Peter Piwecki und Robert Grey, Webinar, 17. Februar … · Im Dschungel der...

Im Dschungel der IT-SicherheitsrichtlinienWas sollten Energieversorgungs-unternehmen wissen?

Peter Piwecki und Robert Grey, Webinar, 17. Februar 2015

© ABB GroupFebruary 17, 2015 | Slide 1

Im Dschungel der IT-SicherheitsrichtlinienAgenda


§ Aktueller Lagebericht zurIT-Sicherheit in Deutschland

§ Kernforderungen des neuenIT-Sicherheitsgesetzes

§ Zusammenhang zu anderenIT-Sicherheitsrichtlinien

§ Auswirkungen auf Energie-versorgungsunternehmen

§ Vorgehensweise bei derUmsetzung von Maßnahmen

Im Dschungel der IT-SicherheitsrichtlinienTop 5 Bedrohungen auf ICS (gemäß BSI-Bericht)


11 Infektion mit Schadsoftware überInternet und Intranet (2 und 3)

22 Einschleusen von Schadsoftwareüber Wechseldatenträger (6)

33 Social Engineering (neu)

44 Menschliches Fehlverhalten undSabotage (5)

55 Einbruch über Fernwartungs-zugänge (1)

Quelle: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_downloads/techniker/hardware/BSI-CS_005.pdf

Platzierung aus demJahr 2012 in Klammern.

HP LaserJet P2055

Im Dschungel der IT-SicherheitsrichtlinienÜber den Drucker ins Unternehmensnetzwerk


§ Der Angreifer schickt ein mit Malware sowie einem auf denDrucker abgestimmten Exploit präpariertes Dokument perE-Mail an Mitarbeiter im auszuspähenden Unternehmen

§ Beim Ausdrucken des Dokumentskommt es dann zur Infektion;diese Art des Angriffs ist schonseit mehreren Jahren bekannt

§ In den wenigsten Unternehmenwurden jedoch Firmware-Updatesauf Druckern installiert, so dass sichin der Praxis reichlich verwundbareGeräte finden lassen

§ Ist die Malware aktiv, baut sie einen Tunnel zu einem Serverauf und erwartet von dort weitere Kommandos

§ Da der Drucker ein vollwertiges Betriebssystem mitbringt,kann der Angreifer das Netzwerk scannen

Zertifizierung

Maßnahmen

GesetzlicheGrundlagen

Im Dschungel der IT-SicherheitsrichtlinienRelevante Normen für Energieversorgungsunternehmen


DIN ISO/IEC27002

DIN SPEC27009

EnWG § 11vom BMWi

DIN ISO/IEC27001

IT-Grundschutz

BDEWWhitepaper

BSI-Gesetzvom BMIKonTraG § 91

IT-Sicherheitskatalog(Netze)

ICS SecurityKompendium

DIN ISO/IEC27001

IT-Sicherheitsgesetz

Im Dschungel der IT-SicherheitsrichtlinienBSI als zentrale Informationssicherheitsbehörde


§ Entwicklung des BSI (unter dem Dach des BMI) hin zureiner nationalen Informationssicherheitsbehörde miterweiterten Aufgaben und Rechten:§ Zentrale Anlaufstelle für IT-Sicherheit in Deutschland und für

die Zusammenarbeit mit ausländischen Sicherheitsbehörden

§ Sammlung und Auswertung von Informationen überSicherheitsrisiken und Sicherheitsvorkehrungen

§ Unverzügliche Warnung von Betreibern Kritischer Infra-strukturen, Aufsichtsbehörden des Bundes und der Länder

§ Verbindliche Bestimmung von Kritischen Infrastrukturendurch eine Rechtsverordnung des BMI im Einver-nehmen mit anderen Bundesministerien (gemäß § 10Abs. 1 BSI-Gesetz)

Quelle: http://www.bmi.bund.de/SharedDocs/Downloads/DE/Nachrichten/Kurzmeldungen/entwurf-it-sicherheitsgesetz.pdf

BSIG

EnWG

IT-SK

Im Dschungel der IT-SicherheitsrichtlinienSchutz von Kritischen Infrastrukturen



§ Verpflichtungen für Betreiber von KritischenInfrastrukturen (gemäß § 8a bis 8b BSI-Gesetz):§ Umsetzung von angemessenen organisatorischen und

technischen Vorkehrungen zur Vermeidung von Störungen;spätestens 2 Jahre nach Inkrafttreten der Rechtsverordnung

§ Nachweis der Einhaltung von branchenspezifischen Normendurch Sicherheitsaudits, Prüfungen oder Zertifizierungen

§ Ernennung einer Kontaktperson für das BSI; spätestens 6Monate nach Inkrafttreten der Rechtsverordnung

§ Pseudonymisierte Meldung von erheblichen Störungen(= eingeschränkte Funktionsfähigkeit oder Funktionsverlust)

§ Keine Anwendung von § 8a bis 8b auf Kleinstunterneh-men sowie auf Betreiber von Energieversorgungsnetzenund Energieanlagen im Sinne des EnWG

BSIG

EnWG

IT-SK

Im Dschungel der IT-SicherheitsrichtlinienSchutz von Energieversorgungsnetzen und -anlagen



BSIG

EnWG

IT-SK

§ Schutz von Telekommunikations- und EDV-Systemen,die für einen sicheren Netzbetrieb notwendig sind(§ 11 Abs. 1a EnWG)

§ Kein Spielraum mehr beim Nachweis eines ange-messenen Schutzes, da der IT-Sicherheitskatalogals Mindeststandard einzuhalten ist

§ Einführung des Abs. 1b für Betreiber von Energieanlagen:§ Ähnliche Anforderungen wie für Betreiber von Energiever-

sorgungsnetzen, jedoch ein separater Katalog

§ Umsetzung innerhalb von 2 Jahren nach Inkrafttreten derRechtsverordnung

§ Einführung des Abs. 1c für die pseudonymisierte Meldungvon erheblichen Störungen

Im Dschungel der IT-SicherheitsrichtlinienKernforderungen des IT-Sicherheitskatalogs (Netze)


§ Einführung eines ISMS (Informationssicherheits-Managementsystem) gemäß DIN ISO/IEC 27001

§ Zertifizierung des ISMS durch eine unabhängige undhierfür akkreditierte Stelle sowie eine Re-Zertifizierungalle 3 Jahre

§ Ernennung eines IT-Sicherheitsbeauftragten alsAnsprechpartner für die Bundesnetzagentur innerhalbvon 2 Monaten nach Veröffentlichung

§ Umsetzung des IT-Sicherheitskatalogs unabhängig vonder Größe oder der Anzahl der angeschlossenen Kundendes Netzbetreibers innerhalb von 12 Monaten nachVeröffentlichung

BSIG

EnWG

IT-SK

Im Dschungel der IT-SicherheitsrichtlinienSicherheitskategorien im IT-Sicherheitskatalog (Netze)


Kategorien im IT-Sicherheitskatalog(Entwurf vom Dezember 2013)

DIN ISO/IEC 27002(Stand 2008)

DIN SPEC 27009(Stand 2012)

I Sicherheitsleitlinie 5

II Organisation der Informationssicherheit 6 6.1.6, 6.1.7, 6.2.1, 6.2.2, 6.2.3

III Management von organisationseigenen Werten 7 7.1.1, 7.1.2, 7.2.1

IV Personalsicherheit 8 8.1.1, 8.1.2, 8.1.3

V Physische und umgebungsbezogene Sicherheit 9 9.1.1, 9.1.2, 9.1.7, 9.1.8, 9.1.9, 9.2.1,9.2.2, 9.2.3

VI Betriebs- und Kommunikationsmanagement 10 10.1.1, 10.1.4, 10.4.1, 10.4.2, 10.6.3,10.10.1, 10.10.6, 10.11, 10.12

VII Zugangskontrolle 11 11.1.1, 11.3.1, 11.4.5, 11.4.8, 11.5.2,11.5.5

VIII Beschaffung, Entwicklung und Wartungvon Informationssystemen 12 12.1.1, 12.4.1

IX Umgang mit Informationssicherheitsvorfällen 13

X Sicherstellung des Geschäftsbetriebes 14 14.1.1, 14.2

XI Einhaltung von Vorgaben (Compliance) 15 15.1.1

Im Dschungel der IT-SicherheitsrichtlinienBeispiel: Zugangskontrolle (DIN SPEC 27009)


§ 11 Zugangskontrolle§ …§ 11.3 Benutzerverantwortung

§ 11.3.1 Passwortverwendung

Umsetzungsrichtlinie für die Energieversorgung§ Im Prozesssteuerungsumfeld ist es nicht immer möglich, die Nutzung von sicheren

Passwörtern zu gewährleisten, z.B.:§ Altsysteme erlauben oftmals keine individuellen Passwörter bzw. Passwörter

mit einer ausreichenden Stärke.§ Systeme, die in dezentralen Anlagen, wie z.B. Stationen oder in der

dezentralen Erzeugung betrieben werden, können häufig nicht an zentraleVerzeichnisdienste angebunden werden, sodass lokale Konten undPasswörter verwendet werden müssen. Hierdurch sind regelmäßigePasswortänderungen in der Regel nicht praktikabel.

§ Daher sollte für die Anwender klar herausgestellt werden, wann die allgemeinePasswortrichtlinie angewandt wird und wo abweichende Passwörter zu verwenden sind.

§ Gerade wenn ein System nur ein Passwort für allgemeine Zugriffe besitzt, sollte dasPasswort so sicher wie möglich gewählt werden. Speziell die Standardpasswörter derHersteller sollten als unsicher und bekannt betrachtet werden. Der Zugriff auf dasPasswort sollte nur für die Personen möglich sein, die in den Betrieb des Systemsinvolviert sind.

Im Dschungel der IT-SicherheitsrichtlinienSchritte zum nachhaltigen Systemschutz


Systemzustanderfassen


1Komponenten

verbessernKomponenten

verbessern

2

Systemüberwachen

Systemüberwachen

3

System proaktivschützen


4

Regelkonformitätkontrollieren


5

Zertifizierung

Betroffenheitdes Betreibers

Vorgehensweise bei der Umsetzungvon Maßnahmen:1. Unterstützung des Managements sichern2. Netzstrukturplan erstellen3. Schutzbedarf ermitteln4. Risiken erfassen und bewerten5. Maßnahmen erarbeiten6. Kosten und Aufwand abschätzen7. Maßnahmen priorisieren8. Verantwortlichkeiten festlegen9. Umsetzung überwachen





1

§ Eine Momentaufnahme des Systems unter folgendenSicherheitsaspekten:§ Physikalische Sicherheit

§ Prozesse und Verantwortlichkeitsbereiche

§ Organisation und Mitarbeiter

§ Zugangsmanagement (z.B. für Wartungsarbeiten)

§ Firewalls und Netzwerkarchitektur

§ Konfiguration von Servern und Workstations

§ Software- und Hardware-Updates (Patch-Management)

§ Antivirus-Software

§ Dokumentation



Komponentenverbessern

Komponentenverbessern

2

§ Abgeleitet aus der Momentaufnahme bzw. aus deraktuellen Dokumentation werden Maßnahmen füreine sichere Infrastruktur umgesetzt, z.B.:§ Einführung eines Zonenmodells nach dem

Defence-in-Depth-Prinzip

§ Implementierung von Firewalls zwischen den Zonen

§ Sicherstellung eines personifizierten Fernzugriffs

§ Nutzung sicherer Netzwerkprotokolle (z.B. SSHanstatt Telnet)

§ Aktivierung von Log-Mechanismen

§ Ernennung eines IT-Sicherheitsbeauftragten

§ Erstellung einer Backup-Strategie



§ Automatisierte Systemüberwachung undProtokollierung an einer zentralen Stelle:§ Hostüberwachung:

§ Ereignis-Logs, Prozesse, Ressourcen, …

§ Server und Workstations

§ Geräteüberwachung:§ Ping, SNMP, Syslog, …

§ RTUs, Switche und Router

§ Netzwerküberwachung:§ TCP/IP-basierte Kommunikationsprotokolle (z.B. IEC

60870-5-104, IEC 61850, DNP 3.0, Modbus, ICCP)

§ Überwachung innerhalb eines LAN-Segments

Systemüberwachen

Systemüberwachen

3



§ Systemschutz umfasst folgendes:§ Zugangsmanagement

§ Antiviren-Software (für Windows)

§ Whitelisting nach dem Need-to-Know-Prinzip

§ Patchmanagement: Security-Updates für Applikationen,Betriebssysteme und Third-Party-Produkte

§ Regelmäßige Durchführung von Awareness-Schulungen für die Mitarbeiter (z.B. einmal pro Jahr)



4





5

§ Das Sicherheitsmanagementsystem beinhaltet:§ Einhaltung von Regelwerken:

§ BDEW Whitepaper, DIN ISO/IEC 27002, DIN SPEC27009, IT-Grundschutz, ICS Security Kompendium

§ Unternehmenseigene Sicherheitsrichtlinien

§ Asset-Management für Systemkomponenten:§ Erfassung und Verwaltung relevanter Komponenten

§ Beschaffung, Inbetriebnahme und Service

§ Change-Management:§ Rückverfolgbarkeit von Software-Änderungen (z.B.

Konfiguration bei Betriebssystemen und Applikationen)

§ Systemwiederherstellung (Backup- und Recovery-Konzept)

Im Dschungel der IT-SicherheitsrichtlinienABB, Ihr Partner auf dem Weg zur Zertifizierung


Portfolio von ABB:§ Security-Assessment (Fingerprint) und Workshop§ Sichere Netzwerk- und Gerätekonfiguration§ Patch-Management (u.a. für Windows)§ Antiviren- und Whitelisting-Software§ Lösung für Sicherheitsinformations- und

Ereignis-Management (SIEM)§ Managed-Services für Asset- und

Compliance-Management§ Backup- und Recovery-Support§ Awareness-Schulungen



1Komponenten

verbessernKomponenten

verbessern

2

Systemüberwachen

Systemüberwachen

3



4



5

Zertifizierung

Betroffenheitdes Betreibers


Im Dschungel der IT-SicherheitsrichtlinienAnsprechpartner bei Fragen

Peter [email protected]

+49 621 381 3471

+49 172 633 1151 (mobil)

Robert [email protected]

+49 621 381 3670

+49 170 791 7552 (mobil)

Kai-Uwe Bö[email protected]

+49 621 381 8267

+49 172 626 8246 (mobil)

Peter Piwecki und Robert Grey, Webinar, 17. Februar … · Im Dschungel der...

Documents

Transcript of Peter Piwecki und Robert Grey, Webinar, 17. Februar … · Im Dschungel der...