Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen wissen? © ABB Group September 24, 2015 | Slide 1 Im Dschungel der IT-Sicherheitsrichtlinien Über den Drucker ins Unternehmensnetzwerk Der Angreifer schickt ein mit Malware sowie einem auf den Drucker abgestimmten Exploit präpariertes Dokument per E-Mail an Mitarbeiter im auszuspähenden Unternehmen Beim Ausdrucken des Dokuments kommt es dann zur Infektion; diese Art des Angriffs ist schon seit mehreren Jahren bekannt In den wenigsten Unternehmen wurden jedoch Firmware-Updates auf Druckern installiert, so dass sich in der Praxis reichlich verwundbare Geräte finden lassen HP LaserJet P2055 Ist die Malware aktiv, baut sie einen Tunnel zu einem Server auf und erwartet von dort weitere Kommandos Da der Drucker ein vollwertiges Betriebssystem mitbringt, kann der Angreifer das Netzwerk scannen © ABB Group September 24, 2015 | Slide 2 Im Dschungel der IT-Sicherheitsrichtlinien Aufdeckungen von Schwachstellen in Leitsystemen 300 240 250 223 200 180 172 150 98 100 50 7 7 2005 2006 43 31 28 2008 2009 17 0 2007 2010 2011 2012 2013 Quelle: https://scadahacker.com/resources.html (Stand: 25. Juni 2015) © ABB Group September 24, 2015 | Slide 3 2014 2015 Im Dschungel der IT-Sicherheitsrichtlinien Regulatorischer Rahmen in Deutschland IT-Sicherheitsgesetz (25. Juli 2015) Zielgruppe: Betreiber kritischer Infrastrukturen Ausstehende Rechtsverordnung, die kritische Infrastrukturen anhand von branchenspezifischen Schwellenwerten definiert IT-Sicherheitskatalog gemäß EnWG (12. August 2015) Zielgruppe: Betreiber von Strom- und Gasnetzen (unabhängig von der Größe oder Anzahl der angeschlossenen Kunden) Mindeststandard zum Schutz von TK- und EDV-Systemen, die für einen sicheren Netzbetrieb notwendig sind Wichtige Umsetzungsfristen Benennung einer Kontaktperson für die BNetzA bis zum 30. November 2015 Vorlage des ISMS-Zertifikates (gemäß Katalog) bis zum 31. Januar 2018 © ABB Group September 24, 2015 | Slide 4 Im Dschungel der IT-Sicherheitsrichtlinien Relevante Normen für Energieversorgungsunternehmen IT-Sicherheitsgesetz Gesetzliche Grundlagen KonTraG § 91 ICS Security Kompendium EnWG § 11 (vom BMWi) IT-Sicherheitskatalog (Netze) BSI-Gesetz (vom BMI) BDEW Whitepaper Maßnahmen DIN ISO/IEC 27001 Zertifizierung © ABB Group September 24, 2015 | Slide 5 ITGrundschutz DIN ISO/IEC 27001 DIN ISO/IEC 27002 DIN ISO/IEC TR 27019 Im Dschungel der IT-Sicherheitsrichtlinien Weitere Normen für Energieversorgungsunternehmen DIN EN 50518 … Anforderungen an die Planung, Ausführung und Gerätefunktionen für Alarmempfangsstellen in Europa IEC 62443 … grundlegende Sicherheitsstandards für industrielle Automatisierungsumgebungen und Kontrollsysteme IEC 62351 … technischer Standard zur Definition einer sicheren Kommunikation in Netzführungssysteme BSI-CC-PP-0073 … Schutzprofil für die Kommunikationseinheit eines intelligenten Messsystems (Smart Meter Gateway) © ABB Group September 24, 2015 | Slide 6 Im Dschungel der IT-Sicherheitsrichtlinien Neuerungen im BSI-Gesetz BSIG Verpflichtungen für Betreiber kritischer Infrastrukturen (gemäß BSI-Gesetz § 8a bis 8b) Umsetzung von angemessenen organisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen EnWG Nachweis der Einhaltung von branchenspezifischen Normen durch Sicherheitsaudits, Prüfungen oder Zertifizierungen Ernennung einer Kontaktperson für das BSI IT-SK Anonymisierte Meldung von Störungen – Ausnahme: Ausfall bzw. Beeinträchtigung der kritischen Infrastruktur Keine Anwendung von § 8a auf Betreiber von Energieversorgungsnetzen und -anlagen im Sinne des EnWG Bußgelder von bis zu 100.000,- € bei vorsätzlichen oder fahrlässigen Verstößen © ABB Group September 24, 2015 | Slide 7 Im Dschungel der IT-Sicherheitsrichtlinien Neuerungen im Energiewirtschaftsgesetz BSIG EnWG Schutz von Telekommunikations- und EDV-Systemen, die für einen sicheren Netzbetrieb notwendig sind (EnWG § 11 Abs. 1a) Kein Spielraum mehr beim Nachweis eines angemessenen Schutzes, da der IT-Sicherheitskatalog als Mindeststandard einzuhalten ist Einführung des Abs. 1b für Betreiber von Energieanlagen IT-SK Schutz von Telekommunikations- und EDV-Systemen, die für einen sicheren Anlagenbetrieb notwendig sind Ähnliche Anforderungen wie für Betreiber von Energieversorgungsnetzen, jedoch separater Katalog Einführung des Abs. 1c für die (anonymisierte) Meldung von erheblichen Störungen © ABB Group September 24, 2015 | Slide 8 Im Dschungel der IT-Sicherheitsrichtlinien Kernforderungen des IT-Sicherheitskatalogs (Netze) BSIG Einführung eines ISMS (InformationssicherheitsManagementsystem) gemäß DIN ISO/IEC 27001 Zertifizierung des ISMS durch eine unabhängige und hierfür akkreditierte Stelle sowie eine Re-Zertifizierung EnWG Nennung eines Ansprechpartners an die Bundesnetzagentur ACT PLAN CHECK DO Umsetzungsstand der Anforderungen IT-SK Aufgetretene Sicherheitsvorfälle sowie Art und Umfang der hierdurch hervorgerufenen Auswirkungen Ursache aufgetretener Sicherheitsvorfälle sowie Maßnahmen zu deren Behebung und zukünftigen Vermeidung © ABB Group September 24, 2015 | Slide 9 Im Dschungel der IT-Sicherheitsrichtlinien Auf dem Weg zur Zertifizierung Zertifizierung Wir unterstützen Betreiber von kritischen Infrastrukturen durch gehärtete Produkte, geschützte Systeme und zuverlässige Dienstleistungen in den Bereichen Netzleittechnik, Stationsleittechnik, Kommunikationstechnik und Fernwirktechnik. Betroffenheit des Betreibers © ABB Group September 24, 2015 | Slide 10 1 5 4 3 2 Systemzustand erfassen Regelkonformität kontrollieren System proaktiv schützen Systemzustand überwachen System aktiv schützen Im Dschungel der IT-Sicherheitsrichtlinien Ansprechpartner bei Fragen Peter Piwecki [email protected] [email protected] +49 621 381 3471 +49 621 381 3670 +49 172 633 1151 (mobil) +49 170 791 7552 (mobil) Kai-Uwe Böhm [email protected] +49 621 381 8267 +49 172 626 8246 (mobil) © ABB Group September 24, 2015 | Slide 11 Robert Grey © ABB Group 24. September 2015 | Slide 12
© Copyright 2024 ExpyDoc
