Cyber-Sicherheits-Check 2 - Leiter der Fachgruppe Cybersecurity A. Teuscher - der Allianz für Cyber-Sicherheit

Die Seite wird erstellt Stefan-Albert Krug
 
WEITER LESEN
Cyber-Sicherheits-Check 2 - Leiter der Fachgruppe Cybersecurity A. Teuscher - der Allianz für Cyber-Sicherheit
Cyber-Sicherheits-Check 2.
Leiter der Fachgruppe Cybersecurity
A. Teuscher
Andreas.Teuscher@sick.de

                                          © 2019 ISACA Germany Chapter e. V.
Cyber-Sicherheits-Check 2 - Leiter der Fachgruppe Cybersecurity A. Teuscher - der Allianz für Cyber-Sicherheit
Agenda
Themen im Fokus
•   Ausgangspunkt / Angriff auf das Herz der IT
•   Der Beginn / Cyber-Sicherheits-Check V1.0
•   Weiterentwicklung / Cyber-Sicherheits-Check V2.0
•   Ausblick – Cyber-Sicherheits-Check OT

                                            17.01.2020   2
Cyber-Sicherheits-Check 2 - Leiter der Fachgruppe Cybersecurity A. Teuscher - der Allianz für Cyber-Sicherheit
Die Geister, die ich rief (J. W. von Goethe)
Zwei Welten treffen aufeinander

• Information Technology IT ist verantwortlich für die Office IT
  und wird zur Prozessunterstützung genutzt
• Operation Information Technology OT verantwortet die
  produktionsnahe interne Instandhaltung. Bei ihr liegt der
  Fokus mehr auf Safety
• Historisch werden in der OT immer noch flache Netze und
  keine Netzwerksegmentierung bzw. Zonen genutzt, was
  zu einer ungewollten Kommunikation zwischen IT und
  OT führt
• Dedizierte Bussysteme z.B. Modbus, IO-Link in der OT
  werden abgelöst durch IT Technologien z.B. Ethernet,
  WLAN, Bluetooth, IP, TCP/UDP, HTTP, etc.

                                                                       Quelle: IEC 62443-3-3

                                                    17.01.2020     3
Cyber-Sicherheits-Check 2 - Leiter der Fachgruppe Cybersecurity A. Teuscher - der Allianz für Cyber-Sicherheit
Die Realität in der Office-IT
Erpressungstrojaner Wanna-Cry und der böse Zwillingsbruder Petya
•    Cybergroßangriff auf ca. 100 Länder in 2017, Mitte März stellt Microsoft nach bekannt
     werden der Zero Day Attack ein Update für Windows zur Verfügung
     -   Deutschland: Metabo, DB Netz AG, Schenker Logistik
     -   Frankreich: Der französische Autobauer Renault musste Teile seiner Produktion anhalten
     -   Großbritannien: IT-Systeme beim öffentlichen Gesundheitssystem NHS, was zu massiven
         Behinderungen in 40 Krankenhäusern und zahlreichen Arztpraxen führte
     -   Spanien: Telekom Konzern Telefónica und Versorger Iberdrola betroffen
     -   USA: Der Logistiker FedEx und Pfizer waren betroffen
•    Zweite Angriffswelle von Schadsoftware, bei der auch noch andere Werkzeuge genutzt
     wurden, mit dem Resultat:
     -   Deutschland: Fabriken von Mondelez (Milka, Oreo) an den Standorten Bremen und Bad Fallingen,
         stehen still. Bei Beiersdorf (Nivea) hat es Ausfälle bei der IT und der Telefonanlage gegeben
     -   Ukraine: Am Katastrophen-Atomkraftwerk Tschernobyl musste die Radioakvität nach dem Ausfall der
         Computer manuell gemessen werden, in Metro Märkten sind Kassensysteme betroffen, staatseigene
         Sparkasse sowie vier weitere Banken sind betroffen, auch die Eisenbahn und der größte Flughafen des
         Landes (Boryspil) berichteten von Problemen
     -   Russland: Beim Ölkonzern Rosneft waren Steuerungsrechner betroffen
     -   Großbritannien: IT-Systeme bei dem britische Werbeunternehmen WPP sind betroffen
     -   Frankreich: Der Industriekonzern Saint-Gobain bestätigt, von Hackerangriffen betroffen zu sein.
     -   Dänemark: Die Reederei Maersk meldete, IT-Systeme diverser Geschäftsbereiche seien an
         verschiedenen Standorten lahmgelegt

                                                                                           17.01.2020          4
Cyber-Sicherheits-Check 2 - Leiter der Fachgruppe Cybersecurity A. Teuscher - der Allianz für Cyber-Sicherheit
Die Realität in der Operation-IT
Auswirkungen in der Automation
         FABRIKAUTOMATION                     LOGISTIKAUTOMATION             PROZESSAUTOMATION

     §   Bergbau                              §   Automobil und Zulieferer     §   Flughafen
     §   Chemie und Petrochemie               §   Druck
                                                                               §   Gebäudemanagement
                                              §   Elektronik
     §   Kraftwerk                                                             §   Gebäudesicherheit
                                              §   Glas
     §   Metall und Stahl                                                      §   Hafen
                                              §   Halbleiter
     §   Müllverbrennung und Recycling        §   Handhabungs- und             §   Handel und Distributionszentren
     §   Öl und Gas                               Montagetechnik
                                                                               §   Industrielle Fahrzeuge
                                              §   Holz
     §   Schiffsbau, Werften und Zulieferer                                    §   Krane
                                              §   Konsumgüter/Verpackung
     §   Zement                               §   Kunststoff und Gummi         §   Kurier, Express, Post und Fracht
                                              §   Nahrungsmittel /Getränke     §   Lager- und Fördertechnik
                                              §   Pharma und Kosmetik          §   Verkehr
                                              §   Reifen
                                              §   Robotik
                                              §   Solar/Wind
                                              §   Werkzeugmaschinen

                                                            17.01.2020                                                5
Cyber-Sicherheits-Check 2 - Leiter der Fachgruppe Cybersecurity A. Teuscher - der Allianz für Cyber-Sicherheit
Verschärfung der Cybersicherheitslage
 Änderungsgründe für Cyber-Sicherheits-Check 2.0

        First conceptual virus      Value-added providers                   Strong interest in                                      Full-blown organized
        (Scientific American)       (CompuServe, AOL,                       critical                                                                                                     AI based attacks
                                                                                                                                    cybercrime
                                    etc.)                                   infrastructure
                                                             Back Orifice         Mobile banking                          Cyberwarfare
                                 First IBM PC                                                        ID theft                                  Ransomware
                                 (1982)                                           and payments
                                                                                                                                                                                                  AI warfare
                                                     Microsoft goes web                                                       Stuxnet, Duqu and            BOT Network DoS attacks
                                                                                                                              others
                                                                                         Spamming
                                     Wall Street crash                                                                                                                                                            Quantum based attacks
                                                                                         and phishing
                                     (1987)                                                                                                                           ATP Trojan
                                                            Virus
                                                            builder tool
            First                                                                                                                                                                                      Multiple AI APT attacks
                                       No. of viruses >     sets
            viruses in                 1,000                                                       Commercial/ criminal                                        IoT BOT Network attacks
            the wild                                                                               hacking
                                                                      New economy                                               Heartbleed

       From representative to interactive, then commerical Internet use
       From stationary to mobile computing, then smart mobile devices
       From digital ignorants to natives, then sheep
       From digital computing to artificial intelligence, then quantum computing
                                                                                                                                                                                                               Quantum
   Early             World Wide           eCommerce                Homeland                                                              Ubiqitous             Combined              Multiple AI
                                                                                         Cybercrime               Cyberwar                                                                                     computer
connectivity           Web                 beginning                Security                                                             broadband              Trojan                attacks
                                                                                                                                                                                                                attacks
   1980                   1981                  1996                   2001                   2006                   2007                  2016                   2018                     2024                   2028
Source: Nach Roessing, Rolf M., 2012, Transforming Cybersecurity: Using COBIT® 5 und Ergänzungen Dirk Schugardt

                                                                                                                17.01.2020                                                                                                  6
Cyber-Sicherheits-Check 2 - Leiter der Fachgruppe Cybersecurity A. Teuscher - der Allianz für Cyber-Sicherheit
Agenda
Themen im Fokus
•   Ausgangspunkt / Angriff auf das Herz der IT
•   Der Beginn / Cyber-Sicherheits-Check V1.0
•   Weiterentwicklung / Cyber-Sicherheits-Check V2.0
•   Ausblick – Cyber-Sicherheits-Check OT

                                            17.01.2020   7
Cyber-Sicherheits-Check 2 - Leiter der Fachgruppe Cybersecurity A. Teuscher - der Allianz für Cyber-Sicherheit
Rückblick
Cyber-Sicherheits-Check 1.0

• Im Jahr 2014 von der Fachgruppe Informationssicherheit
  von ISACA und BSI entwickelt und über die Allianz für
  Cyber-Sicherheit veröffentlicht
• Cyber-Security-Practitioner (CSP) in der ersten Fassung ab
  2014 durch ISACA und BSI
• Überarbeitung des Cyber-Security-Practitioner durch die
  Fachgruppe Cyber-Security und neuem Trainerteam ab
  2016

                                    17.01.2020                 8
Cyber-Sicherheits-Check 2 - Leiter der Fachgruppe Cybersecurity A. Teuscher - der Allianz für Cyber-Sicherheit
CSC und CSP
Cyber-Sicherheits-Check 1.0

Cyber-Sicherheits-Check (CSC) und CSP Kurs sind Erfolgsgeschichten:
• CSC wurden durchgeführt in allen Gesellschaftsgrößen von der internen IT,
  Datenschutzbeauftragten, CISO/IT-SIBE, internen Revisionen, externen
  Auditoren und Beratern
• Über 500 ausgebildete CSP (Studenten, Administratoren,
  Sicherheitsexperten, Auditoren bis zu Geschäftsführer und Partner von
  Wirtschaftsprüfungsgesellschaften)

                                    17.01.2020                          9
Cyber-Sicherheits-Check 2 - Leiter der Fachgruppe Cybersecurity A. Teuscher - der Allianz für Cyber-Sicherheit
Inhalte und Übersicht
Cyber-Sicherheits-Check 1.0

                              17.01.2020   10
Cyber-Begriffsdefinitionen
Cyber-Sicherheits-Check 1.0

• Der Cyber-Raum umfasst alle durch das Internet über territoriale Grenzen
  hinweg weltweit erreichbaren Informationsinfrastrukturen.
• Cyber-Sicherheit verfolgt den Schutz der Vertraulichkeit, Integrität und
  Verfügbarkeit von Informationen gegen Bedrohungen aus dem Cyber-Raum.
• Die Cyber-Kriminalität umfasst kriminelle Aktivitäten, die den Cyber-Raum als
  Quelle, Ziel und/oder Werkzeug nutzen.
• Cyber-Security-Ereignis sind Vorfälle/Ereignisse, bei denen die Informations-
  sicherheit über den Cyber-Raum beeinträchtigt wird.

                                     17.01.2020                         11
Anwendungsbereich
Cyber-Sicherheits-Check bis wohin?
            Bedrohungen

                 Elementare           Innentäter
                Bedrohungen
                                                                                              Cyberraum
                                                                               Cyber-          (Internet)
                                 Menschliches
                                                                             Bedrohungen
                  …              Fehlverhalten

                                                                                                            Cyber-Sicherheit
                                                        Schutzziele
                                          (Vertraulichkeit, Integrität, Verfügbarkeit)

                              Physische                   Human-                    Informations-
                               Werte                       werte                        werte

           Informationssicherheit

                                                                17.01.2020                                                     12
Bekannte Schutzziele
Cyber-Sicherheits-Check 1.0

Verletzung der Vertraulichkeit
Wenn vertrauliche Informationen unberechtigt zur Kenntnis genommen oder
weitergegeben werden.

Verletzung der Integrität
Wenn die Informationen nicht mehr korrekt sind und die Funktionsweise von
Systemen nicht mehr gegeben ist.

Verletzung der Verfügbarkeit
Wenn autorisierte Benutzer am Zugriff auf Informationen und Systeme behindert
werden oder die Funktionalität der Systeme eingeschränkt wird.

                                    17.01.2020                         13
Cyber-Sicherheits-Exposition
Bestimmen der Exposition / Risiko

                                    17.01.2020   14
Das Vorgehensmodell in sechs Schritten
Cyber-Sicherheits-Check 1.0

•   Schritt 1 - Auftragserteilung
•   Schritt 2 - Bestimmung der Cyber-Sicherheits-Exposition
•   Schritt 3 - Dokumentensichtung
•   Schritt 4 - Vorbereitung der Vor-Ort-Beurteilung
•   Schritt 5 - Vor-Ort-Beurteilung
•   Schritt 6 - Nachbereitung / Berichterstellung

                                      17.01.2020              15
Übersicht der 13 Maßnahmenziele
Alle dazugehörigen Basismaßnahmen sind bei der Prüfung heranzuziehen
         A      Absicherung von Netzübergängen

         B      Abwehr von Schadprogrammen

         C      Inventarisierung der IT-Systeme

         D      Vermeidung von offenen Sicherheitslücken

         E      Sichere Interaktion mit dem Internet

         F      Logdatenerfassung und -auswertung

         G      Sicherstellung eines aktuellen Informationsstands

         H      Bewältigung von Sicherheitsvorfällen

         I      Sichere Authentisierung

         J      Gewährleistung der Verfügbarkeit notwendiger Ressourcen

         K      Durchführung nutzerorientierter Maßnahmen

         L      Sichere Nutzung Sozialer Netzwerke

         M      Durchführung von Penetrationstests

                                                        17.01.2020        16
Agenda
Themen im Fokus
•   Ausgangspunkt / Angriff auf das Herz der IT
•   Der Beginn / Cyber-Sicherheits-Check V1.0
•   Weiterentwicklung / Cyber-Sicherheits-Check V2.0
•   Ausblick – Cyber-Sicherheits-Check OT

                                            17.01.2020   17
Inhalte und Übersicht
Cyber-Sicherheits-Check 2.0 – Inhalte

                                                     Der CSC-Leitfaden in der Version 2 kann
                                                     kostenfrei unter dem nachfolgenden ISACA
                                                     Weblink heruntergeladen werden:

                                                     www.isaca.de/sites/default/files/2019_11_
                                                     leitfaden_cyber-sicherheits-check_v2.pdf

                                        17.01.2020                                     18
Verbesserungen zur Version 1
Cyber-Sicherheits-Check 2.0 – Änderungen

• Zusammenarbeit mit mehreren Verbänden
• Vereinfachte Risikoeinschätzung
• Erweiterung der Maßnahmen um
   - Cloud-Sicherheit
   - Datensicherung
• Referenzen auf aktuelle Standards
   - BSI IT-Grundschutz-Kompendium
   - Cobit 2019, etc.

                                       17.01.2020   19
Risikoeinschätzung kommt, die Exposition geht
Cyber-Sicherheits-Check 2.0 – Änderungen
• Startpunkt der Risikoeinschätzung ist die Bestimmung der Schadenshöhe für
  jedes Schutzziel (Vertraulichkeit, Verfügbarkeit und Integrität)

                                    Vertraulichkeit           Verfügbarkeit       Integrität
Wert der Daten und Prozesse         gering               0    gering          0   gering            0
                                    normal               1    normal          1   normal            1
                                    hoch                 2    hoch            2   hoch              2
                                    sehr hoch            3    sehr hoch       3   sehr hoch         3

Schadenshöhe = Wert je Schutzziel

                                                 17.01.2020                                    20
Bestimmung der Eintrittswahrscheinlichkeit
Cyber-Sicherheits-Check 2.0 – Änderungen

                                           Vertraulichkeit                   Verfügbarkeit            Integrität
Abhängigkeit von der IT und Grad der       lokal                   1         lokal                1   lokal                     1
Vernetzung (Attraktivität für Angreifer)
                                           teilweise vernetzt      2         teilweise vernetzt   2   teilweise vernetzt        2

                                           voll vernetzt           3         voll vernetzt        3   voll vernetzt             3

Kompetenz (Wissen) der Angreifer           allgemein               1         allgemein            1   allgemein                 1

                                           moderat                 2         moderat              2   moderat                   2

                                           fachspezifisch          3         fachspezifisch       3   fachspezifisch            3
Angriffe in der Vergangenheit              abgewehrt               1         abgewehrt            1   abgewehrt                 1

                                            unbekannt/                    unbekannt/                  unbekannt/
                                            erfolgreich           3       erfolgreich          3      erfolgreich               3
                                   Eintrittswahrscheinlichkeit = Addition der Werte je Schutzziel

                                                                17.01.2020                                                 21
Schutzziele
Cyber-Sicherheits-Check 2.0 – Änderungen
• Der Risikowert wird pro Schutzziel durch Multiplikation der Schadenshöhe mit
  der Eintrittswahrscheinlichkeit (Summe der Einzelwerte je Schutzziel) ermittelt
• Formel je Schutzziel (VVI): (1+2+3) x S = Risikokennzahl
• Hieraus ergeben sich die nachfolgenden Risikoeinschätzungen:

normal = 0 – 9
hoch = 10 – 18
sehr hoch = 19 – 27

                                       17.01.2020                          22
Übersicht der 14 Maßnahmenziele Teil 1
Alle dazugehörigen Basismaßnahmen sind bei der Prüfung heranzuziehen

 A      Absicherung von Netzübergängen
 B      Abwehr von Schadprogrammen
 C      Inventarisierung der IT-Systeme
 D      Vermeidung von ausnutzbaren Sicherheitslücken
 E      Sichere Interaktion mit dem Internet
 F      Logdatenerfassung und -auswertung
 G      Sicherstellung eines aktuellen Informationsstands

                                                                       23
Übersicht der 14 Maßnahmenziele Teil 2
Alle dazugehörigen Basismaßnahmen sind bei der Prüfung heranzuziehen

 H      Bewältigung von Sicherheitsvorfällen
 I      Sichere Authentisierung
 J      Gewährleistung der Verfügbarkeit notwendiger Ressourcen
 K      Sensibilisierung und Schulung von Mitarbeitern
 L      Sichere Nutzung Sozialer Netzwerke
 M      Durchführung von Penetrationstests
 N      Sicherer Umgang mit Cloud-Anwendungen

                                                                       24
Cloud Security
Cyber-Sicherheits-Check 2.0 – Änderungen
Maßnahmenziele                   Basismaßnahmen                                             Referenzen
N Sicherer Umgang mit            - Es existieren verbindliche Vorgaben hinsichtlich         BSI IT-Grundschutz-
  Cloud-Anwendungen              der Speicherung, Verwendung und Verarbeitung von           Kompendium:
  Es sollten regelmäßig die      Daten in Cloud-Anwendungen.                                BSI-200-2, Kapitel 10,
  genutzten Cloud-               - Anwendbare Sicherheitsstandards und vertragliche         OPS.1.1.6.A1,
  Anwendungen überprüft          Anforderungen werden gegenüber dem Cloud Service           OPS.1.1.6.A3,
  werden und einem               Provider durchgesetzt.                                     OPS.1.1.6.A5
  Freigabeprozess unterliegen.   - Cloud-Dienste werden fachgerecht provisioniert,          COBIT 2019:
  Nicht zulässige Cloud-         administriert und überwacht.                               APO07.03, APO09.01,
  Anwendungen sollten            - Mitarbeiter werden regelmäßig hinsichtlich der Risiken   APO09.02, APO09.03,
  gesperrt, erlaubte durch       und des korrekten Umgangs mit Cloud-Anwendungen            DSS01.02, DSS01.03,
  geeignete                      sensibilisiert.                                            DSS05.02, DSS06.03
  Sicherheitsmaßnahmen           - Direkte Schnittstellen zwischen Cloud-Anwendungen        ISO/IEC 27001:2013:
  geschützt werden.              und der organisationseigenen Infrastruktur, sofern         A.14.2.8, A.18.2.1, A.18.2.3
                                 vorhanden, sind angemessen abgesichert.                    PCI DSS 3.2.1:
                                                                                            2.6, 12.8, A1

                                                       17.01.2020                                              25
Das Vorgehensmodell in sechs Schritten
Optimiertes Vorgehensmodell

•   Schritt 1 - Auftragserteilung
•   Schritt 2 - Risikoeinschätzung
•   Schritt 3 - Dokumentensichtung
•   Schritt 4 - Vorbereitung der Vor-Ort-Beurteilung
•   Schritt 5 - Vor-Ort-Beurteilung
•   Schritt 6 - Nachbereitung / Berichterstellung

                                        17.01.2020     26
Neuer Cyber-Security-Practitioner
Cyber-Sicherheits-Check 2.0

• Neuer CSP Kurs ab 2020 enthält:
   – Die Anwendung der neuen Risikoeinschätzung
   – Den neuen Maßnahmenkatalog und die Referenzen
   – Neue angepasste praktische Übungen, die sowohl Laien wie auch
     versierte Prüfer an den CSC heranführen
• Ab 2020: Anpassung an neuen Cyber-Security-Practitioner
   – Bestehende Zertifikate bleiben im Rahmen der Regeln zur Rezertifizierung
     bestehen

                                    17.01.2020                         27
Agenda
Themen im Fokus
•   Ausgangspunkt / Angriff auf das Herz der IT
•   Der Beginn / Cyber-Sicherheits-Check V1.0
•   Weiterentwicklung / Cyber-Sicherheits-Check V2.0
•   Ausblick – Cyber-Sicherheits-Check OT

                                            17.01.2020   28
Ausblick und Weiterentwicklungen
Cyber-Sicherheits-Check OT

• Entwicklung eines neuen Leitfaden „Cyber-Sicherheits-Check OT“
   – Mit Unterstützung von ZVEI, VDMA, ISPE, IDSA und BSI
   – Fokus auf die Operational Technology des produzierenden Gewerbe
   – Entwicklung eines Cyber Security Grundlagenkurs OT
   – Entwicklung des Cyber-Security-Practitioner OT
       § Spezifisches Fachwissen für OT-Checks
   – Weitere Ausblick: Modulare Erweiterungen der beiden CSC für
     Informationssicherheit, Branchen, etc.

                                   17.01.2020                          29
Cyber-Sicherheits-Check OT
Geplante Anpassung der Vorgehensweise:

•   Schritt 1 - Auftragserteilung
•   Schritt 2 - Scope Erarbeitung
•   Schritt 3 - Risikoeinschätzung
•   Schritt 4 - Dokumentensichtung
•   Schritt 5 - Vorbereitung der Vor-Ort-Beurteilung
•   Schritt 6 - Vor-Ort-Beurteilung
•   Schritt 7 - Nachbereitung / Berichterstellung

                                         17.01.2020    30
Publikationen
Quellen und Verweise auf weiterführende Dokumente

•   Industrie 4.0-Security in der Aus- und Weiterbildung - Aspekte für Organisation
    & Kompetenzen (www.plattform-i40.de)
•   IT-Security in der Industrie 4.0 - Handlungsfelder für Betreiber (www.plattform-
    i40.de)
•    IT-Security in der Industrie 4.0 - Erste Schritte zu einer sicheren Produktion
    (www.plattform-i40.de)

•   Cybersecurity – Informationsübersicht Zusammenspiel zwischen Hersteller –
    Integrator – Betreiber (www.zvei.org/presse-medien/publikationen /cybersecurity-
    ein-zusammenspiel-zwischen-hersteller-betreiber-integrator/)
•   Security für den Maschinen- und Anlagenbau – Leitfaden für den Weg durch die
    IEC 62443 (www.VDMA.org)
•   Cyber-Sicherheits-Check V2- Leitfaden zur Durchführung in Unternehmen und
    Behörden (www.isaca.de/sites/default/files/2019_11_leitfaden_cyber-sicherheits-
    check_v2.pdf)
•   DIN SPEC 27070 - Anforderungen und Referenzarchitektur eines Security
    Gateways zum Austausch von Industriedaten und Diensten (www.din.de/de)

                                                           17.01.2020                  31
Sie können auch lesen