18
IT-Sicherheit im KRITIS-Umfeld - notwendig und umsetzbar Hannover, im April 2014 Thomas Baier
IT-Sicherheit im KRITIS-Umfeld- notwendig und umsetzbar
Hannover, im April 2014
Thomas Baier
07.04.2014 IT-Sicherheit im KRITIS-Umfeld - notwendig und umsetzbar Seite 2
Premium IT-Sicherheit Made in Germany
Marktführer in Deutschland für innovative und hochwertige IT-Sicherheit
Erfahrung und Expertenwissen aus über 15 Jahren und über 5.000 namhaften, nationalen und internationalen Projekten über alle Branchen
Umfangreiches Beratungs- und Produktportfolio für nationale und internationale Kunden zum Schutz von Daten und Infrastrukturen
Nationale und internationale Kundenreferenzen aus Behörden, Sicherheitsorganisationen, Verteidigung sowie Großkonzernen und Mittelstand
07.04.2014 IT-Sicherheit im KRITIS-Umfeld - notwendig und umsetzbar Seite 3
Premium IT-Sicherheit Made in Germany
Langjährige und vertrauensvolle Partnerschaften
Enge Kooperationen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesministerium des Innern (BMI)
Sicherheitspartner der Bundesrepublik Deutschland seit 2004
Zusammenarbeit mit Einrichtungen für Forschung und Entwicklung
Partner der Allianz für Cyber-Sicherheit und Mitglied der TeleTrusT Initiative ITSMIG
Informationssicherheit
Security A
wareness
Web A
pplication Firew
all (WA
F)
Intrusion Detection System
Elektronische RechnungsstellungeG
overnment
Mobile Security
Kryptosystem
e
Public Key-Infrastruktur (PKI)
ISO
27001
Verschlüsselung
Cyber-Sicherheit
Kritische Infrastrukturen
Elektronische Signaturen
IT-G
rundschutz Audits und K
onzepte
Managed S
ecurity Services
SINA Workstation
Sicherheitskonzepte
SINA BusinessBook
Virtual P
rivate Netw
orks (VP
N)
Penetrationstests
E-H
ealth-Lösungen
ReCoBSMobile D
evice Managem
ent
Automotive Security
Biom
etrieC
ompliance
Netzw
erksicherheit
Sicher ins N
etz
Autom
atische Grenzkontrolle
E-Mail-Verschlüsselung
SIN
A M
anagementT
rust Center
ELSTER
ePassportA
PI
eID PKI Suite
secunet biomiddle
secunet konnektor
secunet KeyC
ore
Cloud S
icherheit
Sichere Authentifizierung
VS-Verarbeitung
Data Loss Prevention (DLP)
Identity & A
ccess Managem
ent
ISMS
Log-Managem
ent
Network Access Control (NAC)
secunet multisign
Single Sign-On
Social E
ngineering
Secure Communication Unit (SCU)
SIN
A O
ne Way
SIN
A T
erminal
SIN
A L2 B
oxSINA L3 Box
Common Criteria Beratung
eID Test Suite
Konformitätsprüfung
SOA
secunet GRT platinum edition
Application C
ontrol Unit (A
CU
)
secunet snort
Sichere elektronische Post
Sicherheitsprüfung
Separation Kernel
SINA Workflow
Pentests & Forensik
Financial S
ervices
secunet safe surfer
Smart Grid
secunet easygate
Industrie 4.0
Informations- und Telekommunikationstechnologie
eMobility
07.04.2014 IT-Sicherheit im KRITIS-Umfeld - notwendig und umsetzbar Seite 5
Technische Basisinfrastruktur in KRITIS
Energie
Elektrizität
Mineralöl
Gas
IKT
Telekommunikation
Informationstechnik
Transport und Verkehr
Luft-, Seeschiff-, und Binnenschifffahrt
Schienen- und Straßenverkehr
Logistik
Wasser
(Trink-)Wasserversorgung
Abwasserentsorgung
07.04.2014 IT-Sicherheit im KRITIS-Umfeld - notwendig und umsetzbar Seite 6
Messen, Regeln
und Steuern
in Prozess- und
Netzleittechnik
auf Basis IKT
Der Einfluss der IKT nimmt zu …
Elektrizität
Dezentrale volatile Energieerzeugung (EEG) und Lastmanagement erzwingt Smart Grid
Wasser
elektronische Steuerung der Pumpen / Schieber über Leitstellen
Schienenverkehr
elektronische Stellwerke
07.04.2014 IT-Sicherheit im KRITIS-Umfeld - notwendig und umsetzbar Seite 7
Leitstellen – gestern und morgen
■ Reine SCADA-Systeme■ Wenige Schnittstellen■ Keine / wenige Büro-IT■ Wenig Funktionalität■ Wenig Steuerungsfunktionalität■ Wenig Abhängigkeiten von Dritten
■ Erweiterte Funktionalität■ Viele Schnittstellen ■ IT-Systeme (DBMS, Applikationen, …)■ Büro-IT■ Kommunikation zu externen
Komponenten und Dritten
07.04.2014 IT-Sicherheit im KRITIS-Umfeld - notwendig und umsetzbar Seite 8
Prozess-IT ist anders als Büro-IT
� Hochverfügbarkeit
365 x 24
8
� Anlagen sind 5-20 Jahre im Betrieb
� Antwortzeit-Verhalten ist hoch kritisch
� Patch-Management sehr selten
� meist Standalone-Betrieb
� Systemänderungen sind sehr selten
07.04.2014 IT-Sicherheit im KRITIS-Umfeld - notwendig und umsetzbar Seite 9
Es muss nicht immer Schnee und Eis sein – Bedrohungen und Risiken
Stuxnet in der iranischen Anreicherungsanlage Natans, Iran
Sabotage, Zerstörung von einigen Zentrifugen in der Anreicherungsanlage
SQL Slammer im Atomkraftwerk von FirstEnergy in Ohio, USA
Überwachungssystem war für fast 5 Stunden außer Betrieb
DDoS-Angriffe gegen Web-Server EDF Frankreich und 50Hertz Deutschland
WebService war über mehrere Stunden nicht erreichbar
Smartmeter-Manipulation in Puerto Rico
Versorger schätzt Schäden auf bis zu 400 Millionen US-Dollar jährlich
07.04.2014 IT-Sicherheit im KRITIS-Umfeld - notwendig und umsetzbar Seite 10
IT-Sicherheitsmaßnahmen
Sichere Architektur und Einsatz aktueller Hochsicherheits-Technologien
Hohe Netzwerksicherheit
Fernwartung
Separierung
Isolation
Umfassende Gestaltung von Prozessen
Organisatorische Maßnahmen
Incident Response Management
Notfallmanagement
Informationsaustausch hinsichtlich Bedrohungen / Risiken / Maßnahmen (CERT etc.)
Akzeptanzbildende Maßnahmen: Aufklärung / Beratung / Training
Physikalische / Bauliche Sicherheit
Vertrauenswürdiges und fachkundiges Personal
Test, Audits und Zertifizierungen
07.04.2014 IT-Sicherheit im KRITIS-Umfeld - notwendig und umsetzbar Seite 11
Herausforderungen für Organisation und IT im KRITIS-Umfeld
KRITIS-Audit
EinführungISMS
SINA
Identity Management
Lösungen
■ Identity Management / User- und Berechtigungsmanagement■ Nutzung moderner / sicherer Kryptographie
■ Absicherung Fernwirktechnik■ Absicherung Fernzugänge■ Absicherung (Automatisierungs-) Netzwerke■ sichere Software Updates
■ Einführung ISMS einschl. Risikomanagement■ Erstellung von Sicherheitskonzepten
■ Regulatorische Anforderungen(z. B. UP-KRITIS, zuk. IT-Sicherheitsgesetz, EnWG, BDEW Whitepaper)
■ Feststellung des Sicherheitsniveaus (Haftung, Versicherung)
07.04.2014 IT-Sicherheit im KRITIS-Umfeld - notwendig und umsetzbar Seite 12
KRITIS-Audit: Feststellung des Sicherheitsniveaus
Beschreibung
■ Organisatorische und technische Analyse ■ branchenspezifischer Anforderungen und Handlungsempfehlungen (u. a. UP KRITIS, KRITIS
Standort-Check, ISO/IEC TR 27019:2013-07 bzw. DIN SPEC 27009:2012-04)■ gelenkte Interviews, Fragebögen und stichprobenartige Prüfung
Organisatorische Analyse
■ Organisation■ Informationssicherheit■ Physische Sicherheit (insbesondere Leitstellen, Technikräume und Außenstandorte, sonstige
Betriebseinrichtungen)■ IT-Service Management■ IT-Sicherheit■ Compliance
Technische Analyse
■ stichprobenartige Prüfung der Ergebnisse der organisatorischen Analyse ■ Begehung, Einsichtnahmen, Beobachtungen von Aktivitäten und Arbeitsabläufen
Ergebnis
■ Die Auswertung erfolgt in Form eines Berichtes unter Verwendung von Grafiken und enthält Maßnahmenvorschläge zur Verbesserung des Sicherheitsniveaus.
07.04.2014 IT-Sicherheit im KRITIS-Umfeld - notwendig und umsetzbar Seite 13
SINA: Sicherer Fern-Zugriff und Standortvernetzung
AnlageMobil / HeimarbeitLAN / Niederlassung
SINA Workstation SINA Terminal SINA Workstation
Prozess-IT-RZ Leitstelle
öffentliche/ private Netze
SINA Terminal
RTU-Daten SINA erfüllt
BSI-Anforderungen für Verschlusssachen
Anforderungen aus BDEW-Whitepaper
Anforderungen der Beispielrichtlinie KRITIS
07.04.2014 IT-Sicherheit im KRITIS-Umfeld - notwendig und umsetzbar Seite 14
SINA OneWay: Sicherer Austausch mit Automatisierungsnetzwerken
Features:
■ Unidirektionales Schwarz/Rot-Gateway
■ Hochsichere unidirektionale Datentransfers in eingestufte Netze
■ Automatische Fehlerkorrektur, Rückkanal nicht erforderlich
■ bis 100 MBit/s Datendurchsatz
■ Proxies für smtp, ftp, generisches udp und smb
■ FTP/FTPS/SFTP/SCP und CIFS/SMB Zugriff, SMTP
■ Windows Server Update Service (WSUS) / Anti Virus Signatur Update
WSUS Update
Vorteile:
■ Evaluierte und BSI zugelassene Hardware
■ Keine manipulierbare/hackbare Software
■ Kein Konfigurationsaufwand nach der Installation –geringer operativer Aufwand
■ Kein „Back Channel“ vorhanden, damit entfällt aufwendiges Labeling / Audit Trail
■ Keine menschlichen Konfigurationsfehler im Betrieb möglich
■ Kein „Back Channel“ trotzdem ist Fehlerkorrektur möglich - Reed Solomon Fehler-Korrektur Verfahren
Network Monitoring
07.04.2014 IT-Sicherheit im KRITIS-Umfeld - notwendig und umsetzbar Seite 15
IT-Sicherheit kommt nicht nur aus der Box
IT-Sicherheit besteht aus vielen Aspekten
Soft- und Hardware
Sichere Prozesse einschließlich Monitoring / Audit & Tests / Reporting / Eskalation
Sicherheits-Organisation
IT-Sicherheit lebt …
ständiger Prozess
Bedrohungen / Risiken, Schadensauswirkungen regelmäßig neu bewerten
ggf. neue / geänderte Maßnahmen zur Minimierung der Risiken bzw. Restrisiken akzeptabel zu halten
07.04.2014 IT-Sicherheit im KRITIS-Umfeld - notwendig und umsetzbar Seite 16
IT-Sicherheitsorganisation schaffen und sicheren Betrieb durchsetzen
ISMS Management
initial
Vorgaben definieren
Durchsetzung vonPolicies, Ziele und Strategie
zyklisch
Review
Genehmigung der Maßnahmen und Veränderungen
Bereitstellung der Ressourcen
Akzeptanz von Restrisiken
Unternehmensleitung
Sicherer
Betrieb
reaktiv (nach Ereignissen)
pro aktiv (Audits & Tests)
Prüfung und Verbesserung desSicherheitsmanagements
Reporting an das Management
Management Framework
PoliciesStandardsProzesse
Operational Management
Risiko-ManagementSicherer BetriebBusiness Continuity Mgmt.Ausbildung und AwarenessMonitoring und ReportingAudit und Review
DokumentationSicherheits-Monitoring
EreignisseISMS Verantwortliche
07.04.2014 IT-Sicherheit im KRITIS-Umfeld - notwendig und umsetzbar Seite 17
Fazit: Notwendigkeit für …
Beachtung von IT-Sicherheit im gesamten Lebenszyklus: Standardisierung, Planung, Implementierung, Integration, Betrieb, Außerbetriebnahme����
Einsatz von Sicherheitstechnologien und -prozessen zur Erfüllung eines (sehr) hohen Schutzbedarfs – KRITIS����
Nutzung von vertrauenswürdigen Standards zu IT-Sicherheit und Einsatz von vertrauenswürdigen (Hoch-)Sicherheits-Lösungen����
Umsetzung eines ISMS, Risikomanagements und eines Sicherheitskonzeptes für KRITIS-Unternehmen (auch für die Prozess-IT)����
