Auswirkungen des IT Sicherheitsgesetztes
Eine Übersicht über die Historie
bis zur Frage der Zertifizierung
Thomas Klein, Dipl. Ing. Management Berater System Management und ITIL Projekte Projekt Management und Organisation
Von 2009 bis 2015 Projekt Leiter bei der Rheinbahn AG in Düsseldorf Neubau des Rheinbahn Rechenzentrum und Leiter des Infrastruktur RZs Migration von Prozessrechnersystemen in das RZ Neubau der Leitstelle im Neubau der Verwaltung Einführung und Ausschreibung Betriebshof Management System
Geschäftsführer der VisIT Consulting
Seite 2
VisIT Consulting VisIT Consulting Software Implementierung und Wartung im Großrechnerbereich bei europäischen Banken System Management und ITIL Projekte
Seit Juli 2015 RZ Planung - Erweiterungen, Umzüge und Neubau RZ Betriebskonzepte und RZ Notfallplanung Anforderungen aus dem IT Sicherheitsgesetz, BSI Grundschutz HOAI Planung von nachrichtentechnischen Systemen Kleines IT und Beratungsteam mit Partnern im In- und Ausland
Seite 3
Die Entstehung und Entwicklung in der EU Verabschiedung des Wirtschaftsprogramm Europa 2020 im Juni 2010 Kernziele Bekämpfung von Armut und sozialer Ausgrenzung Bildung Forschung und Entwicklung Beschäftigung Klimawandel und nachhaltiges Energiewirtschaften
Umsetzung mittels Grundsatzinitiativen Digitale Agenda im Rahmen der EU Cybersecurity Strategy (Feb. 2013) Ziel eine offene, sichere und gesichertes Internet (Cyberspace) Entwicklung der NIS Initiative (Network and Information Security Directive) Seite 4
Die Entstehung und Entwicklung in der EU EU NIS Initiative (Network and Information Security Directive) Entwicklung einer KRITIS Strategie und Umsetzung in Gesetze Entwicklung eines Krisenkoordinationsplan Ansprechpartner festlegen: CERT und KRITIS – Behörde und in Deutschland Kooperation des privaten und der öffentlichen Bereiche notwendig Wie melde ich einen Vorfall Art der Kommunikation Setzen von Standards
Seite 5
Kooperativer Ansatz der Umsetzung Ziel der verbesserten Zusammenarbeit von Staat und Wirtschaft Allianz für Cybersicherheit zwischen dem BSI und bitkom Zunehmende Bedrohung und Attacken auf Behörden, KMU und KRITIS Betreiber
Erarbeiten einer Cyber Strategie Informationsangebote für alle bereitstellen
Erfahrungsaustausch initiieren Gemeinsame Sicht der Dinge schaffen Erzielen von Synergien
Ziel Schutz von kritischer Infrastruktur und erhöhen der Cyber Sicherheit in Deutschland Seite 6
Was passierte vor dem IT Sicherheitsgesetz Die Betreiber meldeten nur das was sie für richtig / genehm hielten Kein übergreifende Maßnahmen oder Sanktionen
Umsetzung innerhalb der Wirtschaft sehr unterschiedlich Bedeutung und Wahrnehmung Umsetzung von Standards
Melden von Vorfällen
Seite 7
Das IT Sicherheitsgesetz in Deutschland Erster Entwurf im Mai 2013 Zweiter Entwurf im August 2014
Vorentwurf im November 2014 Überarbeitung vom Februar 2015 Inkrafttreten 25. Juli 2015 Es folgt: Erstellen von Rechtsverordnungen Festlegen welche Unternehmen betroffen sind
Festgelegt sind mit Inkrafttreten die Betreiber von Kernkraftwerken und die Telekommunikationsunternehmen
Seite 8
Rolle des BSI Bundesamt für Informationssicherheit Bisherige Aufgabe des BSI Präventive Förderung von der Informations- und Cyber Sicherheit Schutz der IT Systeme des Bundes Erkennen, Schutz und Abwehr von Angriffen BSI Grundschutzkataloge
Nach dem IT Sicherheitsgesetz vom Juli 2015 Festlegen der zu den KRITIS gehörenden Unternehmen Genehmigung und Überprüfung von Mindeststandards alle 2 Jahre Zentraler Ansprechpartner Auswertung von Angriffen und Warnung vor drohenden Angriffen
Seite 9
KRITIS
Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Zitat vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
Seite 10
Wer gehört zu KRITIS Es wird von 2.000 Betreibern Kritischer Infrastrukturen in sieben Sektoren ausgegangen
Quelle: Bundesamt für Sicherheit in der Informationstechnik Seite 11
Was ist von KRITIS Anwendern zu tun? Meldepflicht von erheblichen Störungen beginnt nach 6 Monaten Ansprechpartner und Meldeprozesse nach dem IT-Sicherheitsgesetz einrichten
Einführung von Standards, branchenspezifischen Standards Regelmäßiger Nachweise Festlegen von angemessenen organisatorischen und technischen Maßnahmen zum Schutz der Infrastruktur innerhalb von 2 Jahren
Was passiert wenn es die Unternehmen nicht tun?
Bußgelder
Seite 12
Vorschlagen von branchenspezifische Standards Maßnahmen zur Vermeidung von Störungen von informationstechnischen Systemen Verfügbarkeit
Integrität Authentizität Vertraulichkeit
Wie immer: Einhalten des aktuellen Stands der Technik Maßnahmen dürfen verhältnismäßig sein BSI genehmigt diese Standards
Seite 13
Nachweis Alle 2 Jahre mit Information an den BSI Prüfungen Zertifizierungen Sicherheitsaudits Aufgedeckte Mängel sind zu melden
Seite 14
Was wird heute zum IT Sicherheitsgesetz diskutiert Wo sind die konkrete Vorgaben Inhalte und Vorgaben zu den Meldungen
Welche Sicherheitsstandards sind gemeint Was müssen wir eigentlich noch alles tun Wie hoch sind die Kosten Frage: Wir sind ja nicht interessant für Hacker etc.
Seite 15
Zeitachse
Melden Sichern der Infrastruktur Nachweise führen Nennen einer Kontaktstelle Evaluierung des IT-Sicherheitsgesetzes Nachweise erbringen
Rechtsverordnung IT-Sicherheitsgesetz
25.7.2015 Seite 16
1.3.2016
1.9.2016
1.3.2018
1.3.2020
Was ist den wirklich zu tun
Organisation
Technik
Prozesse
Seite 17
Pragmatisch: Was ist zu tun Wo stehen Sie? IT Sicherheitsstrukturen Kaufmännische IT Infrastruktur IT Mobile IT
Wo hilft Ihnen eine Business Impact Analyse? Was sind Ihre kritischen Systeme, Infrastrukturen, Daten und Prozesse Wo sind Ihre Zugriffspunkte von innen und außen Anforderungen der Nutzer und des Managements Welche Services Level und Sicherheit Level sind gefordert Anforderungen an die RZ / RZ Räume Seite 18
Pragmatisch: Was ist zu tun? Prozesse Melden und einordnen von Vorfällen Weiterleiten der geforderten Inhalte Maßnahmen initiieren
Organisation Verantwortlichkeiten und Zuständigkeiten Personalstärken
Technologien Einsatz von Standards wie ISO 27001 Erkennen von Vorfällen, erheben der benötigten Inhalte Aufbau / Optimierung des RZ und der RZ Räume Seite 19
Systematisch und strukturiert Implementierung auf der Basis ISO 27001 Ziele Schutz der vertraulichen Daten Integrität der betrieblichen Daten sicherstellen Verfügbarkeit Ihrer IT-Systeme im Unternehmen sicherstellen und erhöhen
Was bietet die Norm Definition der Anforderungen für ein Informationssicherheits-Managementsystems (ISMS) Einführen Umsetzen Aufrecht erhalten Kontinuierliche Verbesserung
Beurteilung und Behandlung von Informationssicherheitsrisiken Seite 20
Führung Management muss Führung übernehmen und die Verpflichtung zeigen Unternehmenspolitik festlegen
Rollen festgelegen Verantwortlichkeiten und Befugnisse festlegen Berichtswesen einführen
Seite 21
Planung der Informationssicherheit Prozesse der Informationssicherheitsrisiko Beurteilung Prozesse festlegen Risiken identifizieren Risiken analysieren Risiken bewerten
Umsetzung Optionen auswählen Maßnahmen festlegen Maßnahmen auf Vollständigkeit prüfen Plan für die formulieren Genehmigung und Akzeptanz für die Umsetzung einholen Seite 22
Planung der Informationssicherheit Ziele für die benötigten Funktionen und Ebenen festlegen Mit der eigenen Informationssicherheitspolitik in Einklang stehen Möglichst messbar sein Ziele im Unternehmen vermitteln / ich nenne es Werbung dafür machen
Planung zur Erreichung der Ziele bestimmen Was wird getan Ressourcen festlegen Verantwortung festlegen Zeitrahmen für die Umsetzung festlegen Bewertung der Ergebnisse festlegen
Seite 23
Unterstützung Die personellen Ressourcen unterstützen Kompetenzen im Unternehmen bestimmen, sicherstellen und nachweisen
Bewusstsein schaffen Kommunikation etablieren Worüber, wann, mit wem, wer und womit
Dokumentierte Informationen Das Erstellen und aktualisieren sicherstellen Lenkung der Informationen festlegen
Seite 24
Betrieb Betriebliche Planung und Steuerung Prozesse planen, umsetzen und steuern Dokumentation der Umsetzung bereitstellen und verfügbar machen Überwachen von Änderungen Sicherstellen, das ausgelagerte Prozesse bestimmt und gesteuert werden
Risikobeurteilungen vornehmen In geplanten Abständen Wenn Änderungen vorgeschlagen werden Wenn Änderungen auftreten
Risikobehandlung umsetzen
Seite 25
Bewertung der Leistung Überwachung, Messung, Analyse und Bewertung Was wird überwacht und gemessen Methode festlegen um eine Vergleichbarkeit und Wiederholbarkeit sicherzustellen Zeiten der Durchführung festlegen Wer führt diese Aufgaben durch Wer analysiert und bewertet die Ergebnisse
Internes Audit Anforderungen müssen der Norm und der Organisation entsprechen Auditprogramme auflegen Kriterien und Umfang festlegen Berichtswesen und Ergebnisse aufbewahren Seite 26
Erfolgsfaktoren Eine auf die Geschäftsziele abgebildete Informationssicherheitspolitik Unterstützung und Zustimmung vom Management über alle Hierarchie Ebenen PDCA Vorgehensmodell mit der eigenen Unternehmenskultur in Einklang bringen Schulen von Informationssicherheitspolitik Informationspolitik verabreden von oben nach unten und schrittweise definieren Risikobewertung und Risiko Management Budget bereitstellen Prozesse klar definieren, einrichten, überprüfen und verbessern KPI einführen Sie benötigen einen „Treiber“ in Ihrem Unternehmen
Seite 27
Gegenüberstellung BSI Grundschutz und ISO 27001 ISO 27001 auf der Basis von IT-Grundschutz
ISO 27001
Spezifikation der Anforderungen
Spezifikation der Anforderungen
Einführung, Implementieren, Betrieb
Einführung, Implementieren, Betrieb
kontinuierliche Verbesserung
Verbesserung eines dokumentierten ISMS
Umsetzungsempfehlungen aus der Praxis
Orientierung an Maßnahmen
Orientierung an Prozessen
Konzeption + praktische Umsetzung
Prozess- und Konzeptebene
Mehr als 4000 Seiten
90 Seiten allgemeine Empfehlungen
Konkrete Maßnahmenempfehlungen mit Umsetzungshilfen
35 Objects, 114 Maßnahmen (controls)
Seite 28
Gegenüberstellung BSI Grundschutz und ISO 27001 ISO 27001 auf der Basis von IT-Grundschutz
ISO 27001
Es ist Risikoanalyse für einen normalen Schutzbedarf impliziert
Komplette Risikoanalyse ist vorgeschrieben
Eine eigene Risikoanalyse ist nur für den höheren Schutzbedarf erforderlich Migrationspfad durch Testate
Kein Stufenkonzept für die Zertifizierung
Einstiegsstufe Aufbaustufe Zertifizierung
3 Jahre Gültigkeit mit jährlichem Überwachungsaudit Seite 29
3 Jahre Gültigkeit mit jährlichem »Continuing Assessment Visits«
Beispiel Mobile IT Smartphones und Tablets werden immer mehr zu Geräten des Alltags Mobile IT ist nicht so gesichert wie die klassische IT Systeme
Es werden immer mehr mobile Apps von Drittanbietern gehackt Auszug aus den Top 10 (Quelle IT-Business vom 11.11.2015) Salesforce
Good Reader Microsoft Office Cisco AnyConnect
Box Cisco WebEx Skype for Business Seite 30
Beispiel Mobile IT Die Mitarbeiter speichern auf dem Smartphone / Tablet – ungeschützt ? betriebliche Daten und Emails Speichern sie ggf. auf anderen Consumer Cloud Diensten
Social Hacking kommt immer mehr in „Mode“ Welche Consumer Applikationen sollten / werden gesperrt? Dropbox, One Drive, Google Drive, Box, SugarSync, …(EFSS Apps) Facebook, Twitter, Whatsapp Skype
Quelle: Meist Third Party Anbietern – Risiko von gehackter Software Ziel: Einsatz von Business Apps statt Consumer Apps Ziel: Einsatz einer Unternehmens Cloud Seite 31
Beispiel / Auszug für Mobile IT - Aufgaben Wer hat die Kontrolle über das Gerät? Benutzer oder der IT-Administrator? Welche Applikationen sind installiert, darf der Benutzer Apps installieren? Wie kann das Installieren unterbunden werden? Einführen eines Antivirenschutzes WLAN Nutzung VPN Zugänge Datensicherung Verlust des Smartphones und Sperren des Smartphones Passwörter SIM Karte, Smartphone
Seite 32
Beispiel Rechenzentrum – Auszug Betriebsführung und Notfall Management Ein RZ soll nach Jahren genauso wie bei der Inbetriebnahme funktionieren Maximale, konstante und gesicherte Verfügbarkeit Kein Wildwuchs im RZ Zutrittsregelung Sauberkeit, Ordnung und Struktur bleibt erhalten Strukturierter Ein- und Aufbau der IT-Systeme Migrationskonzepte für die Systeme
Dokumentation im RZ und der Systeme im RZ Rollen, Aufgaben und Zuständigkeiten
Seite 33
Fazit Vieles ist heute mit dem IT Sicherheitsgesetz noch nicht festgeschrieben Die Anforderungen an die IT Sicherheit in den Unternehmen steigt
Die Prüfungen über alle Bereiche wird intensiviert werden müssen Kostet Geld und geschulte und kompetente (mehr?) Mitarbeiter Die Diskussion darüber ist noch im vollem Gange 2 Jahre für die Umsetzung kann sehr gering sein Zertifizierung nicht zwingend notwendig
Seite 34
Vielen Dank für Ihre Aufmerksamkeit.
Haben Sie noch Fragen? Seite 35