KRITIS CYBERSECURITY HEALTHCHECK WASSERVERSORGUNG

Transparenz schaffen über den Erfüllungsgrad der Anforderungen aus dem IT-Sicherheitsgesetz

Angesichts einer steigenden Anzahl von Cyber-Attacken bei Wasserversorgern und dem IT-Sicherheitsgesetz besteht hoher Handlungsbedarf für den Schutz von IT-Systemen

SICHERHEITSVORFÄLLE BEI WASSERVERSORGERN (BEISPIELE)

KÖNNEN SIE DIESE FRAGEN BEANTWORTEN?

Welche Konsequenzen hätte eine erfolgreiche Cyber-Attacke auf unsere Organisation?

Wie würde sich eine Betriebsunterbrechung auf unsere Kunden sowie andere KRITIS-Betreiber auswirken?

Welche Informationen und Systeme sind in unserer Organisation schützenswert?

Hat meine Organisation erforderliche Sicherheitsmaßnahmen implementiert, um kritische Steuerungselemente (z.B. SCADA) zu schützen und Angriffe rechtzeitig zu detektieren?

Habe ich die notwendigen Kompetenzen, um die zunehmende Komplexität und Vernetzung der IT-Systeme zu bewältigen?

Können wir der Geschäftsführung, den Aufsichtsbehörden und unseren Kunden die Erfüllung des erforderlichen Sicherheitsniveaus demonstrieren?

Welche Anforderungen ergeben sich aus dem neuen IT-Sicherheitsgesetz (ITSiG) für unsere Organisation?

Hackerangriff auf Stadtwerke Lübeck

Hacker verschaffen sich Zugriff auf interne Systeme (06‘2014)

Hacker kontrolliert Stadtwerke Ettlingen

Ein Hacker brauchte nur 2 Tage, um die Kontrolle über die Stadtwerke in Ettlingen zu übernehmen (04‘2014)

Massive Cyber-Angriffe auf simuliertes Wasserwerk

In 8 Monaten mehr als 60.000 (teilweise feindliche) Zugriffe auf Simulation (Honeypot) des TÜV Süd (07’2015)

Copyright © 2015 Capgemini Consulting. All rights reserved.

2

Organisation & Management

Intransparenz über Sicherheit

Uneinheitliche Steuerung für Büro- und Prozess-IT

Unklare Verant-wortlichkeiten

Fehlende Kompetenzen

Technisch

Zunehmende Komplexität/ Vernetzung

Heterogene IT-Systeme

Detektion von Vorfällen

Steuerung der Zulieferer

Regulatorisch

Unklare Regelungen

Wachsende Datenschutz-Anforderungen

Einbindung Hersteller in Definition von Standards

Die Umsetzung des IT-Sicherheitsgesetzes wird bei Wasserversorgern durch spezifische Herausforderungen erschwert

ZIELSETZUNG DES IT-SICHERHEITSGESETZES

HERAUSFORDERUNGEN IM WASSER-SEKTOR

Schutz der kritischen Infrastruktur (KRITIS) gegen Cyber-Attacken

Verbesserung des Sicherheitsniveaus von KRITIS-Betreibern in ausgewählten Sektoren, u.a. Wasser

Gemeinsame Verabschiedung von branchenspezifischen Mindeststandards

Einführung empfindlicher Strafen bei Verstößen

WOZU VERPFLICHTET DAS GESETZ?

Mindeststandards: Umsetzung Branchen-spezifischer Sicherheitsstandards

Meldepflicht: Detektion und Bewertung von Sicherheits-vorfällen sowie Meldung an das BSI

Audits: Regelmäßige Auditierung der Mindeststandards

Kontaktstelle: Einrichtung einer Schnittstelle zum BSI

Fristen: 2 Jahre nach Verordnung (vorauss. März 2018)

GESCHÄTZTER AUFWAND FÜR UMSETZUNG DES IT-SICHERHEITSGESETZES: 2 BIS 3 JAHRE (UMFRAGE, VERBAND

KOMMUNALER UNTERNEHMEN, 04‘15) – FANGEN SIE HEUTE AN, UM GESETZLICHE FRISTEN NICHT ZU VERSÄUMEN

Copyright © 2015 Capgemini Consulting. All rights reserved.

3

Capgemini‘s erprobter Ansatz KRITIS CYBERSECURITY HEALTHCHECK unterstützt Ihre Organisation bei der Erfüllung der Anforderungen aus dem IT-Sicherheitsgesetz

ZIELE – KRITIS HEALTHCHECK

Vorbereitung zur Erfüllung des IT-Sicherheitsgesetzes

Schaffung von Transparenz zu Ihrer Sicherheitssituation

Ableitung einer Strategie für den Aufbau einer pragmatischen Sicherheitsfunktion

Verbesserung des Schutzes Ihrer Informationen und Systeme (sowohl Büro- als auch Prozess-IT)

Sensibilisierung für Cyber-Risiken

VORGEHENSWEISE – KRITIS HEALTHCHECK

Capgemini‘s strukturierter und ganzheitlicher Ansatz :

Pragmatische Überprüfung des aktuellen Schutzniveaus Ihrer Informationen und IT-Systeme

Risikoorientierte Bewertung der identifizierten Schwachstellen und Risiken

Ableitung und Planung von priorisierten Handlungsempfehlungen

Man

age

me

nt &

Go

vern

ance

Int.

Org

aniz

atio

n &

Clie

nt

Applications & Operating System Network & Hardware

Q4 2014 2015 2016

Analyze data privacy organization

Design IS policy framework

Outline governance principles for data

Describe governance profiles and roles

Transform to new organization

Analysis business & IT requirements

Develop security architecture model

Design technical solutions

Build and customize designed solution

Test and deploy services

Conduct risk and stakeholder analysis

Perform survey to assess awareness level

Develop awareness concept

Design awareness objects

Define business continuity strategy

Develop decision structures

Develop organization plan

Implement awareness objects

Perform 2. survey to measure effectiveness

Define business impact analysis (BIA)

Conduct business impact analysis

Formulate SLAs

Define business continuity plans

Define business continuity plans

2-4 Wochen

Bewertung des Reifegrades der Organisation, Prozesse und Technologien

Benchmarking mit Wettbewerbern

Risiko-basierte Darstellung der Ergebnisse und Schwachstellen

Ableitung und Priorisierung von Maßnahmen

Definition einer Umsetzungsplanung zur Vorbereitung auf das ITSiG

Abstimmung mit relevanten Stakeholdern

Erhebung Ist-Situation Definition der Bewertungs-

Dimensionen Festlegung von

Bedrohungsszenarien Übersichtsdarstellung geschäfts-

kritischer Systeme/Informationen

Man

agem

ent &

Gov

erna

nce

Int.

Org

aniz

atio

n &

Clie

nt

Applications & Operating System Network & Hardware

Q4 2014 2015 2016

Analyze data privacy organization

Design IS policy framework

Outline governance principles for data

Describe governance profiles and roles

Transform to new organization

Analysis business & IT requirements

Develop security architecture model

Design technical solutions

Build and customize designed solution

Test and deploy services

Conduct risk and stakeholder analysis

Perform survey to assess awareness level

Develop awareness concept

Design awareness objects

Define business continuity strategy

Develop decision structures

Develop organization plan

Implement awareness objects

Perform 2. survey to measure effectiveness

Define business impact analysis (BIA)

Conduct business impact analysis

Formulate SLAs

Define business continuity plans

Define business continuity plans

“1.2 Governance Structure” is below peer group average (COMPANY: 2 vs. peers: 2.47). Recommendation: Definition of security steering committee with relevant stakeholders, direct report to top management

“1.4 IT Risk Management” is significantly below peer group average (COMPANY: 1 vs. peers: 2.45). Recommendation: Definition of processes, roles & responsibilities, regular assessments, mgmt of mitigation measures, reporting, definition of KRIs

“1.6 Audits” is below peer group average (COMPANY: 2 vs. peers: 2.91). Recommendation: Definition of data collection methods for auditor support, immediate response to findings by automated process

A

C

B

COMPANY lies in 6 out of 8 areas below the peer group

average in the domain “Strategy & Governance”

0

1

2

3

41.1 Strategy

1.2 Governance Structure

1.3 IT Compliance Management

1.4 IT Risk Management

1.5 BCM/DRM

1.6 Audits

1.7 Data Privacy

1.8 Security Incident Reporting

COMPANY Financial Services

Top Performer in Peer Group Total Average (All Participants)

A

BC

Low risk Medium risk High riskNo riskCapgemini’s high-level risk evaluation:Page 16

ECR & SCC 2025. GUIDING PRINCIPLES FOR THE TARGET PICTURE DEVELOPMENT.

BMW Strategy

Global & industry trends

INFLUENCERS & DRIVERS CONTROL CENTRE DESIGN PRINCIPLES

Focus on core

activities

Create synergies

Maintain quality & service

level

Pursue international

standardisation

Use state of the art

technology

Stay agile and ensure scalability (Modules)

Ensure cost efficiency

Meet regulatory

requirements

Control

Room

2025

P H A S E

REIFEGRADBEWERTUNG UMSETZUNGSPLANUNG IST-SITUATION & UMFANG

U M

S E

T Z

U N

G

A K T I V I T Ä T E N

Copyright © 2015 Capgemini Consulting. All rights reserved.

4

Unser strategischer Ansatz, ein erprobtes Vorgehen und jahrelange Erfahrung im Bereich Cybersecurity sind Gründe, aus denen sich Kunden für uns entschieden haben

WARUM CAPGEMINI?

Management-orientierte Analyseergebnisse

Strategischer Gesamtblick auf Ihre Organisation

Erprobtes Vorgehen mit standardisierten Fragebögen

Benchmark mit vergleichbaren Organisationen

Jahrelange Projekterfahrung im Bereich Cybersecurity

Kenntnisse relevanter Standards und der Wasserwirtschaft

Sicherheitsberatung aus einer Hand, weltweit 2500 Berater

PROJEKTREFERENZEN (AUSWAHL)

Capgemini Information Security Benchmark Studie

Analyse und Definition von Sicherheitsmaßnahmen für das Wasser-Management-System von Eau de Paris

Definition eines Sicherheitskonzepts für die Standorte der AREVA-Gruppe

Analyse und Neuausrichtung von Sicherheits- leitstellen und Energieleitwarten

CAPGEMINI‘S EXPERTISE IHR ANSPRECHPARTNER

DR. PAUL LOKUCIEJEWSKI Leiter Cybersecurity Consulting

Phone: +49 151 40 25 08 55 E-Mail: paul.lokuciejewski AT capgemini.com Transform to the power of digital

Information Security Benchmarking 2015

Information Security assessment of companies in Germany, Austria and Switzerland

May 2015

www.de.capgemini-consulting.com/cybersecurity

Copyright © 2015 Capgemini Consulting. All rights reserved.

5