"IT-Sicherheit" - DVGW
Transcription
"IT-Sicherheit" - DVGW
www.dvgw-sc.de Informationsveranstaltung DVGW-LG Saarland 13.06.2013 IT-Sicherheit Daniel Fricke & Thomas Schmidt Agenda • Gründe für IT-Sicherheit (z.B. rechtliche Vorgaben, KRITIS) • Überblick über Gefährdungen (welche Gefahren drohen über welche Pfade; aktuelle Beispiele) • BSI-Grundschutz (Methode zur Erzielung einer Grundsicherheit gemäß Leitlinie des Bundesamtes für Sicherheit in der Informationstechnik) • SMIT (strukturiertes Beratungsprojekt zur Erzielung des BSI-Grundschutzes) KRITIS Kritische Infrastrukturen (KRITIS) Definition: Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. (Quelle: www.kritis.bund.de) Wo gibt es KRITIS 9 Bereiche (gem. BMI): • Energie: Elektrizität, Gas, Mineralöl • Informationstechnik und Telekommunikation • Transport und Verkehr: Luft-, Seeschiff-, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik • • • • Gesundheit: Medizinische Versorgung, Arzneimittel, Impfstoffe, Labore Wasser: Öffentliche Wasserversorgung, Öffentliche Abwasserbeseitigung Ernährung: Ernährungswirtschaft, Lebensmittelhandel Finanz- und Versicherungswesen: Banken, Börsen, Versicherungen, Finanzdienstleister • Staat und Verwaltung: Regierung und Verwaltung, Parlament, Justizeinrichtungen, Notfall-/ Rettungswesen einschließlich Katastrophenschutz • Medien und Kultur: Rundfunk (Fernsehen und Radio), gedruckte und elektronische Presse, Kulturgut, symbolträchtige Bauwerke Quelle: Definition „Kritische Infrastrukturen“ nach Bundesministerium des Inneren (BMI) KRITIS-Meilensteine BMIDiskussionspapier „IT-Schutz Kritischer Eröffnung des Cyber- Infrastrukturen in Deutschland“ Abwehrzentrum zur Sicherheit der ITInfrastruktur (Juni 2011 ) Billigung des Umsetzungsplans KRITIS durch das Bundeskabinett (2007) nationaler Plan zum Schutz der Informationsinfrastrukturen (BMI, 2005) Zunehmende Cyberkriminalität Referentenentwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 05.03.2013 Meilenstein BMI Diskussionspapier Diskussionspapier „IT-Schutz Kritischer Infrastrukturen in Deutschland“ vom 25. Januar 2012 • Mehr Transparenz schaffen • Robuste Grundlagen durch ein standardisiertes und überprüfbares Sicherheitsniveau • Kritische Prozesse autonom gestalten • Produkt- und Dienstleistungssicherheit gewährleisten • Durch Lagefortschreibung und Frühwarnung Gefahren vorbeugen • Mit Übungen auf den Ernstfall vorbereiten • Durch Kooperation an Know-How und Stärke gewinnen Meilenstein Gesetzentwurf Entwurf „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG)“ vom 05. März 2013 • Festlegung Kritischer Infrastrukturen • BSI ist die ausführende Behörde • Einrichten einer zentralen Meldestelle beim BSI • 2 Jahre verpflichtender Umsetzungszeitraum für Betreiber • Berücksichtigung „Stand der Technik“ • Möglichkeit der Festlegung branchenspezifischer Standards • Überprüfung der IT-Sicherheit durch Sicherheitsaudits alle zwei Jahre • Meldepflicht bei erheblichen IT-Sicherheitsvorfällen DVGW-Stellungnahme zum Gesetzesvorhaben DVGW-Stellungnahme zum Gesetzesentwurf vom 05. April 2013 • Hinweis bestehender Technischer Regeln im DVGW zum Schutz kritischer Infrastrukturen • Umsetzung dieser Regeln über das Technische Sicherheitsmanagement (TSM) • Konkretisierung der Definition „Kritische Infrastruktur“ im Sinne des Gesetzes erforderlich • Verlängerung der zweijährigen Umsetzungsfrist • Anerkennung bestehender Managementsysteme • Erweiterung TSM um das Modul IT-Sicherheit • Begrenzung der Meldepflicht auf Vorgänge, die die Aufrechterhaltung der Versorgung gefährden • Definition „erheblicher IT-Sicherheitsvorfall“ erforderlich • Umsetzung der IT-Sicherheit durch branchenspezifische Standards Weitere gesetzliche Vorgaben I Gesetzliche Anforderungen • nach Handelsgesetzbuch (HGB) §238 und §243 müssen die Grundsätze ordnungsgemäßer Buchführung (GoB) erfüllt sein • Ergänzt durch Schreiben vom Bundesministerium der Finanzen: „Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) vom 7. November 1995“ Weitere gesetzliche Vorgaben II Die GoBS • Pkt.4 fordert ein Internes Kontrollsystem “zur Sicherung und Schutz des vorhanden Vermögens und vorhandener Informationen vor Verlusten aller Art“ • Pkt. 5.3: Diese Informationen sind gegen Verlust zu sichern und gegen unberechtigte Veränderung zu schützen. Über die Anforderungen der GoBS hinaus sind die sensiblen Informationen des Unternehmens auch gegen unberechtigte Kenntnisnahme zu schützen Weitere gesetzliche Vorgaben III Weitere Gesetze • Bundesdatenschutzgesetz (BDSG) • Landesdatenschutzgesetze • Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) • Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) • …… Was bedeutet Informationssicherheit im VU? • Datensicherheit/-vertraulichkeit • Geschäftsrelevante Daten • Personenbezogene Daten • Infrastruktursicherheit • Ausfall (auch durch höhere Gewalt) • Firewalls • Diebstahl von Rechnern • KRITIS Für Informationssicherheit ist eine ganzheitliche Betrachtungsweise notwendig! Agenda • Gründe für IT-Sicherheit (z.B. rechtliche Vorgaben, KRITIS) • Überblick über Gefährdungen (welche Gefahren drohen über welche Pfade; aktuelle Beispiele) • BSI-Grundschutz (Methode zur Erzielung einer Grundsicherheit gemäß Leitlinie des Bundesamtes für Sicherheit in der Informationstechnik) • SMIT (strukturiertes Beratungsprojekt zur Erzielung des BSI-Grundschutzes) Bedrohungsarten • Viren • • Verändern Dateien und nisten sich dort ein Werden durch Benutzer verbreitet • Würmer • Verbreiten sich selbstständig • Trojaner • Fernsteuerungsfunktion (oft „getarnt“ in nützlicher Software) • Spyware • Sendet Informationen über den infizierten Rechner an Dritte • Backdoor • Öffnet einen infizierten Rechner für weitere Schadprogramme • Rootkits • Verstecken andere Schadprogramme • Exploit • Schwachstelle bzw. deren Ausnutzung • Zero-Day-Exploit • Schwachstelle die sofort nach bekanntwerden ausgenutzt wird Cyberkriminalität I 1. Bankenverband warnt: sparkasse.de zum Malwareversand missbraucht Cyber-Kriminelle haben die Homepage der Sparkasse angegriffen und konnten für kurze Zeit Malware auf einzelnen Seiten von sparkasse.de installieren und womöglich an Besucher dieser Websites verteilen. Nach Angabe des Deutschen Sparkassen- und Giroverbands (DSGV) [http://www.sparkasse.de/Aktuell/sparkasse_de_hackerangriff.html], erfolgte der Angriff am 18. Februar. Kunden, die an diesem Tag ohne aktuellen und aktiven Virenscanner auf sparkasse.de waren, könnten sich die Schadsoftware auf den eigenen Rechner geladen haben, so der DSGV. Mit allen gängigen Virenschutzprogrammen soll sich die Malware beseitigen lassen. Die betroffenen Seiten wurden laut DSGV umgehend offline gestellt. Online-Banking-Angebote sowie Homebanking-Programme von Kunden seien von dem Angriff nicht betroffen. Die Sparkassen empfehlen allen Internetnutzern, stets eine aktive Firewall und einen aktuellen Virenscanner zu nutzen. Quelle: Buerger-cert.de (Infodienst des BSI) vom 28.02.2013 Cyberkriminalität II Quelle: www.heise.de 18.10.2012 Cyberkriminalität III Quelle: www.heise.de 13.12.2012 Cyberkriminalität IV Quelle: www.golem.de 16.02.2013 SCADA-Angriffe Angriffe auf SCADA-Systeme • STUXNET • Nov. 2011, Wasserwerk in Illinois zerstörte Pumpe • Nov. 2011, Wasserwerk in Texas Screenshots • Mai 2013, c‘t-Artikel SCADA = Supervisory Control and Data Acquisition STUXNET-Verlauf Datum Ereignis 20. Nov. 2008 25. Jan. 2010 April 2010 13. Juli 2010 16. Juli 2010 Der Trojaner Zlob nutzt zum ersten Mal die LNK-Lücke (MS10-046) aus, die später von Stuxnet verwendet werden wird. Der Stuxnet-Treiber wird mit einem Zertifikat von Realtek signiert. Eine Stuxnet-Variante verwendet erstmals Remotecode-Ausführung durch die Windows-Shell (MS10-046). Symantec fügt eine Erkennung des Trojaners unter dem Namen W32.Temphid ein. Microsoft veröffentlicht das Security Advisory „Vulnerability in Windows Shell Could Allow Remote Code Execution“. VeriSign widerruft das Realtek-Zertifikat. ESET findet eine Stuxnet-Version mit einem Treiberzertifikat von JMicron. Siemens berichtet über Untersuchungen zur Infektion seiner SCADA-Anlagen. Symantec benennt die Erkennung in W32.Stuxnet um. VeriSign widerruft das Zertifikat von JMicron. Microsoft veröffentlicht Patch MS10-046 gegen den Shortcut-Exploit. Symantec beschreibt die Funktion von Stuxnet als SPS-Rootkit. Symantec kann keine neu infizierten IP-Adressen aus dem Iran mehr feststellen. Microsoft veröffentlicht den Print-Spooler-Patch MS10-061. Laut Siemens sollen weltweit 14 Anlagen betroffen sein. Schäden hätten jedoch nicht festgestellt werden können. Der Iran bestätigt Angriffe durch Stuxnet. Es sollen 30.000 Computer befallen worden sein, dabei seien aber keine „ernsthaften Schäden“ aufgetreten. Diese Aussage wird allerdings kurz darauf vom Außenministerium widerrufen. Dagegen wird „dem Westen“ Cyber-Propaganda vorgeworfen. Das W32.Stuxnet Dossier wird auf der Virus Bulletin Conference 2010 vorgestellt. Die Nachrichtenagentur Xinhua berichtet von sechs Millionen befallenen Computern und fast tausend betroffenen Anlagensteuerungen in China. Siemens wurden bisher 15 befallene Anlagen gemeldet. Davon haben fünf ihren Standort in Deutschland, die übrigen in Westeuropa, den USA und Asien. Bei allen Anlagen sollen keine Schäden aufgetreten sein und das Virus konnte erfolgreich entfernt werden. Microsoft schließt mit Patch MS10-073 eine Lücke zur Privileg-Eskalation beim Laden von Tastaturbelegungen im Kernel. Microsoft schließt mit Patch MS10-092 eine Lücke zur Privileg-Eskalation durch Benutzung des Task-Schedulers. Bisher haben 24 Siemens-Kunden von einer Infektion berichtet. Es gab in keinem Fall Auswirkungen auf die Anlagen. 17. Juli 2010 19. Juli 2010 22. Juli 2010 02. Aug. 2010 06. Aug. 2010 22. Aug. 2010 14. Sep. 2010 26. Sep. 2010 30. Sep. 2010 02. Okt. 2010 12. Okt. 2010 14. Dez. 2010 11. Mär. 2011 SCADA-Angriffe US-Wasserwerke Quelle: www.heise.de/security/meldung/Hacker-zerstoert-Pumpe-in-US-Wasserwerk-1381930.html „Gefahr im Kraftwerk“ Artikel in c‘t 11/2013 (06.05.2013) Fazit der c‘t: „[…] In dieser Branche ticken die Uhren offensichtlich etwas anders, wodurch der Berührungspunkt mit dem schnelllebigen Internet zu einem ernsthaften Problem wird. […]“. Werkzeuge: Metasploit Framework • Metasploit ist ein freies Open Source Projekt • Werkzeug zur Entwicklung und Ausführung von Angriffen auf Rechnersysteme Quelle: www.metasploit.com Werkzeuge: Shodan • Suchmaschine für anfällige Systeme Innere Gefährdungen • Gefährdung durch Verhalten der Mitarbeiter • • • • • • • • Arbeitsplatzschutz vernachlässigen Unsichere Passwörter verwenden Fremdsoftware installieren Verwendung mobiler Endgeräte BYOD – Bring Your Own Device von unsicherer Umgebung einloggen Dienstleister / Arbeitnehmerüberlassung Mitarbeiter-Wechsel • Gefährdung durch IT-Systeme • Einspielung Sicherheitsupdates • Unzureichend geschützte Systeme Handy-Schutz? Quelle: Buerger-cert.de (Infodienst des BSI) vom 28.02.2013 Zwischenbilanz Steigende Wahrnehmung der Öffentlichkeit zur Sicherheit in der IT durch z. B.: öffentlich gewordene Vorfälle z. B. Hackerangriffe Folgen aus fehlender oder fehlerhafter Datensicherung „Innere Sicherheit“ im Unternehmen Systemausfall in Folge von Naturereignissen (Schnee/Eis, Regen, Sturm, Hochwasser,…) oder Brand (auch DVGW-Regelwerk G / W 1002 Risikomanagement im Krisenfall) steigende öffentliche Sensibilität steigendes inneres Bedürfnis der Unternehmen also: Gewissheit anstelle von Vermutung Gesetzentwurf: „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG)“ Agenda • Gründe für IT-Sicherheit (z.B. rechtliche Vorgaben, KRITIS) • Überblick über Gefährdungen (welche Gefahren drohen über welche Pfade; aktuelle Beispiele) • BSI-Grundschutz (Methode zur Erzielung einer Grundsicherheit gemäß Leitlinie des Bundesamtes für Sicherheit in der Informationstechnik) • SMIT (strukturiertes Beratungsprojekt zur Erzielung des BSI-Grundschutzes) BSI-Grundschutz Ziele des BSI-Grundschutz: Vertraulichkeit Integrität Verfügbarkeit Arbeitshilfen: • BSI Standard 100-1 „Managementsysteme für Informationssicherheit“ • BSI Standard 100-2 „Grundschutz – Vorgehensweise“ • BSI Standard 100-3 „Risikoanalyse auf der Basis von ITGrundschutz“ • BSI Standard 100-4 „Notfallmanagement“ • „IT-Grundschutz-Katalog“ (4068 Seiten) PDCA-Zyklus Sicherheitsziele definieren Wirksamkeit prüfen Plan Do Check Act Maßnahmen ableiten und umsetzen Status prüfen BSI 100-1 Managementsysteme für Informationssicherheit (ISMS) • Initiierung durch Geschäftsführung • Definition von allgemeinen „Verhaltensweisen“ im Unternehmen • Top-Down-Struktur • Zusammenwirken von • • • • Sicherheitsprozessen Mitarbeitern Managementprinzipien Ressourcen BSI 100-2 IT-Grundschutz-Vorgehensweise • Strukturanalyse • Schutzbedarfsfeststellung • Auswahl und Anpassung von Maßnahmen unter Zuhilfenahme des IT Grundschutzkataloges • Basis-Sicherheitscheck • Ergänzende Sicherheitsanalyse Weitere Kernpunkte: • Einbindung der Mitarbeiter in den Sicherheitsprozess • Bereitstellung von Ressourcen • Für Organisatorisches • Für den IT-Regelbetrieb BSI 100-3 Risikoanalyse auf der Basis von IT-Grundschutz • Weitergehende Betrachtung bei Schutzbedarf über den ITGrundschutz hinaus • Erstellung einer Gefährdungsübersicht • Bewertung der Gefährdungen • Behandlung von Risiken • • • • Reduktion durch weitere Sicherheitsmaßnahmen Vermeidung durch Umstrukturierung Akzeptanz (unter Berücksichtigung von Kosten/Risiken) Transfer (z.B. Versicherung / Outsourcing) BSI 100-4 Notfallmanagement Quelle: www.bsi.bund.de Agenda • Gründe für IT-Sicherheit (z.B. rechtliche Vorgaben, KRITIS) • Überblick über Gefährdungen (welche Gefahren drohen über welche Pfade; aktuelle Beispiele) • BSI-Grundschutz (Methode zur Erzielung einer Grundsicherheit gemäß Leitlinie des Bundesamtes für Sicherheit in der Informationstechnik) • SMIT (strukturiertes Beratungsprojekt zur Erzielung des BSI-Grundschutzes) Entwicklung SMIT Werkzeuge Checklistensystem (2 Ebenen) • Selbstauskunft zu Projektbeginn • Tool zur Statusermittlung im Rahmen Vor-Ort-Prüfung Inhalte: • IT-Organisation • IT-Infrastruktur Verwaltung • IT-Infrastruktur Technik • Wartung und Instandhaltung • Worst-case-Szenarien Vorbereitung I • Entwicklung Selbstauskunftsfragebogen • 64 Fragen: • • • • Abfrage des IT-Sicherheitsstatus (Eigeneinschätzung) Abfrage der IT-Infrastruktur Bewertung der ‚Kritikalität‘ Verfügbarkeitsziele Ziel • Wie beurteilt der Kunde seine Informationssicherheit • Welche Systeme werden eingesetzt Vorbereitung II • Entwicklung Leitfaden 344 Fragen zur Bewertung der Informationssicherheit • Organisation (32 Fragen) • Infrastruktur im Verwaltungsbereich (237 Fragen) • Infrastruktur im technischen Bereich (5 Fragen) • Wartung und Instandhaltung (30 Fragen) • Worst-Case-Szenarien (14 Fragen) • Mitarbeiterbefragung (26 Fragen) Ziel • Umfassender Überblick über die IT-Struktur • ‚gelebte‘ Informationssicherheit erheben Vorbereitung III • Entwicklung Auswertetool • Excel-basiertes Auswerteverfahren • Bewertungen der beiden Experten fließen ein • Strukturiert • Reproduzierbar und nachzuvollziehen • Automatische zusammengefasste Ergebnisse • Automatisch erstellte Ergebnis-Grafiken • Erstellung von Prognosen • Welches Ergebnis wird bei der Umsetzung von Maßnahme X erzielt? Vorgehensweise • Selbstauskunft • Begehung Vor-Ort • Befragung • IT-Verantwortliche • Mitarbeiter (Anwender) • Auswertung • Abschlussbericht • mit Handlungsbedarfen Strukturanalyse und Schutzbedarfsfeststellung gem. BSI-Grundschutz Erfassung und Befragungen - Strukturierter Fragenkatalog - Gliederung in folgende Bereiche: - Organisation Infrastruktur Verwaltung Wartung und Instandhaltung Worst-Case-Szenarien Mitarbeiterbefragung Beispiel Mitarbeiterbefragung: - Auswahl der befragten Mitarbeiter nach Kernprozessen - Teilweise offene Fragestellungen - Befragung durch 2 Experten Auswertung I - Auswertung in Excel - Unterschiedliche Gewichtung der Fragen - Bewertung in 4 Stufen - 1 = kein Handlungsbedarf 2 = Handlungsbedarf 3 = dringender Handlungsbedarf 4 = kritischer Handlungsbedarf Auswertung II • Darstellung der Auswertung in Form eines Netzdiagramms Prozentuale Werte stellen Abweichung vom Idealzustand dar: • 75% – 100% = sofortiger Handlungsbedarf (schwarz) • 50 – 75% = dringender Handlungsbedarf (rot) • 25 – 50% = Handlungsbedarf (gelb) • 0 – 25 % = kein Handlungsbedarf (grün) Je größer die Abdeckung der Zielscheibe durch die erreichten Werte ist, desto besser ist das Ergebnis Beispiel: Auswertung Überblick Organisation Handlungsbedarf Mitarbeiterbefragung Dringender Handlungsbedarf Worst-Case-Szenarien Dringender Handlungsbedarf Infrastruktur Verwaltung Handlungsbedarf Wartung und Instandhaltung Dringender Handlungsbedarf Gesamtsituation: Handlungsbedarf Beispiel: Detail-Auswertung Verwaltung IT-Infrastruktur 3.3.1 Allgemein 3.3.18 Absicherung 3.3.2 Netzwerk LAN 3.3.17 Endgeräte 3.3.3 Netzwerk WAN 3.3.16 Software 3.3.4 Netzwerk WLAN 3.3.15 Virtualisierung 3.3.5 Telefonanlage 3.3.14 Speichersysteme 3.3.6 Server allgemein 3.3.13 Archivsystem 3.3.7 Fileserver 3.3.12 Terminalserver 3.3.8 E-Mailserver 3.3.11 Webserver 3.3.9 ERP-System 3.3.10 Datenbankserver Beispiel für Auswertung Mitarbeiter I - z.B.: 8 Mitarbeiter aus unterschiedlichen Bereichen - Breite Streuung bei den Ergebnissen MA 1 - Deutliche Handlungsbedarfe MA 8 MA 2 erkennbar, z.B. - Passworte am Arbeitsplatz hinterlegt MA 7 - Versand vertraulicher Daten per E-Mail - Kein vertraulicher Druck - Mitarbeiter sind der zentrale Punkt im Sicherheitsprozess MA 3 MA 4 MA 6 MA 5 Beispiel für Auswertung Mitarbeiter II - Durchführung von - regelmäßigen Unterweisungen - Schulungen MA 1 - Änderungen an Systemen MA 8 rechtzeitig bekanntmachen - Erhebliches Verbesserungspotential MA 7 MA 2 MA 3 Entwicklungsprognose MA 4 MA 6 MA 5 Beratungsergebnisse • Handlungsempfehlungen • Kurzfristig und mit geringem Aufwand zu realisierenden Maßnahmen • Mittelfristige Unterstützung bei der Mitarbeitersensibilisierung • Langfristige Maßnahmen mit Unterstützung bei der Investitionsplanung • Regelmäßige (z.B. jährliche) Wiederholungsanalysen möglich PDCA-Verfahren Zu guter Letzt… Vielen Dank für Ihre Aufmerksamkeit! DVGW Service & Consult GmbH Josef-Wirmer-Str. 1-3 53123 Bonn www.dvgw-sc.de Kontaktdaten: Daniel Fricke +49 (0) 228 / 9188 – 743 [email protected] Thomas Schmidt +49 (0) 228 / 9188 – 747 [email protected]