildung aller relevanten Geschäftsprozesse durch Betriebshandbuch

● Schaffung von Richtlinien zum Umgang mit mobilen Endgeräten/Datenträgern

Handlungsempfehlungen 2

Handlungsempfehlungen 2

● „Clean Desk Policy‐ ‐ “

● Festsetzung einheitlicher Besucherregeln, klare Rollenzuweisung

● Fixierung schriftlicher Handlungsanweisungen für Notsituationen und Ausnahmefälle

● Integration der Steuerungssysteme in das Patch Management der ‐Gesamt IT‐

● Festlegung konkreter Ansprechpartner für das Notfallmanagement innerhalb und außerhalb des Unternehmens (insb. auch Behörden) Erobung/Übung von Maßnahmen

Handlungsempfehlungen 3

Handlungsempfehlungen 3

● IT Sicherheit als ‐ fortwährenden Prozess begreifen: interne und externe Audits

● Einbeziehung des Datenschutzbeauftragten, soweit vorhanden

● Sorgfältige Auswahl externer Partner, Qualitätsüberprüfungen

● Einrichtung von elektronischen Signaturen und Verschlüsselungstechnologien für E Mail‐

● Verschlüsselung von Back Up Daten‐ ‐

Handlungsempfehlungen 4

Handlungsempfehlungen 4

„Awareness“?!

● Oft nur Modewort und selten aktiv gelebt

● Typischer Fall: Erwerb eines IT Security oder Datenschutz‐ ‐ ‐Handbuchs; Hoffnung auf intrinsische Mitarbeitermotivation

● Erfordert vielmehr aktives Tätigwerden: Siehe zuvor genannte Aspekte, Coachings und Schulungen Verantwortlicher

Ergebnis der Untersuchtung

Ergebnis der Untersuchung

● Problematisch v.a. solche Betreiber, die bisher kein Sicherheitskonzept besaßen, nunmehr aber durch das IT SiG erfasst werden‐

● Relevanz auch für KMUs, die (noch) keine Informationssicherheit gem. Stand der Technik vorweisen müssen, dennoch auf freiwilliger Basis die IT Security ‐verbessern wollen

Auswertung - Fazit

FazitBeantwortung der Zielfragen

Quelle: dilbert.com

Fazit

Umsetzung des IT-SicherheitsgesetzIT-Mindestsicherheitsstandard

1.Kann ein Mindeststandard auf dem Stand der Technik, durch ein Managementsystem für Informationssicherheit (ISMS) umgesetzt werden?

● Durch ein gewissenhaft umgesetztes ISMS nach ISO 27001 kann den Anforderungen entsprochen werden.

● ISMS gibt nur das Rahmenwerk – konkrete Umsetzung immer Fallabhängig

● Anforderung der ISO 27001 beinhaltet permanente Überprüfung und Anpassung

● „Stand der Technik“ wird durch die ergriffenen Vorkehrungen erfüllt.

Fazit 2

Umsetzung des IT-SicherheitsgesetzMeldepflicht

1.Welche zusätzlichen Anforderungen entstehen durch die Verpflichtung, sicherheitskritische Vorfälle zu melden und wie kann diesen entsprochen werden?

● Ein ISMS beinhaltet detaillierte Dokumentation und Protokollierung von Zugangs-, Zutritts-, Zugriffs- und anderer Prozesse und gibt damit eine Grundlage zur Erfüllung der Meldepflicht.

Fazit 3

Fazit und Ausblick

● In den allermeisten Sektoren von KRITIS kommen vergleichbare physische Strukturen zum Einsatz sodass , sodass auch die Beurteilung von Bedrohungslagen und Gegenmaßnahmen deutliche Parallelen aufweist

● Branchenspezifische Sicherheitsstandards (B3S) regeln folglich nur alle IT Security Vorgaben, die ‐ ‐ spezifisch das allgemeine Anforderungsniveau übertreffen

● ISMS stellt mit umfangreichen Dokumentations und ‐Protokollierungspflichten Grundlage zur Realisierung der Meldepflicht gem. § 8b BSIG dar

Quellen

Quellen• [BSI 2014a]  Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): IT-Grundschutz-Kataloge. 14.

Ergänzungslieferung 2014. Köln : Bundesanzeiger, 2014• [BSI 2014b]  Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): Die Lage der IT-Sicherheit in

Deutschland 2014. 2014• [Wurm 2014]  Wurm, Sebastian C.: IT-Sicherheit in Deutschland. Berlin : KMPG, 2014• [Bernhardt und Ruhmann 2015]  Bernhardt, Ute ; Ruhmann, Ingo: IT-Sicherheit nach dem neuen IT-

Sicherheitsgesetz. 2015. – URL https://www.datenschutzzentrum.de/uploads/sommerakademie/2015/SAK2015_02-Vormittag_BernhardtRuhmann_IT-Sicherheitsgesetz_Handout.pdf. – Zuletzt aufgerufen am: 2016-07-24

• [von Eckert 2009]  Eckert, Claudia von: IT-Sicherheit. 6. überarb. und erw. Aufl. München : Oldenbourg Wissenschaftsverlag GmbH, 2009 (Naturwissenschaft und Technik 1/2010)

• [BMVJ 2008]  Bundesministerium der Justiz und für Verbraucherschutz (Hrsg.): Handbuch der Rechtsförmlichkeit. 3., neu bearbeitete Auflage. Berlin, 2008

• DIN Deutsches Institut für Normung e.V. 2013]  DIN Deutsches Institut für Normung e.V.: Richtlinie für Normenausschüsse. Berlin : Beuth, 2013

• [Mangiapane und Büchler 2015]  Mangiapane, Markus ; Büchler, Roman P.: Modernes IT-Management. 1. Wiesbaden : Springer Vieweg, 2015

Ende

Vielen Dank für Ihre Aufmerksamkeit!

Quelle: markt.de