Auswirkungen des IT Sicherheitsgesetztes

Eine Übersicht über die Historie

bis zur Frage der Zertifizierung

Thomas Klein, Dipl. Ing. Management Berater System Management und ITIL Projekte Projekt Management und Organisation

Von 2009 bis 2015 Projekt Leiter bei der Rheinbahn AG in Düsseldorf Neubau des Rheinbahn Rechenzentrum und Leiter des Infrastruktur RZs Migration von Prozessrechnersystemen in das RZ Neubau der Leitstelle im Neubau der Verwaltung Einführung und Ausschreibung Betriebshof Management System

Geschäftsführer der VisIT Consulting

Seite 2

VisIT Consulting VisIT Consulting Software Implementierung und Wartung im Großrechnerbereich bei europäischen Banken System Management und ITIL Projekte

Seit Juli 2015 RZ Planung - Erweiterungen, Umzüge und Neubau RZ Betriebskonzepte und RZ Notfallplanung Anforderungen aus dem IT Sicherheitsgesetz, BSI Grundschutz HOAI Planung von nachrichtentechnischen Systemen Kleines IT und Beratungsteam mit Partnern im In- und Ausland

Seite 3

Die Entstehung und Entwicklung in der EU Verabschiedung des Wirtschaftsprogramm Europa 2020 im Juni 2010 Kernziele Bekämpfung von Armut und sozialer Ausgrenzung Bildung Forschung und Entwicklung Beschäftigung Klimawandel und nachhaltiges Energiewirtschaften

Umsetzung mittels Grundsatzinitiativen Digitale Agenda im Rahmen der EU Cybersecurity Strategy (Feb. 2013) Ziel eine offene, sichere und gesichertes Internet (Cyberspace) Entwicklung der NIS Initiative (Network and Information Security Directive) Seite 4

Die Entstehung und Entwicklung in der EU EU NIS Initiative (Network and Information Security Directive) Entwicklung einer KRITIS Strategie und Umsetzung in Gesetze Entwicklung eines Krisenkoordinationsplan Ansprechpartner festlegen: CERT und KRITIS – Behörde und in Deutschland Kooperation des privaten und der öffentlichen Bereiche notwendig  Wie melde ich einen Vorfall  Art der Kommunikation  Setzen von Standards

Seite 5

Kooperativer Ansatz der Umsetzung Ziel der verbesserten Zusammenarbeit von Staat und Wirtschaft Allianz für Cybersicherheit zwischen dem BSI und bitkom Zunehmende Bedrohung und Attacken auf Behörden, KMU und KRITIS Betreiber

Erarbeiten einer Cyber Strategie Informationsangebote für alle bereitstellen

Erfahrungsaustausch initiieren Gemeinsame Sicht der Dinge schaffen Erzielen von Synergien

Ziel Schutz von kritischer Infrastruktur und erhöhen der Cyber Sicherheit in Deutschland Seite 6

Was passierte vor dem IT Sicherheitsgesetz Die Betreiber meldeten nur das was sie für richtig / genehm hielten Kein übergreifende Maßnahmen oder Sanktionen

Umsetzung innerhalb der Wirtschaft sehr unterschiedlich Bedeutung und Wahrnehmung Umsetzung von Standards

Melden von Vorfällen

Seite 7

Das IT Sicherheitsgesetz in Deutschland Erster Entwurf im Mai 2013 Zweiter Entwurf im August 2014

Vorentwurf im November 2014 Überarbeitung vom Februar 2015 Inkrafttreten 25. Juli 2015 Es folgt: Erstellen von Rechtsverordnungen  Festlegen welche Unternehmen betroffen sind

 Festgelegt sind mit Inkrafttreten die Betreiber von Kernkraftwerken und die Telekommunikationsunternehmen

Seite 8

Rolle des BSI Bundesamt für Informationssicherheit Bisherige Aufgabe des BSI Präventive Förderung von der Informations- und Cyber Sicherheit Schutz der IT Systeme des Bundes  Erkennen, Schutz und Abwehr von Angriffen  BSI Grundschutzkataloge

Nach dem IT Sicherheitsgesetz vom Juli 2015 Festlegen der zu den KRITIS gehörenden Unternehmen Genehmigung und Überprüfung von Mindeststandards alle 2 Jahre Zentraler Ansprechpartner Auswertung von Angriffen und Warnung vor drohenden Angriffen

Seite 9

KRITIS

Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Zitat vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe

Seite 10

Wer gehört zu KRITIS Es wird von 2.000 Betreibern Kritischer Infrastrukturen in sieben Sektoren ausgegangen

Quelle: Bundesamt für Sicherheit in der Informationstechnik Seite 11

Was ist von KRITIS Anwendern zu tun? Meldepflicht von erheblichen Störungen beginnt nach 6 Monaten Ansprechpartner und Meldeprozesse nach dem IT-Sicherheitsgesetz einrichten

Einführung von Standards, branchenspezifischen Standards Regelmäßiger Nachweise Festlegen von angemessenen organisatorischen und technischen Maßnahmen zum Schutz der Infrastruktur innerhalb von 2 Jahren

Was passiert wenn es die Unternehmen nicht tun?

Bußgelder 

Seite 12

Vorschlagen von branchenspezifische Standards Maßnahmen zur Vermeidung von Störungen von informationstechnischen Systemen Verfügbarkeit

Integrität Authentizität Vertraulichkeit

Wie immer: Einhalten des aktuellen Stands der Technik Maßnahmen dürfen verhältnismäßig sein BSI genehmigt diese Standards

Seite 13

Nachweis Alle 2 Jahre mit Information an den BSI Prüfungen Zertifizierungen Sicherheitsaudits Aufgedeckte Mängel sind zu melden

Seite 14

Was wird heute zum IT Sicherheitsgesetz diskutiert Wo sind die konkrete Vorgaben Inhalte und Vorgaben zu den Meldungen

Welche Sicherheitsstandards sind gemeint Was müssen wir eigentlich noch alles tun Wie hoch sind die Kosten Frage: Wir sind ja nicht interessant für Hacker etc.

Seite 15

Zeitachse

Melden Sichern der Infrastruktur Nachweise führen Nennen einer Kontaktstelle Evaluierung des IT-Sicherheitsgesetzes Nachweise erbringen

Rechtsverordnung IT-Sicherheitsgesetz

25.7.2015 Seite 16

1.3.2016

1.9.2016

1.3.2018

1.3.2020

Was ist den wirklich zu tun

Organisation

Technik

Prozesse

Seite 17

Pragmatisch: Was ist zu tun Wo stehen Sie? IT Sicherheitsstrukturen Kaufmännische IT Infrastruktur IT Mobile IT

Wo hilft Ihnen eine Business Impact Analyse? Was sind Ihre kritischen Systeme, Infrastrukturen, Daten und Prozesse Wo sind Ihre Zugriffspunkte von innen und außen Anforderungen der Nutzer und des Managements Welche Services Level und Sicherheit Level sind gefordert Anforderungen an die RZ / RZ Räume Seite 18

Pragmatisch: Was ist zu tun? Prozesse Melden und einordnen von Vorfällen Weiterleiten der geforderten Inhalte Maßnahmen initiieren

Organisation Verantwortlichkeiten und Zuständigkeiten Personalstärken

Technologien Einsatz von Standards wie ISO 27001 Erkennen von Vorfällen, erheben der benötigten Inhalte Aufbau / Optimierung des RZ und der RZ Räume Seite 19

Systematisch und strukturiert Implementierung auf der Basis ISO 27001 Ziele Schutz der vertraulichen Daten Integrität der betrieblichen Daten sicherstellen Verfügbarkeit Ihrer IT-Systeme im Unternehmen sicherstellen und erhöhen

Was bietet die Norm Definition der Anforderungen für ein Informationssicherheits-Managementsystems (ISMS)  Einführen  Umsetzen  Aufrecht erhalten  Kontinuierliche Verbesserung

 Beurteilung und Behandlung von Informationssicherheitsrisiken Seite 20

Führung Management muss Führung übernehmen und die Verpflichtung zeigen Unternehmenspolitik festlegen

Rollen festgelegen Verantwortlichkeiten und Befugnisse festlegen Berichtswesen einführen

Seite 21

Planung der Informationssicherheit Prozesse der Informationssicherheitsrisiko Beurteilung Prozesse festlegen Risiken identifizieren Risiken analysieren Risiken bewerten

Umsetzung Optionen auswählen Maßnahmen festlegen Maßnahmen auf Vollständigkeit prüfen Plan für die formulieren Genehmigung und Akzeptanz für die Umsetzung einholen Seite 22

Planung der Informationssicherheit Ziele für die benötigten Funktionen und Ebenen festlegen Mit der eigenen Informationssicherheitspolitik in Einklang stehen Möglichst messbar sein Ziele im Unternehmen vermitteln / ich nenne es Werbung dafür machen

Planung zur Erreichung der Ziele bestimmen Was wird getan Ressourcen festlegen Verantwortung festlegen Zeitrahmen für die Umsetzung festlegen Bewertung der Ergebnisse festlegen

Seite 23

Unterstützung Die personellen Ressourcen unterstützen Kompetenzen im Unternehmen bestimmen, sicherstellen und nachweisen

Bewusstsein schaffen Kommunikation etablieren Worüber, wann, mit wem, wer und womit

Dokumentierte Informationen Das Erstellen und aktualisieren sicherstellen Lenkung der Informationen festlegen

Seite 24

Betrieb Betriebliche Planung und Steuerung Prozesse planen, umsetzen und steuern Dokumentation der Umsetzung bereitstellen und verfügbar machen Überwachen von Änderungen Sicherstellen, das ausgelagerte Prozesse bestimmt und gesteuert werden

Risikobeurteilungen vornehmen In geplanten Abständen Wenn Änderungen vorgeschlagen werden Wenn Änderungen auftreten

Risikobehandlung umsetzen

Seite 25

Bewertung der Leistung Überwachung, Messung, Analyse und Bewertung Was wird überwacht und gemessen Methode festlegen um eine Vergleichbarkeit und Wiederholbarkeit sicherzustellen Zeiten der Durchführung festlegen Wer führt diese Aufgaben durch Wer analysiert und bewertet die Ergebnisse

Internes Audit Anforderungen müssen der Norm und der Organisation entsprechen Auditprogramme auflegen Kriterien und Umfang festlegen Berichtswesen und Ergebnisse aufbewahren Seite 26

Erfolgsfaktoren Eine auf die Geschäftsziele abgebildete Informationssicherheitspolitik Unterstützung und Zustimmung vom Management über alle Hierarchie Ebenen PDCA Vorgehensmodell mit der eigenen Unternehmenskultur in Einklang bringen Schulen von Informationssicherheitspolitik Informationspolitik verabreden  von oben nach unten und schrittweise definieren Risikobewertung und Risiko Management Budget bereitstellen Prozesse klar definieren, einrichten, überprüfen und verbessern KPI einführen Sie benötigen einen „Treiber“ in Ihrem Unternehmen

Seite 27

Gegenüberstellung BSI Grundschutz und ISO 27001 ISO 27001 auf der Basis von IT-Grundschutz

ISO 27001

Spezifikation der Anforderungen

Spezifikation der Anforderungen

Einführung, Implementieren, Betrieb

Einführung, Implementieren, Betrieb

kontinuierliche Verbesserung

Verbesserung eines dokumentierten ISMS

Umsetzungsempfehlungen aus der Praxis

Orientierung an Maßnahmen

Orientierung an Prozessen

Konzeption + praktische Umsetzung

Prozess- und Konzeptebene

Mehr als 4000 Seiten

90 Seiten allgemeine Empfehlungen

Konkrete Maßnahmenempfehlungen mit Umsetzungshilfen

35 Objects, 114 Maßnahmen (controls)

Seite 28

Gegenüberstellung BSI Grundschutz und ISO 27001 ISO 27001 auf der Basis von IT-Grundschutz

ISO 27001

Es ist Risikoanalyse für einen normalen Schutzbedarf impliziert

Komplette Risikoanalyse ist vorgeschrieben

Eine eigene Risikoanalyse ist nur für den höheren Schutzbedarf erforderlich Migrationspfad durch Testate

Kein Stufenkonzept für die Zertifizierung

Einstiegsstufe Aufbaustufe Zertifizierung

3 Jahre Gültigkeit mit jährlichem Überwachungsaudit Seite 29

3 Jahre Gültigkeit mit jährlichem »Continuing Assessment Visits«

Beispiel Mobile IT Smartphones und Tablets werden immer mehr zu Geräten des Alltags Mobile IT ist nicht so gesichert wie die klassische IT Systeme

Es werden immer mehr mobile Apps von Drittanbietern gehackt Auszug aus den Top 10 (Quelle IT-Business vom 11.11.2015) Salesforce

Good Reader Microsoft Office Cisco AnyConnect

Box Cisco WebEx Skype for Business Seite 30

Beispiel Mobile IT Die Mitarbeiter speichern auf dem Smartphone / Tablet – ungeschützt ? betriebliche Daten und Emails Speichern sie ggf. auf anderen Consumer Cloud Diensten

Social Hacking kommt immer mehr in „Mode“ Welche Consumer Applikationen sollten / werden gesperrt? Dropbox, One Drive, Google Drive, Box, SugarSync, …(EFSS Apps) Facebook, Twitter, Whatsapp Skype

Quelle: Meist Third Party Anbietern – Risiko von gehackter Software Ziel: Einsatz von Business Apps statt Consumer Apps Ziel: Einsatz einer Unternehmens Cloud Seite 31

Beispiel / Auszug für Mobile IT - Aufgaben Wer hat die Kontrolle über das Gerät? Benutzer oder der IT-Administrator? Welche Applikationen sind installiert, darf der Benutzer Apps installieren? Wie kann das Installieren unterbunden werden? Einführen eines Antivirenschutzes WLAN Nutzung VPN Zugänge Datensicherung Verlust des Smartphones und Sperren des Smartphones Passwörter SIM Karte, Smartphone

Seite 32

Beispiel Rechenzentrum – Auszug Betriebsführung und Notfall Management Ein RZ soll nach Jahren genauso wie bei der Inbetriebnahme funktionieren Maximale, konstante und gesicherte Verfügbarkeit Kein Wildwuchs im RZ  Zutrittsregelung  Sauberkeit, Ordnung und Struktur bleibt erhalten Strukturierter Ein- und Aufbau der IT-Systeme  Migrationskonzepte für die Systeme

Dokumentation im RZ und der Systeme im RZ  Rollen, Aufgaben und Zuständigkeiten

Seite 33

Fazit Vieles ist heute mit dem IT Sicherheitsgesetz noch nicht festgeschrieben Die Anforderungen an die IT Sicherheit in den Unternehmen steigt

Die Prüfungen über alle Bereiche wird intensiviert werden müssen Kostet Geld und geschulte und kompetente (mehr?) Mitarbeiter Die Diskussion darüber ist noch im vollem Gange 2 Jahre für die Umsetzung kann sehr gering sein Zertifizierung nicht zwingend notwendig

Seite 34

Vielen Dank für Ihre Aufmerksamkeit.

Haben Sie noch Fragen? Seite 35