"IT-Sicherheit" - DVGW

www.dvgw-sc.de
Informationsveranstaltung
DVGW-LG Saarland
13.06.2013
IT-Sicherheit
Daniel Fricke & Thomas Schmidt
Agenda
• Gründe für IT-Sicherheit
(z.B. rechtliche Vorgaben, KRITIS)
• Überblick über Gefährdungen
(welche Gefahren drohen über welche Pfade; aktuelle Beispiele)
• BSI-Grundschutz
(Methode zur Erzielung einer Grundsicherheit gemäß Leitlinie des
Bundesamtes für Sicherheit in der Informationstechnik)
• SMIT
(strukturiertes Beratungsprojekt zur Erzielung des BSI-Grundschutzes)
KRITIS
Kritische Infrastrukturen (KRITIS)
Definition:
Kritische Infrastrukturen (KRITIS) sind
Organisationen oder Einrichtungen mit wichtiger
Bedeutung für das staatliche Gemeinwesen, bei
deren Ausfall oder Beeinträchtigung nachhaltig
wirkende Versorgungsengpässe, erhebliche
Störungen der öffentlichen Sicherheit oder andere
dramatische Folgen eintreten würden.
(Quelle: www.kritis.bund.de)
Wo gibt es KRITIS
9 Bereiche (gem. BMI):
• Energie: Elektrizität, Gas, Mineralöl
• Informationstechnik und Telekommunikation
• Transport und Verkehr: Luft-, Seeschiff-, Binnenschifffahrt,
Schienenverkehr, Straßenverkehr, Logistik
•
•
•
•
Gesundheit: Medizinische Versorgung, Arzneimittel, Impfstoffe, Labore
Wasser: Öffentliche Wasserversorgung, Öffentliche Abwasserbeseitigung
Ernährung: Ernährungswirtschaft, Lebensmittelhandel
Finanz- und Versicherungswesen: Banken, Börsen, Versicherungen,
Finanzdienstleister
• Staat und Verwaltung: Regierung und Verwaltung, Parlament,
Justizeinrichtungen, Notfall-/ Rettungswesen einschließlich Katastrophenschutz
• Medien und Kultur: Rundfunk (Fernsehen und Radio), gedruckte
und elektronische Presse, Kulturgut, symbolträchtige Bauwerke
Quelle: Definition „Kritische Infrastrukturen“ nach Bundesministerium des Inneren (BMI)
KRITIS-Meilensteine
BMIDiskussionspapier
„IT-Schutz Kritischer
Eröffnung des Cyber- Infrastrukturen in
Deutschland“
Abwehrzentrum zur
Sicherheit der ITInfrastruktur (Juni 2011 )
Billigung des Umsetzungsplans
KRITIS durch das
Bundeskabinett (2007)
nationaler Plan zum Schutz
der
Informationsinfrastrukturen
(BMI, 2005)
Zunehmende
Cyberkriminalität
Referentenentwurf
eines Gesetzes zur
Erhöhung der
Sicherheit
informationstechnischer
Systeme vom
05.03.2013
Meilenstein BMI Diskussionspapier
Diskussionspapier „IT-Schutz Kritischer Infrastrukturen in
Deutschland“ vom 25. Januar 2012
• Mehr Transparenz schaffen
• Robuste Grundlagen durch ein standardisiertes und überprüfbares
Sicherheitsniveau
• Kritische Prozesse autonom gestalten
• Produkt- und Dienstleistungssicherheit gewährleisten
• Durch Lagefortschreibung und Frühwarnung Gefahren vorbeugen
• Mit Übungen auf den Ernstfall vorbereiten
• Durch Kooperation an Know-How und Stärke gewinnen
Meilenstein Gesetzentwurf
Entwurf „Gesetz zur Erhöhung der Sicherheit
informationstechnischer Systeme (IT-SiG)“
vom 05. März 2013
• Festlegung Kritischer Infrastrukturen
• BSI ist die ausführende Behörde
• Einrichten einer zentralen Meldestelle beim BSI
• 2 Jahre verpflichtender Umsetzungszeitraum für Betreiber
• Berücksichtigung „Stand der Technik“
• Möglichkeit der Festlegung branchenspezifischer Standards
• Überprüfung der IT-Sicherheit durch Sicherheitsaudits alle zwei Jahre
• Meldepflicht bei erheblichen IT-Sicherheitsvorfällen
DVGW-Stellungnahme zum Gesetzesvorhaben
DVGW-Stellungnahme zum Gesetzesentwurf
vom 05. April 2013
• Hinweis bestehender Technischer Regeln im DVGW zum Schutz
kritischer Infrastrukturen
• Umsetzung dieser Regeln über das Technische Sicherheitsmanagement
(TSM)
• Konkretisierung der Definition „Kritische Infrastruktur“ im Sinne des
Gesetzes erforderlich
• Verlängerung der zweijährigen Umsetzungsfrist
• Anerkennung bestehender Managementsysteme
• Erweiterung TSM um das Modul IT-Sicherheit
• Begrenzung der Meldepflicht auf Vorgänge, die die Aufrechterhaltung der
Versorgung gefährden
• Definition „erheblicher IT-Sicherheitsvorfall“ erforderlich
• Umsetzung der IT-Sicherheit durch branchenspezifische Standards
Weitere gesetzliche Vorgaben I
Gesetzliche Anforderungen
• nach Handelsgesetzbuch (HGB) §238 und §243 müssen
die Grundsätze ordnungsgemäßer Buchführung (GoB)
erfüllt sein
• Ergänzt durch Schreiben vom Bundesministerium der
Finanzen:
„Grundsätze ordnungsmäßiger DV-gestützter
Buchführungssysteme (GoBS)
vom 7. November 1995“
Weitere gesetzliche Vorgaben II
Die GoBS
• Pkt.4 fordert ein Internes Kontrollsystem
“zur Sicherung und Schutz des vorhanden Vermögens und
vorhandener Informationen vor Verlusten aller Art“
• Pkt. 5.3: Diese Informationen sind gegen Verlust zu sichern
und gegen unberechtigte Veränderung zu schützen. Über die
Anforderungen der GoBS hinaus sind die sensiblen
Informationen des Unternehmens auch gegen unberechtigte
Kenntnisnahme zu schützen
Weitere gesetzliche Vorgaben III
Weitere Gesetze
• Bundesdatenschutzgesetz (BDSG)
• Landesdatenschutzgesetze
• Gesetz zur Kontrolle und Transparenz im
Unternehmensbereich (KonTraG)
• Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler
Unterlagen (GDPdU)
• ……
Was bedeutet Informationssicherheit im VU?
• Datensicherheit/-vertraulichkeit
• Geschäftsrelevante Daten
• Personenbezogene Daten
• Infrastruktursicherheit
• Ausfall (auch durch höhere Gewalt)
• Firewalls
• Diebstahl von Rechnern
• KRITIS
Für Informationssicherheit ist eine
ganzheitliche Betrachtungsweise
notwendig!
Agenda
• Gründe für IT-Sicherheit
(z.B. rechtliche Vorgaben, KRITIS)
• Überblick über Gefährdungen
(welche Gefahren drohen über welche Pfade; aktuelle Beispiele)
• BSI-Grundschutz
(Methode zur Erzielung einer Grundsicherheit gemäß Leitlinie des
Bundesamtes für Sicherheit in der Informationstechnik)
• SMIT
(strukturiertes Beratungsprojekt zur Erzielung des BSI-Grundschutzes)
Bedrohungsarten
• Viren
•
•
Verändern Dateien und nisten sich dort ein
Werden durch Benutzer verbreitet
• Würmer
•
Verbreiten sich selbstständig
• Trojaner
•
Fernsteuerungsfunktion (oft „getarnt“ in nützlicher Software)
• Spyware
•
Sendet Informationen über den infizierten Rechner an Dritte
• Backdoor
•
Öffnet einen infizierten Rechner für weitere Schadprogramme
• Rootkits
•
Verstecken andere Schadprogramme
• Exploit
•
Schwachstelle bzw. deren Ausnutzung
• Zero-Day-Exploit
•
Schwachstelle die sofort nach bekanntwerden ausgenutzt wird
Cyberkriminalität I
1. Bankenverband warnt: sparkasse.de zum Malwareversand missbraucht
Cyber-Kriminelle haben die Homepage der Sparkasse angegriffen und konnten
für kurze Zeit Malware auf einzelnen Seiten von sparkasse.de installieren
und womöglich an Besucher dieser Websites verteilen. Nach
Angabe des Deutschen Sparkassen- und Giroverbands
(DSGV) [http://www.sparkasse.de/Aktuell/sparkasse_de_hackerangriff.html],
erfolgte der Angriff am 18. Februar. Kunden, die an diesem Tag ohne
aktuellen und aktiven Virenscanner auf sparkasse.de waren, könnten sich
die Schadsoftware auf den eigenen Rechner geladen haben, so der DSGV. Mit
allen gängigen Virenschutzprogrammen soll sich die Malware beseitigen
lassen. Die betroffenen Seiten wurden laut DSGV umgehend offline
gestellt. Online-Banking-Angebote sowie Homebanking-Programme von Kunden
seien von dem Angriff nicht betroffen. Die Sparkassen empfehlen allen
Internetnutzern, stets eine aktive Firewall und einen aktuellen
Virenscanner zu nutzen.
Quelle: Buerger-cert.de (Infodienst des BSI) vom 28.02.2013
Cyberkriminalität II
Quelle: www.heise.de 18.10.2012
Cyberkriminalität III
Quelle: www.heise.de 13.12.2012
Cyberkriminalität IV
Quelle: www.golem.de 16.02.2013
SCADA-Angriffe
Angriffe auf SCADA-Systeme
• STUXNET
• Nov. 2011, Wasserwerk in Illinois  zerstörte Pumpe
• Nov. 2011, Wasserwerk in Texas  Screenshots
• Mai 2013, c‘t-Artikel
SCADA = Supervisory Control and Data Acquisition
STUXNET-Verlauf
Datum
Ereignis
20. Nov. 2008
25. Jan. 2010
April 2010
13. Juli 2010
16. Juli 2010
Der Trojaner Zlob nutzt zum ersten Mal die LNK-Lücke (MS10-046) aus, die später von Stuxnet verwendet werden wird.
Der Stuxnet-Treiber wird mit einem Zertifikat von Realtek signiert.
Eine Stuxnet-Variante verwendet erstmals Remotecode-Ausführung durch die Windows-Shell (MS10-046).
Symantec fügt eine Erkennung des Trojaners unter dem Namen W32.Temphid ein.
Microsoft veröffentlicht das Security Advisory „Vulnerability in Windows Shell Could Allow Remote Code Execution“.
VeriSign widerruft das Realtek-Zertifikat.
ESET findet eine Stuxnet-Version mit einem Treiberzertifikat von JMicron.
Siemens berichtet über Untersuchungen zur Infektion seiner SCADA-Anlagen.
Symantec benennt die Erkennung in W32.Stuxnet um.
VeriSign widerruft das Zertifikat von JMicron.
Microsoft veröffentlicht Patch MS10-046 gegen den Shortcut-Exploit.
Symantec beschreibt die Funktion von Stuxnet als SPS-Rootkit.
Symantec kann keine neu infizierten IP-Adressen aus dem Iran mehr feststellen.
Microsoft veröffentlicht den Print-Spooler-Patch MS10-061.
Laut Siemens sollen weltweit 14 Anlagen betroffen sein. Schäden hätten jedoch nicht festgestellt werden können.
Der Iran bestätigt Angriffe durch Stuxnet. Es sollen 30.000 Computer befallen worden sein, dabei seien aber keine
„ernsthaften Schäden“ aufgetreten. Diese Aussage wird allerdings kurz darauf vom Außenministerium widerrufen.
Dagegen wird „dem Westen“ Cyber-Propaganda vorgeworfen.
Das W32.Stuxnet Dossier wird auf der Virus Bulletin Conference 2010 vorgestellt.
Die Nachrichtenagentur Xinhua berichtet von sechs Millionen befallenen Computern und fast tausend betroffenen
Anlagensteuerungen in China.
Siemens wurden bisher 15 befallene Anlagen gemeldet. Davon haben fünf ihren Standort in Deutschland, die übrigen in
Westeuropa, den USA und Asien. Bei allen Anlagen sollen keine Schäden aufgetreten sein und das Virus konnte
erfolgreich entfernt werden.
Microsoft schließt mit Patch MS10-073 eine Lücke zur Privileg-Eskalation beim Laden von Tastaturbelegungen im Kernel.
Microsoft schließt mit Patch MS10-092 eine Lücke zur Privileg-Eskalation durch Benutzung des Task-Schedulers.
Bisher haben 24 Siemens-Kunden von einer Infektion berichtet.
Es gab in keinem Fall Auswirkungen auf die Anlagen.
17. Juli 2010
19. Juli 2010
22. Juli 2010
02. Aug. 2010
06. Aug. 2010
22. Aug. 2010
14. Sep. 2010
26. Sep. 2010
30. Sep. 2010
02. Okt. 2010
12. Okt. 2010
14. Dez. 2010
11. Mär. 2011
SCADA-Angriffe US-Wasserwerke
Quelle: www.heise.de/security/meldung/Hacker-zerstoert-Pumpe-in-US-Wasserwerk-1381930.html
„Gefahr im Kraftwerk“
Artikel in c‘t 11/2013 (06.05.2013)
Fazit der c‘t:
„[…] In dieser Branche ticken die Uhren offensichtlich etwas anders,
wodurch der Berührungspunkt mit dem schnelllebigen Internet zu
einem ernsthaften Problem wird. […]“.
Werkzeuge: Metasploit Framework
• Metasploit ist ein freies Open Source Projekt
• Werkzeug zur Entwicklung und Ausführung von Angriffen auf
Rechnersysteme
Quelle: www.metasploit.com
Werkzeuge: Shodan
• Suchmaschine für anfällige Systeme
Innere Gefährdungen
• Gefährdung durch Verhalten der Mitarbeiter
•
•
•
•
•
•
•
•
Arbeitsplatzschutz vernachlässigen
Unsichere Passwörter verwenden
Fremdsoftware installieren
Verwendung mobiler Endgeräte
BYOD – Bring Your Own Device
von unsicherer Umgebung einloggen
Dienstleister / Arbeitnehmerüberlassung
Mitarbeiter-Wechsel
• Gefährdung durch IT-Systeme
• Einspielung Sicherheitsupdates
• Unzureichend geschützte Systeme
Handy-Schutz?
Quelle: Buerger-cert.de (Infodienst des BSI) vom 28.02.2013
Zwischenbilanz
Steigende Wahrnehmung der Öffentlichkeit zur Sicherheit
in der IT durch z. B.:




öffentlich gewordene Vorfälle z. B. Hackerangriffe
Folgen aus fehlender oder fehlerhafter Datensicherung
„Innere Sicherheit“ im Unternehmen
Systemausfall in Folge von Naturereignissen (Schnee/Eis, Regen, Sturm,
Hochwasser,…) oder Brand (auch DVGW-Regelwerk G / W 1002
Risikomanagement im Krisenfall)
 steigende öffentliche Sensibilität
 steigendes inneres Bedürfnis der Unternehmen
also: Gewissheit anstelle von Vermutung
 Gesetzentwurf: „Gesetz zur Erhöhung der Sicherheit
informationstechnischer Systeme (IT-SiG)“
Agenda
• Gründe für IT-Sicherheit
(z.B. rechtliche Vorgaben, KRITIS)
• Überblick über Gefährdungen
(welche Gefahren drohen über welche Pfade; aktuelle Beispiele)
• BSI-Grundschutz
(Methode zur Erzielung einer Grundsicherheit gemäß Leitlinie des
Bundesamtes für Sicherheit in der Informationstechnik)
• SMIT
(strukturiertes Beratungsprojekt zur Erzielung des BSI-Grundschutzes)
BSI-Grundschutz
Ziele des BSI-Grundschutz:
 Vertraulichkeit
 Integrität
 Verfügbarkeit
Arbeitshilfen:
• BSI Standard 100-1 „Managementsysteme für
Informationssicherheit“
• BSI Standard 100-2 „Grundschutz – Vorgehensweise“
• BSI Standard 100-3 „Risikoanalyse auf der Basis von ITGrundschutz“
• BSI Standard 100-4 „Notfallmanagement“
• „IT-Grundschutz-Katalog“ (4068 Seiten)
PDCA-Zyklus
Sicherheitsziele
definieren
Wirksamkeit prüfen
Plan
Do
Check
Act
Maßnahmen ableiten
und umsetzen
Status prüfen
BSI 100-1
Managementsysteme für Informationssicherheit (ISMS)
• Initiierung durch Geschäftsführung
• Definition von allgemeinen
„Verhaltensweisen“ im Unternehmen
• Top-Down-Struktur
• Zusammenwirken von
•
•
•
•
Sicherheitsprozessen
Mitarbeitern
Managementprinzipien
Ressourcen
BSI 100-2
IT-Grundschutz-Vorgehensweise
• Strukturanalyse
• Schutzbedarfsfeststellung
• Auswahl und Anpassung von Maßnahmen
unter Zuhilfenahme des IT Grundschutzkataloges
• Basis-Sicherheitscheck
• Ergänzende Sicherheitsanalyse
Weitere Kernpunkte:
• Einbindung der Mitarbeiter in den Sicherheitsprozess
• Bereitstellung von Ressourcen
• Für Organisatorisches
• Für den IT-Regelbetrieb
BSI 100-3
Risikoanalyse auf der Basis von IT-Grundschutz
• Weitergehende Betrachtung bei Schutzbedarf über den ITGrundschutz hinaus
• Erstellung einer Gefährdungsübersicht
• Bewertung der Gefährdungen
• Behandlung von Risiken
•
•
•
•
Reduktion durch weitere Sicherheitsmaßnahmen
Vermeidung durch Umstrukturierung
Akzeptanz (unter Berücksichtigung von Kosten/Risiken)
Transfer (z.B. Versicherung / Outsourcing)
BSI 100-4
Notfallmanagement
Quelle: www.bsi.bund.de
Agenda
• Gründe für IT-Sicherheit
(z.B. rechtliche Vorgaben, KRITIS)
• Überblick über Gefährdungen
(welche Gefahren drohen über welche Pfade; aktuelle Beispiele)
• BSI-Grundschutz
(Methode zur Erzielung einer Grundsicherheit gemäß Leitlinie des
Bundesamtes für Sicherheit in der Informationstechnik)
• SMIT
(strukturiertes Beratungsprojekt zur Erzielung des BSI-Grundschutzes)
Entwicklung SMIT
Werkzeuge
Checklistensystem (2 Ebenen)
• Selbstauskunft zu Projektbeginn
• Tool zur Statusermittlung im Rahmen Vor-Ort-Prüfung
Inhalte:
• IT-Organisation
• IT-Infrastruktur Verwaltung
• IT-Infrastruktur Technik
• Wartung und Instandhaltung
• Worst-case-Szenarien
Vorbereitung I
• Entwicklung Selbstauskunftsfragebogen
• 64 Fragen:
•
•
•
•
Abfrage des IT-Sicherheitsstatus (Eigeneinschätzung)
Abfrage der IT-Infrastruktur
Bewertung der ‚Kritikalität‘
Verfügbarkeitsziele
 Ziel
• Wie beurteilt der Kunde seine Informationssicherheit
• Welche Systeme werden eingesetzt
Vorbereitung II
• Entwicklung Leitfaden
344 Fragen zur Bewertung der Informationssicherheit
• Organisation (32 Fragen)
• Infrastruktur im Verwaltungsbereich (237 Fragen)
• Infrastruktur im technischen Bereich (5 Fragen)
• Wartung und Instandhaltung (30 Fragen)
• Worst-Case-Szenarien (14 Fragen)
• Mitarbeiterbefragung (26 Fragen)
 Ziel
• Umfassender Überblick über die IT-Struktur
• ‚gelebte‘ Informationssicherheit erheben
Vorbereitung III
• Entwicklung Auswertetool
• Excel-basiertes Auswerteverfahren
• Bewertungen der beiden Experten fließen ein
• Strukturiert
• Reproduzierbar und nachzuvollziehen
• Automatische zusammengefasste Ergebnisse
• Automatisch erstellte Ergebnis-Grafiken
• Erstellung von Prognosen
• Welches Ergebnis wird bei der Umsetzung von
Maßnahme X erzielt?
Vorgehensweise
• Selbstauskunft
• Begehung Vor-Ort
• Befragung
• IT-Verantwortliche
• Mitarbeiter (Anwender)
• Auswertung
• Abschlussbericht
• mit Handlungsbedarfen
 Strukturanalyse und Schutzbedarfsfeststellung
gem. BSI-Grundschutz
Erfassung und Befragungen
- Strukturierter Fragenkatalog
- Gliederung in folgende Bereiche:
-
Organisation
Infrastruktur Verwaltung
Wartung und Instandhaltung
Worst-Case-Szenarien
Mitarbeiterbefragung
Beispiel Mitarbeiterbefragung:
- Auswahl der befragten Mitarbeiter
nach Kernprozessen
- Teilweise offene Fragestellungen
- Befragung durch 2 Experten
Auswertung I
- Auswertung in Excel
- Unterschiedliche Gewichtung der Fragen
- Bewertung in 4 Stufen
-
1 = kein Handlungsbedarf
2 = Handlungsbedarf
3 = dringender Handlungsbedarf
4 = kritischer Handlungsbedarf
Auswertung II
• Darstellung der Auswertung in Form eines Netzdiagramms
Prozentuale Werte stellen Abweichung vom
Idealzustand dar:
• 75% – 100% = sofortiger
Handlungsbedarf (schwarz)
• 50 – 75% = dringender
Handlungsbedarf (rot)
• 25 – 50% = Handlungsbedarf (gelb)
• 0 – 25 % = kein Handlungsbedarf
(grün)
Je größer die Abdeckung der Zielscheibe durch die
erreichten Werte ist, desto besser ist das Ergebnis
Beispiel: Auswertung Überblick
Organisation
 Handlungsbedarf
Mitarbeiterbefragung
 Dringender
Handlungsbedarf
Worst-Case-Szenarien
 Dringender
Handlungsbedarf
Infrastruktur Verwaltung
 Handlungsbedarf
Wartung und Instandhaltung
 Dringender Handlungsbedarf
 Gesamtsituation: Handlungsbedarf
Beispiel: Detail-Auswertung
Verwaltung IT-Infrastruktur
3.3.1 Allgemein
3.3.18 Absicherung
3.3.2 Netzwerk LAN
3.3.17 Endgeräte
3.3.3 Netzwerk WAN
3.3.16 Software
3.3.4 Netzwerk WLAN
3.3.15 Virtualisierung
3.3.5 Telefonanlage
3.3.14 Speichersysteme
3.3.6 Server allgemein
3.3.13 Archivsystem
3.3.7 Fileserver
3.3.12 Terminalserver
3.3.8 E-Mailserver
3.3.11 Webserver
3.3.9 ERP-System
3.3.10 Datenbankserver
Beispiel für Auswertung Mitarbeiter I
- z.B.: 8 Mitarbeiter aus unterschiedlichen Bereichen
- Breite Streuung bei den
Ergebnissen
MA 1
- Deutliche Handlungsbedarfe MA 8
MA 2
erkennbar, z.B.
- Passworte am Arbeitsplatz
hinterlegt
MA 7
- Versand vertraulicher
Daten per E-Mail
- Kein vertraulicher Druck
- Mitarbeiter sind der
zentrale Punkt im
Sicherheitsprozess
MA 3
MA 4
MA 6
MA 5
Beispiel für Auswertung Mitarbeiter II
- Durchführung von
- regelmäßigen Unterweisungen
- Schulungen
MA 1
- Änderungen an Systemen
MA 8
rechtzeitig bekanntmachen
- Erhebliches
Verbesserungspotential MA 7
MA 2
MA 3
Entwicklungsprognose
MA 4
MA 6
MA 5
Beratungsergebnisse
• Handlungsempfehlungen
• Kurzfristig und mit geringem Aufwand zu
realisierenden Maßnahmen
• Mittelfristige Unterstützung bei der
Mitarbeitersensibilisierung
• Langfristige Maßnahmen mit Unterstützung bei
der Investitionsplanung
• Regelmäßige (z.B. jährliche)
Wiederholungsanalysen möglich
 PDCA-Verfahren
Zu guter Letzt…
Vielen Dank für Ihre Aufmerksamkeit!
DVGW Service & Consult GmbH
Josef-Wirmer-Str. 1-3
53123 Bonn
www.dvgw-sc.de
Kontaktdaten:
Daniel Fricke
+49 (0) 228 / 9188 – 743
[email protected]
Thomas Schmidt
+49 (0) 228 / 9188 – 747
[email protected]