Cyber-Sicherheits-Check 2 - Leiter der Fachgruppe Cybersecurity A. Teuscher - der Allianz für Cyber-Sicherheit
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Cyber-Sicherheits-Check 2. Leiter der Fachgruppe Cybersecurity A. Teuscher Andreas.Teuscher@sick.de © 2019 ISACA Germany Chapter e. V.
Agenda Themen im Fokus • Ausgangspunkt / Angriff auf das Herz der IT • Der Beginn / Cyber-Sicherheits-Check V1.0 • Weiterentwicklung / Cyber-Sicherheits-Check V2.0 • Ausblick – Cyber-Sicherheits-Check OT 17.01.2020 2
Die Geister, die ich rief (J. W. von Goethe) Zwei Welten treffen aufeinander • Information Technology IT ist verantwortlich für die Office IT und wird zur Prozessunterstützung genutzt • Operation Information Technology OT verantwortet die produktionsnahe interne Instandhaltung. Bei ihr liegt der Fokus mehr auf Safety • Historisch werden in der OT immer noch flache Netze und keine Netzwerksegmentierung bzw. Zonen genutzt, was zu einer ungewollten Kommunikation zwischen IT und OT führt • Dedizierte Bussysteme z.B. Modbus, IO-Link in der OT werden abgelöst durch IT Technologien z.B. Ethernet, WLAN, Bluetooth, IP, TCP/UDP, HTTP, etc. Quelle: IEC 62443-3-3 17.01.2020 3
Die Realität in der Office-IT Erpressungstrojaner Wanna-Cry und der böse Zwillingsbruder Petya • Cybergroßangriff auf ca. 100 Länder in 2017, Mitte März stellt Microsoft nach bekannt werden der Zero Day Attack ein Update für Windows zur Verfügung - Deutschland: Metabo, DB Netz AG, Schenker Logistik - Frankreich: Der französische Autobauer Renault musste Teile seiner Produktion anhalten - Großbritannien: IT-Systeme beim öffentlichen Gesundheitssystem NHS, was zu massiven Behinderungen in 40 Krankenhäusern und zahlreichen Arztpraxen führte - Spanien: Telekom Konzern Telefónica und Versorger Iberdrola betroffen - USA: Der Logistiker FedEx und Pfizer waren betroffen • Zweite Angriffswelle von Schadsoftware, bei der auch noch andere Werkzeuge genutzt wurden, mit dem Resultat: - Deutschland: Fabriken von Mondelez (Milka, Oreo) an den Standorten Bremen und Bad Fallingen, stehen still. Bei Beiersdorf (Nivea) hat es Ausfälle bei der IT und der Telefonanlage gegeben - Ukraine: Am Katastrophen-Atomkraftwerk Tschernobyl musste die Radioakvität nach dem Ausfall der Computer manuell gemessen werden, in Metro Märkten sind Kassensysteme betroffen, staatseigene Sparkasse sowie vier weitere Banken sind betroffen, auch die Eisenbahn und der größte Flughafen des Landes (Boryspil) berichteten von Problemen - Russland: Beim Ölkonzern Rosneft waren Steuerungsrechner betroffen - Großbritannien: IT-Systeme bei dem britische Werbeunternehmen WPP sind betroffen - Frankreich: Der Industriekonzern Saint-Gobain bestätigt, von Hackerangriffen betroffen zu sein. - Dänemark: Die Reederei Maersk meldete, IT-Systeme diverser Geschäftsbereiche seien an verschiedenen Standorten lahmgelegt 17.01.2020 4
Die Realität in der Operation-IT Auswirkungen in der Automation FABRIKAUTOMATION LOGISTIKAUTOMATION PROZESSAUTOMATION § Bergbau § Automobil und Zulieferer § Flughafen § Chemie und Petrochemie § Druck § Gebäudemanagement § Elektronik § Kraftwerk § Gebäudesicherheit § Glas § Metall und Stahl § Hafen § Halbleiter § Müllverbrennung und Recycling § Handhabungs- und § Handel und Distributionszentren § Öl und Gas Montagetechnik § Industrielle Fahrzeuge § Holz § Schiffsbau, Werften und Zulieferer § Krane § Konsumgüter/Verpackung § Zement § Kunststoff und Gummi § Kurier, Express, Post und Fracht § Nahrungsmittel /Getränke § Lager- und Fördertechnik § Pharma und Kosmetik § Verkehr § Reifen § Robotik § Solar/Wind § Werkzeugmaschinen 17.01.2020 5
Verschärfung der Cybersicherheitslage Änderungsgründe für Cyber-Sicherheits-Check 2.0 First conceptual virus Value-added providers Strong interest in Full-blown organized (Scientific American) (CompuServe, AOL, critical AI based attacks cybercrime etc.) infrastructure Back Orifice Mobile banking Cyberwarfare First IBM PC ID theft Ransomware (1982) and payments AI warfare Microsoft goes web Stuxnet, Duqu and BOT Network DoS attacks others Spamming Wall Street crash Quantum based attacks and phishing (1987) ATP Trojan Virus builder tool First Multiple AI APT attacks No. of viruses > sets viruses in 1,000 Commercial/ criminal IoT BOT Network attacks the wild hacking New economy Heartbleed From representative to interactive, then commerical Internet use From stationary to mobile computing, then smart mobile devices From digital ignorants to natives, then sheep From digital computing to artificial intelligence, then quantum computing Quantum Early World Wide eCommerce Homeland Ubiqitous Combined Multiple AI Cybercrime Cyberwar computer connectivity Web beginning Security broadband Trojan attacks attacks 1980 1981 1996 2001 2006 2007 2016 2018 2024 2028 Source: Nach Roessing, Rolf M., 2012, Transforming Cybersecurity: Using COBIT® 5 und Ergänzungen Dirk Schugardt 17.01.2020 6
Agenda Themen im Fokus • Ausgangspunkt / Angriff auf das Herz der IT • Der Beginn / Cyber-Sicherheits-Check V1.0 • Weiterentwicklung / Cyber-Sicherheits-Check V2.0 • Ausblick – Cyber-Sicherheits-Check OT 17.01.2020 7
Rückblick Cyber-Sicherheits-Check 1.0 • Im Jahr 2014 von der Fachgruppe Informationssicherheit von ISACA und BSI entwickelt und über die Allianz für Cyber-Sicherheit veröffentlicht • Cyber-Security-Practitioner (CSP) in der ersten Fassung ab 2014 durch ISACA und BSI • Überarbeitung des Cyber-Security-Practitioner durch die Fachgruppe Cyber-Security und neuem Trainerteam ab 2016 17.01.2020 8
CSC und CSP Cyber-Sicherheits-Check 1.0 Cyber-Sicherheits-Check (CSC) und CSP Kurs sind Erfolgsgeschichten: • CSC wurden durchgeführt in allen Gesellschaftsgrößen von der internen IT, Datenschutzbeauftragten, CISO/IT-SIBE, internen Revisionen, externen Auditoren und Beratern • Über 500 ausgebildete CSP (Studenten, Administratoren, Sicherheitsexperten, Auditoren bis zu Geschäftsführer und Partner von Wirtschaftsprüfungsgesellschaften) 17.01.2020 9
Cyber-Begriffsdefinitionen Cyber-Sicherheits-Check 1.0 • Der Cyber-Raum umfasst alle durch das Internet über territoriale Grenzen hinweg weltweit erreichbaren Informationsinfrastrukturen. • Cyber-Sicherheit verfolgt den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen gegen Bedrohungen aus dem Cyber-Raum. • Die Cyber-Kriminalität umfasst kriminelle Aktivitäten, die den Cyber-Raum als Quelle, Ziel und/oder Werkzeug nutzen. • Cyber-Security-Ereignis sind Vorfälle/Ereignisse, bei denen die Informations- sicherheit über den Cyber-Raum beeinträchtigt wird. 17.01.2020 11
Anwendungsbereich Cyber-Sicherheits-Check bis wohin? Bedrohungen Elementare Innentäter Bedrohungen Cyberraum Cyber- (Internet) Menschliches Bedrohungen … Fehlverhalten Cyber-Sicherheit Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit) Physische Human- Informations- Werte werte werte Informationssicherheit 17.01.2020 12
Bekannte Schutzziele Cyber-Sicherheits-Check 1.0 Verletzung der Vertraulichkeit Wenn vertrauliche Informationen unberechtigt zur Kenntnis genommen oder weitergegeben werden. Verletzung der Integrität Wenn die Informationen nicht mehr korrekt sind und die Funktionsweise von Systemen nicht mehr gegeben ist. Verletzung der Verfügbarkeit Wenn autorisierte Benutzer am Zugriff auf Informationen und Systeme behindert werden oder die Funktionalität der Systeme eingeschränkt wird. 17.01.2020 13
Cyber-Sicherheits-Exposition Bestimmen der Exposition / Risiko 17.01.2020 14
Das Vorgehensmodell in sechs Schritten Cyber-Sicherheits-Check 1.0 • Schritt 1 - Auftragserteilung • Schritt 2 - Bestimmung der Cyber-Sicherheits-Exposition • Schritt 3 - Dokumentensichtung • Schritt 4 - Vorbereitung der Vor-Ort-Beurteilung • Schritt 5 - Vor-Ort-Beurteilung • Schritt 6 - Nachbereitung / Berichterstellung 17.01.2020 15
Übersicht der 13 Maßnahmenziele Alle dazugehörigen Basismaßnahmen sind bei der Prüfung heranzuziehen A Absicherung von Netzübergängen B Abwehr von Schadprogrammen C Inventarisierung der IT-Systeme D Vermeidung von offenen Sicherheitslücken E Sichere Interaktion mit dem Internet F Logdatenerfassung und -auswertung G Sicherstellung eines aktuellen Informationsstands H Bewältigung von Sicherheitsvorfällen I Sichere Authentisierung J Gewährleistung der Verfügbarkeit notwendiger Ressourcen K Durchführung nutzerorientierter Maßnahmen L Sichere Nutzung Sozialer Netzwerke M Durchführung von Penetrationstests 17.01.2020 16
Agenda Themen im Fokus • Ausgangspunkt / Angriff auf das Herz der IT • Der Beginn / Cyber-Sicherheits-Check V1.0 • Weiterentwicklung / Cyber-Sicherheits-Check V2.0 • Ausblick – Cyber-Sicherheits-Check OT 17.01.2020 17
Inhalte und Übersicht Cyber-Sicherheits-Check 2.0 – Inhalte Der CSC-Leitfaden in der Version 2 kann kostenfrei unter dem nachfolgenden ISACA Weblink heruntergeladen werden: www.isaca.de/sites/default/files/2019_11_ leitfaden_cyber-sicherheits-check_v2.pdf 17.01.2020 18
Verbesserungen zur Version 1 Cyber-Sicherheits-Check 2.0 – Änderungen • Zusammenarbeit mit mehreren Verbänden • Vereinfachte Risikoeinschätzung • Erweiterung der Maßnahmen um - Cloud-Sicherheit - Datensicherung • Referenzen auf aktuelle Standards - BSI IT-Grundschutz-Kompendium - Cobit 2019, etc. 17.01.2020 19
Risikoeinschätzung kommt, die Exposition geht Cyber-Sicherheits-Check 2.0 – Änderungen • Startpunkt der Risikoeinschätzung ist die Bestimmung der Schadenshöhe für jedes Schutzziel (Vertraulichkeit, Verfügbarkeit und Integrität) Vertraulichkeit Verfügbarkeit Integrität Wert der Daten und Prozesse gering 0 gering 0 gering 0 normal 1 normal 1 normal 1 hoch 2 hoch 2 hoch 2 sehr hoch 3 sehr hoch 3 sehr hoch 3 Schadenshöhe = Wert je Schutzziel 17.01.2020 20
Bestimmung der Eintrittswahrscheinlichkeit Cyber-Sicherheits-Check 2.0 – Änderungen Vertraulichkeit Verfügbarkeit Integrität Abhängigkeit von der IT und Grad der lokal 1 lokal 1 lokal 1 Vernetzung (Attraktivität für Angreifer) teilweise vernetzt 2 teilweise vernetzt 2 teilweise vernetzt 2 voll vernetzt 3 voll vernetzt 3 voll vernetzt 3 Kompetenz (Wissen) der Angreifer allgemein 1 allgemein 1 allgemein 1 moderat 2 moderat 2 moderat 2 fachspezifisch 3 fachspezifisch 3 fachspezifisch 3 Angriffe in der Vergangenheit abgewehrt 1 abgewehrt 1 abgewehrt 1 unbekannt/ unbekannt/ unbekannt/ erfolgreich 3 erfolgreich 3 erfolgreich 3 Eintrittswahrscheinlichkeit = Addition der Werte je Schutzziel 17.01.2020 21
Schutzziele Cyber-Sicherheits-Check 2.0 – Änderungen • Der Risikowert wird pro Schutzziel durch Multiplikation der Schadenshöhe mit der Eintrittswahrscheinlichkeit (Summe der Einzelwerte je Schutzziel) ermittelt • Formel je Schutzziel (VVI): (1+2+3) x S = Risikokennzahl • Hieraus ergeben sich die nachfolgenden Risikoeinschätzungen: normal = 0 – 9 hoch = 10 – 18 sehr hoch = 19 – 27 17.01.2020 22
Übersicht der 14 Maßnahmenziele Teil 1 Alle dazugehörigen Basismaßnahmen sind bei der Prüfung heranzuziehen A Absicherung von Netzübergängen B Abwehr von Schadprogrammen C Inventarisierung der IT-Systeme D Vermeidung von ausnutzbaren Sicherheitslücken E Sichere Interaktion mit dem Internet F Logdatenerfassung und -auswertung G Sicherstellung eines aktuellen Informationsstands 23
Übersicht der 14 Maßnahmenziele Teil 2 Alle dazugehörigen Basismaßnahmen sind bei der Prüfung heranzuziehen H Bewältigung von Sicherheitsvorfällen I Sichere Authentisierung J Gewährleistung der Verfügbarkeit notwendiger Ressourcen K Sensibilisierung und Schulung von Mitarbeitern L Sichere Nutzung Sozialer Netzwerke M Durchführung von Penetrationstests N Sicherer Umgang mit Cloud-Anwendungen 24
Cloud Security Cyber-Sicherheits-Check 2.0 – Änderungen Maßnahmenziele Basismaßnahmen Referenzen N Sicherer Umgang mit - Es existieren verbindliche Vorgaben hinsichtlich BSI IT-Grundschutz- Cloud-Anwendungen der Speicherung, Verwendung und Verarbeitung von Kompendium: Es sollten regelmäßig die Daten in Cloud-Anwendungen. BSI-200-2, Kapitel 10, genutzten Cloud- - Anwendbare Sicherheitsstandards und vertragliche OPS.1.1.6.A1, Anwendungen überprüft Anforderungen werden gegenüber dem Cloud Service OPS.1.1.6.A3, werden und einem Provider durchgesetzt. OPS.1.1.6.A5 Freigabeprozess unterliegen. - Cloud-Dienste werden fachgerecht provisioniert, COBIT 2019: Nicht zulässige Cloud- administriert und überwacht. APO07.03, APO09.01, Anwendungen sollten - Mitarbeiter werden regelmäßig hinsichtlich der Risiken APO09.02, APO09.03, gesperrt, erlaubte durch und des korrekten Umgangs mit Cloud-Anwendungen DSS01.02, DSS01.03, geeignete sensibilisiert. DSS05.02, DSS06.03 Sicherheitsmaßnahmen - Direkte Schnittstellen zwischen Cloud-Anwendungen ISO/IEC 27001:2013: geschützt werden. und der organisationseigenen Infrastruktur, sofern A.14.2.8, A.18.2.1, A.18.2.3 vorhanden, sind angemessen abgesichert. PCI DSS 3.2.1: 2.6, 12.8, A1 17.01.2020 25
Das Vorgehensmodell in sechs Schritten Optimiertes Vorgehensmodell • Schritt 1 - Auftragserteilung • Schritt 2 - Risikoeinschätzung • Schritt 3 - Dokumentensichtung • Schritt 4 - Vorbereitung der Vor-Ort-Beurteilung • Schritt 5 - Vor-Ort-Beurteilung • Schritt 6 - Nachbereitung / Berichterstellung 17.01.2020 26
Neuer Cyber-Security-Practitioner Cyber-Sicherheits-Check 2.0 • Neuer CSP Kurs ab 2020 enthält: – Die Anwendung der neuen Risikoeinschätzung – Den neuen Maßnahmenkatalog und die Referenzen – Neue angepasste praktische Übungen, die sowohl Laien wie auch versierte Prüfer an den CSC heranführen • Ab 2020: Anpassung an neuen Cyber-Security-Practitioner – Bestehende Zertifikate bleiben im Rahmen der Regeln zur Rezertifizierung bestehen 17.01.2020 27
Agenda Themen im Fokus • Ausgangspunkt / Angriff auf das Herz der IT • Der Beginn / Cyber-Sicherheits-Check V1.0 • Weiterentwicklung / Cyber-Sicherheits-Check V2.0 • Ausblick – Cyber-Sicherheits-Check OT 17.01.2020 28
Ausblick und Weiterentwicklungen Cyber-Sicherheits-Check OT • Entwicklung eines neuen Leitfaden „Cyber-Sicherheits-Check OT“ – Mit Unterstützung von ZVEI, VDMA, ISPE, IDSA und BSI – Fokus auf die Operational Technology des produzierenden Gewerbe – Entwicklung eines Cyber Security Grundlagenkurs OT – Entwicklung des Cyber-Security-Practitioner OT § Spezifisches Fachwissen für OT-Checks – Weitere Ausblick: Modulare Erweiterungen der beiden CSC für Informationssicherheit, Branchen, etc. 17.01.2020 29
Cyber-Sicherheits-Check OT Geplante Anpassung der Vorgehensweise: • Schritt 1 - Auftragserteilung • Schritt 2 - Scope Erarbeitung • Schritt 3 - Risikoeinschätzung • Schritt 4 - Dokumentensichtung • Schritt 5 - Vorbereitung der Vor-Ort-Beurteilung • Schritt 6 - Vor-Ort-Beurteilung • Schritt 7 - Nachbereitung / Berichterstellung 17.01.2020 30
Publikationen Quellen und Verweise auf weiterführende Dokumente • Industrie 4.0-Security in der Aus- und Weiterbildung - Aspekte für Organisation & Kompetenzen (www.plattform-i40.de) • IT-Security in der Industrie 4.0 - Handlungsfelder für Betreiber (www.plattform- i40.de) • IT-Security in der Industrie 4.0 - Erste Schritte zu einer sicheren Produktion (www.plattform-i40.de) • Cybersecurity – Informationsübersicht Zusammenspiel zwischen Hersteller – Integrator – Betreiber (www.zvei.org/presse-medien/publikationen /cybersecurity- ein-zusammenspiel-zwischen-hersteller-betreiber-integrator/) • Security für den Maschinen- und Anlagenbau – Leitfaden für den Weg durch die IEC 62443 (www.VDMA.org) • Cyber-Sicherheits-Check V2- Leitfaden zur Durchführung in Unternehmen und Behörden (www.isaca.de/sites/default/files/2019_11_leitfaden_cyber-sicherheits- check_v2.pdf) • DIN SPEC 27070 - Anforderungen und Referenzarchitektur eines Security Gateways zum Austausch von Industriedaten und Diensten (www.din.de/de) 17.01.2020 31
Sie können auch lesen