Post on 16-Aug-2020
transcript
Compliance Anforderungen an Betreiber von kritischen und nicht-kritischen Infrastrukturen 2.6.2016 – ZENOS Forum Hamburg
08.06.16 Folie 2
Referent
Dipl.-Math. Frank Schlottke
Verheiratet, zwei Kinder
Geschäftsführer Applied Security GmbH
08.06.16 Folie 3
Das Unternehmen
! Eigenes Produktportfolio und erfahrenes Consultingteam ! Sicherer Datenaustausch für Unternehmen und Organisationen ! Z.B. fideAS file enterprise Sharepoint Verschlüsselung ! Renommierter und langjähriger Kundenstamm ! IT-Security Made in Germany Hauptsitz in Großwallstadt (nahe Frankfurt/Main) 1998 gegründet 53 Mitarbeiter
apsec-FührenderAnbieterfürsicherenDatenaustausch
08.06.16 Folie 4
Agenda
GesetzlicheundregulatorischeGrundlagen• Wassindkri5scheInfrastrukturen?• Gesetzefüralle• Gesetzefürkri5scheInfrastrukturen
AnforderungenundAntworten• RegistrierungundIden5fika5on• Authen5sierung• Dokumenta5on
BeispielWebservicesundSAP• Wasistzutun?
Gesetzliche und regulatorische Grundlagen
08.06.16 Folie 6
Kritische Infrastrukturen
Definition des Bundesministerium des Inneren: „Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“
08.06.16 Folie 7
Wer ist kritische Infrastruktur?
Energie• Elektrizität• Gas• Mineralöl
Informa5onstechnikundTelekommunika5on• Telekommunika5on• Informa5onstechnik
TransportundVerkehr• LuMfahrt• Seeschifffahrt• Binnenschifffahrt• Schienenverkehr• Straßenverkehr• Logis5k
Gesundheit• MedizinischeVersorgung• ArzneimiPelundImpfstoffe• Labore
Wasser• ÖffentlicheWasserversorgung• ÖffentlicheAbwasserbesei5gung
Ernährung• ErnährungswirtschaM• LebensmiPelhandel
Finanz-undVersicherungswesen• Banken• Börsen• Versicherungen• Finanzdienstleister
StaatundVerwaltung•RegierungundVerwaltung• Parlament• Jus5zeinrichtungen• NoVall-/RePungsweseneinschließlichKatastrophenschutz
MedienundKultur• Rundfunk(FernsehenundRadio),gedruckteundelektronischePresse• Kulturgut• symbolträch5geBauwerke
08.06.16 Folie 8
Gesetzliche und regulatorische Grundlagen
AllgemeineVorschriMen• §9BDSG–SicherheitsmaßnahmenfürpersonenbezogeneDaten
• §87TKG–ErbringergeschäMsmäßigerKommunika5onsdienstemitoderohneGewinnerzielungsabsicht
• §203StGB–Betriebs-oderGeschäMsgeheimnisse
08.06.16 Folie 9
Gesetzliche und regulatorische Grundlagen
AllgemeineHaMung• VertragshaMung–SchädendurchIT-bedingteNicht-ErfüllungeinesVertrages
• DelikthaMung-§§823ff.BGB:VorsätzlicheoderfahrlässigeVerstößegegenSchutzrechte,Schadensersatz
08.06.16 Folie 10
Gesetzliche und regulatorische Grundlagen
PersönlicheHaMung• §43GmbH-Gesetz–SorgfalteinesordentlichenKaufmanns
• §93AktG–SorgfalteinesordentlichenundgewissenhaMenGeschäMsleiters
• §91Abs.2AktG–Erkennungvon„FortbestandderGesellschaMgefährdendeEntwicklungen“,EinrichtungÜberwachungssystem
• Maßstab:„StandderTechnik“inderBranche
08.06.16 Folie 11
Branchenanforderungen
MA Risk (Mindestanforderung an das Risikomanagement) der BAFin §3. „…Die Geschäftsleiter werden dieser Verantwortung nur gerecht,
wenn sie die Risiken beurteilen können und die erforderlichen Maßnahmen zu ihrer Begrenzung treffen…“
§7.3: „…Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept)…“
§4.3: „…In jedem Institut sind entsprechend Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten Regelungen zur Aufbau- und Ablauforganisation zu treffen, Risikosteuerungs- und -controllingprozesse einzurichten und eine Risikocontrolling-Funktion und eine Compliance-Funktion zu
implementieren….“
08.06.16 Folie 12
Energieversorger
§11 EnWG: „...Der Betrieb eines sicheren Energieversorgungsnetzes umfasst insbesondere auch einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind…“ BNetzA legte dazu einen IT-Sicherheitskatalog vor Zertifiziertes ISMS zum 01.02.2018 Netzstrukturplan Ansprechpartner für Sicherheit gegenüber der BNetzA Kritische Infrastrukturen: zusätzliche Meldepflichten
Anforderungen und Antworten
08.06.16 Folie 14
Anforderungen
AngemesseneSicherheit
InternesKontrollsystem
SicherheitalsManagementaufgabe
VerschlüsselungundAuthen5sierungalsMiPelderWahl
StateoftheartTechnologiemuss
zumEinsatzkommenStandardsnutzen
08.06.16 Folie 15
Zum Beispiel Authentisierung
UserIDundPasswort
UserIDundEinmalpasswort
UserIDundToken
Fingerabdruck Facebook-LoginSmartcardwiez.B.eGKmitPasswort
08.06.16 Folie 16
Zum Beispiel Registrierung
UserID und Passwort immer gleichwertig? Per Angabe einer Emailadresse Per EinmalPIN auf Brief an hinterlegte Adresse Per Ausweisen mit Personalausweis und persönlichem Erscheinen Zur Beurteilung der Sicherheit ist es wichtig, den Gesamtprozess
zu betrachten
08.06.16 Folie 17
Zum Beispiel Klare Reports
08.06.16 Folie 18
Werbeblock: SecuriCAD
Webservices und SAP Quelle: http://de.slideshare.net/SAPTechnology/sap-singlesignon2-0overview
08.06.16 Folie 20
Auslöser Single-Sign-On (SSO)
SSOfürSAPundnon-SAPAnwendungen
SichereNetzwerkkommunika5on
SSOfürCloudbasierteAnwendungen
Standardbasiert(X.509,SAML,…)
08.06.16 Folie 21
SAP Business Suite
SSO basierend auf Kerberos/SPNEGO
SPNEGO nur für neuere SAP Netweaver Releases
Token: Kerberos
Verwendet auch in Active Directory
SAP/WebClient
SAPBusiness
SAPNet-Weaver
08.06.16 Folie 22
SAP und Non-SAP Anwendungen
SSO basierend auf X.509-Zertifikaten
MS AD, LDAP, andere Login-Module
Token: X.509-Zertifkat
SAP/WebClient
SAPBusiness
SAPNet-Weaver
Non-SAPLegacySystems
08.06.16 Folie 23
Cloud und Firmenübergreifend
SSO und Identity Federation basierend auf SAML SAML = Security Assertion Markup Language
MS AD, LDAP, andere Login-Module Token: SAML
Empfohlen von SAP für Extranet oder Partnerszenarien
WebClient
CloudAppl.
(Non)-SAPWebAppl.
WebClient
08.06.16 Folie 24
Was wird benötigt?
Secure Login Client
Secure Login Server SAP NetWeaver Java
X.509-Zertuifikate für User und Server
Secure Login Library Kryptographie und Sicherheitsbibliothek
Identity Provider Zentraler Dienst auf SAP NetWeaver Java Stellt SAML 2.0 Assertions für webbasierendes SSO
08.06.16 Folie 25
Quelle:hPps://wiki.scn.sap.com/wiki/display/Security/Single+Sign-On+with+SAML+2.0+and+ABAP+Systems+Suppor5ng+SAP+Logon+Tickets
Beispielkonfiguration
08.06.16 Folie 26
Fragen und Antworten
Frank Schlottke Applied Security GmbH Einsteinstr. 2a 63811 Großwallstadt www.apsec.de, frank.schlottke@apsec.de
+49-6022-26338-0