Folien - DFN-CERT

Auf dem
richtigen Weg?
Das IT-Sicherheitsgesetz zum Schutz kritischer Infrastrukturen
—
10. Februar 2016
© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative
(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
1
Kurzvorstellung KPMG
Wer wir sind
Wilhelm Dolle ([email protected])
Partner Security Consulting KPMG und Geschäftsführer KPMG Cert GmbH
− 10 Jahre Grundschutzauditor, Mitautor von BSI IT-Grundschutz
− ISO 27001 Lead Auditor, BS 25999 Lead Auditor, COBIT-/PRINCE2-/ITIL-zertifiziert
− Schwerpunkte: IT-Strategie, Risiko- und Sicherheitsanalysen, ISMS, Penetrationstests
und digitale Forensik
− langjährige Beschäftigung mit regulatorischen Anforderungen und rechtlichen
Rahmenbedingungen von Informationssicherheit und IT-Risikomanagement
Hanna Lurz ([email protected])
Senior Associate, Security Consulting KPMG
− Wirtschaftsinformatikerin
− ISO 27001 Lead Auditor
− Schwerpunkte: ISMS, Kritische Infrastrukturen, Security Awareness
© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative
(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
2
Kurzvorstellung KPMG
Was wir tun
© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative
(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
3
Einführung in
KRITIS
© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative
(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
4
Einführung in KRITIS
KRITIS-Definition in Deutschland
“
Kritische Infrastrukturen (KRITIS) sind Organisationen oder
Einrichtungen mit wichtiger Bedeutung für das staatliche
Gemeinwesen, bei deren Ausfall oder Beeinträchtigung
nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen
der öffentlichen Sicherheit oder andere dramatische Folgen
eintreten würden
„
Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative
(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
5
Einführung in KRITIS
KRITIS und das IT-Sicherheitsgesetz
Kritische Infrastrukturen
(KRITIS)
— Das BMI legt fest, wer
KRITIS ist und somit unter
das IT-Sicherheitsgesetz
fällt.
— Das Bundesamt für
Sicherheit in der
Informationstechnik ist
verantwortlich für
Mindeststandards der ITSicherheit.
IT-Sicherheitsgesetz (IT-SiG)
— Ist die nationale Implementierung der EU NIS Richtlinie.
— Kritische Infrastrukturen
sollen vor Cyberangriffen
geschützt werden.
— KRITIS-Betreiber müssen
hierzu verschiedene
Anforderungen an
Informationssicherheit
erfüllen.
— KPMG schätzt die Kosten für
Meldungen für die Wirtschaft
auf über 1,1 Mrd. Euro.
© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative
(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
6
Einführung in KRITIS
KRITIS-Sektoren
© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative
(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
7
Einführung in KRITIS
Bestimmung Kritischer Infrastrukturen
Am 05.02.2016 hat das Bundesinnenministerium den Entwurf einer ersten ergänzenden
Rechtsverordnung zum IT-Sicherheitsgesetz veröffentlicht. Der Entwurf ist hier verfügbar.
Energie
320 Anlagen
z. B. „Leistung Stromerzeugung/-speicherung ≥ 420 MW/Jahr“
IKT
30 Anlagen (plus TKG-regulierte Anlagen)
z. B. „Datenvolumen eines Content Delivery Networks ≥ 75.000 TByte/Jahr“
Wasser
230 Anlagen
z. B. „Leistung Trinkwassergewinnung/-aufbereitung ≥ 21,9 Mio. m³/Jah“r
Ernährung
70 Anlagen
z. B. „Leistung Lagerung/Umschlag von Lebensmitteln ≥ 334.000 t/Jahr“
© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative
(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
8
Das ITSicherheitsgesetz
© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative
(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
9
Das IT-Sicherheitsgesetz
Zeitliche Entwicklung
Verpflichtung zur Einhaltung
und zum Nachweis von
Sicherheitsstandards und
Meldung erheblicher
Störungen
Inkrafttreten des
IT-Sicherheitsgesetzes
25.07.2015
2016
Ergänzende
Rechtsverordnung
2017
2020
2018
Nennung einer
Kontaktstelle
Evaluierung des ITSicherheitsgesetzes
und erste Nachweise
© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative
(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
10
Das IT-Sicherheitsgesetz
Zielsetzung
“
„
… dass das Netz sicherer wird und die digitalen Infrastrukturen
Deutschlands künftig zu den sichersten weltweit gehören.
Thomas de Maizière
© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative
(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
11
Das IT-Sicherheitsgesetz
Sektoren im Geltungsbereich
Gesundheit
Energie
Ernährung
IKT
Sozioökonomische
Infrastruktur
Finanz- und
Versicherungswesen
Transport und Verkehr
Wasser
Technische
Infrastruktur
© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative
(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
12
Das IT-Sicherheitsgesetz
Was ist mit den übrigen Sektoren?
Staat und Verwaltung
Bereits seit 2009 durch UP
Bund reguliert:
− verbindliche Sicherheitsleitlinie für Bundesbehörden
− IT-Sicherheitsvorfälle
müssen an das BSI
gemeldet werden
− regelmäßige IS-Revision
Medien und Kultur
Ist bislang nicht reguliert:
− fällt in den
Zuständigkeitsbereich der
Länder
− hier muss das ITSicherheitsgesetz in
entsprechende
Landesgesetze umgesetzt
werden
© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative
(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
13
Das IT-Sicherheitsgesetz
Inhalte des Gesetzes
Meldung erheblicher
Störungen
Branchenspezifische
Sicherheitsstandards
Mögliche Sanktionen
Regelmäßiger Nachweis
Evaluation
© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative
(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
14
Das IT-Sicherheitsgesetz
Meldepflicht
Auswirkungen
− IT-Sicherheitsvorfälle müssen an das BSI oder
die BNetzA gemeldet werden.
− Vorfälle und Ereignisse müssen beim Betreiber
detektiert, analysiert und bewertet werden.
− Zu melden sind technische
Rahmenbedingungen, Ursachen, betroffene
Informationstechnik, Art der betroffenen
Einrichtung/Anlage und Branche des Betreibers.
Fragestellungen
− Was sind Sicherheitsvorfälle?
− Welche Informationen müssen erfasst und gemeldet
werden?
− Was für eine Meldeorganisation ist erforderlich und
angemessen?
− Erfordert Organisation beim Mandanten für
interne (IT, Produktion, Betrieb) sowie externe
Meldewege (Ansprechpartner/CERT).
Der Entwurf der Verordnung schätzt den Erfüllungsaufwand der Meldepflicht für
die Wirtschaft auf jährlich insgesamt 3 Millionen Euro
(660 Euro Aufwand/Meldung * 7 IT-Sicherheitsvorfälle/Anlage * 650 Anlagen).
© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative
(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
15
Das IT-Sicherheitsgesetz
Mindeststandards
Auswirkungen
− IT-Sicherheitsstandards müssen umgesetzt
werden und Steuerungsorganisationen (ISMS)
implementiert werden.
− Einsatz von IT im Betrieb muss durch geeignete
Maßnahmen gesichert werden: ISO 27001 oder
BSI IT-Grundschutz.
− Als „angemessen“ gelten Vorkehrungen, „wenn
der dafür erforderliche Aufwand nicht außer
Verhältnis zu den Folgen eines Ausfalls oder
einer Beeinträchtigung der betroffenen
Kritischen Infrastruktur steht.“
Fragestellungen
− Reicht mein aktuelles ISMS und meine
Sicherheitsorganisation?
− Welchen Teil meines Betriebs betreffen die ITMaßnahmen?
− Sind bereits vorhandene Sicherheitsmaßnahmen
„angemessen“ und entsprechen diese dem „Stand
der Technik“?
− Muss ich zertifiziert werden?
− KRITIS-Betreiber und ihre Branchenverbände
können branchenspezifische
Sicherheitsstandards entwickeln, die durch das
BSI genehmigt werden müssen.
© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative
(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
16
Das IT-Sicherheitsgesetz
Nachweis
Auswirkungen
− Die umgesetzten Mindeststandards für ITSicherheit müssen alle zwei Jahre durch
geeignete Maßnahmen nachgewiesen werden.
− Die Ergebnisse der Überprüfung sind dem BSI
oder der BNetzA zur Verfügung zu stellen.
Fragestellungen
− Was und wie wird untersucht?
− Wie bereite ich mich auf die Überprüfung vor?
− Wie kann ich bestehende Audits und Revisionen
integrieren und Mehrfachbelastung minimieren?
− Liegen Sicherheitsmängel vor, kann das BSI die
Übermittlung des gesamten Prüfberichts sowie
die Beseitigung der Sicherheitsmängel
verlangen.
© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative
(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
17
Das IT-Sicherheitsgesetz
Mögliche Sanktionen
Bußgelder bis 50.000 EUR
Bußgelder bis 100.000 EUR
− Wenn KRITIS-Betreiber dem BSI sechs Monate
nach Inkrafttreten des IT-Sicherheitsgesetzes
keinen Ansprechpartner nennen.
− Wenn Sicherheitsmängel „im Einvernehmen mit der
zuständigen Aufsichtsbehörde des Bundes“ nicht
beseitigt wurden.
− Wenn KRITIS-Betreiber erhebliche Störungen
nicht melden.
− Wenn spätestens zwei Jahre nach Inkrafttreten
des IT-Sicherheitsgesetzes keine angemessenen
organisatorischen und technischen Maßnahmen
zum Schutz ihrer Infrastruktur getroffen wurden.
− Wenn Audit-, Prüfungs- oder
Zertifizierungsergebnisse nicht an das BSI
übermittelt wurden.
© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative
(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
18
Das IT-Sicherheitsgesetz
Evaluation des Gesetzes
− 4 Jahre nach Inkrafttreten werden Artikel 1 Nummer 2, 7 und 8
des IT-Sicherheitsgesetzes überprüft:
 Definition und Festlegung Kritischer Infrastruktur,
 Anforderungen an Betreiber Kritischer Infrastruktur,
 Zuständigkeiten einzelner Bundesbehörden.
Evaluation
− Die Evaluation findet laut IT-Sicherheitsgesetz „unter
Einbeziehung eines wissenschaftlichen Sachverständigen, der im
Einvernehmen mit dem Deutschen Bundestag bestellt wird“,
statt.
© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative
(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
19
Herangehensweise bei der
Umsetzung
© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative
(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
20
Herangehensweise bei der Umsetzung
Pauschaler Ansatz nicht möglich
Große Unternehmen und
Konzerne
Kleine und mittelständische Unternehmen
− vorhandene IT-Sicherheitsstrukturen
− geringe bis keine IT-Sicherheitsstrukturen
− Überprüfung auf Compliance mit
dem IT-Sicherheitsgesetz
− Aufbau eines schlanken
Umsetzungs- und Bedarfsplan
− Ggf. Nachbessern in einzelnen
Bereichen
− Umsetzung in exakt definiertem
Scope mit möglichst wenig
Betriebsbeeinträchtigung
© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative
(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
21
Herangehensweise bei der Umsetzung
Vorgehen in vier Schritten
Betroffenheitsanalyse
Zählen die Organisation oder
Teile dieser zu KRITIS?
Welche konkreten Prozesse und
Anlagen sind betroffen?
Branchenstandards
Sind sektor- oder
branchenspezifischen Merkmale
zu berücksichtigen?
Können daraus
branchenspezifische Mindeststandards entwickelt werden?
ISMS inkl. Maßnahmen
Ist das ISMS bedarfsgerecht
und praktikabel und erfüllt
dennoch alle Anforderungen?
Sind ganzheitliche Prozesse und
Sicherheitsmaßnahmen
etabliert?
Meldeorganisation
Werden Sicherheitsvorfälle
zeitnah erkannt und
angemessen analysiert?
Sind Meldewege innerhalb der
Organisation und mit
BSI/BNetzA etabliert?
Mittels Zertifizierung kann der Nachweis erbracht werden, dass alle Anforderungen erfüllt sind.
Standards hierzu sind ISO 27001 oder BSI IT-Grundschutz.
© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative
(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
22
Herangehensweise bei der Umsetzung
Auswirkungen auf öffentliche und
wissenschaftliche Einrichtungen
Direkter Bezug zu KRITIS
Indirekter Bezug zu KRITIS
Einrichtungen, die direkt als
KRITIS identifiziert werden können
Unternehmen, die in Liefer- und
Dienstleistungsketten von KRITISBetreibern eingebunden sind
z. B. Stadtwerke, Verkehrsbetriebe, Forschungseinrichtungen mit Laboren,
Universitätskliniken
z. B. Rechenzentrumsbetreiber für
Universitätskliniken
Änderungen des TMG
Technische und organisatorische Vorkehrungen müssen Telemedienangebote gegen unerlaubten Zugriff und
Verletzungen des Schutzes personenbezogener Daten absichern
© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative
(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
23
Herangehensweise bei der Umsetzung
Königs-oder Holzweg?
Informationssicherheit wird endlich zum Thema
Informationssicherheit wird stärker wahrgenommen und diskutiert.
Das BSI wird in seiner Position gestärkt (Personal, Know-how, Befugnisse).
Das Sicherheitslagebild in Deutschland soll verbessert werden.
In vielen Punkten bleibt das Gesetz allein zu
unspezifisch
Hard- und Softwareanbieter werden nicht zu mehr Sicherheit verpflichtet.
Im Fokus steht primär das Schutzziel Verfügbarkeit.
Die konkrete Anwendung in einem internationalen Kontext ist bislang nicht geklärt.
Ohne pragmatische Branchenstandards bleibt das Gesetz lediglich ein „Papiertiger“.
© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative
(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
24
Ihre Fragen
© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative
(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
25
Ihre Ansprechpartner
Wilhelm Dolle
Partner, Security Consulting
T +49 30 2068-2323
[email protected]
Hanna Lurz
Senior Associate, Security Consulting
T +49 511 8509-5199
[email protected]
KPMG AG
Wirtschaftsprüfungsgesellschaft
Klingelhöferstraße 18
10785 Berlin
KPMG AG
Wirtschaftsprüfungsgesellschaft
Osterstraße 40
30159 Hannover
kpmg.de
kpmg.de/itsicherheitsgesetz
Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen,
zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie auch in
Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und ohne gründliche Analyse der betreffenden Situation.
© 20XX KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer
juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.

Download Report