Transcript
Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015
Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen wissen? © ABB Group September 24, 2015 | Slide 1
Im Dschungel der IT-Sicherheitsrichtlinien Über den Drucker ins Unternehmensnetzwerk Der Angreifer schickt ein mit Malware sowie einem auf den Drucker abgestimmten Exploit präpariertes Dokument per E-Mail an Mitarbeiter im auszuspähenden Unternehmen Beim Ausdrucken des Dokuments kommt es dann zur Infektion; diese Art des Angriffs ist schon seit mehreren Jahren bekannt In den wenigsten Unternehmen wurden jedoch Firmware-Updates auf Druckern installiert, so dass sich in der Praxis reichlich verwundbare Geräte finden lassen
HP LaserJet P2055
Ist die Malware aktiv, baut sie einen Tunnel zu einem Server auf und erwartet von dort weitere Kommandos Da der Drucker ein vollwertiges Betriebssystem mitbringt, kann der Angreifer das Netzwerk scannen
© ABB Group September 24, 2015 | Slide 2
Im Dschungel der IT-Sicherheitsrichtlinien Aufdeckungen von Schwachstellen in Leitsystemen 300
240
250
223
200
180
172
150 98 100
50 7
7
2005
2006
43
31
28
2008
2009
17
0 2007
2010
2011
2012
2013
Quelle: https://scadahacker.com/resources.html (Stand: 25. Juni 2015) © ABB Group September 24, 2015 | Slide 3
2014
2015
Im Dschungel der IT-Sicherheitsrichtlinien Regulatorischer Rahmen in Deutschland IT-Sicherheitsgesetz (25. Juli 2015) Zielgruppe: Betreiber kritischer Infrastrukturen Ausstehende Rechtsverordnung, die kritische Infrastrukturen anhand von branchenspezifischen Schwellenwerten definiert
IT-Sicherheitskatalog gemäß EnWG (12. August 2015) Zielgruppe: Betreiber von Strom- und Gasnetzen (unabhängig von der Größe oder Anzahl der angeschlossenen Kunden) Mindeststandard zum Schutz von TK- und EDV-Systemen, die für einen sicheren Netzbetrieb notwendig sind Wichtige Umsetzungsfristen Benennung einer Kontaktperson für die BNetzA bis zum 30. November 2015 Vorlage des ISMS-Zertifikates (gemäß Katalog) bis zum 31. Januar 2018 © ABB Group September 24, 2015 | Slide 4
Im Dschungel der IT-Sicherheitsrichtlinien Relevante Normen für Energieversorgungsunternehmen IT-Sicherheitsgesetz
Gesetzliche Grundlagen
KonTraG § 91
ICS Security Kompendium
EnWG § 11 (vom BMWi)
IT-Sicherheitskatalog (Netze)
BSI-Gesetz (vom BMI)
BDEW Whitepaper
Maßnahmen DIN ISO/IEC 27001
Zertifizierung
© ABB Group September 24, 2015 | Slide 5
ITGrundschutz
DIN ISO/IEC 27001
DIN ISO/IEC 27002
DIN ISO/IEC TR 27019
Im Dschungel der IT-Sicherheitsrichtlinien Weitere Normen für Energieversorgungsunternehmen DIN EN 50518 … Anforderungen an die Planung, Ausführung und Gerätefunktionen für Alarmempfangsstellen in Europa
IEC 62443 … grundlegende Sicherheitsstandards für industrielle Automatisierungsumgebungen und Kontrollsysteme
IEC 62351 … technischer Standard zur Definition einer sicheren Kommunikation in Netzführungssysteme
BSI-CC-PP-0073 … Schutzprofil für die Kommunikationseinheit eines intelligenten Messsystems (Smart Meter Gateway) © ABB Group September 24, 2015 | Slide 6
Im Dschungel der IT-Sicherheitsrichtlinien Neuerungen im BSI-Gesetz BSIG
Verpflichtungen für Betreiber kritischer Infrastrukturen (gemäß BSI-Gesetz § 8a bis 8b) Umsetzung von angemessenen organisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen
EnWG
Nachweis der Einhaltung von branchenspezifischen Normen durch Sicherheitsaudits, Prüfungen oder Zertifizierungen Ernennung einer Kontaktperson für das BSI
IT-SK
Anonymisierte Meldung von Störungen – Ausnahme: Ausfall bzw. Beeinträchtigung der kritischen Infrastruktur
Keine Anwendung von § 8a auf Betreiber von Energieversorgungsnetzen und -anlagen im Sinne des EnWG Bußgelder von bis zu 100.000,- € bei vorsätzlichen oder fahrlässigen Verstößen
© ABB Group September 24, 2015 | Slide 7
Im Dschungel der IT-Sicherheitsrichtlinien Neuerungen im Energiewirtschaftsgesetz BSIG
EnWG
Schutz von Telekommunikations- und EDV-Systemen, die für einen sicheren Netzbetrieb notwendig sind (EnWG § 11 Abs. 1a) Kein Spielraum mehr beim Nachweis eines angemessenen Schutzes, da der IT-Sicherheitskatalog als Mindeststandard einzuhalten ist Einführung des Abs. 1b für Betreiber von Energieanlagen
IT-SK
Schutz von Telekommunikations- und EDV-Systemen, die für einen sicheren Anlagenbetrieb notwendig sind Ähnliche Anforderungen wie für Betreiber von Energieversorgungsnetzen, jedoch separater Katalog
Einführung des Abs. 1c für die (anonymisierte) Meldung von erheblichen Störungen
© ABB Group September 24, 2015 | Slide 8
Im Dschungel der IT-Sicherheitsrichtlinien Kernforderungen des IT-Sicherheitskatalogs (Netze) BSIG
Einführung eines ISMS (InformationssicherheitsManagementsystem) gemäß DIN ISO/IEC 27001 Zertifizierung des ISMS durch eine unabhängige und hierfür akkreditierte Stelle sowie eine Re-Zertifizierung
EnWG
Nennung eines Ansprechpartners an die Bundesnetzagentur
ACT
PLAN
CHECK
DO
Umsetzungsstand der Anforderungen IT-SK
Aufgetretene Sicherheitsvorfälle sowie Art und Umfang der hierdurch hervorgerufenen Auswirkungen Ursache aufgetretener Sicherheitsvorfälle sowie Maßnahmen zu deren Behebung und zukünftigen Vermeidung
© ABB Group September 24, 2015 | Slide 9
Im Dschungel der IT-Sicherheitsrichtlinien Auf dem Weg zur Zertifizierung Zertifizierung Wir unterstützen Betreiber von kritischen Infrastrukturen durch gehärtete Produkte, geschützte Systeme und zuverlässige Dienstleistungen in den Bereichen Netzleittechnik, Stationsleittechnik, Kommunikationstechnik und Fernwirktechnik.
Betroffenheit des Betreibers © ABB Group September 24, 2015 | Slide 10
1
5 4 3 2
Systemzustand erfassen
Regelkonformität kontrollieren
System proaktiv schützen
Systemzustand überwachen
System aktiv schützen
Im Dschungel der IT-Sicherheitsrichtlinien Ansprechpartner bei Fragen Peter Piwecki
[email protected]
[email protected]
+49 621 381 3471
+49 621 381 3670
+49 172 633 1151 (mobil)
+49 170 791 7552 (mobil)
Kai-Uwe Böhm
[email protected] +49 621 381 8267 +49 172 626 8246 (mobil)
© ABB Group September 24, 2015 | Slide 11
Robert Grey
© ABB Group 24. September 2015 | Slide 12
