BBK. Gemeinsam handeln. Sicher leben.

Kritische Infrastrukturen und IT-Sicherheit 9. DFN-Forum Kommunikationstechnologien

Inhalt

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 |

• Bevölkerungsschutz und Kritische Infrastrukturen

• IT-Sicherheitslage

• IT und Kritische Infrastrukturen

• Initiativen und Maßnahmen

• Fazit

2

Bevölkerungsschutz

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 |

Quelle: BBK-Glossar, BBK 2011, S. 7

http://www.bbk.bund.de/SharedDocs/Downloads/BBK/DE/Publikationen/Praxis_Bevoelkerungsschutz/Band_8_Praxis_BS_BBK_Glossar.pdf?__blob=publicationFile

„Der Bevölkerungsschutz beschreibt als Oberbegriff alle Aufgaben und Maßnahmen der Kommunen und der Länder im Katastrophenschutz sowie des Bundes im Zivilschutz.

Anmerkung: Der Bevölkerungsschutz umfasst somit alle nichtpolizeilichen und nichtmilitärischen Maßnahmen zum Schutz der Bevölkerung und ihrer Lebensgrundlagen vor Katastrophen und anderen schweren Notlagen sowie vor den Auswirkungen von Kriegen und bewaffneten Konflikten. Der Bevölkerungsschutz umfasst auch Maßnahmen zur Ver-meidung, Begrenzung und Bewältigung der genannten Ereignisse.“

3

Bevölkerungsschutz und Kritische Infrastrukturen

Quelle: Schutzkonzepte Kritischer Infrastrukturen im Bevölkerungsschutz, BBK 2012, S. 30

http://www.bbk.bund.de/SharedDocs/Downloads/BBK/DE/Publikationen/Wissenschaftsforum/Bd_11_Schutzkonzepte_KRITIS.pdf?__blob=publicationFile

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 4

Kritische Infrastrukturen – Definition

Thorben Wengert / pixelio M. Großmann / pixelio Martin Berk / pixelio SiepmannH / pixelio Dieter Schütz / pixelio

Erich Westendarp / pixelio Gabi Schoenemann / pixelio Lupo / pixelio Siegfried Fries / pixelio

„Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, eine erhebliche Störung der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“

KRITIS-Strategie, BMI 2009

Seite 6 01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 |

Kritische Infrastrukturen: Sektoren und Branchen

Sektor Branche

Energie Elektrizität, Gas, Mineralöl

Informationstechnik und Telekommunikation

Telekommunikation, Informationstechnik

Transport und Verkehr Luft-, See-, Binnenschifffahrt, Schienen-, Straßenverkehr, Logistik

Gesundheit Medizinische Versorgung, Arzneimittel/ Impfstoffe, Labore

Wasser Öffentliche Wasserversorgung / Abwasserbeseitigung

Ernährung Ernährungswirtschaft, Lebensmittelhandel

Finanz- und Versicherungswesen

Banken, Börsen, Versicherungen, Finanzdienstleister

Staat und Verwaltung Regierung, Verwaltung, Parlament, Justizeinrichtungen, Notfall-/ Rettungswesen einschl. Katastrophenschutz

Medien und Kultur Rundfunk, gedruckte/elektronische Presse, Kulturgut, symbolträchtige Bauwerke

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 6

Kritische Infrastrukturen: Sektoren und Branchen

Sektor Branche

Energie Elektrizität, Gas, Mineralöl

Informationstechnik und Telekommunikation

Telekommunikation, Informationstechnik

Transport und Verkehr Luft-, See-, Binnenschifffahrt, Schienen-, Straßenverkehr, Logistik

Gesundheit Medizinische Versorgung, Arzneimittel/ Impfstoffe, Labore

Wasser Öffentliche Wasserversorgung / Abwasserbeseitigung

Ernährung Ernährungswirtschaft, Lebensmittelhandel

Finanz- und Versicherungswesen

Banken, Börsen, Versicherungen, Finanzdienstleister

Staat und Verwaltung Regierung, Verwaltung, Parlament, Justizeinrichtungen, Notfall-/ Rettungswesen einschl. Katastrophenschutz

Medien und Kultur Rundfunk, gedruckte/elektronische Presse, Kulturgut, symbolträchtige Bauwerke

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 7

Schutz KRITIS : All-Gefahren-Ansatz

Quelle: Nationale KRITIS-Strategie, BMI 2009; http://www.bmi.bund.de/cae/servlet/contentblob/598730/publicationFile/34416/kritis.pdf

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 8

Interdependenzen

Quelle: Schutzkonzepte Kritischer Infrastrukturen im Bevölkerungsschutz, BBK 2012, S. 30 www.bbk.bund.de/SharedDocs/Downloads/BBK/DE/Publikationen/Wissenschaftsforum/Bd_11_Schutzkonzepte_KRITIS.pdf?__blob=publicationFile

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 9

Quelle: Schutz Kritischer Infrastrukturen. Risiko- und Krisenmanagement, BMI 2011 (2. Auflage), S. 10 www.bbk.bund.de/SharedDocs/Downloads/BBK/DE/Publikationen/PublikationenKritis/Leitfaden_Schutz-Kritis.pdf?__blob=publicationFile

(Inter-) Dependenzen: Informationstechnik

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 |

NACH: Schutz Kritischer Infrastrukturen – Risiko- und Krisenmanagement, BMI 2011 (2. Auflage), S. 10 http://www.bbk.bund.de/SharedDocs/Downloads/BBK/DE/Publikationen/PublikationenKritis/Leitfaden_Schutz-Kritis.pdf?__blob=publicationFile

10

Vernetzung: Beispiel SCADA-Systeme

• SCADA (Supervisory Control And Data Acquisition)

• Typische KRITIS-Komponente: Prozesssteuerungssysteme

• Einsatz in der Energie-, Wasserversorgung, (Verkehrs)Leittechnik, …,

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 11

Vorteile: Nachteile

Personaleinsparung Erhöhung von Komplexität / Anfälligkeit, Möglichkeiten des Fernzugriffs

Kostenersparnis werksseitige Schwachstellen, Softwarefehler

Zentralisierung hohe Produktlebenszeiten

… …

Vernetzung: Trends der IT-Nutzung - auch in KRITIS

• Internet der Dinge

• Smart Grid, Smart Meter

• Smart City

• Industrie 4.0

• Cloud Services

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 |

E-Government-Gesetz

(August 2013)

12

IT-Sicherheitslage

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 13

Angriffsmethoden und -mittel

Aktionen in der Fläche:

• Spam (mit Schadsoftware)

• Drive-by-Exploits

Gezielte Aktionen:

• Distributed Denial-of-Service (DDoS)

• Social Engineering

• Spezialisierte Trojaner

• Zero-Day-Exploits

• Advanced Persistent Threat (APT)

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 |

Quelle: BSI, Die Lage der IT-Sicherheit in Deutschland 2015

14

Erhältlichkeit von Schadsoftware

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 |

• Plattformen im Darknet

• „Malware-as-a-service“

Kriminelle Ideen können leicht

in die Tat umgesetzt werden …

Trojaner-Baukasten mit Support:

15

Folgen

Aggressive Umgebung:

• Exploit-/Malware-Kits für Amateure

• Gleichzeitig hohe Professionalisierung

• Viele Akteure von Script Kiddies, über Hacker, Kriminelle bis hin zu Staaten

Eingriffe in Integrität, Authentizität und Verfügbarkeit:

• Verlust von Geld, Reputation

• Verfälschung von Daten, Falschmeldungen

• Ausfall von Services (DDoS bis APT)

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 |

© T

im R

eckm

ann

/ P

IXE

LIO

16

www.n-tv.de/politik/Nachrichtenagentur-meldet- Obama-Attentat-article10528591.html

Umfrageergebnisse zur Sicherheitslage

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 17

Quelle: Cyber-Sicherheits-Umfrage 2015 - Allianz für Cyber-Sicherheit / BSI www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/cybersicherheitslage/umfrage2015_ergebnisse.pdf?__blob=publicationFile&v=4

Umfrageergebnisse zur Sicherheitslage

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 18

Quelle: Cyber-Sicherheits-Umfrage 2015 - Allianz für Cyber-Sicherheit / BSI www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/cybersicherheitslage/umfrage2015_ergebnisse.pdf?__blob=publicationFile&v=4

IT und Kritische Infrastrukturen

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 19

Angriffsformen

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 |

• Verschleierung

• Mehrere Ziele gleichzeitig

• Attributionsproblematik

• Politischer Kontext

→ Wahrscheinlichkeit gering,

aber nicht unmöglich

• breite Streuung von Schadsoftware

• verschiedene Angriffsvektoren

• sehr heterogener Vorbereitungsstand

• breite Betroffenheit

alle können zum Ziel werden

Existenz von Gegenmaßnahmen

Gezielte Angriffe ungezielte Angriffe

20

Physische Gefahren

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 |

→ Auch physische Gefahren können für IT-Ausfälle sorgen (z.B. Wettergefahren, Brand, Hochwasser,…).

→ IT-Nutzung bedeutet neue Risikoelemente für den physischen Schutz (z.B. Computer, Server, Datenverbindungen,…).

→ Ein ganzheitlicher Ansatz im Risiko- und Krisenmanagement ist auch für Kritische Infrastrukturen essentiell!

21

http://hallespektrum.de/nachrichten/vermischtes/telefon-und-stift-polizeirechenzentrum-von-hochwasser-betroffen/49727/

http://www.wirsiegen.de/2016/02/brand-im- serverraum-der-kreispolizeibehoerde/150755/

IT-/ Cyber-Vorfälle im Hochschul- und Wissenschaftsbereich

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 22

• 2014: Spionageangriffe auf das Deutsche Zentrum für Luft- und Raumfahrt http://www.spiegel.de/netzwelt/web/dlr-mit-trojanern-von-geheimdienst-ausgespaeht-a-964099.html

• 2015: Informationen über Angriffe u.a. auf Max-Planck-Gesellschaft, DESY http://www.tagesspiegel.de/wissen/spionage-hacker-geheimdienste-deutsche-forschungseinrichtungen-werden-

ausgespaeht/11833948.html

• 2015/2015: wiederholte Cyber-Attacken auf die Universität Berkeley http://www.csmonitor.com/USA/Education/2016/0229/UC-Berkeley-breach-Universities-increasingly-targeted-in-

cyberattacks

• 2016: Krypto-Trojaner Locky in System des Fraunhofer-Instituts Bayreuth http://www.br.de/nachrichten/oberfranken/inhalt/

trojaner-locky-fraunhofer-institut-bayreuth-100.html

• 2016: Angriff auf die Universität Hamburg http://www.abendblatt.de/hamburg/article207021129/

Schwerer-Hackerangriff-auf-die-Uni-Hamburg.html

Angriffe auf das Gesundheitswesen - 2016

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 23

ww

w.r

p-o

nlin

e.d

e/n

rw/s

taed

te/n

euss

/neu

ss-c

om

pu

ter-

vi

rus-

legt

-das

-lu

kask

ran

ken

hau

s-la

hm

-aid

-1.5

7607

05

ww

w.w

orm

ser-

zeit

un

g.d

e/lo

kale

s/w

orm

s/n

ach

rich

ten

- w

orm

s/h

acke

ran

gri

ff-a

uf-

klin

iku

m-i

n-w

orm

s-ve

reit

elt-

si

cher

hei

tsso

ftw

are-

erke

nn

t-cy

ber

-att

acke

_166

4407

7.h

tm

www.t-online.de/regionales/id_76985444/it-angriffe-auf-krankenhaeuser-sind-wachsendes-problem.html

Umfrageergebnisse: Ransomware

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 24

Quelle: BSI, Ergebnisse der Umfrage zur Betroffenheit durch Ransomware, 04/2016 www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/ransomware-umfrage-2016-04.pdf?__blob=publicationFile&v=4

Herausforderungen und Maßnahmen

Bedrohungslage:

• Hohe Professionalisierung der Angreifer

• Steigende Anzahl von Schadprogrammen

• Jeder ist potentielles Ziel

Risiken:

• Steigende Vernetzung

• „Bring Your Own Device“

• Nutzung Standardsoftware / Standardprotokollen

Maßnahmen:

• IT-Sicherheit: Managementaufgabe

• gutes Patchmanagement

• gute Systemkonfiguration

• Segmentierung der Netze (Büroverwaltung, Steuerung)

• Mitarbeitersensibilisierung für IT-Sicherheit (Passwortschutz, Social Engineering)

• ganzheitlicher Ansatz: Schutz vor Elementarschäden, Einbrechern,…

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 25

Initiativen und Maßnahmen

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 26

Kooperationsplattformen

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 |

Daten:

• gegründet: 2007

• neue Organisationsstruktur seit 2013

• über 300 Unternehmen / Organisationen

Teilnehmer:

• KRITIS-Betreiber (gemäß Sektoreneinteilung)

• deren Fachverbände

• deren Aufsichtsbehörden

27

Kooperationsplattformen

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 |

Aktuelle Themen u.a.:

• Umsetzung IT-Sicherheitsgesetz (Standards, Audits, Meldewege)

• Anforderungen an Lieferanten bzgl. IT-Sicherheitsanforderungen

• Maßnahmen zur (ganzheitlichen) Krisenvorsorge einschließlich Krisenkommunikationssysteme

→ www.kritis.bund.de

• z.B. BAK Gesundheitsversorgung:

Mitgliedschaft verschiedener Uni-Kliniken

Informationsdrehscheibe für sektorspezifische Vorfälle

28

Quelle: UP KRITIS, Öffentlich-Private-Partnerschaft zum Schutz Kritischer Infrastrukturen, S. 25

Kooperationsplattformen

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 29

Kooperationsplattformen

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 30

IT-Sicherheitsgesetz

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 |

• Artikelgesetz

• Adressat: KRITIS-Betreiber in den Sektoren Energie, IKT, Transport, Wasser, Ernährung, Gesundheit, Finanz-/ Versicherungswesen

• Schwerpunktmaßnahmen:

• § 2: Definition Kritischer Infrastrukturen im Sinne des Gesetzes

• § 8a: Etablierung von Sicherheitsmaßnahmen, Nachweis der Umsetzung (z.B. durch Audits, Zertifizierung)

• § 8b: Benennung einer Kontaktstelle / Ansprechstelle, Meldeverpflichtung von Sicherheitsvorfällen

• § 10: Rechtsverordnung zur Bestimmung des Adressatenkreises

31

§ 10 IT-Sicherheitsgesetz: Wer?

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 32

§ 10 IT-Sicherheitsgesetz: Wer?

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 33

Quelle: BSI

§ 8a IT-Sicherheitsgesetz: Was?

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 34

Quelle: BSI

§ 8a IT-Sicherheitsgesetz: Was?

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 35

Quelle: BSI

§ 8a IT-Sicherheitsgesetz: Wie?

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 36

Quelle: BSI

§ 8a IT-Sicherheitsgesetz: Wie?

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 37

Quelle: BSI

§ 8b IT-Sicherheitsgesetz: Meldeverfahren

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 38

Quelle: BSI

§ 8b IT-Sicherheitsgesetz: Meldeverfahren

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 39

Quelle: BSI

§ 8b IT-Sicherheitsgesetz: Meldeverfahren

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 40

Quelle: BSI

§ 8b IT-Sicherheitsgesetz: Meldeverfahren

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 41

Quelle: BSI

Fazit

• IT als Herausforderung

• hoch dynamische Gefährdungslage

• sehr heterogenes Schutzniveau

• viele Ansätze zur Verbesserung:

• Risiken identifizieren, (geeignete) Maßnahmen umsetzen (IT-Grundschutz, Standards…)

• Vernetzung überdenken, Redundanzen einplanen

• Think big: Technik UND Organisation UND Mensch

• IT-SiG:

• Begrenzter Adressatenkreis (Betreiber KRITIS ab einer bestimmten Schwelle)

• aber: „good practice“ auch für Nicht-KRITIS-Betreiber

• Impuls für Sensibilisierungs- und Lernprozess

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 42

BBK. Gemeinsam handeln. Sicher leben.

Vielen Dank für Ihre Aufmerksamkeit!

Kontakt

Referat II.3 Strategie KRITIS, Cyber-Sicherheit KRITIS

Abteilung II Risikomanagement, internationale Angelegenheiten

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe

Provinzialstraße 93, 53127 Bonn

Tel.: 0228 99 550 0

Fax: 0228 99 10 550 1620

Email: BBK-Abteilung-II at bbk.bund.de

Internet: www.bbk.bund.de

01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 43